NW-M10a-002 2014/4/7 IT サポートオフィス S/MIME 利用マニュアル ― IC カードを利用した Mail 暗号化・電子署名について ― (Windows-Thunderbird 用) S/MIME(エスマイム Secure Multipurpose Internet Mail Extensions)とは PKI(公開鍵暗号 基盤)を活用した電子メールのセキュリティを向上する暗号化方式の標準規格です。電子署名によ って“なりすましメール”ではないこと、メールの内容が第三者に改ざんされていないこと、の証 明が可能です。また、メール送付相手の電子証明書に格納されている公開鍵を利用したメールの暗 号化により、盗聴の防止が可能です。本マニュアルでは、これらの利用方法について説明します。 注1.本マニュアルは本学で発行の IC カード(学生証、社員証・身分証、利用者証)に格納されている電子証明書を利用し た S/MIME 利用方法です。 注2.利用のためには送信者と受信者の両方が S/MIME に対応したメールソフトを利用している必要があります。S/MIME に対応していれば、両者で異なるメールソフトを利用していてもかまいません。また、暗号化したメールは、S/MIME 未対応のメールソフトでは本文を確認できませんので、利用の際はご注意ください。 注3.暗号化した際の IC カードがないと、暗号化したメールの本文を確認できません。よって、IC カードを紛失・再発行 すると、それまでに受信した暗号化メールの内容は確認できなくなります。 **************************************************************************************** 【事前設定】 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・P.2 S/MIME が利用できるようにメールソフト Thunderbird を設定します。 (1)同志社大学認証局証明書のインポート (2)セキュリティデバイスの設定 (3)電子署名、暗号化に使用する個人証明書の設定 ※1.事前に統合インストーラを利用して IC カードリーダライタドライバー、PKI ドライバー、同志社大学認証局 証明書のインストールを実施してください。 http://it.doshisha.ac.jp/information/ic_card/inside/download.html (学内のみアクセス可) 同志社大学認証局証明書(DoshishaUniversityCA1.cert)は下記 URL からもダウンロード可能です。 https://ca36.managedpki.ne.jp/DoshishaUniversityCA1/pages/cacerts/index.html ※2.一度設定を行えば、利用の際に再設定する必要はありません。 【利用方法】 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・P.7 ・電子署名を付けたメールの送付 ・送付相手の公開鍵を利用した暗号化メールの送付 **************************************************************************************** 1/9 NW-M10a-002 2014/4/7 IT サポートオフィス 【事前設定】 (1)同志社大学認証局証明書のインポート 1.Thunderbird を起動します。 2. 【ツール】から【オプション】をクリックします。 3. 【詳細】の【証明書】タブから【証明書の表示】をクリックします。 2/9 NW-M10a-002 2014/4/7 IT サポートオフィス 4. 【認証局証明書】タブをクリックし、 【インポート】をクリックします。 5.事前にダウンロードしておいた同志社大学の認証局証明書(DoshishaUniversityCA1.cert)を 選択し、 【開く】をクリックします。 https://ca36.managedpki.ne.jp/DoshishaUniversityCA1/pages/cacerts/index.html からダウンロードできます 6. 【この認証局によるメールユーザの識別を信頼する】にチェックを入れて、 【OK】をクリック します。インポートに成功すると認証局証明書に DoshishaUniversityCA1 が追加されます。 3/9 NW-M10a-002 2014/4/7 IT サポートオフィス (2)セキュリティデバイス(IC カードリーダー)の設定 1.IC カードリーダライタを PC に接続します。 2. 【ツール】→【オプション】→【詳細】の【証明書】タブから【セキュリティデバイス】をクリ ックします。 【デバイスマネージャ】の【追加】をクリックします。 2. 3. 【モジュール名】を任意に設定し、 【参照】をクリックします。事前にダウンロードしておいた 「dnpcmp32.dll」を選択し、 【OK】をクリックします。 ※統合インストーラ経由の場合、デフォルト保存先は、C:\Windows\System32\dnpcmp32.dll です。 (モジュールを追加できない場合は、一度 Thunderbird を再起動の上、お試しください) 4. 【デバイスマネージャ】に「SCM Microsystems Inc. SCR33x USB Smart Card Reader 0」が 追加されたことを確認して【OK】をクリックします。 4/9 NW-M10a-002 2014/4/7 IT サポートオフィス (3)電子署名、暗号化に使用する個人証明書の設定 1.