私たちFree Software Foundationはパソコンのユーザの権利のために戦って、(自由の)フリーソフトウェアの開発を促進します。無差別な監視に抵抗するのは私たちにとって非常に大切なことです。
私たちはこのガイドをもっといろいろな言葉に翻訳したいと思っています。モバイル向けの暗号化ツールも予定しています。世界中でたくさんの人たちがフリーソフトウェアを利用して自分のプライバシーを守れるように支援しようと思っています。どうぞ私たちを寄付で支援してください。
無差別な監視は人権の侵害であり、言論の自由と対立するものです。このガイドでは、このような監視に対する自衛手段としてメールの暗号化を説明します。このガイドを読み終えれば、監視エージェントやデータ泥棒には読めないメールを送受信することができるようになります。必要なのはインターネットに接続できるパソコンとメールアカウントの他には、ほんの30分ほどです。
あなたには隠したいものが何もないとしても、暗号化技術を使えば相手のプライバシーを守り、無差別監視システムによる侵害を困難にします。もし大切で隠すべき何かをお持ちなら、頼りになるツールがすでにあります。このツールはエドワード・スノーデンが貴重な秘密情報を報道機関に送るためにも使いました。
監視に抵抗するには暗号化の他にも政治的な行動によって私たちについて収集されるデータを減らす必要があります。その重要な第一歩としてまずあなた自身を守り、あなたを監視されにくくするのです。では始めましょう!
このガイドで登場するソフトウェアは自由なソフトウェアライセンスに基づいています。そのようなソフトは完全な透明性があり、誰でもコピーができ、自分だけのバーションを作ることもできます。そういう特徴があるため、フリーソフトウェアライセンスのソフト(短くフリーソフト)は(Mac OSのような)プロプライエタリソフト、つまり売っている会社だけが中身を知っているようなソフトよりよほど監視しにくいのです。自分の自由を守るためにも、プライベートの情報を監視しにくくするためにも、GNU/Linuxのような、自由なオペレーティングシステムに切り替えることをおすすめします。詳しくはfsf.orgをご覧ください。
すぐに取りかかりたいのですが、実はデスクトップ用のメールプログラムが必要です。このガイドは無料でダウンロードできるThunderbirdを想定して書かれています。ブラウザーを使ってもGmailのようなメールアカウントをアクセスできますが、Thunderbirdを始めとするメールプログラムはブラウザーよりも多機能です。
そういうメールプログラムがもうパソコンにインストールされているなら、1.Bに進んでください。
メールプログラムを起動し、ウィザードが順に案内する指示に従ってメールアカウントを設定してください。
GPGToolsはGnuPGを含むソフトウェアのパッケージです。そのパッケージをダウンロードし、既定の設定を選んでインストールしてください。インストールが終わったら、残っているウインドウはもう閉じましょう。
メールプログラムのメニューの中から「アドオン」を選択してください。これはたいてい「ツール」というメニューの下にあります。左側の選択メニューで拡張機能を選んだときにEnigmailが表示されていれば、すぐ次のステップは飛ばしてください。
表示されていなければ、上の検索バーを使って Enigmailを検索して、プラグインをインストールしてください。インストールが完了したら、メールプログラムを再起動してください。
GnuPGシステムを使うためには、公開鍵と秘密鍵が必要です。合わせて鍵ペアといいます。どちらの鍵もランダムに生成された文字や数字の長い並びで、あなた専用のものです。そして公開鍵と秘密鍵とは特別な数学的な関数で関連づけられています。
公開鍵は、鍵サーバーというオンラインディレクトリーに保存されていて、誰でも取り出すことができます。この点で普通の金物の鍵とはだいぶ違います。あなたに暗号メールを送ろうとする人は、まず公開鍵をダウンロードし、それとGnuPGを使ってあなたへの電子メールを暗号化し、それから送信します。そういう意味で鍵サーバーは電話帳のようなものだと思っていただいてよいでしょう。あなたへ暗号化メールを送ろうとする人は、電話番号を調べる代わりにあなたの公開鍵を調べるわけです。
もう片方の秘密鍵は金物の鍵に近い働きをするので、自分のコンピューターにしっかり保存しておくべきものです。GnuPGと自分だけの秘密鍵を使って、送られてきた暗号化メールを解読できます。
