目次にジャンプページナビゲーションにジャンプ: 前のページ[アクセスキーp]/次のページ[アクセスキーn]
documentation.suse.com / SUSE Linux Enterprise Serverマニュアル / GNOMEユーザガイド / コネクティビティ、ファイル、およびリソース / パスワードと鍵: データの署名および暗号化
適用項目 SUSE Linux Enterprise Server 15 SP6

8 パスワードと鍵: データの署名および暗号化

PGP鍵とSSH鍵の作成および管理方法について説明します。

GNOMEのパスワードと鍵プログラムは、システムの暗号化インフラストラクチャの重要なコンポーネントです。このプログラムでは、PGP鍵やSSH鍵の作成と管理、鍵のインポート、エクスポート、共有、鍵やキーリングのバックアップ、およびパスフレーズのキャッシュを行うことができます。

アプリケーションを起動するには、Metaを押して、アクティビティ画面を開き、passを検索します。

パスワードと鍵メインウィンドウ
図 8.1: パスワードと鍵メインウィンドウ

8.1 署名および暗号化

署名.  電子メールメッセージやソフトウェアなど、情報に電子署名を添付して、その送信元を証明します。他のユーザにより名前が使用され、メッセージが書き込まれることがないように、そして自身と送信先ユーザの双方を保護するために、メールに署名するべきです。署名によって、受信したメッセージの送信者を確認し、正当なメッセージと悪意のあるメッセージを見分けることができます。

ソフトウェア開発者は、完全性をチェックできるように、ソフトウェアに署名します。非公式のサーバからのソフトウェアを所有している場合でも、パッケージを署名で検証できます。

暗号化.  他者から保護する必要がある機密情報を所有していることもあります。暗号化によって、データを変換して他者が読めないようにすることができます。このことは企業にとって、社内情報と社員のプライバシーを保護するために重要です。

8.2 新しい鍵ペアの生成

暗号化されたメッセージを他のユーザと交換するには、まず自分の鍵ペアを生成する必要があります。鍵ペアは、次の2つの部分で構成されます。

  • [公開鍵].  この鍵は、暗号化に使用されます。発信者宛てのファイルやメッセージの暗号化に使用できるように、通信相手に配布します。

  • 秘密鍵.  この鍵は、復号化に使用されます。この鍵を使用して、他のユーザ(または自分自身)からの暗号化されたファイルやメッセージを再度判読できるようにします。

重要
重要: 秘密鍵へのアクセス

他のユーザが発信者の秘密鍵へのアクセス権を獲得すると、発信者宛てのファイルやメッセージを復号化することができます。秘密鍵へのアクセス権を他のユーザに付与しないでください。

8.2.1 OpenPGP鍵の作成

OpenPGPは、PGPに基づく公開鍵暗号化方式を使用することで電子メールを暗号化するための非専有プロトコルです。これは、公開鍵を交換するための暗号化されたメッセージ、署名、秘密鍵、および証明書の標準形式を指定します。

  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

  3. ウィンドウの左上隅にある+ボタンを押します。

  4. リストからGPP Key (GPP鍵)を選択します。

  5. フルネームフィールドにフルネームを入力します。

    オプションで、電子メールアドレスと、鍵についてのコメントを追加します。

  6. 作成をクリックして新しい鍵のペアを作成します。

    パスワードダイアログで、鍵のパスワードを入力します。

  7. OKをクリックして、確定します。

    パスフレーズを指定するときは、強力なパスワードを作成する場合と同じ慣例に従ってください。

8.2.2 セキュアシェル鍵の作成

セキュアシェル(SSH)は、該当マシン上でコマンドを実行するためにリモートコンピュータにログインする手段です。SSH鍵は、デフォルトのパスワード認証システムに代わる鍵ベースの認証システムで使用されます。鍵ベースの認証では、認証するためのパスワードを手動で入力する必要はありません。

  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

  3. ウィンドウの左上隅にある+ボタンを押します。

  4. リストからSecure Shell Key (Secure Shell鍵)を選択します。

  5. 鍵の説明を入力します。

    オプションで、暗号化タイプまたは鍵の強度のデフォルト設定を変更します。

    [暗号化の種類].  キーを生成するための暗号化アルゴリズムを指定します。SSH鍵を作成するためにRSA (Rivest-ShamirAdleman)アルゴリズムを使用するには、RSAを選択します。これは、推奨されるより安全な選択肢です。DSAを選択し、SSH鍵を作成するためにデジタル署名アルゴリズム(DSA)を使用します。

    鍵の強度.  鍵の長さ(ビット)を指定します。鍵の長さが長くなればなるほど、安全性が高くなります(強力なパスフレーズが使用されている場合)。長い鍵を使用して操作を実行する場合は、短い鍵を使用する場合よりも時間がかかることに注意してください。許容される値は、1024~4096ビットです。少なくとも2048ビットを使用することをお勧めします。