リーダライタに IC カードの矢印(▲)の方向に従い IC チップ側を上にして、挿入します。 この面を上にして挿入 A B C D E F G H I 1 BJ40V201N 2 LSNGOIZ2P 3 0OUDON8OJ 2. 【ツール】→【アカウント設定】→【セキュリティ】の【証明書を表示】をクリックします。 3.PIN コードの入力画面が表示されますので、IC カードの PIN コードを入力して【OK】をク リックします。 4. 【あなたの証明書】に IC カードに格納されている証明書情報が表示されれば【OK】をクリッ クします。 5/9 NW-M10a-002 2014/4/7 IT サポートオフィス 5. 【ツール】→【アカウント設定】→【セキュリティ】のデジタル署名の【選択】をクリックし、 IC カードに格納されている証明書を選択して【OK】をクリックします。 6.下記の表示がポップアップされますので、 【はい】を選択します。 7.デジタル署名と暗号化に使用する証明書が IC カードに格納されている証明書を選択できてい ることを確認して【OK】をクリックします。 6/9 NW-M10a-002 2014/4/7 IT サポートオフィス 【利用方法】 ■電子署名を付けたメールの送付 電子署名を付けることでメールの送信先に“なりすましメール”でないこと、内容が改ざんされ ていないことの証明が可能です。 1.リーダライタに IC カードを挿入し、PIN コードを入力して【OK】をクリックします。 電子証明書に格納された秘密鍵を利用して電子署名することができます。 2.メール作成画面の【セキュリティ】の【▼】をクリックし、 【このメッセージにデジタル署名す る】を選択します。正常に電子署名を付けることができた場合は【このメッセージにデジタル 署名する】にチェックが入ります。その他のメールの作成については通常どおり行い、送信し ます。 ■電子署名を付けたメールの受信 送信先には電子署名の付いたメールが配送されます。Thunderbird の場合、下記の赤丸で囲ん だところに電子署名のマークが入ります。 7/9 NW-M10a-002 2014/4/7 IT サポートオフィス ※ 電子証明書の信頼性が確認できない場合、電子署名のマークを選択すると、下記のように 「デジタル署名が正しくありません」と表示されることがあります。電子証明書の発行元 が信頼できる認証局であれば、あらかじめ“信頼されたルート証明機関”としてインスト ールしておくことで、信頼性のチェックを行うことができます。 (p.3 参照) ■送付相手の公開鍵を利用した暗号化メールの送付 メール送付相手の電子証明書に格納されている公開鍵を利用して、その相手に、暗号化メール を送ることができます(※) 。暗号化されたメールは、公開鍵と対になる秘密鍵を保有している持 ち主のみが復号化(暗号化状態を解くこと)できるため、高セキュリティを保つことができます。 ※ 相手の電子証明書に格納されている公開鍵を利用して暗号化するので、今までに電子証明書 を受領したことのない相手に、いきなり暗号化メールを送付することはできません。電子証 明書未取得の場合は、電子証明書付のメールをまずは相手に送信するよう依頼してください。 メール作成画面の【セキュリティ】の【▼】をクリックして【このメッセージを暗号化する】 を選択し、宛先に利用する公開鍵の持ち主のメールアドレスを入力します。 メール送付相手の公開鍵を利用して正常に暗号化された場合、赤丸で囲んだ鍵マークをクリッ クすると、使用する公開鍵を格納している電子証明書の情報が正しく表示されます。 8/9 NW-M10a-002 2014/4/7 IT サポートオフィス ※ 送信の際、電子署名を付けると自分の電子証明書(公開鍵を格納)が併せて送付されます(p.7 参照) 。この電子証明書をメール送付相手の公開鍵で暗号化して送信すると、よりセキュアな通 信を実現することができます。 (例:同志社 次郎さんは、同志社 太郎さんに暗号化メールを送る場合、同志社 太郎さんの公開鍵を利用して メールを暗号化することができます。同志社 次郎さんは自分の電子証明書を同志社 太郎さんの公開鍵で 暗号化することで、セキュアな方法で同志社 太郎さんに自身の電子証明書を送付することができます。 ) ■暗号化されたメールの受信 暗号化されたメールは右記のような表示となる ため、メールの受信者はそのままでは中身を確認 することができません。 リーダライタに IC カードを挿入し、PIN コード を入力して【OK】をクリックすることで暗号化さ れたメールの内容を見ることができます。 詳しく述べると、受信者は、自分の IC カードに存在する電子証明書に格納された秘密鍵を利用 し、送信者が受信者の公開鍵を利用して暗号化した内容を復号化(暗号化状態を解くこと)するこ とで、メールの内容を確認できます。なので、秘密鍵を格納している IC カードを利用可能な状態 にしていないと、複合化しメール文書を読める状態にすることができません。 (例:同志社 太郎さんの公開鍵を利用して暗号化されたメールは、同志社 太郎さんの秘密鍵を利用することで復号化可 能となります。 ) ※ IC カードを再発行した場合、格納されている証明書は以前の証明書と異なる証明書が格納され ます。その際、公開鍵・暗号鍵も以前とは異なるものが再作成されます。そのため、再発行前 の電子証明書を利用して暗号化された過去のメールは、再発行後の電子証明書を利用しても復 号化できません。利用の際にはご留意ください。 以上 9/9
© Copyright 2024 ExpyDoc
