Nov 16, 2006
何故今さら署名?
何で今更こんな事に首を突っ込んでハンドアックスを頭にぶっ刺してるかというと、拡張機能の安全性を云々言うんだったら署名くらい付けやがれという言説について、おんしゃあパツイチ調べてノウハウをわかりやすく文書化してみんべえ、と調査を開始したところ、署名を買うのに10万かかる(ベリサインの場合。他社ならもっと安いということは後から知った)とか法人格がいるとかそういうことを知って、そんだけコストを支払うのに見合うメリットが果たして得られるのだろうか?というそもそもの所を疑問に思い、あわよくば「署名なんてあってもなくても(あんたが求めてる物が得られるかどうかという意味では)変わらんよ」という結論に持っていければ、僕への「おめー署名付けやがれ」というツッコミをかわせるようになるんじゃなかろうか、という邪な考えが発端にありましたので、僕が喧嘩腰なのは既定の事項なのですよ。
誤解してほしくないのは、署名の意義を全否定したい訳ではないということ。署名が何をするものであるか、署名が何をしないものであるか、をはっきりさせて、「署名では証明できないことを証明するために署名を求める」圧力(と言うと大袈裟か?)に抵抗することが、目的なのです。
そういう人は往々にして、何か肝心な所を勘違いしていたり、見落としていたりする。たまたま何らかのソースでそのことを目にしたからそのことだけ気にしていたりする。例えば、SSLで署名の確認まできちんとしない人や、クレジットカードの番号が全部書かれた控えをシュレッダーにもかけず燃えるごみの中に放り込むような人、渡す書類に深く考えず捨て印を押してしまうような人、外から簡単に中身を取り出せるような簡単な郵便受けで重要な書類を受け取る人、クレジットカードを店員に渡した後でカードが自分から見えない位置に移動しても全然気にならない人、毎日部屋を出るときに夜神月のように侵入検知のための罠を仕掛けたりなんかしない人で、電子署名を求めている人には、信頼できる認証局の認証を受けた電子署名なんて、猫に小判、豚に真珠でしょう。要はそういうことです。
追記。信頼を保証するために使ってるツールそのものの信頼性を問題視する視点もあるようだ。段々訳が分からんくなってきた……
wikieditish message: Ready to edit this entry.