大学でのＧメール

大学のメールシステムをGメールに移行しているところがかなりあるようですが、

１．そんな大学には情報セキュリティーの授業は無いのでしょうか？
２．それとも、特別なメールソフトで独自に暗号化した上でGメールを使うような工夫をしているのでしょうか？
３．研究内容がたいしたことは無いので、アメリカに盗聴されても大丈夫なのでしょうか？

Gメールの人は親切に営業に来ているようです。
ただより高いものは無い。という言葉は消えてしまったのでしょうか？

最近の盗聴のニュースを見て気になりました。
よろしくお願いいたします。

No.8 ベストアンサー 回答者： deltaufp 回答日時： 2013/09/29 18:35

No.1です。

補足有り難うございます。

「大丈夫です。
暗号化と復号化は送信者のPCと受信者のPCで行われるので途中の機器がサポートする必要はありません。
暗号化されたデータはただのバイナリデータですから、単なる添付ファイルを通過させるのと同じ扱いです。
送信者と受信者が互いに相談して利用する暗号ソフトを決めたり、作ったりすれば良いので、
第３者には迷惑はかかりません。負荷がかかるのは自分のPCと相手のPCだけです。」

＞これこそが僕の心配事です。例えば僕と質問者様が暗号化によるやりとりをするとして、僕らの間でアルゴリズムAでやりとりします。しかし、僕と僕の友人はアルゴリズムBを、質問者様とそのお友達はアルゴリズムCを、僕の友人とその友人はCを…
こんなことをやっていると、やりとりに使用する暗号化アルゴリズムの管理が煩雑になります。その管理をユーザが負担するのでしょうか？仮に自動でアルゴリズムを選択するソフトが出来たとしても、いちいちそのソフトを通さないといけないのかと思うと気が滅入ってしまいます。ましてや、大学や国家機関、企業などでそのような面倒なことをするというのは到底受け入れがたいでしょう。

たしかに、見かけ上は今まで通りただメールに暗号化されたデータが添付されているに過ぎず、送受信の利便性は損なわれないと思います。しかし、ただでさえ添付データを暗号化するという一手間を加えているのに、それにさらに暗号アルゴリズムの対応管理も加わるのかと思うと面倒で仕方ありません。
元々公開鍵暗号方式が生まれたのもこの様な管理の煩雑さからでした。共通鍵では取引相手が増える度に鍵が増えていくので大変だと。それと同じようなことが起こるのではないかという懸念があります。

私的には、国際連合がもう少しまじめに動いてほしいと思います。アメリカや他の国家が作った規格を承認するだけではなく、国際連合が独自に作っていただきたい。例えば、ITUが世界共通で使われるべき暗号化アルゴリズムの開発を行うとか…
もちろん、今すぐどうこうという話にはなりませんが^^;
もしくは、メーラに暗号化の機能を同包してしまうというのもいいかもしれませんね。しかし、やはりパフォーマンスの低下という大きな問題が出てくるのではないかと思います。メールは速さこそ命です。これが損なわれない方法を切に希望しますね。

この回答への補足

やりとりに使用する暗号化アルゴリズムの管理が煩雑になります。その管理をユーザが負担するのでしょうか？仮に自動でアルゴリズムを選択するソフトが出来たとしても、いちいちそのソフトを通さないといけないのかと思うと気が滅入ってしまいます。ましてや、大学や国家機関、企業などでそのような面倒なことをするというのは到底受け入れがたいでしょう。

確かに面倒ですね。

だから、

互いに暗号化に合意できない場合は、暗号化しない。
Gメールで暗号化を追加することに合意できなければ普通のSSLのまま。
S/MIMEで追加の暗号化に合意できなければ普通のS/MIMEのまま。

で動き、

２人が互いに合意して暗号化するときは、それぞれの場合に暗号化を追加できる。

これなら、面倒がいやな人は、暗号化機能を使わなければ良いし、
プライバシーを気にする人は友人と相談して暗号化をすればよい。

そんなことが出来るメールソフトを作ってくれれば、
何を重視するかに応じた使い方が出来ると思います。

また、それぞれ使い慣れたメールソフトがあるわけですから、それらに
暗号化の拡張機能が追加されないとあまり意味が無いですね。

話をGメールに絞れば、
情報がGメール以外にも、もれていると思っています。
また、乱数を作るときの方式を決めるのにも、NSAの方がボランティアで参加されているようです。
乱数は、RSAの素数を作るときにも必要です。SSLで使うこともあり、少し気になります。
独自暗号の追加機能があれば、精神的な気休めにはなるでしょう。
もちろん暗号としての機能には実際的な効果はあまり期待できないかもしれません。
安心してぐっすり眠れるという、健康面での効果は非常に大きいと思います。

