わたしたちはコンピュータのユーザの権利のために闘い、自由のソフトウェアの開発を奨励します。大規模監視への抵抗は、わたしたちにとって非常に重要です。
わたしたちに寄付してください。そして、電子メール自衛の支援をしてください。わたしたちはこのガイドの改良を継続し、ほかの作品を作成する必要があります。世界中の人々がプライバシを守る第一歩を進められるように。
大規模監視はわたしたちの基本権を侵害し、言論の自由を危険にさらします。このガイドでは、このような監視に対する基本の自衛の技能、電子メール暗号化、を説明します。このガイドを読み終えれば、あなたのメールを傍受する監視エージェントや盗人が解読できないことを確実にするようにゴチャマゼにしたメールを送受信することができるようになります。必要なのはインターネット接続のあるコンピュータとメールアカウント、そして40分ほどです。
あなたには隠したいものが何もないとしても、暗号化を使えば通信する相手のプライバシを守るのに役立ち、わたしたちの生活を守り、大規模監視システムを困難とすることができます。もしなにか隠しておきたい大切なことがあるなら、頼りになるツールがあります。それは告発者が使うのと同じツールです。告発者は身元を守りつつ、人権侵害や汚職などの犯罪を明らかにするために使うのです。
暗号化に加えて、監視に立ち向かうには政治的に闘い、わたしたちについて収集されるデータの量を削減する必要がありますが、その重要な第一歩はあなた自身を守ること、そしてできるだけあなたの通信を監視されにくいようにすることです。このガイドはそうするのに役立ちます。このガイドは初心者が対象ですが、GnuPGの基本を既に知っていたり、自由ソフトウェアを普段から使っているユーザであっても、高度なコツと知り合いに教えるためのガイドを楽しめるでしょう。
このガイドは自由にライセンスされるソフトウェアに依拠しています。このようなソフトウェアは完全な透明性があり、だれでもコピーができ、また、自分のバーションを作成できます。これは、(ウィンドウズのような)プロプライエタリなソフトウェアよりも、監視から安全にします。自分の自由を守るため、また、監視から自身を守るためにも、GNU/Linuxのような、自由ソフトウェアのオペレーティング・システムに切り替えることをわたしたちは勧めます。自由ソフトウェアについてについて詳しく知るにはfsf.orgをご覧ください。
始めるには、デスクトップ用のメールプログラムIceDoveがあなたのコンピュータにインストールされている必要があります。あなたのシステムでは、IceDoveは別名の"Thunderbird"と呼ばれているかもしれません。メール・プログラムは、ブラウザでアクセスできる(Gmailのような)メール・アカウントをアクセスする別の方法ですが、ほかの機能も提供します。
メール・プログラムが既にインストールされているなら、ステップ1.bに進んでください。
メール・プログラムを起動し、ウィザード(順序だった案内)の指示に従ってメール・アカウントを設定してください。
GPG4WinはGnuPGを含むソフトウェア・パッケージです。そのパッケージをダウンロードし、既定の設定を選んでインストールしてください。インストールが終わったら、残されたウインドウは閉じて問題ありません。
メール・プログラムのメニューの中から「アドオン」を選択してください(これは「ツール」というメニューの中にあるかもしれません)。左側の選択メニューで「拡張機能」を選んでください。ここでEnigmailが表示されていれば、このステップは飛ばしてください。
表示されていなければ、右上の検索バーで"Enigmail"を検索してください。ここから取得できます。完了したら、メール・プログラムを再起動してください。
GnuPGシステムを使うためには、公開鍵とプライベート鍵が必要です(これは合わせて鍵ペアとして知られます)。どちらの鍵もランダムに生成された文字や数字の長い列で、あなただけの唯一のものです。そして公開鍵とプライベート鍵とは特別な数学的な関数で関連づけられています。
公開鍵は物理的な鍵のようではありません。なぜなら、公開鍵は鍵サーバと呼ばれるオンライン・ディレクトリに公開で保存されますから。人々はGnuPGであなたの公開鍵をダウンロードして用い、メールを暗号化してあなたに送ります。鍵サーバは電話帳のようなものだと考えることができるでしょう。あなたへ暗号メールを送ろうとする人は、あなたの公開鍵を調べるのです。
(対して、)プライベート鍵は物理的な鍵のようなもので、自分自身に(自分のコンピュータで)保管するものです。GnuPGと自分のプライベート鍵を使って、ほかの人があなたに送った暗号メールを解読します。あなたのプライベート鍵をだれかと共有することは、どんな状況でも決してするべきではありません。
暗号と復号に加えて、この鍵を使って、メッセージに署名したり、ほかの人の署名の確実性を確認することもできます。詳しくは次のセクションで議論します。