Enigmailセットアップウィザードが自動的に始まります。もし始まらなければ電子メールプログラムのメニューでEnigmail→設定ウィザードを選択してください。ウィザードの始めの方のウィンドウに現れる説明は読まなくてもいいですが、後のウィンドウの説明は重要です。次の説明で特に指定のある場合以外は既定のオプション(デフォルト)をそのままにして「次へ」をクリックしていきます。
次の「鍵の生成 現在、鍵を生成中です」というウィンドウでは計算が終わるまでちょっと時間がかかります。計算をしている間は映画を見るとかウェブを見るとか、とにかくパソコンを使うほど鍵の生成が速く進みます。
「Enigmail確認、鍵の生成が終了しました。失効証明書を作成することを強く推奨します。」というウィンドウが現れたら「証明書を生成」を選択し、パソコン内のフォルダを決めてそこに保存してください。このフォルダは例えばホームに「鍵失効証明書」といった名前で作り、その中へ保存することをおすすめします。電子証明書の作成でもっと詳しいことに興味があれば5章を参照してください。
メールプログラムのメニューでEnigmail→鍵の管理を選択してください。
生成した公開鍵を右クリックして、「鍵サーバーへ公開鍵をアップロード」を選んでください。ポップアップ表示される既定(デフォルト)の鍵サーバーをそのまま使いましょう。
これであなたへ暗号化されたメールを送ろうとする人が、あなたの公開鍵をインターネットからダウンロードできるようになりました。アップロードするときに鍵サーバーがいくつか表示されていてその中から選択できるのですが、実はどれも互いにコピーをとっています。つまりどの鍵サーバーへアップロードしても同じ結果になるのです。ただ、公開鍵をアップロードしてから他のサーバーへコピーされるまでに数時間かかる場合もあります。
おおざっぱにはGnuPG、GPG、GNU Privacy Guard、OpenPGP、PGPはどれも似たようなものです。細かく言えば、OpenPGPは暗号化標準のひとつで、PGPは「結構しっかりしたプライバシー」という意味の頭文字です。GNU Privacy Guardはその標準にそったプログラムの名前で、GPGとかGnuPGという頭文字で呼ばれることもあります。EnigmailはメールソフトからGnuPGを利用するためのプラグインプログラムのことです。
Edward(エドワード)という名前のプログラムにメールを送って、暗号化の使い方を練習してみましょう。次の説明は本物の人間にメールするときのステップとほぼ同じやり方ですが、違う部分だけはそのように書いてあります。
だれか人にメールするときは、このステップは不要です。電子メールプログラムのメニューでEnigmail→鍵の管理を選択してください。表示されるリストに自分の鍵が表示されるはずです。その鍵を右クリックして、コンテキストメニューの「公開鍵をメールで送る」を選択してください。新規作成ボタンを押したときと同様に新しいメールの作成ウィンドウが開きます。
宛先フィールドに「edward-ja@fsf.org」と入力します。メールの件名フイールドと本文にもそれぞれ何か一言を書いてください。でもまだ送信しないでおきます。
新規作成ウィンドウの右下に黄色い鍵のアイコンがあります。黄色は暗号化がオンになっているという意味です。でも返信ロボットのEdwardには最初のメールを暗号化せずに送りたいので、この鍵アイコンを一度クリックして暗号化をオフにしてください。鍵アイコンがグレーに変わり、青い点が表示されます。青い点はデフォルト設定ではなくなったことを表しています。こうして暗号化をオフにした状態でこのメールを送信してください。
Edwardから自動返信が届くまで2、3分かかることもあります。待っている間、下記の「GnuPGを上手く使う」のセクションを見てもいいでしょう。Edwardから返事が届いたら、次のステップに進みましょう。ここからは人間にメールを送るときと同じ手順です。
Edwardから届いた返信を開こうとするとパスワードを入力するプロンプトが現れる場合もあります。秘密鍵を使うためにパスワードが必要なのです。
電子メールのプログラムで「edward-ja@fsf.org」に宛てたメールを新規作成してください。件名を「暗号化テスト」とか、そんなものにして、メールの本文にも何か適当な内容を書きます。まだ送信しないでください。
新規作成ウィンドウの右下の鍵のアイコンは黄色になっているはずです。この状態で暗号化はオンです。新規作成するとデフォルトで暗号化がオンとなるように設定されています。