いろいろ、アドバイスありがとうございます。

補足日時：2013/09/29 20:21

No.7 回答者： deltaufp 回答日時： 2013/09/28 14:40

No.1です。

暗号は、戦争の中でよく使われて来ました。最初から、相手の国家に対して秘密を守る技術です。
＞暗号の歴史はローマ時代にさかのぼります。敵に内容を知られること無く、意思疎通をするのに使われました。
しかし、それらの物理的なものに対する暗号とインターネット上を飛び交うデータの暗号とでは目的が違います。もちろん、戦時中は敵、つまり敵対国家に内容を知られないようにやりとりするために用いられました。
しかし、今現在使用されている暗号は電子署名とセットで用いられることも多く、主に企業間または個人間、個人‐企業間などの通信において、悪意ある第三者（クラッカー）に盗聴されたり、改ざんされたりすることを防止する目的で使用されています。敵は国家にあらず、クラッカーという犯罪者に重きをおいています。

そして、無論憲法上は通信の秘密は不可侵です。しかし、国家が常に憲法に忠実に動くと思われているのであれば、それもどうかと思います。物事には裏表があるでしょうし、表向き不可侵を貫いていても裏では何をしているかわかりません。今回は、たまたま裏のものがある一人の人間の手によって表に引っ張りだされたに過ぎません。実情はこんなもんではないでしょう。

そして、アメリカではないものが開発した暗号を使うのは非常に難しいでしょ。現在、世界中でAESと呼ばれる暗号アルゴリズムでデータが暗号化されていることがほとんどです。無線LANの暗号化、データの暗号化ソフトウェア等はほぼ全てAESが使用されています。ほぼ全ての国がこれを使っているからこそ便利なのです。

例えばこれがバラバラだったら…
世界の数百を超える国が様々な暗号アルゴリズムを独自開発して使用したとすれば、世界は大混乱です。機器がサポートしなければならない暗号化の規格が莫大になり、コストは跳ね上がり、利便性が失われます。それはすなわち、世界経済の円滑な動きを妨げるものと思います。そのような危険は犯せないでしょう。
基本的に、他国とのやりとりがある大学や国家機関、その他企業は世界標準に合わせて動きます。そして、その世界標準を生み出すのはほとんどがアメリカです。そして、日本のJIS規格や日本政府が奨励する暗号化アルゴリズムもまた、世界標準を参考に作られます。

この回答への補足

ありがとうございます。

例えばこれがバラバラだったら…
世界の数百を超える国が様々な暗号アルゴリズムを独自開発して使用したとすれば、世界は大混乱です。機器がサポートしなければならない暗号化の規格が莫大になり、コストは跳ね上がり、利便性が失われます。それはすなわち、世界経済の円滑な動きを妨げるものと思います。そのような危険は犯せないでしょう。

大丈夫です。
暗号化と復号化は送信者のPCと受信者のPCで行われるので途中の機器がサポートする必要はありません。
暗号化されたデータはただのバイナリデータですから、単なる添付ファイルを通過させるのと同じ扱いです。
送信者と受信者が互いに相談して利用する暗号ソフトを決めたり、作ったりすれば良いので、
第３者には迷惑はかかりません。負荷がかかるのは自分のPCと相手のPCだけです。

素人が作った暗号には不安があるでしょうから、
カメリアやmistyなどで暗号化した上で、
さらに好きなもので暗号化できるような仕組みにすればよいと思います。

全体的な仕組みとしては、S/MIMEに対する上位互換性を持つようにすれば問題ないと思います。
そうすれば、S/MIMEの利便性も保たれると考えます。
相談が無いときは普通のS/MIMEとして動き、相談した後はS/MIMEでの暗号化などの後に追加で好きな暗号化をする。順番は逆のほうが良いかもしれません。

これなら、クラッカー対策としてもかなり有効だと思います。

補足日時：2013/09/29 16:55

No.6 回答者： AsanoNagi 回答日時： 2013/09/27 19:56

No.4 です。

まず、メールの暗号化機能は、現時点でメジャーなメールソフトにはほぼ実装されていますから、必要に応じて簡単に使うことができます。

また、現時点の考え方では、メールの内容が機械などで読まれることは、「プライバシーの侵害」にはあたりません。
それが、「誰それ（個人を特定して）」のメールの内容として、「望まないのに公開」された時点で、プライバシーの侵害になります。
なので、機械的にメールの内容を読んで、それを処理して広告を表示してもOKということになっています。

