昔ごにょごにょ言ってた気がするんだけど、見つからない。。。Jaiku時代とかかしらん。しまったなあ。 - NaHi from f2p

aru - NaHi from f2p

ある鍵が署名しているUser IDが、国とかに認証されているある人により実在を主張されている、ということを確認することだと理解しています。 - NaHi from f2p

なんか回りくどい。で、前にも「回りくどいなあ」なんてつぶやきながらどっかに書いた気がするんだけど、出てこない。IRCかなぁ。 - NaHi from f2p

fingerprintとUser IDが印刷された紙があって、User IDに書かれた名前と顔写真を含む公的証明書があって、顔写真どおりの顔を持った人が目の前にいて、「俺」と言ってくれれば、結構trust levelを上げて署名してもいいです。そうでなきゃ、どうせ署名はuntrustedだからKSPなんてどうでもよろしい。 - NaHi from f2p

あと、私有鍵をちゃんと私有として理解して使ってくれそうかどうか、かなぁ。ちなみに私はごとゆぞだけmarginal、後はみんなuntrustedだw - NaHi from f2p

「私有として」ってのはどういう意味で? - Nobuyoshi Nakada

自分だけがその鍵を使えることを確実にする。他人が管理者権限持つ可能性があるサーバに置くとか、パスワード弱いとかキャッシュ時間長いとか駄目。 - NaHi from f2p

パスワード強度って何文字くらいあれば充分? - Nobuyoshi Nakada

あー、「User IDに書かれた名前と顔写真を含む公的証明書」というのがなかなか難しい。 - akira

パスワード強度は; - NaHi from f2p

1)「暗号鍵」として利用し、攻撃者が暗号文を入手して自由に攻撃できることを仮定しないといけない。メール添付用のZIP暗号化パスワードとか。 - NaHi from f2p

2)「認証のクレデンシャル」として利用し、攻撃者が試行できる回数が限られているもの。OSのログインとかATMとか。 - NaHi from f2p

により違いますが、1)はイマドキは128bitあれば十分でしょう。パスワードから鍵を作るところの強度は比較的安全とみなされてるので。というわけで、文字数の組み合わせを128bit分積み重ねてください。 - NaHi from f2p

2)は試行可能回数による。ATMなら数字4桁でいいよw - NaHi from f2p

公的証明書は、例えばKSPでササーマンやるのなら、あんまり気にしなくていいんじゃないでしょうか。どうせ誰か、User IDと結びついてない証明書しか持ってない人がいるだろうし、写真もないはず。であれば全員untrustにせざるを得ず、Web of Trustは広げられない。 - NaHi from f2p

ちなみにごとゆぞに署名を依頼した時、免許証とfingerprint印刷紙を別々に出したら「駄目ですよそれじゃ」と怒られた。3年前かな? やるなこいつ、と思った。が、わかってるのかどうかは不明w - NaHi from f2p

別々にっていうのは 出して・しまって・出して ってことですか? - akira

紙を先に渡しておいて、呑んだ帰りに免許見せた、だったかな？ - NaHi from f2p

「パスワード弱い」ってのはPGP鍵のパスフレーズとは別の話だったのか... - Nobuyoshi Nakada

一般の話かと思ったよ。とはいえ話は変わらなくて、PGP鍵のパスフレーズも、ICカードの中に守ってるなら数字4桁でいいし、たぶんそうじゃない普通の人は、128bitつけといてください。ファイルバックアップしてなくて、OSのログインでがっちり守っているなら、短くてもいい。 - NaHi from f2p