いますぐ実践! Linuxシステム管理

[バックナンバーのトップへ] [Linux システム管理のトップへ]


いますぐ実践! Linux システム管理 / Vol.088 / 読者数:965名

こんばんは、うすだです。

この間、知合いから、いらなくなった CPU やマザーボードなどを、 大量にいただきました。

うちにあるデスクトップは、20世紀末に購入した骨董品ですので、 そんないただきものでも、十分グレードアップになります。

というわけで、週末に入れ換えてみました。
CPU のクロックは倍以上になりましたし、メモリも少し増えましたので、 快調です。これで、もうしばらくは使えそうです。

しかし、こんなペースですと、Core Duo あたりが使えるようになるのは、 3〜4年くらい後になるのでしょうか。…気長に待つことにします。

それでは、今週も、はりきってまいりましょう!

今週のお題 - 暗号化したファイルをやりとりする

遠くにあるサーバを複数のひとで管理していると、システムに関する情報を、 メールなどでやりとりする必要性にかられることが多々あります。

しかし、内部の情報をそのままメールで送信するのは、盗み見られたり、 誤送信による情報漏洩などの危険性がありますので、 できる限り避けないといけないことです。

そんなとき、先週ご紹介した GnuPG を使えば、データを暗号化して送信できますので、 万が一いけないひとにデータが渡っても、復号化するための鍵がばれなければ、 なんとかなりそうです。

Vol.087 - ファイルを暗号化する
http://www.usupi.org/sysad/087.html

というわけで、今週は、GnuPG を使って、ファイルを暗号化してやりとりする方法を、 ご紹介したいと思います。

…なんだか、システム管理に無理矢理こじつけているように思われるかもしれませんが、 きっと気のせいです。安心して(?)ご覧ください。


さて、ファイルを暗号化してやりとりする手順は、以下の通りです。

  1. 自分の公開鍵を相手に送る。(相手の公開鍵を受けとる。)
  2. 公開鍵があっているかどうか、フィンガープリントを確認する。
  3. 送りたいファイルを公開鍵で暗号化する。
  4. 暗号化されたファイルを、秘密鍵で復号化する。

GnuPG は、公開鍵暗号方式を用いますので、暗号化する時の鍵と、 復号化するときの鍵が異なります。 ですので、どちらかの鍵を自分だけの秘密にしておき(秘密鍵)、 もう片方(公開鍵)を相手に渡します。

相手に送る際には、公開鍵で暗号化を行います。
暗号化されたファイルを受けとったら、秘密鍵で復号化します。

公開鍵や、暗号化されたファイルのやりとりは、 メールの添付はもちろん FTP などで相手のサーバに置いてもいいと思います。
MUA によっては、GnuPG などに対応していて、MUA 上で操作できるものもありますが、 相性問題などもあるようですので、そのあたりは追求しないことにします。


それでは、まず、公開鍵を相手に渡したいと思います。
そのために、公開鍵をファイルに出力します。
公開鍵をファイルに出力するには、 gpg コマンドを --export オプションつきで実行します。

  % gpg -o ファイル名 --export ユーザID

引数に、出力したい公開鍵のユーザID を指定します。
また、-o オプションで、ファイルに出力できます。これを省略すると、 公開鍵が標準出力に出力されます。
簡単な例を、以下に示します。

  % gpg --list-keys
  /home/usu/.gnupg/pubring.gpg
  ------------------------------
  pub   1024D/77777777 2007-01-03
  uid                  USUDA Hisashi <usu@usupi.org>
  sub   2048g/12345678 2007-01-03

  % gpg -o usu.pub --export "USUDA Hisashi"
  % ls -l usu.pub
  -rw-r--r-- 1 usu   hoge 1153  1月14日 16:01 usu.pub

出力された公開鍵(上記の例では usu.pub)を、 メールに添付するなりして相手に届けます。


相手から公開鍵が送られてきたら、登録します。
公開鍵を登録するには、gpg コマンドを --import オプションつきで実行します。

  % gpg --import 公開鍵のファイル名

引数に、公開鍵のファイル名を指定します。
実行例を、以下に示します。

  % gpg --import usu.pub
  gpg: 鍵77777777: 公開鍵"USUDA Hisashi <usu@usupi.org>"を読み込みました
  gpg:     処理数の合計: 1
  gpg:           読込み: 1

以上で、公開鍵を登録することができました。
しかし、はたして、これは正しい公開鍵だと言えるのでしょうか。
ひょっとしたら、相手の名を語って、 偽の公開鍵を送りつけてきた可能性も考えられます。

公開鍵が正しいことを確認するために、フィンガープリントを見比べたいと思います。
フィンガープリントを出力するためには、 gpg コマンドに --fingerprint オプションをつけて実行します。