  6. Just Create Key (鍵の作成のみ)またはCreate and Set Up (作成と設定)のいずれかで確認します。後者の場合、公開鍵のインストール手順が表示されます。

8.3 鍵のプロパティの変更

既存のOpenPGP鍵またはSSH鍵のプロパティを変更できます。

8.3.1 OpenPGP鍵のプロパティの編集

このセクションの記述は、すべてのOpenPGP鍵に当てはまります。

  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

  3. 左側のパネルから、GnuPG鍵を選択します。

  4. 編集するPGP鍵を右クリックし、Properties (プロパティ)を選択します。

    ダイアログが開き、次の鍵のプロパティが表示されます。

    鍵ID: 鍵IDは指紋に類似していますが、鍵IDには指紋の最後の8文字のみが含まれます。一般に鍵IDのみで鍵を識別できますが、2つの鍵が同じ鍵IDを持つ場合もあります。

    指紋: 鍵を正確に識別する固有の文字列です。

    有効期限: 鍵が使用できなくなる日付(鍵の期限が切れると、鍵の処理を実行するために鍵を使用することができなくなります)。鍵の有効期限を将来のある時点に変更すると、鍵が再度有効になります。一般的な良い慣行は、期限が切れないマスタ鍵を用意し、マスタ鍵によって署名された期限が切れる複数のサブ鍵を使用することです。

    サブ鍵: 詳細については、8.3.1.2項 「OpenPGPサブ鍵のプロパティの編集」を参照してください。

    所有者の信用度: 鍵の所有者に対する信頼レベルを設定します。信頼とは、Webの信頼性を適切に向上させるあるユーザの能力に対する自身の信頼度です。自分が署名していない鍵がある場合、鍵の有効性は、その署名と署名を行ったユーザに対する信頼度によって決まります。

  5. 鍵に写真を追加するか、鍵に関連付けられているパスフレーズを変更するには、+ボタンをクリックします。

    写真IDにより、鍵の所有者が鍵に1つ以上の自身の画像を埋め込むことができます。これらのIDは、通常のユーザIDと同じように署名できます。写真IDは、JPEGフォーマットであることが必要です。推奨サイズは、120 x 150ピクセルです。

    選択した画像が目的のファイルの種類またはサイズと一致しない場合、パスワードと鍵では、GDKライブラリでサポートされる画像フォーマットからその場でサイズ変更および変換を行うことができます。

  6. ダイアログを閉じて終了します。

8.3.1.1 ユーザIDの追加

ユーザIDにより、同じ鍵で複数のIDおよび電子メールアドレスを使用できます。たとえば、業務用に1つ、友人用に1つIDを使用する場合に、ユーザIDを追加すると役立ちます。ユーザIDの形式は次のとおりです。

Name (COMMENT) <E-MAIL>
  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

  3. 左側のパネルから、GnuPG鍵キーリングを選択します。

  4. リストから、Personal PGP key (パーソナルPGP鍵)を選択します。

  5. 鍵を右クリックし、Properties (プロパティ) › Add user ID (ユーザIDの追加)の順に選択します。

  6. ダイアログで、新しいユーザIDのFull Name (氏名)Email Address (電子メールアドレス)、およびKey Comment (鍵のコメント)を入力し、OKをクリックします。

    この電子メールアドレスにより、大半のユーザが鍵サーバまたは他の鍵プロバイダ上で鍵を検索できます。次に進む前に、電子メールアドレスが正しいことを確認します。

  7. パスフレーズを入力し、OKをクリックして終了します。

8.3.1.2 OpenPGPサブ鍵のプロパティの編集

各OpenPGP鍵は、署名でのみ使用される単一のマスタ鍵を持ちます。サブ鍵はまた、暗号化および署名で使用されます。これにより、サブ鍵の安全性に問題が生じても、マスタ鍵を破棄する必要はなくなります。

  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

  3. リストからGnuPG鍵を選択します。

  4. リストからPersonal PGP (パーソナルPGP)を選択します。

  5. 選択した鍵を右クリックし、Properties (プロパティ)を選択します。

  6. 鍵のプロパティを選択します。

  7. ボックスを閉じて、変更を確認します。

8.3.2 セキュアシェル鍵のプロパティの編集

このセクションの記述は、すべてのSSH鍵に当てはまります。

  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

  3. リストからOpenSSH keys (SSH鍵を開く)を選択し、編集する鍵を右クリックします。

  4. ダイアログが開き、以下のプロパティを確認し、編集できます。

    アルゴリズム: 鍵を生成するための暗号化アルゴリズムを指定します。

    場所: 秘密鍵が保存されている場所です。

    指紋: 鍵を正確に識別する固有の文字列です。

    エクスポート.  鍵をファイルにエクスポートします。

  5. ダイアログを閉じて、変更を確認します。

8.4 鍵のインポート

鍵をテキストファイルにエクスポートすることができます。これらのファイルには、鍵の冒頭と末尾のテキストが人が判読できる形式で格納されます。この形式は、ASCII-armored鍵と呼ばれます。

