脱PPAPを実現するOpenPGPとは

こんにちは。SCSKセキュリティプロダクト部Yubicoチームです。

YubiKeyの意外な使い方として、OpenPGPで使う方法を紹介します。

OpenPGPとは

OpenPGPは、インターネット上でメールやファイルを安全に送受信するための非営利のオープン標準です。OpenPGPの主な役割は下記の通りです。

• 暗号化: データを保護し、不正アクセスから守るために、メッセージやファイルを暗号化する機能を提供します
  
• デジタル署名: メッセージが改ざんされていないことを保証し、送信者が本物であることを証明するために使用されます。

　※本記事ではOpenPGPの暗号化で使われているセッションキー（共通鍵）については割愛し、セッションキー交換時に使われる公開鍵ペアと、署名時に使われる公開鍵ペアについて焦点を当てて記載します。

YubiKeyについて

　「YubiKey」はUSBポートに挿して使える小さなセキュリティデバイスです。このYubiKeyには、FIDO認証やスマートカード(PIV)認証等で利用できるだけでなく、OpenPGPで利用する鍵を格納することができます。

　

　注意すべき点として、YubiKeyは認証や暗号のための鍵を入れるためのデバイスであり、OpenPGPを利用してメールやファイルの暗号化や署名を行う場合には、暗号機能を提供するソフトウェアが別途必要となります。

 利用シーン

OpenPGPは、誰でも自由に使える公開の基準であり、いろいろなコンピューターや電子メールのプログラムで使うことができるように作られています。安全にメールやファイルのやり取りをしたいときに、この基準に沿ったプログラムを使うことで、プライバシーを守りながら通信できるようになります。

メールを暗号化して欲しい受信者が秘密鍵と公開鍵という鍵ペアを作成し、不特定多数の送信者に公開鍵を配布します。秘密鍵は受信者本人のみが保持します。

メール送信者は、受信者から配布された公開鍵を使ってメールを暗号化して送信します。

公開鍵で暗号化したメールは秘密鍵でのみ複合できるため、メールの傍受や、間違った相手に送信してしまった場合でも、秘密鍵を持つ正規の受信者以外は暗号化を解除することができません。

受信者は自分の秘密鍵をYubiKeyに保存しておくことで、YubiKeyをUSBに挿しておかなければ、メールの閲覧ができないようにすることができます。

メール暗号化/複合のイメージ

また、OpenPGPには署名機能があり、署名を行うことで送信元の信頼性を担保することができます。

メールへ署名したい送信者が秘密鍵と公開鍵という鍵ペアを作成し、不特定多数の受信者に公開鍵を配布します。秘密鍵は送信者本人のみが保持します。

秘密鍵で署名したメールは公開鍵でのみ署名検証できるため、メールが第三者によって改ざんされていた場合、

受信者は送信者を名乗る第三者からメールが送られてきた可能性があることがわかります。

送信者は自分の秘密鍵をYubiKeyに保存しておくことで、YubiKeyをUSBに挿しておかなければ、メールの署名ができないようにすることができます。

メール署名/署名検証のイメージ

このようなOpenPGPの機能を利用することにより、PPAP（Password付きZIPファイルを送付（P）、Passwordを送付（P）、暗号化（A）、Protocol（プロトコル）（P））で下記のような課題を解決できます。

 PPAPの課題

• 同一経路でメールとパスワードを送るため、盗聴されたらメール・パスワードともに盗まれる
  
• ファイル圧縮して送るため、ファイルの種類をできず、意図しないウィルスがあっても検知できない
  
• Password付きZIPファイルは中身を見られる可能性があり、強固なセキュリティとはいえない

 OpenPGPで解決

• 盗聴されても鍵を保持していないとメールを閲覧できない
  
• デジタル署名によって、受信者はファイルが改ざんされていないことを確認できるだけでなく、署名者の身元を認証することができるため、デジタル署名されたメールは、信頼性が高くマルウェアのリスクが低くなる
  
• 業界標準の暗号化アルゴリズムを使用し、Password付きZIPよりも遥かに強力なセキュリティを保つことが可能

 利用イメージ例

利用するOpenPGP ソフトウェアやメールアプリケーションによって画面が異なるため、あくまで参考イメージとしてですが、YubiKeyを用いてOpenPGP 機能を試した際のイメージを紹介します。

　本例ではGpg4winという暗号化ユーティリティを利用し、Outlookのメールを暗号化しています。

  また、今回は暗号化のみを行う場合のイメージとなりますため、署名する際のイメージは割愛いたします。

 送信者視点

　　１．メールを作成します。

　　　　

　　２．「…」を押下し、GpgOLの「Encrypt」を実行します。

　　３．メール送信を実行します。このとき、暗号化ユーティリティ内に保存されている宛先のアドレス者から受領した公開鍵でメールを暗号化し、送信しております。

　　　　

 受信者視点

　１．暗号化されたメールを受信し、複合するための鍵が格納されているYubiKeyの挿入 が求められます

　　　　

　２．YubiKeyを挿入すると、PINが求められるため、YubiKeyのOpenPGP用に設定されているPINを入力します。

　３．複合され、メールの内容が確認できます。

　　　　

弊社ではOpenPGP のソフトウェアの取り扱いはございませんため、OpenPGP ソフトウェアに関するご相談やご質問にお答えすることはできかねますが、YubiKeyに関するご相談・お問合せは、お気軽に弊社までお問合せください。

お問い合わせ

ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。

　プロダクト･サービス事業グループ
　ネットワークセキュリティ事業本部
　セキュリティプロダクト第二部