  % gpg --fingerprint ユーザID

引数にユーザID を指定します。指定しなければ、全部が出力されます。
実行例を、以下に示します。

  % gpg --fingerprint "USUDA Hisashi"
  pub   1024D/77777777 2007-01-03
         指紋 = 71E8 0446 5684 1551 06DF  DEE2 2792 D2A3 69D5 EBF2
  uid                  USUDA Hisashi <usu@usupi.org>
  sub   2048g/12345678 2007-01-03

指紋 = とか Key fingerprint = の後の、上記で言うところの 71E8 ... がフィンガープリントです。
今登録した公開鍵のフィンガープリントと、相手のフィンガープリントが一致すれば、 正しい公開鍵だと言えます。

とはいえ、フィンガープリントをメールで送ってもらっていては、意味がありません。 あらかじめ、実際に会ったときに交換するなどしておく必要があります。 (わたしの勤める会社では、名刺に印刷されています。)


公開鍵の確認がとれたところで、実際に送りたいファイルを、 暗号化してみましょう。
これは、先週ご紹介した通り、-e オプションつきで gpg コマンドを実行します。
以下の例では、/etc/postfix/main.cf を、 わたしの公開鍵で暗号化して main.cf.gpg というファイルに出力しています。

  % gpg -o main.cf.gpg -r "USUDA Hisashi" -e /etc/postfix/main.cf
  gpg: 12345678: この鍵が本当に本人のものである、という兆候が、ありません

  pub  2048g/12345678 2007-01-03 USUDA Hisashi <usu@usupi.org>
   主鍵の指紋: 71E8 0446 5684 1551 06DF  DEE2 2792 D2A3 69D5 EBF2
   副鍵の指紋: 1639 D76D CC47 C8A7 B8E7  D3C8 29C6 5764 7651 3719

  この鍵は、このユーザーIDをなのる本人のものかどうか確信でき
  ません。今から行うことを*本当に*理解していない場合には、
  次の質問にはnoと答えてください。

  それでもこの鍵を使いますか? (y/N)

登録した公開鍵に(信頼できるひとの)署名がないため、このように脅されますが、 フィンガープリントで確認済ですので、ここでは臆せずに y と答えましょう。

すると、main.cf.gpg が生成されます。これが暗号化されたファイルですので、 これをメールなどで相手に送信します。


暗号化されたファイルを無事に受けとったら、先週ご紹介した方法で復号化します。 例を以下に示します。

  % gpg -o main.cf -d main.cf.gpg
  You need a passphrase to unlock the secret key for
  user: "USUDA Hisashi <usu@usupi.org>"
  2048-bit ELG-E key, ID 12345678, created 2007-01-03 (main key ID 77777777)

  パスフレーズを入力: (パスフレーズを入力)

  gpg: 2048-ビットELG-E鍵, ID 12345678で暗号化2007-01-03にできました
      "USUDA Hisashi <usu@usupi.org>"

復号化されたファイル(上記では main.cf)ができていたら、成功です。


以上、暗号化したファイルをやりとりする方法を、ご紹介しました。
まずは、だれかお友だちと、試しにやりとりしてみてください。
(もし周囲にそういう知合いのひとがいなければ、簡単におつき合いしますので、 ご連絡ください。)

ただ、フィンガープリントによる確認が、ちょっとやっかいですね。
とはいえ、大事なことですので、できればネットを介さない物理的な手段を使って、 フィンガープリントを知るようにしてください。

また、公開鍵や暗号化されたファイルは、みんなバイナリ形式で出力されますが、 -a オプションをつければ、アスキー形式で出力してくれます。
たとえば、以下を実行すると、USUDA Hisashi さんの公開鍵が、 標準出力に出力されます。

  % gpg -a --export "USUDA Hisashi"

宿題の答え

先週の宿題は、

  GnuPG の鍵を作成する際、パスフレーズなしにできるでしょうか。

でした。

やってみればすぐわかることですが、できます。
ただ、以下のような、ものすごいことを言われます。

  パスフレーズが不必要なようですが、おそらくそれはろくな考えでは
  ありません! いちおう続行します。パスフレーズは、このプログラム
  の「--edit-key」オプションでいつでも変更できます。

とはいえ、cron などで自動的に処理する際には、便利かもしれません。
たとえば、remote という名のマシンにある /backup/secret.zip.gpg を、 手元に持ってきて復号化したい場合、 以下のようなスクリプトを cron で実行することができます。
(ただし、パスフレーズなしで scp が使える必要があります。)

  #!/bin/sh
  scp -p remote:/backup/secret.zip.gpg $HOME/backup/
  gpg -o $HOME/backup/secret.zip -e $HOME/backup/secret.zip.gpg
  ...secret.zip をいじる処理...