ちなみに、暗号化されでは、当然それはできませんし、ついでにいえば、メールの内容で判断する仕掛けの、迷惑メールフィルターのようなものも機能しません。

さらにいえば、「GMailの盗聴」というのは、google 以外の場所から情報を抜き取られるわけで、「プライバシーは保護されます（というのは、google はそれを公開しませんという意思表示）」ということと、「他者の盗聴に備えて機密情報を（暗号化せずに）添付しないこと（google 以外の場所誰かや、状況によっては、内部の人に不正に読まれるかもしれないという意味）」は、矛盾しません。

また、メールのスキャンは、広告の他にも、ウイルスメールの判定や（添付ファイルは、メールの送信時には、（識別された）本文の一部としてやりとりされる）や、スパム判定にも必要ですから、広告がなくてもスキャンはしているとは、いえるでしょう。

この回答への補足

プライバシーとGメールの盗聴に関しての詳しい考え方を教えていただきありがとうございます。


メールの暗号化機能は、現時点でメジャーなメールソフトにはほぼ実装されていますから、必要に応じて簡単に使うことができます。

の部分ですが、

例えば、AESのブロック長が１２８ビットなので、もっと長いものでもう一度暗号化しておきたい。
と考えて２重の暗号化をしようとすると、今のメールソフトでは難しいかと思います。

実際は、PGPとS/MIMEが候補になるのでしょうが、どちらも多重暗号化には向いていません。
今のように乱数の生成に疑問が生じたら、別の方式の暗号化を付け加えて多重暗号化をする。

こんなことが各ユーザーの安全に対しての考え方に応じて自由に出来るような機能があれば、
それなりに安心できると思います。

補足日時：2013/09/27 21:15

No.5 回答者： matyu1003 回答日時： 2013/09/27 18:37

Googleが信頼できるかどうか、ということに尽きるように思えますが。

そもそも相手先がGmailのシステムだったら、どれほどGoogleが嫌いでも諦めざるを得ないでしょう。
自前のメールサーバが外部からハッキングされたり、ウイルスやられて内部データが暴露されたり、あるいはサーバ管理の委託先がヘマをしたり、あるいは悪意を持った管理者が存在するかも、という心配はしないのでしょうか。

この回答への補足

ありがとうございます。

Gメールの扱い方では、ブラウザの場合と、
メールソフトでSSLを使って送受信する場合の２通りがあると思います。

ブラウザの機能に暗号化を追加するのは難しいかもしれませんが、
メールソフトに暗号化機能を追加するのはそんなに難しくは無いと思います。

メールソフトで、メールを書き終わったら、SSLで送信する前に、
本文と添付ファイルを、RSAやカメリアやラインダールなどで、４，５回暗号化してから、
Gメールのサーバーに、SSLで送信するような機能を持つものを作れば良いと思います。

かなり多くの大学の先生がいるのだから、すぐ作れるのではないでしょうか？
そして、無料または１０円か１００円くらいで配布する。
そしたら、信頼できないGメールも、それなりに有効に使えるかと思います。

補足日時：2013/09/27 19:11

No.4 回答者： AsanoNagi 回答日時： 2013/09/27 13:48

普通は、「秘匿すべきもの」をメールで送るのなら、暗号化します。

「盗聴」というレベルだと、メールというのは、「はがきと同じくらいのセキュリティ」レベルしかないですから。

この回答への補足

ありがとうございます。
いろいろ見ているとなぞが深まります。津田塾大学では、

津田塾大学Gmailに関するその他の質問

１． 津田塾大学Gmailのマニュアルが欲しいのですが。
　 津田塾大学Gmailのマニュアルは、特に用意していませんので、グーグル社が公開しているGmailのヘルプを参照してください。
また、Gmailの使い方を解説しているサイトなどもありますので、併せて参考にしてください。
　 　
２． Gmailは、メールの中身をスキャンしているそうですが、大丈夫でしょうか？
　 Gmailは、広告収入で成り立っているため、メールの中身をスキャンし、利用者に最適な広告を表示する機能があります。ただ、メールのスキャンは、機械が自動的に行うものであり、人間がチェックするわけではありません。また、迷惑メールやウイルスメールを検査するために、メールをスキャンすることは、従来のメールシステムでも行われてきていることです。
したがって、Gmailを使うことによって、みなさんのプライバシーが侵害されることはありませんので、どうぞ安心してご利用ください。ただし、これまでどおり、機密情報をメール本文に記載したり、添付ファイルとして送信したりすることは、避けるようにしてください。
なお、本学で利用しているGmailは、教育機関向けの「Google Apps Education Edition」を利用していますので、広告は表示されないように設定してあります。
Gmailのプライバシーの取り扱いについては、Googleのサイトをご覧ください。

