公開鍵と秘密鍵の作成と管理
Last update: 2009-12-01
公開鍵と秘密鍵の作成
まずは自分の公開鍵と秘密鍵を用意しなければならない。これも Terminal.app で行う方法とアプリケーションの GUI を使う方法の2通りある。で、キーマネージメント GUI ツールの GPG Keychain Access がそのツールの一つなのだが、ウチの環境ではどうしても上手くいかなかったので、ここでは取り上げない。代わりに Thunderbird にインストールした Enigmail のメニューから行う方法を書く。
なお、色々とやってみた結果、鍵の管理には Enigmail を利用した方が無難かもしれない。ただ、Terminal.app からの設定方法も覚えておくと何かと役に立つので覚えておいて損は無い。
方法 1. Thunderbird の Enigmail から設定する
Thunderbird を起動して、OpenPGP メニューから設定ウィザードを呼び出す。
- 一通り目を通して、「はい、ウィザードを使用して設定します」にチェックを入れて 。
ちなみに、インストール後の1回目のみ利用でき、以後利用できないと書かれているが、何度でも利用できるんだけど… - 送信時の署名をどうするか設定する。お好みの方法を選べばよい。
- 送信メールの暗号化をどう設定するか決める。全送信相手に暗号化メールを送るのなら「はい」にチェックを入れるが、普通は「いいえ」だろう。
- パスフレーズ(パスワード)を設定する。これは忘れないようにテキストファイルで残しておこう。
- 「はい」にチェックを入れて でよい。ちなみに「いいえ」もあるけど、これは試していない。キャンセルとどう違うのかな?
- 設定した鍵の情報が表示されるので、確認して続ける。
なお、この設定では鍵の種類に 2024 ビットが選択されるのだが、特に問題は無いように思う。不都合があれば 1024 ビットに変更してください。 - 鍵の作成が完了した通知とともに、失効証明書を作成するかを聞いてくる。万が一鍵を無くすとか盗まれることもあるので、作る方が良いとも思うのだが、その辺りはご自身の判断で。作らなければスキップすればよい。ちなみに失効証明書は後からでも作れるので、慌てる必要は無い。
作成する場合は をクリックすると、ファイル保存ダイアログが表示されるので、適当な場所に保存して大切に保管しておこう。 - 以上で鍵ペアと失効証明書の生成は完了。ねぎらいの言葉をかけられる w
自分の公開鍵と秘密鍵の作成はこれで完了。鍵の編集をしたい場合は OpenPGP メニューの「鍵の管理」から行う。
失効証明書の参考サイト:Understanding GnuPG for Mac OS X
方法 2. Terminal.app から公開鍵と秘密鍵を設定する
- Terminal.app の新規ウィンドウで $ に続きgpg --gen-keyと入力してリターンキーを押す。
- ずらっとテキストが表示され、最後に次の内容が表示されていると思う。ここの最後で、鍵の種類をどれにするかと聞かれる。
Please select what kind of key you want: (1) DSA and ElGamal (default) (2) DSA (sign only) (4) RSA (sign only) Your selection?
DSA and ElGamal (上の方でも書いた) で良いと思う。「1」と入力してリターン。 DSA keypair will have 1024 bits. About to generate a new ELG-E keypair. minimum keysize is 768 bits default keysize is 1024 bits highest suggested keysize is 2048 bits What keysize do you want? (1024)
と問うてくる (これも上で書いている) ここはデフォルトの 1024 で大丈夫らしい。
(kiyo4_k さんがそう言ったんだから〜(笑)) なので、リターンキー。- すると
Key does not expire at all Is this correct (y/n)?
と、これでほんまにエエんやね?と返してくるので「y」キーを押す。イヤな場合は「n」を押して、手順 2 から再設定。 - 次は ID の登録。最初は名前の入力から。
You need a User-ID to identify your key; the software constructs the user id from Real Name, Comment and Email Address in this form: "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>" Real name:
と、あなたのお名前は?と聞いてくるので、暗号化メールの際に使用するあなたの名前を半角英語でタイプしてリターンキー。
次は使用するメールアドレス。
Email address:
とメールアドレスを聞かれるので、正しく入力してリターンキー。 - 次の
Comment:
は、特に何も無ければ入力の必要は無い。リターンキーで進む。 - 設定内容を確認する
You selected this USER-ID: "xxxxxxxx <xxxxx @ xxxx.com>"
と表示されれば、内容を確認してリターンキー。 - 設定内容を変更するか、これで良いかと聞いてくる。
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O You need a Passphrase to protect your secret key.
と表示されるので、オッケーなら「O」を、名前を変えるなら「N」を、コメントの変更は「C」メールアドレスの変更は「E」の、何れかのキーを押す。Q を押すと終了してしまうので注意。 - パスフレーズ(パスワード)を入力するように言われる。忘れないようにテキストで保存して安全な場所にしまっておくこと。
Enter passphrese:と聞いてくるので、パスワードを入力する。
Repeat passphraseには再度同じパスワードを入力してリターンキーを押す。
これでキーの生成が始る。完了すると長〜いテキストが表示されると思う(MacFeeling Blog » GnuPGのインストールを参考のこと)
Terminal.app の画面が、続いて処理を促しているなら「exit」で終了する。これで設定は完了。上記手順で GnuPGP のインストールと鍵の設定は完了している。はず(^^; 一応 Terminal.app を起動して確認しておいた方がよい。
- Terminal.app を起動してgpg --versionと入力してリターンキを押す。インストールした GnuPG の概要が表示されればインストール成功。
- $ に続きgpg --list-secret-keyと入力してリターンキを押す。
sec XXXXX/XXXXXXX YYYY-MM-DD uid Name <xxxx @xxx.xxx> ssb XXXXX/XXXXXXX YYYY-MM-DD
公開鍵、ユーザ ID、秘密鍵の情報が表示されればオッケー。 - $ に続きexitと入力してコマンドを抜ける。
失効証明書は、先にも書いたように必要かどうかはあなた次第。詳しくは Understanding GnuPG for Mac OS X を読んでいただきたい。また、Terminal.app で作成する方法に加えて、詳しい解説をされているので、作成する場合はそちらを参考ください。
鍵を公開サーバに登録
ここまでで一通りの設定は完了したと思う。次は自分の鍵を公開サーバーに登録してみよう。
- Thunderbird メニューの OpenPGP から「鍵の管理」を呼び出し、管理ウィンドウに自分の鍵を表示させる。
- リストの自分の鍵を選択して、メニューの「鍵サーバ」から「公開鍵をアップロード」を選択する。
- 鍵サーバはプルダウンリストの中から選択する。どれが良いのかよく分らなかったので、取り合えず subkeys.pgp.net を選択してみた。
- 送信が完了したら鍵は登録されている…はず。
鍵のバックアップ
鍵情報はテキストファイルに保存して外部メディアなどに保管しておくのが基本。で、GPG 設定のバックアップ方法。
自分の鍵ペアや他の方から貰った鍵情報は、次のページで書いている鍵情報のエクスポートでバックアップを取ることができる。通常はこの方法で GnuPG の鍵をバックアップすれば良いだろう。
Terminal.app を使って GnuPG 全体のバックアップをとっておく方法もあるのだが、万人ができるわけでは無いので当サイトでは取り上げない。その代わりと言ってはアレだけど、GPG 設定をバックアップ/復元するアプリケーションを作ったので、試してみたい方はご自由にダウンロードくだされ。使い方とダウンロードは こちらかへどうぞ
次のページでは鍵のエクスポートとインポートだ。鍵のエクスポート/インポート
