List of Otr - text.Baldanders.info
tag:text.Baldanders.info,2015-11-14:/tags
2015-11-14T06:25:40+09:00
帰ってきた「しっぽのさきっちょ」
https://text.baldanders.info/images/avatar.jpg
https://text.baldanders.info/images/avatar.jpg
ルークよ, Signal を使え!
tag:text.Baldanders.info,2015-11-14:/remark/2015/use-the-signal-luke/
2015-11-13T21:25:40+00:00
2020-01-05T11:59:50+00:00
TextSecure は Signal に統合された。Signal は SMS を置き換えることができ,ローカルストレージにあるログもちゃんと暗号化される。オススメである。
Spiegel
https://baldanders.info/profile/
<p>「<a href="http://d.hatena.ne.jp/yomoyomo/20151112/jonnycantencrypt">なぜジョニーは今もやっぱり暗号化できないのか:現在のPGPクライアントの使いやすさ評価 - YAMDAS現更新履歴</a>」経由。</p>
<ul>
<li><span><a href="http://arxiv.org/pdf/1510.08555.pdf">Why Johnny Still, Still Can’t Encrypt: Evaluating the Usability of a Modern PGP Client <sup><i class="far fa-file-pdf"></i></sup></a></span></li>
<li><a href="http://boingboing.net/2015/11/06/why-do-encryption-tools-suck.html">Why do encryption tools suck? / Boing Boing</a></li>
</ul>
<p>タイトルだけ見て最初に思ったのは「PGP ってゆーな<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup>」だったが,それはともかく</p>
<figure lang="en">
<blockquote>
<q>In our study of 20 participants, grouped into 10 pairs of participants who attempted to exchange encrypted email, only one pair was able to successfully complete the assigned tasks using Mailvelope. All other participants were unable to complete the assigned task in the one hour allotted to the study.
This demonstrates that encrypting email with PGP, as implemented in Mailvelope, is still unusable for the masses.</q>
</blockquote>
<figcaption><div>via <q><a href="http://arxiv.org/pdf/1510.08555.pdf">Why Johnny Still, Still Can’t Encrypt: Evaluating the Usability of a Modern PGP Client</a></q></div></figcaption>
</figure>
<p>10% 以下かよ orz</p>
<p>1990年代からカジュアルに PGP を使ってて,あまつさえ <a href="http://hp.vector.co.jp/authors/VA023900/gpg-pin/">Becky! 用のプラグイン</a>まで自作してしまった<sup id="fnref:2"><a href="#fn:2" class="footnote-ref" role="doc-noteref">2</a></sup> 身としては,かなり衝撃的ではあったが,まぁそんなもんかなぁ。</p>
<p>ちなみに <a href="https://www.mailvelope.com/" title="Mailvelope">Mailvelope</a> は Chrome や Firefox の拡張機能として使える MUA(Mail User Agent)で, Gmail などと連携して使える。
<a href="https://baldanders.info/blog/000782/" title="安全なメッセージング・アプリとは(追記あり) — Baldanders.info">以前にも紹介</a>したが, <a href="https://www.eff.org/secure-messaging-scorecard">EFF の Secure Messaging Scorecard</a> で MUA の中では(PFS の項目を除いて<sup id="fnref:3"><a href="#fn:3" class="footnote-ref" role="doc-noteref">3</a></sup>)唯一満点だった製品である。
<a href="https://www.mailvelope.com/" title="Mailvelope">Mailvelope</a> は <a href="https://tools.ietf.org/html/rfc4880" title="RFC 4880 - OpenPGP Message Format">OpenPGP</a> 実装を含んでいるため <a href="https://www.gnupg.org/" title="The GNU Privacy Guard">GnuPG</a> や <a href="https://www.symantec.com/encryption/" title="PGP Encryption Software | Symantec">PGP</a> のような製品を必要としない利点がある。</p>
<ul>
<li><a href="http://security.hondaclinic.jp/%E6%9A%97%E5%8F%B7%E3%81%AE%E3%81%99%E3%81%99%E3%82%81/mailvelope%E3%81%AE%E4%BD%BF%E3%81%84%E6%96%B9/">mailvelopeの使い方 | セキュリティの意識と知識</a></li>
</ul>
<p>この論文については Bruce Schneier さんも言及している。</p>
<figure lang="en">
<blockquote>
<q>I have recently come to the conclusion that e-mail is fundamentally unsecurable. The things we want out of e-mail, and an e-mail system, are not readily compatible with encryption. I advise people who want communications security to not use e-mail, but instead use an encrypted message client like <a href="https://otr.cypherpunks.ca/">OTR</a> or <a href="https://whispersystems.org/">Signal</a>.</q>
</blockquote>
<figcaption><div>via <q><a href="https://www.schneier.com/blog/archives/2015/11/testing_the_usa.html">Testing the Usability of PGP Encryption Tools - Schneier on Security</a></q></div></figcaption>