と書いてあります。



謎その１．

広告は表示されないように設定　されているのに、

メールの中身をスキャンし、利用者に最適な広告を表示する機能があります。ただ、メールのスキャンは、機械が自動的に行う

ようです。広告を表示しないのに、メールの中身をスキャンする必要があるのでしょうか？
Gメールさんは、大学向けのものは内容のスキャンはしないとは言ってくれないのでしょうか？



謎その２．

内容のスキャンは、

プライバシーが侵害されることはありません

なのに、

機密情報をメール本文に記載したり、添付ファイルとして送信したりすることは、避けるようにしてください。

とあります。スキャンによって機密情報は侵害されるのでしょうか？
これは、機械によるスキャンは情報の重大性を判断できると言うことでしょうか？



わたしは、頭が悪いので、謎が増えるばかりです。
もちろん、大切な情報は暗号化するようにと注意している大学もありました。

補足日時：2013/09/27 19:27

No.3 回答者： lupin-333333 回答日時： 2013/09/27 11:10

＞泥棒が盗みに行く必要がない時代なので、”安全”になったということでしょうか？

＞全く理解できません

あなたは日本人ではないようですね。日本語が全く理解できないようです。最近、この手の中国、韓国人の書き込みが多くなっているようです。

映画のソードフィッシュなどインターネットなどネット社会をモチーフにした映画なり、小説なり読んで見ましょう。

そう、歴史を少し学んだ方がよろしいかと。発言をみると、どうも世間知らずの箱入り娘で、金持ちの嬢ちゃんが、なんか騒いでいるようにしか、社会人から見ると見えます。一般にインターネットが広がったのが、１９９５年以降。そうWindows95が、それを牽引しましたね。それまで、大学とか大手の企業が自前でインターネットの回線につないでいました。

インターネットとは公道と思ってください。そこにサーバーを公開しているということは、お店を開いて、皆さん見ていってください、手にとってください、試食はいかかですか、ただですよ。といっているのと同じです。実際多くの大学がそうでしたよ。これは日本だけでなく、発祥の地、アメリカの大学の多くがそうでした。その様子がソードフィッシュなどに、描かれています。

そのころ、全くセキュリティーなんて考えていなかったのでしょう。書き込みができなければ、いい。そんな程度のサーバーが多かったです。システムのファイルが丸見えなんて、多くの日本の大学にはありました。

これが全く見えなくなるまで、長い年月が必要でしたね。そうウィルスと言うのが社会で認知され、WindowsＸＰ sp2がリリースされるころ、ようやく一般社会も、実はフャイヤーウッォールは、個人でも必要なんだと認識されるわけです。それが２００３～５年頃。その頃ようやく、全大学のサーバーにはアクセスできなくなりました。２００３年ころには、まだ、わずかにありました。

それでも研究機関があるので、また学内のシステムを最新のセキュリティーシステムで再構築しはじめたのも２００３年頃です。ただし、それは研究機関など特定の範囲です。一般学生が庶務関係で利用するネットワークシステムは、個人で構築するものに毛がはえてようなものばかり。

学園祭なんかゆくと、もうめちゃくちゃだってことが良く分かる。規約違反する学生がたくさん。そうなんですね、学生をあまくみていたようですね。特に中国人留学生は、平気でウィルスを持ち込む事を大学側はしらない。もう、バックドア開き放題。

公道に公開されているものを、見て、泥棒というのは、まあ、お嬢ちゃん、としか呼ぶしかないね。

この回答への補足

googleよりも、すごいセキュリティーシステム、、、、

とのことですが、googleどのあたりが信頼できる部分でしょうか？
最近のニュースを見るとgoogleの信頼で来る部分が、私には見つかりません。


せっかく、努力してきたのに、

これが全く見えなくなるまで、長い年月が必要でしたね。そうウィルスと言うのが社会で認知され、WindowsＸＰ sp2がリリースされるころ、ようやく一般社会も、実はフャイヤーウッォールは、個人でも必要なんだと認識されるわけです。それが２００３～５年頃。その頃ようやく、全大学のサーバーにはアクセスできなくなりました。２００３年ころには、まだ、わずかにありました。

努力が無駄になりませんか？

補足日時：2013/09/27 13:23

No.2 回答者： lupin-333333 回答日時： 2013/09/26 23:58

ちょっと違うな～　　て所を。

＞大学のメールシステムをGメールに移行しているとこ

では、今まではどうしていたのでしょうか?　googleよりも、すごいセキュリティーシステムで稼動されていたのでしょうか?　それとも専用回線で、インターネットは使ったいなかったのでしょうか?