Enigmailセットアップウィザードが自動的に始まります。もし始まらなければ、電子メール・プログラムのメニューでEnigmail→「セットアップウィザード」を選択してください。(最初に)ポップアップするウィンドウの文章は、読みたくなければ読む必要はありませんが、後に出るウィザードの画面の文章は、読んだ方が良いです。既定のオプション(デフォルト)を選択して「次へ」をクリックしていきます。デフォルト以外を選ぶ場合は順次、該当のところで説明します:
パスワードを手動で選びたい場合、なにか覚えられるもので、最低でも12文字以上とし、大文字・小文字が一個以上、数字や句読点の文字が一個以上含まれるものを選んでください。ほかの場所で使っているパスワードを決して選ばないでください。誕生日、電話番号、ペットの名前、歌詞、本からの引用、などの認識可能なパターンを使うのはやめましょう。
「鍵の生成」の画面ではプログラムは終了するまでちょっと時間がかかります。待っている間、なにかほかのことをコンピュータで行ってください。動画を見たり、ウェブを見たり、ここでコンピュータを使うほど鍵の生成が速く進みます。
「鍵生成が完了しました。」の画面が現れたら、「失効証明書の生成」を選択し、コンピュータ内にフォルダを決めてそこに保存してください。(ホームフォルダに「失効証明書」というフォルダを作り、その中へ保存することをわたしたちは推奨します。) ここはあなたの電子メール自衛にとって重要です。より詳しくは、セクション5で学びます。
メール・プログラムのメニューでEnigmail→「鍵の管理」を選択してください。
生成した公開鍵を右クリックして、「鍵サーバへ公開鍵をアップロード」を選んでください。ポップアップで表示される既定(デフォルト)の鍵サーバをそのまま使いましょう。
これであなたへ暗号メッセージを送ろうとする人が、あなたの公開鍵をインターネットからダウンロードできるようになりました。アップロードするときには、メニューから選択できる複数の鍵サーバがありますが、それらはすべて互いのコピーです。ですから、どれを使うかは関係しません。しかし、新しい鍵がアップロードされたとき、それぞれのサーバへコピーされるまでに時に数時間かかります。
通常、GnuPG, GPG, GNU Privacy Guard, OpenPGP, PGPはどれもほとんど同じ意味で使われます。技術的には、OpenPGP (Pretty Good Privacy「なかなかよろしいプライバシ」)は暗号標準で、GNU Privacy Guard (よくGPGやGnuPGと略されます)は、その標準を実装したプログラムです。Enigmailはメール・プログラムからGnuPGのインタフェースを提供するプラグイン・プログラムです。
さあ、ここでコンピュータ・プログラムを通信相手に試してみましょう。名前はEdward君で、暗号の使い方を知っています。注釈がない限り、以下は実際の本物の人間に対して通信するときのステップとちょうど同じです。
このステップは特別なステップで、実際の人間に連絡するときには必要ありません。メール・プログラムのメニューでEnigmail→「鍵の管理」に行きます。ポップアップしたウィンドウで、リストにあなたの鍵があるはずです。あなたの鍵を右クリックし、「公開鍵をメールで送る」を選択してください。メッセージの新規作成ボタンを押したときと同様に、新しいメッセージの作成が開きます。
メッセージの宛先はedward-ja@fsf.orgとします。メールの件名と本文にもそれぞれ一語(なんでも良いです)を書いてください。ここでは、まだ送信しません。
左上にある、錠アイコンが黄色になっているはずです。黄色は暗号がオンになっているという意味です。でも返信ロボットのEdward君には最初のメールを暗号化せずに送りたいので、この錠アイコンを一度クリックして暗号をオフにしてください。錠がグレーに変わり、青い点が表示されます(青い点はデフォルト設定ではなくなったことを表しています)。こうして暗号をオフにした状態でこの「送信」を押してください。
Edward君が返信するのに2, 3分かかりますので。その間、ちょっと先に行って、このガイドの「上手に使う」のセクションを見ておくのもいいでしょう。Edward君から返事が届いたら、次のステップに進みましょう。ここからは実際の人間と通信するときと同じ手順を踏みます。
Edward君から届いた返信を開くとき、それを復号するためにプライベート鍵を使う前に、GnuPGはパスワードを入力するように催促するでしょう。
メール・プログラムでedward-ja@fsf.orgに宛てたメールを新規作成してください。件名を「暗号テスト」などにして、メールの本文には何らかの内容を書きます。
左上の錠アイコンは黄色になっているはずです。この状態で暗号はオンです。ここから、これがデフォルトです。
錠のとなりに鉛筆アイコンがあります。これはちょっとあとで説明します。
ここで「送信」をクリックしてください。するとEnigmailはウィンドウをポップアップし、「鍵が無効、信用していない、もしくは見つからない受取人」と表示します。