平文のまま置いておくよりはましかも、という程度かもしれませんが…。

今週の宿題

今週の宿題は、

  暗号化されたファイルを一部変更して、復号化されないことを確認して
  みましょう。

です。

バイナリ形式のファイルを変更するのは難しいと思いますので、 暗号化を行う際に -a オプションをつけて、アスキー形式で出力させてください。

  % gpg -a -o 出力ファイル -r ユーザID -e 平文のファイル

そして、出力されたファイルの中を適当に変更して、復号化を試みます。

予想通りの結果が得られますが、大事なのは『実践』することです。
自分の鍵を使えば、ひとりでもできますので、是非やってみてください。

あとがき

いままで、年とったなあと思うことがあまりなかったのですが、最近は、 年齢を感じることがいくつか、出てくるようになってきました。
(手足に潤いがなくなったとか、髪の毛の元気がなくなってきたとか…。)

とはいえ、それを悲観しても仕方がありませんので、 自分の能力の変化にうまく対応していくしかありません。よね。

むかし流行った、「チーズはどこへ消えた?」という本にも書いてあったように、 変化に対応していくことが成功につながる、 というのはまぎれもない事実のようですので、適応することを目指したいと思います。

ただ、変わらず続けることも、大事だとされています。
たとえば、サザエさん。どう控え目に見ても、今を反映していませんし、 ネタも昔のままのようですが、視聴率は依然として高い値をキープされているようです。

わたしはここのところ、 シス管(このメルマガのことです)や栗日記(毎日栗の絵を描いています)を続けていますが、 これらをこのまま続けていくとどうなるんだろうか、という疑問を、 最近持ちはじめました。

今まで蓄積されたものは、それなりに無駄ではなかったと思いますので、 これからも続けていこうと思います。ただ、単に続けていくのではなく、 もっとお役に立てて、面白いものにするため、変化する必要があるのではないか、 ということなのかもしれない、なんて思っております。

そういえば、人間が年をとるのは、変化への適応を強制的に行わせるために、 神様が考えたものかもしれませんね。
…という考えは、むかし本で読んだ気もしますが、全然思い出せません。
これも衰えなんでしょうか…ううむ。

 

今週も、ここまで読んでいただき、ありがとうございました。
それでは、また来週に、お会いしましょう!

 

「いますぐ実践! Linux システム管理」の解除は、以下からできます。
http://www.usupi.org/sysad/ (まぐまぐ ID:149633)

バックナンバーは、こちらにほぼ全部そろっています。
http://www.usupi.org/sysad/backno.html

「栗日記」−栗の絵描いてます。地味にJavaScriptを入れて遊んでます。
http://www.usupi.org/kuri/ (まぐまぐ ID:126454)
http://usupi.seesaa.net/ (栗日記ブログ)
http://www.fumido.co.jp/kuriniki/ (栗日記ぎゃらりー)


[バックナンバーのトップへ] [Linux システム管理のトップへ]

トップ

バックナンバー
    [日付順] [目的別]

プロフィール

▼ リンク

独学Linux
Linuxデスクトップ環境に関する情報が満載です。 メルマガもありますよ。
Server World
CentOS 6をサーバとしたときの設定例が、これでもかというくらいたくさん載っています。 CentOS以外のディストリビューション(Fedora, Ubuntu)も充実しています。
LINUXで自宅サーバーを構築・導入(Fedora9)
Fedora9のインストールの仕方から管理方法まで、詳しく載っています。 SearchManには情報がもりだくさんです。
マロンくん.NET
〜サーバ管理者への道〜
Linuxをサーバとして使用するための、いろいろな設定方法が載っています。 マロンくんもかわいいです。 なんといっても、マロンくんという名前がいいですね!!
日経Linux
今や数少なくなってしまったLinuxの雑誌。ニュースやガイドもあります。
Linux Square − @IT
@ITが提供する、Linux の情報が満載。 載っていない設定方法はないんじゃないでしょうか。
gihyo.jp…技術評論社
Linuxに限らず様々な技術情報が満載のサイト。 SoftwareDesign誌も、 ソフトウェア技術者は必見です。
SourceForge.JP Magazine
Linux に限らず、オープンソース関連の記事が網羅されています。
ITmediaエンタープライズ:Linux Tips 一覧
Tips というより FAQ 集でしょうか。わからないことがあれば覗きましょう。
IBM developerWorks : Linux
開発者向けですが、勉強になりますよ。
Yahoo!ニュース - Linux
Yahoo!のLinuxに関するニュース一覧です。
栗日記
システム管理とかと全然関係ありませんが、毎日栗の絵を描いています。
システム管理につかれちゃったとき、癒されたいときに、ご覧ください。:-)
WEB RANKING - PC関連
ランキングに参加してみました。押してやってください。

▼ 作ってみました

Add to Google

▼ せんでん




▼ 最近読んだ本

▼ 気に入ってる本