すごいセキュリティーとなると、軍事などにもちいられる、専用回線ですが、大手の企業なら独自の専用回線で拠点を結んでいますが、年間予算が１００億もあるかどうかわからに大学なんぞに、専用回線で、生徒とのアパートを結んでいる?????

ないでしょう。

大手の企業でも大きな拠点同士で、もともとコンピューター関連企業なら専用線で結んでいました。私も、5, 10, 100mbpsと拠点間のバックボーンがあがってきた時代を通過してきましたが、その時代でも、大学同士で結んでいるのは、専用線ではなくインターネット回線につなげていただけだったと記憶しています。

何せ１９９０年代なんて平気で大学のサーバーにアクセスできていたからね。２００３年ころまでできていたよ。特にＦＴＰとかおせわになったな。

インターネット回線を使用している以上、今までのシステムも、いやむしろ今までのシステムの方が危ないのではないですか?

この回答への補足

昔の場合は、泥棒さんは一軒一軒の家に盗みに来ていた。
いまは、泥棒さんのところに自分で大事なものを持て行く。

そんな感じです。
少なくとも泥棒のところに大切なものを自分で持っていくのはやめて欲しいです。

危ないのは仕方ないですが、少なくとも守ろうとする意思があるのか、
最初から大切な情報を提供してしまうのかは大きな違いです。
いまは、泥棒が盗みに行く必要がない時代なので、”安全”になったということでしょうか？

全く理解できません。

補足日時：2013/09/27 06:28

No.1 回答者： deltaufp 回答日時： 2013/09/26 23:53

１．セキュリティは特殊な分野なので、専門校か情報系の学科でもない限り教えることはないと思います。

２．せっかく無料のメールを使ってコストダウン出来るのにそれはないかと思います。

３．一概には言えませんが、メール本文に論文を書くことはないでしょう。送る場合はWordのデータを添付すると思います。その際に、そのデータに暗号化を施せばよろしいかと。アメリカが推し進める暗号化アルゴリズムではないものを使って…

基本的にたかが大学がアメリカという強大な国家相手にどうあがいたところで結果は明白です。もともとインターネットはアメリカの軍事回線が一般に公開されて発展したものです。アメリカにとって有利に出来ていても何ら不思議ありません。インターネットや電子機器の規格はほとんどがアメリカ発祥です。個人情報漏れを気にしていてはナニも出来ません。アメリカも人の研究を盗んで自らのものにするということは想定していないでしょう。どちらかと言えば、他国の動きを監視して外交的に有利に事をすすめるとか、犯罪者の効率的な摘発が主目的かと思います。（凡人には理解し難い大きな野望があるかもしれませんが…）

もとより、暗号化は悪意ある第三者に内容がバレないようにする為のもの。それは、クラッカーを想定していると思います。国家という強大なものを相手にして考えているかすら不明です。それに、暗号アルゴリズムの標準を決定しているのは米といっても過言ではありません。アルゴリズム開発者との間に特別な協定があって、アメリカだけが知る解読方法とかがあっても不思議ではないでしょう。
多かれ少なかれ通信は国家に監視されていると思うのが自然かと思います。中国も韓国もネットを監視して必要があればサイトへのアクセスを遮断しています。通信の秘密なんて、あってないようなものなのかもしれませんね^^;

この回答への補足

ありがとうございます。


憲法／第３章　国民の権利及び義務
第２１条〔表現の自由〕
１　集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
２　検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

どこかの国にはこんな憲法もあるのです。どこの国だったかはよく分かりません。


暗号は、戦争の中でよく使われて来ました。
最初から、相手の国家に対して秘密を守る技術です。

データに暗号化を施せばよろしいかと。アメリカが推し進める暗号化アルゴリズムではないものを使って…

私も、これを大学ごとに導入すればよいと思います。

補足日時：2013/09/27 06:57