鍵アイコンのとなりに鉛筆アイコンがあります。これはメールに特別な、唯一の署名を添付するためのものです。この署名はあなたの秘密鍵から生成されますが、暗号化とはまた別なものです。このガイドではまだ使わないことにします。
ここで「送信」をクリックしてみてください。すると「Enigmail鍵の選択 鍵が無効、信用していない、もしくは見つからない受取人」というポップアップが開きます。
Edwardへのメールを暗号化するためにはEdwardの公開鍵が必要だったのです。ではEnigmailを使って公開鍵をダウンロードしましょう。「持っていない鍵のダウンロード」をクリックするとポップアップが開きますから、デフォルトで表示される鍵サーバーにしたまま検索してください。鍵が表示されたら、最初の鍵(鍵IDはC09A61E8)にチェックを付けて、OKを選択します。次のポップアップもOKをクリックしてください。
先ほどの「Enigmail鍵の選択 鍵が無効、信用していない、もしくは見つからない受取人」というポップアップに戻ってきたはずです。そこでEdwardの鍵の隣のボックスにチェックマークをつけてから、「送信」をクリックします。
Edwardにメールを送る時にEdwardの公開鍵を使用したので、解読にはEdwardの秘密鍵が必要です。Edwardの秘密鍵はEdwardにしかありませんので、Edwardだけがそのメールを解読できます。そのメールを送信したあなたでさえ解読できません。
メールを暗号化しても、メールの件名は暗号化されません。そこにはプライベートな情報を入力しないほうがいいのです。宛先も、発信人のアドレスも暗号化されませんので、監視システムに読まれる可能性があります。添付文書を送るときには、それも暗号化するかどうかがたずねられます。
Edwardではあなたからの暗号化メールが届くと自分の秘密鍵でそれを解読します。次に、先ほどステップ3.Aで送ってあったあなたの公開鍵を使って返信を暗号化し、あなたへ送信します。
Edwardからの自動返信が届くまで2、3分かかりますので、その間に「GnuPGを上手く使う」のセクションをご覧になるのもいいでしょう。
Edwardからの自動返信メールが届いたら、そのメールを開いてみてください。Enigmailはそのメールがあなたの公開鍵で暗号化されていることを自動的に認識して、あなたの秘密鍵を使って解読します。
メールを表示しているウィンドウの上のほうにEdwardの鍵のステータス情報が表示されています。
電子メールの暗号化は信頼できる技術なのですが、実は一つ欠点があります。つまり、ある人の公開鍵は本当にその人の公開鍵なのか、確認できる方法が必要���のです。そうでないと「なりすまし」、つまり悪意の第三者があなたの友人の名前を使って新しい電子メールのアカウントを開き、そのアカウントのための鍵ペアを作成して、その友人の振りをすることができてしまいます。それを防ぐために、暗号化メールのソフトを作ったフリーソフトの開発者が鍵署名と信頼の輪を作りました。
あなたが誰かの公開鍵に署名することで、その公開鍵が偽物ではなく、本当にその人の鍵だとあなたが公言するのです。あなたの公開鍵にもだれかが署名をして、公開鍵が何回署名されたかを見ることができます。あなたが長期間GnuPGを使っていれば、何百もの署名がついていることでしょう。信頼の輪とはGnuPGの全ユーザで構成され、互いの署名によって裏打されている相互信頼の巨大なネットワークです。鍵に署名が多くついているほど、そしてその署名者の鍵にも署名が多くついているほど、その鍵の信用性が高くなるのです。
各ユーザーの公開鍵は「フィンガープリント」を使って区別します。フィンガープリントは、例えばEdwardの場合、F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8といった英数字の列です。あなたの公開鍵のフィンガープリントや、あなたのコンピューターに保存されている別の人の公開鍵のフィンガープリントを表示するには、メールプログラムのEnigmail→鍵の管理メニューを選択してから鍵を右クリックし、鍵のプロパティーを選択します。あなたが誰かにメールアドレスを伝えるときは、いっしょに公開鍵のフィンガープリントも伝えるようにしましょう。その人が鍵サーバーからあなたの公開鍵をダウンロードしたとき、それが本物なのかを確認する手がかりになるからです。