Edward君へのメールを暗号化するためにはEdward君の公開鍵が必要です。ですから、Enigmailで鍵サーバから公開鍵をダウンロードしましょう。「持っていない鍵のダウンロード」をクリックするとウィンドウがポップアップしますので、そこでデフォルトで表示される鍵サーバを選択し、検索してください。鍵が表示されたら、最初の鍵(Cで始まる鍵ID)をチェックし、OKを選択します。次のポップアップもOKをクリックしてください。
ここで「鍵が無効、信用していない、もしくは見つからない受取人」の画面に戻ってきたはずです。そこでEdward君の鍵の前のボックスをチェックしてから、「送信」をクリックします。
このメールはEdward君の公開鍵で暗号化したので、復号にはEdward君のプライベート鍵が必要です。Edward君にしかEdward君のプライベート鍵はありませんので、Edward君以外、だれもそのメールを復号できません。
メールを暗号化しても、メールの件名は暗号化されません。ですから、そこにはプライベートな情報を書かないようにしましょう。受信者も発信者のアドレスも暗号化されないので、監視システムはあなたとだれが通信しているかを知ることができます。また、監視エージェントは、たとえなにを言っているのだかわからなくても、あなたがGnuPGを使っていることを知るでしょう。添付を送るときには、Enigmailはメール本文と独立に、添付を暗号化するのかどうかの選択を聞いてきます。
Edward君はあなたのメールを受信すると、自分のプライベート鍵でそれを復号します。そして、(先ほどステップ3.Aで送ってあった)あなたの公開鍵を使って返信を暗号化し、あなたへ送信します。
Edward君が返信するのに2, 3分かかりますので。その間、ちょっと先に行って、このガイドの「上手に使う」のセクションを見ておくのもいいでしょう。
Edward君のメールを受信して開くと、Enigmailは自動的にそのメールがあなたの公開鍵で暗号化されていることを検出し、そして、あなたのプライベート鍵を使って復号します。
メッセージの上にEnigmailは情報を表示することに気をつけてください。Edward君の鍵のステータス情報が表示されています。
GnuPGではメッセージや添付ファイルに署名をつけることができます。署名すると本当にあなたが送ったものであって、途中で書き変えられたりしていないことを受け取った人が確認できるのです。これはペンと紙の署名よりもずっと強力です。偽造できないのです。なぜなら署名はあなたのプライベート鍵なしには作成できないからです(これもプライベート鍵を安全に保持しておきたい理由です)。
あなたはだれにでもメッセージに署名をすることができるので、これは、あなたがGnuPGを使っていることを人々に知らせ、人々があなたと安全に通信できることを知らせるすばらしい方法です。GnuPGをもってなくても、あなたのメッセージは読めますし、署名を見ることができます。GnuPGを持っていれば、署名が真正か検証することもできるのです。
Edward君へ送るメールに署名するには、何かメッセージを作成し、錠アイコンのとなりにある鉛筆アイコンをクリックし、鉛筆アイコンを金色にします。メッセージに署名すると、GnuPGはメッセージを送信する前に、あなたに、パスワードをたずねるかもしれません。なぜなら、署名のためにプライベート鍵を解除する必要があるからです。
錠アイコンと鉛筆アイコンで、メッセージを暗号化する、署名する、両方、どちらもなし、をあなたは選択できます。
あなたからのメールがEdward君に届くと、Edward君はあなたの公開鍵(ステップ3.Aで送ったもの)を使って、あなたの署名が本物であり、メッセージの内容が途中で変更されていないことを確認します。
Edward君が返信するのに2, 3分かかりますので。その間、ちょっと先に行って、このガイドの「上手に使う」のセクションを見ておくのもいいでしょう。
Edward君から返信は暗号化されて届きます。できる限り暗号を使うように設定されているのです。計画どおりにすべてがうまくいけば、「あなたの署名を確認できました」と表示されるでしょう。もしあなたが署名付メールを暗号化して送っていれば、Edward君はそのことも始めに述べます。
電子メールの暗号化は強力な技術ですが、欠点があります。つまり、ある人の公開鍵が本当にその人の公開鍵なのか、検証する方法が必要なのです。そうでないと、攻撃者があなたの知り合いの名前で電子メールのアカウントを作り、その鍵を作成し、あなたの知り合いを装うことを止める手段がなくなってしまいます。これが、メールの暗号化を開発した自由ソフトウェア・プログラマが鍵への署名と信用の網を創設した理由です。
あなたがだれかの鍵に署名すると、それはすなわち、鍵がその人に属すもので、ほかのだれのものでもないことを検証した、とあなたが公けに述べていることになります。