鍵をインポートするには、次の手順に従います。

  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

  3. 左上隅にある+ボタンを押します。

  4. リストから、Import from file (ファイルからインポート)を選択します。

  5. ダイアログで、インポートする鍵を選択します。公開SSH鍵は、pubで終わります。

  6. 鍵をインポートするには、開くをクリックします。

また、パスワードと鍵で鍵を貼り付けることもできます。

  1. テキストのASCII-armored公開ブロックを選択し、クリップボードにコピーします。

  2. アクティビティ画面を開いて、「pass」と入力します。

  3. パスワードと鍵を開きます。

  4. 左上隅にある+ボタンを押します。

  5. 適切な場所に鍵を貼り付けます。

8.5 鍵のエクスポート

鍵をエクスポートするには、次の手順に従います。

  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

    左側のパネルから、エクスポートするGnuPG鍵キーリングを選択します。

  3. エクスポートするPersonal PGP key (パーソナルPGP鍵)を選択します。

  4. 鍵を右クリックし、Export (エクスポート)を選択します。

  5. 鍵をASCII形式で保存するには、Armored PGP keys (Armored PGP鍵)を選択します。

  6. 場所を選択し、Export (エクスポート)で確認します。

8.6 鍵の署名

別のユーザの鍵に署名すると、ユーザに対して信頼を与えることになります。鍵に署名する前に、鍵が実際にそのユーザに属していることを確認するために、鍵の指紋を慎重にチェックします。

信頼とは、Webの信頼性を適切に向上させるあるユーザの能力に対する自身の信頼度です。自分が署名していない鍵がある場合、鍵の有効性は、その署名と署名を行ったユーザに対する信頼度によって決まります。

  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

  3. 署名する鍵をインポートします。

  4. GnuPG鍵のリストから、インポートした鍵を選択します。

  5. 鍵を右クリックし、Properties (プロパティ) › Trust (信頼)の順に選択します。

  6. Sign this Key (この鍵に署名)ボタンをクリックします。

  7. 鍵をどれくらい入念にチェックしたかを選択します。

  8. 後日署名を取り消し、署名を公開するかどうかを決定します。

  9. 署名で確定します。

8.7 パスワードキーリング

キーリングの作成または削除、アプリケーションパスワードのデフォルトのキーリングの設定、またはキーリングのロック解除パスワードの変更を行うために、パスワードキーリングの初期設定を使用できます。新しいキーリングを作成するには、次の手順に従います。

  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

  3. 左上隅にある+ボタンをクリックします。

  4. リストからパスワードキーリングを選択します。

  5. キーリングの名前を入力し、追加をクリックします。

  6. キーリングの新しいパスワードを設定して確認し、続行をクリックしてキーリングを作成します。

既存のキーリングのロック解除パスワードを変更するには、パスワードタブでキーリングを右クリックし、パスワードの変更をクリックします。パスワードを変更するには、古いパスワードを入力する必要があります。

アプリケーションパスワードのデフォルトのキーリングを変更するには、パスワードタブでキーリングを右クリックし、デフォルトにするをクリックします。

8.8 鍵サーバ

リモート鍵サーバに対して鍵を定期的に同期することにより、鍵を最新の状態に維持できます。同期により、すべての鍵で最新の署名を持ち、信頼のウェブを有効にすることができます。

  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

  3. 同期するPGP鍵を選択します。

  4. ヘッダーバーのメニューボタンを押します。

  5. Sync and publish keys (鍵の同期と公開)を選択します。

    HKP鍵サーバ: HKP鍵サーバは、広く普及しているhkp://pgp.mit.edu:11371などの通常のWebベースの鍵サーバで、http://pgp.mit.eduでアクセスすることもできます。

    LDAP鍵サーバ: LDAP鍵サーバはそれほど一般的ではありませんが、鍵をホストするために標準のLDAPプロトコルを使用します。ldap://keyserver.pgp.comは推奨されるLDAPサーバです。

    左側のボタンを使用して、使用する鍵サーバを追加したり、削除したりすることができます。新しい鍵サーバを追加する場合は、必要に応じて種類、ホスト、ポートを設定します。

  6. 公開鍵を自動的に発行するかどうか、および使用する鍵サーバを設定します。鍵サーバから鍵を自動的に取得するかどうか、および変更した鍵を鍵サーバと同期するかどうかを設定します。

  7. Sync (同期)ボタンをクリックして、鍵を同期します。

8.9 鍵の共有

鍵の共有は、DNS-SD(BonjourまたはRendevousと呼ばれることもあります)により提供されます。鍵の共有を有効にすると、ローカルのパスワードと鍵ユーザの公開鍵リングがリモートの検索ダイアログに追加されます。こうしたローカルの鍵サーバを使用する場合、一般にリモートサーバにアクセスするよりも高速です。

  1. アクティビティ画面を開いて、「pass」と入力します。

  2. パスワードと鍵を開きます。

  3. 左側のパネルから、GnuPG鍵を選択します。

  4. リストから、共有したいPersonal PGP key (パーソナルPGP鍵)を選択します。

  5. ヘッダーバーのメニューボタンを押します。

  6. Sync and publish keys (鍵の同期と公開)を選択します。

  7. 鍵サーバボタンを押して、鍵サーバのリストを表示します。

  8. 鍵を公開するには、メニューからサーバを選択します。ウィンドウを閉じて、前のダイアログに戻ります。

  9. Sync (同期)を押して終了します。