</figure>
<p>正論ですね。
そういうことです。</p>
<p>そういえば, <a href="https://whispersystems.org/">Open Whisper Systems</a> の TextSecure は Signal に統合された。</p>
<ul>
<li><a href="https://whispersystems.org/blog/just-signal/">Open Whisper Systems » Blog » Just Signal</a></li>
<li><a href="https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms">Signal Private Messenger - Google Play</a></li>
</ul>
<p>暗号化通話アプリの RedPhone も Signal に統合された。
Signal は SMS を置き換えることができ,ローカルストレージにあるログもちゃんと暗号化される。
オススメである。</p>
<p>いや,もう,マジ LINE とか捨てて欲しい。
Facebook もくだらない「<a href="http://www.itmedia.co.jp/news/articles/1511/13/news077.html">セキュリティ劇場</a>」で遊んでないで, OTR くらい組み込めや。</p>
<p>メッセージングの主体が PC からスマホなどの携帯端末にシフトしている状態で電子メールの有効性は下がってきていると思う。
もちろん仕事などではまだまだ PC や Workstation を使うことも多いし,対外的には電子メールが主体になると思うけど,たとえばグループウェアに XMPP+OTR を組み込んでいくなら,やはり電子メールは無用の長物になっていくだろう。</p>
<figure style='margin:0 auto;text-align:center;'>
<div style="position: relative; margin: 0 2rem; padding-bottom: 56.25%; padding-top: 30px; height: 0; overflow: hidden;">
<iframe class="youtube-player" style="position: absolute; top: 0; left: 0; width: 100%; height: 100%;" allowfullscreen frameborder="0" src="https://www.youtube-nocookie.com/embed/o2we_B6hDrY" allowfullscreen></iframe>
</div></figure>
<div class="hreview">
<div class="photo"><a href="https://www.amazon.co.jp/dp/B015643CPE?tag=baldandersinf-22&linkCode=ogi&th=1&psc=1"><img src="https://m.media-amazon.com/images/I/51t6yHHVwEL._SL160_.jpg" width="113" alt="photo"></a></div>
<dl>
<dt class="item"><a class="fn url" href="https://www.amazon.co.jp/dp/B015643CPE?tag=baldandersinf-22&linkCode=ogi&th=1&psc=1">暗号技術入門 第3版 秘密の国のアリス</a></dt>
<dd>結城 浩 (著)</dd>
<dd>SBクリエイティブ 2015-08-25 (Release 2015-09-17)</dd>
<dd>Kindle版</dd>
<dd>B015643CPE (ASIN)</dd>
<dd>評価<abbr class="rating fa-sm" title="5"> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="fas fa-star"></i></abbr></dd>
</dl>
<p class="description">SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。</p>
<p class="powered-by">reviewed by <a href='#maker' class='reviewer'>Spiegel</a> on <abbr class="dtreviewed" title="2015-09-20">2015-09-20</abbr> (powered by <a href="https://affiliate.amazon.co.jp/assoc_credentials/home">PA-APIv5</a>)</p>
</div> <!-- 暗号技術入門 第3版 -->
<div class="footnotes" role="doc-endnotes">
<hr>
<ol>
<li id="fn:1">
<p>昔はともかく,現在 <a href="https://www.symantec.com/encryption/" title="PGP Encryption Software | Symantec">PGP</a> は Symantic 社の製品名であり,いくつかある <a href="https://tools.ietf.org/html/rfc4880" title="RFC 4880 - OpenPGP Message Format">OpenPGP</a> 実装のひとつにすぎない。余談だが,確かに <a href="https://tools.ietf.org/html/rfc4880" title="RFC 4880 - OpenPGP Message Format">OpenPGP</a> 用の「公開鍵サーバ」というのは存在しているが, <a href="https://www.gnupg.org/" title="The GNU Privacy Guard">GnuPG</a> も <a href="https://www.symantec.com/encryption/" title="PGP Encryption Software | Symantec">PGP</a> も,今回紹介する <a href="https://www.mailvelope.com/" title="Mailvelope">Mailvelope</a> も別にクライアントというわけではなく,スタンドアロンで動作するプログラムである。 <a href="#fnref:1" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
<li id="fn:2">
<p>現在,このプラグインはメンテナンスされてない。使わないように。 Windows パソコンでメールの暗号化がしたいなら <a href="https://www.mozilla.org/thunderbird/">Thunderbird</a>+<a href="https://addons.mozilla.org/thunderbird/addon/enigmail/">Enigmail</a> がオススメである。 <a href="#fnref:2" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
<li id="fn:3">
<p><a href="https://baldanders.info/blog/000782/" title="安全なメッセージング・アプリとは(追記あり) — Baldanders.info">前にも書いた</a>が, MUA はその性質上 PFS(Perfect Forward Secrecy)を満たせない。 PFS は通信経路の暗号化や IM(Instant Messaging)など使い捨てのメッセージを扱う場合には必要な要件だが,電子メールには向いていない。電子メールは過去のやり取りに対して「否認防止(non-repudiation)」できなければならないからだ。 <a href="#fnref:3" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
</ol>
</div>