高木浩光@自宅の日記より
■NEDOのサイトで4つのサプライズも本当にサプライズなんですが(わたしも実験しました)、それよりも
■ PKIよくある勘違い(0)「サーバ証明書は単なる暗号鍵であり認証局の署名は実在証明にすぎない」のほうが怖い。
証明書が本物であることが機械的に検証できることこそがSSLの本質なのであり、それを伝えない解説は、こうした誤解を拡大させてしまう。「国民のため」であるなら、訂正したほうがよいのではないか。
とありますが、総務省のサイトの情報なんで、行政(市役所などの情報化)が引用したり、それをもとに教員研修されたりと、心配のネタは尽きません。
生徒に話すために簡略化しようとすると,省略ついでに嘘が混じりそうだし,苦悩してます。
実は証明書の話は興味がわかないので勉強していないのですが、コレって結局
「本来、インストール作業をすべき」
なのを、
「一般ユーザの利便性の為に、普通はパソコン買うとインストールされている」
というところに、ややこしさがあるんですよね?そうなのですよね?
…違いましたっけ?(^^;;
いや、何が言いたいかというと、インストールする体験をすると「ほら、こういう作業で安全」という感覚が得られるかしらと思ったものですから。
「こういう作業で安心」という証明書はどうやって配布するか、です。信頼置けるところからCD-ROMなどで受け取って、それをインストールすることも可能ですが、その内容をだれが証明してくれるか、ということに戻ります。
DNSのルートサーバと同じようなものですね。
本来は、WWWブラウザが証明機関の証明書を持っているわけで、どうして持っていない機関の証明書をインストールしなければいけないのか、ということです。
住基ネットが稼動して数年経ちますが、どうしていまだにどのブラウザもその証明書をもっていないのでしょう。そっちを問題にすべきなんです。
ブラウザメーカが、日本政府の証明機関を信用していないという事態だとおもうのです。
あ。やっぱり違ってなかった。えへん。
つまり「そういう作業」をしてみると、実感できるんじゃないかしらと思ったのです。フロッピーで自分のパソコンに入れるとかで。
もっともその場合は、そのフロッピーの「確からしさ」は誰が保障するのかという話になるんですけど…(^^;
高木さんの書かれている「第四種オレオレ証明書」が基本だと私は理解してるんですが、違いますかね?で、「第四種」を実感して理解できれば、次は「何でそれだけでは不十分なのか」に進めますよね。
で、その途中で、前に高木さんが書いていた、「認証局の安全対策」というような話もでてくるのかなと。
http://takagi-hiromitsu.jp/diary/20050205.html#p03
>もっともその場合は、そのフロッピーの「確からしさ」は誰が保障するのか
>という話になるんですけど…(^^;
そういうこと、そういうこと。
>で、その途中で、前に高木さんが書いていた、「認証局の安全対策」
>というような話もでてくるのかなと。
ピンポーン!
これって、情報教育の基本だと思うんです。安全な通信はどうやって安心を保障するのかってことですから、(情報社会に参画する態度)と (情報の科学的な理解)の両方にまたがる基本の理解ってところでしょうか。
高3の授業でhttpsの話をしようと思いつつ躊躇していたのですが,ここの話で「やっぱりコレカラノヒトは何が安全かを知ってなきゃ話にならん!」,教えるべきだと強く思いました。さて,授業案作らなきゃ…