デジタル署名が異なる場合の信頼性について

Question

セキュリティーについて興味が出てきて、
パケット警察　というソフトをダウンロードしてみたのですが、
http://www2.softether.jp/jp/packetpolice/download.aspx
にある、説明と少し違う会社の署名がされています。
具体的には「SoftEther Corporation」ではなく、「SoftEther K.K.」です。

これは改ざんがされているのでしょうか？それとも、こちらも正しい表記なのでしょうか？
また、今まで署名という物は気にしたことがなかったのですが、これが改ざんされているか否かを個人で簡単に調べる方法はありますか？

また、この署名の名称（SoftEther Corporation）は世界で唯一のユニークな文字列なのでしょうか？仮に、ただの名前であれば簡単に偽造できそうですし・・・

Lchan0211b · Accepted Answer

> Microsoftは確かにあれかもしれませんが、それでも法律の許す国でキッチリと法人を立ち上げたり、もしくは、ある程度マイナーな会社と同じ名称で設立して登録すれば可能と言うことでしょうか？それとも、人名の登録とは異なり、似ていたりすれば却下されるのでしょうか？

一応、Verisign等の認証局は、証明書を信頼してもらうことでお金を
稼いでいるわけで、その信頼性維持には相当コストをかけているはずです。
なので、既に別の会社で登録済みの名前と同じ名前は絶対通りませんし、
ある程度有名な名前と似た名前でユーザーを惑わせる可能性があるなら
それも却下すると思います。
ただ、マイナーな会社名と似た名前の場合、どっちがどっちをマネした
という話もあると思いますので、法的に登記されていればそれは通ると思います。

> 特に今回、会社の沿革などを見たのですが社名が変わったと言うこともなく変更してありましたので意外と簡単に変更できる物？と思ったりしています。

今回の場合、正式な登記名は「ソフトイーサ株式会社」であり、英語表記は
特に登記していないものと思います。ただ、証明書申請は英語ですから、
それを英語に翻訳したものを使うことになります。「Corporation」も「K.K.」も
「株式会社」を意味しますから、この2つはどちらも同じ会社であり、翻訳のゆれ
程度の認識で認証局はどちらも認めたのだと思います。
(正確にはK.Kは英語ではなく、株式会社のローマ字表記を略したもので、
商習慣的に認められています。)
(参考)
http://ja.wikipedia.org/wiki/%E6%A0%AA%E5%BC%8F%E4%BC%9A%E7%A4%BE_(%E6%97%A5%E6%9C%AC)#.E5.95.86.E5.8F.B7

今回のように、なんとなく似ていても異なる表記は疑ってかかり、
Webサイトを確認する等してちゃんと調べるのがよい姿勢であり、
大切なことだと思います。

asano_nagi · Answer

No.1 です。

> 例えば、Microsoftという名称でVersignで署名と取り、自分のソフトにその署名を使うと、
> あたかも、Microsoftからの純正品かのような勘違いを引き起こすことも出来ると言うことでしょうか？

これは、技術的に言えば、その通りです。
ただ、Versign も、「認証局」として仕事をしている以上、ニセMicrosoftを認証してしまうと、一気に信用を失ってしまうことになります。
というわけで、さすがに、Microsoft という名前で申請をすると、かなりがちがちの確認をしますので、まあ、運用上そういうことはないようになっています。
なので、とりあえずは、「偽物の申請は却下する」ということになっています。

そういう信頼性を含めて、「認証局」が頑張るわけです。

ある意味では、だから、「ベリサイン社が発行したソフトイーサ社専用の 2048 bit 証明書で署名されており」という但し書きも（単にデジタル署名されていますというだけでなく）ある程度意味を持ちます。
「あの、Verising が認証してくれたので、私も本物です」と（断言できないにしても）ある程度の確度ではいえるわけです。

また、たとえば、ソフトのデジタル署名は、ファイルをコピーすると、丸ごとコピーされます。
なので、たとえば、私が「パケット警察」というソフトをでっち上げて、それを、Vector などにまんまとアップしてしまったとしても、デジタル署名をつけることができないので（署名を確認すれば）偽物だとわかります。

逆に（勝手にコピーして良いかどうかという取り決めは別として）このソフトをどこにコピーしても、署名を確認すれば「本物」とわかるわけです。

このデジタル署名は、公開鍵暗号の技術で実現されています。
認証局は、申請者が「正しい」と確認すると、
・その申請者専用の秘密鍵
・それに対応する公開鍵に、認証局の秘密鍵でデジタル署名したもの
を渡します。

申請者は、自分のソフトに対して、自分がもらった秘密鍵でデジタル署名を行います。
通常、デジタル署名は、「認証局の秘密鍵でデジタル署名した公開鍵」もセットで配布されますので、受け取った人は、

・その公開鍵で検証することで、確かに、秘密鍵の持ち主（=申請者）がデジタル署名をしたこと
・さらに、署名をされた後で、改ざんされてないこと
・その公開鍵が、認証局によってデジタル署名されているので、確かに、その申請者を認証局が認証したこと

以上が確認できるというわけです。

asano_nagi · Answer

このレベルの（GlobalSign CodeSigning CA-G2) デジタル署名で、おおよそ言えるのは

・SoftEther K.K. という名称で、Verisign社に対して、デジタル署名を申請した団体がある
・その団体が、作成したソフトであり、それ以外のものが関与はしていない（と、その団体が言っている）
・「自分たちの作ったソフトだ」と、「その団体」が宣言していると、Verisign社が保証している

ということです。

厳密には、それが、SoftEther Corporation と同じ組織であると調べる方法はありません。
また、よく見ると、これがおいてあるWebが、「本当に第三者ではない」というのを保証する仕組み（たとえば、https でのアクセス）を提供していないので、同じ組織であるとはいいきれません。

ただ、説明図にある SoftEther Corporation の署名は、2012年10月30日に行われているのに対して、SoftEther K K のデジタル署名は、2012年12月26日から有効（ダウンロードしたソフトの署名自体は、2013年2月4日）なので、あまり、不自然なところはないとは思えます。

また、こういうものの偽造はかなり難しいです。
だから、これが、「SoftEther K K」として、Versising社にデジタル署名を申請した団体のものであるというのは、まず間違いありません。

ok-kaneto · Answer

どちらも同じでしょうが、第三者がとやかく言っても仕方がないのでソフトイーサに聞いてみてはどうでしょうか？

https://www2.softether.jp/jp/contact/Default.aspx?flag=1

デジタル署名が異なる場合の信頼性について

No.1 です。

このレベルの（GlobalSign CodeSigning CA-G2) デジタル署名で、おおよそ言えるのは

どちらも同じでしょうが、第三者がとやかく言っても仕方がないのでソフトイーサに聞いてみてはどうでしょうか？

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング