スラッシュドット ジャパン | 電子メールの送信時刻認証サービスが開始
電子署名による完全性と時刻認証による真正性を提供しようという試みだけど,ちょっと意味が分からない.
公開されている資料が少なすぎて,どういう仕様なのかが見えてこない.
時刻認証はどこで行われるのか?
送信者のクライアント?
送信者が利用するSMTPサーバ?
送信先のSMTPサーバ?
それともどこかに設置されたゲートウェイ?
ゲートウェイに関しては製品情報が書いてあるから,ありそうだ.
電子メールの性質を思いだそう.
電子メールは絶対に相手に届くという保証がない.
また,送信順に到着するという保証もない.
それが電子メール.結構曖昧.
製品になっているゲートウェイについて考える.
送信元から送信先に至る経路にゲートウェイを仕掛けてあるとする.
そのゲートウェイをいつ通過するのか?
それは送信者が知るところではない.
時刻認証なのだから,メールの通過時点で時刻認証をするのだろう.
メールヘッダの送信時間に対して時刻認証するわけではないだろう.
もしもそうだったら,危険すぎ.
閑話休題.
いつ時刻認証をされるかわからないので,厳密な時刻認証には使えない.
次,送信先のSMTPサーバが時刻認証を施す場合.
これは前述の通り,到着順になるので,送信順ではないことに不安がある.
まぁ.ある意味,到着順ってのは間違ってない気もするけど・・・
では,送信者が利用するSMTPサーバが時刻認証を施すのはどうか?
これはベストに近い.
間違いなく送信した時刻に対して,時刻認証が行われる.
だがしかし.
送信者が利用するSMTPサーバということは,各機関が設置するSMTPサーバだろう.
それらをこのソリューションでリプレース(もしくは機能付与)するのは,金銭的に辛そうだ.
もし,どこかの機関が時刻認証SMTPサーバを公開したとしても,
そのサーバにアカウントを作る必要があるだろうし,OP25Bに引っかかったりするかも.
最後に,送信者のクライアントで署名も時刻認証も何もかもやってから送る方法.
これがベスト.
でも,それってメールに限った話ではないような・・・
というわけで,どういう仕組みになってるのかよく分かりません.
製品が出てるから,きっとゲートウェイなんだろうけど,それって正確じゃないですよね?
そんな曖昧なものに厳密な時刻認証を施す意味って,あるのかな?
本当に厳密な争いになったときに,問題になりそうな気がする.
気がするけど,やっぱり詳細が分からないから,曖昧に締めくくってみる.FA.