公開鍵にはさらに、長さ8文字の鍵IDがついています。例えばEdwardの鍵IDはC09A61E8です。この鍵IDは、フィンガープリント文字列の最後の8字とまったく同じものです。自分の鍵IDはメールプログラムのEnigmail→鍵の管理のメニューに表示されています。鍵IDはちょうど苗字のようなもので、短くて具合がよいのですが決して重複しないわけではないのです。フィンガープリントならば鍵を完全に見分けることができて、重複はありません。鍵IDしかわからない場合でもフィンガープリントによるときと同じように、3章で説明した方法で鍵を見つけることができます。もし鍵が複数見つかった場合、相手の鍵のフィンガープリントを使って正しい鍵を選択しなければなりません。
電子メールのソフトのEnigmail→鍵の管理をクリックします。
Edwardの公開鍵を右クリックして、コンテキストメニューで「鍵に署名」を選びます。
ポップアップが表示されるので「ノーコメント」を選んでからOKをクリックしてください。
鍵の管理ウィンドウに戻ってきたはずですので、鍵サーバ→公開鍵をアップロードを選択してから、OKをクリックします。
この一連の操作であなたはEdwardの公開鍵が本当にEdwardのものだと信用する、と述べたのです。Edwardはプログラムなので人間ではありませんが、こうするのがいい習慣です。
だれかの公開鍵を署名する前に、ぜひ本当にその人の公開鍵だということと、その人が本物だということを確認してください。できれば写真付きのIDカードを示してもらい、公開鍵の短い鍵IDだけでなく、公開鍵のフィンガープリントもチェックしましょう。ポップアップに表示される「あなたが署名しようとする鍵が実際に上記の名前の人のものだとどのくらい注意して確かめましたか?」という質問にも正直に答えてください。
GnuPGの使いかたは人それぞれ少しずつ違うのですが、メールを安全にするために基本的な良い習慣を守るのが大切です。そうしないと、自分のプライバシーだけでなく相手のプライバシーも危険にさらすことになり、信頼の輪に障害を与えます。
いつも暗号化するようにすれば、その方がいいのです。なぜなら、たまにしかメールを暗号化しないと、暗号化しているメールが監視システムに注目されるかもしれません。ほぼ全部のメールが暗号化されていたら、監視する側ではどれが大事なメッセージなのかがわかりません。
でも、たまにメールを暗号化するだけでも無駄ではありません。無差別な監視に対抗する第一歩になるのですから、すばらしいことです。
GnuPGはメールをより安全にするのですが、無効な公開鍵が悪意のある者に渡る可能性があるので、気をつけなければいけません。無効な公開鍵で暗号化された電子メールは無差別監視プログラムに読まれるかもしれません。
メールプログラムでEdwardからの2番目のメールを開いてください。Edwardがあなたの公開鍵で暗号化したので、まず間違いなくEnigmailからの「Enigmail:このメッセージの一部が暗号化されています」というメッセージが表示されているでしょう。
GnuPGを使うようになったら、このメッセージバーをいつも見る習慣を身に付けてください。信頼のできない鍵で暗号化されたメールを受信したときにEnigmailは自動的に警告を表示します。
鍵ペアを作成したときにGnuPGが作った鍵の失効証明書も保存していました。ここでその証明書を一番安全な記憶媒体にコピーしておきましょう。フラッシュドライブか、ハードディスクに保存して、家のもっとも安全な場所に保存します。
もしあなたが秘密鍵を盗まれたり、なくしたりしたら、周りの人にその鍵ペアをもう使わないことを伝えるためにこの失効証明書が必要になります。
秘密鍵をなくしてしまったとか盗まれた場合、その秘密鍵で誰かがあなたへのメールを読んだりする前に、できるだけ早く失効させることが大事です。コンピューター自体を盗まれた場合や、コンピューターにネットワークから侵入された場合など、すぐに対策しましょう。鍵を失効させる方法はこのガイドの対象では���りませんので、GnuPGの公式サイトを見てその方法を実行してください。失効ができたら、あなたにメールを送りそうな人全員に連絡してください。
![[GNU Social]](http://static.fsf.org/nosvn/enc-dev0/img/gnu-social.png)
![[Pump.io]](http://static.fsf.org/nosvn/enc-dev0/img/pump.io.png)
![[Reddit]](http://static.fsf.org/nosvn/enc-dev0/img/reddit-alien.png)
![[Hacker News]](http://static.fsf.org/nosvn/enc-dev0/img/hacker-news.png)