公開鍵に署名するのとメッセージに署名するのは、同型の数学的操作を利用していますが、それらはまったく異なる意味をもっています。普通にメールに署名をするのは良い慣習です。しかし、人々の鍵に気楽に署名すると、間違って詐欺師のアイデンティテイを請け合うことになってしまうかもしれません。
あなたの公開鍵を使う人は、だれがそれに署名したかを見ることができます。長期間GnuPGを使っていくと、何百も署名が付くこともあるでしょう。たくさんのあなたの信用する人からの署名がある場合、ある鍵はあなたの信頼に値すると考えられます。信用の網は、GnuPGユーザの星座で、署名で表現された信用が互いにつながっているのです。
メール・プログラムのメニューからEnigmail→「鍵の管理」を選択します。
Edward君の公開鍵を右クリックして、コンテキストメニューで「鍵に署名」を選びます。
ポップアップしたウィンドウで、「ノーコメント」を選び、OKをクリックしてください。
鍵の管理ウィンドウに戻ってきたはずですので、鍵サーバ→「公開鍵をアップロード」を選択してから、OKをクリックします。
これで、あなたは実効的に「Edward君の公開鍵は実際にEdward君のものだとわたしは信用します」と述べたことになります。このEdward君は現実の人間ではないので、たいした意味はありませんが、これは良い慣習です。
人々の公開鍵は通常フィンガープリントによって同定します。フィンガープリントは、F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8(Edward君の鍵です)のような英数字の文字列です。あなたの公開鍵のフィンガープリントや、あなたのコンピュータに保存されている公開鍵のフィンガープリントを表示するには、メール・プログラムのメニューから、Enigmail→「鍵の管理」に行って、鍵を右クリックし、鍵のプロパティを選択します。あなたがメールアドレスを伝えるときには、いつでもフィンガープリントを伝えることが良い慣習です。そうすれば、人々は鍵サーバからあなたの公開鍵をダウンロードするとき、正しい公開鍵なのか二重チェックすることができます。
鍵IDで公開鍵が参照されることもあります。それは単にフィンガープリントの最後の8文字です。たとえばEdward君の鍵IDはC09A61E8です。この鍵IDは「鍵の管理」のウィンドウから直接見ることができます。鍵IDは人の姓のようなもので(有用な短縮形ですが鍵に唯一ではないかもしれません)ある一方、フィンガープリントは実際に鍵を混乱の可能性なく唯一に同定します。鍵IDしかない場合でも(フィンガープリント同様)、ステップ3で行ったように鍵を検索できますが、複数の鍵が現れた場合、どれを使ったらよいか確認するためにあなたが通信しようとする人のフィンガープリントが必要となるでしょう。
ある人の鍵に署名する前に、その鍵が本当にその人に属すこと、そして、その人が言っているのと同一の人だということについて、あなたは確信が持てる必要があります。理想的には、その人と時に連れてやりとりをし、また会話をし、その人とほかの人とのやりとりを見ながら、そのようにして得た確信であることが望ましいでしょう。鍵に署名をする際にはいつでも、単なる短い鍵IDだけでなく、公開鍵の完全なフィンガープリントを見たいとお願いしましょう。今あったばかりの人の鍵に署名するのが重要と感じる場合は、政府の身分証明書も見せてもらうよう、お願いしましょう。そして、身分証明書の名前と公開鍵の名前が一致しているか確認しましょう。Enigmailで、ポップアップするウィンドウで「あなたが署名しようとしている鍵が実際に上記の名前の人のものだとどのくらい注意して確かめましたか?」と聞かれたら正直に答えましょう。
人それぞれ、GnuPGを少しずつ違うように使いますが、メールを安全に保つためには、いくつかの基本的な慣習にしたがうことが重要です。そうしないと、自分自身のプライバシはもとより、通信する相手のプライバシも危険にさらすことになり、信用の網をいためてしまいます。
より多くのメッセージを暗号化できれば、よりよいでしょう。たまにしかメールを暗号化しないと、暗号化されているメッセージが、監視システムに注目されるかもしれません。すべてもしくはほとんどのあなたのメールが暗号化されていれば、監視する側はどこから手をつけようか困るでしょう。これは、いくつかのあなたのメールを暗号化することが役立たないといっているわけではありません。それは重要なスタートで、大規模監視をより困難にするのです。
あなた自身のアイデンティティを明かしたくない(その場合は別の保護手段が必要となります)というのでなければ、すべてのメッセージに署名しない理由はありません。GnuPGを持っている人々があなたからのメッセージを検証することが可能となるのに加えて、署名は、あなたがGnuPGを使っており、セキュアな通信を支持していることを、すべての人に思い出させる邪魔をしない方法です。GnuPGに親しくない人々に署名付きのメッセージをしばしば送信する場合、このガイドへのリンクを標準メールの署名(電子署名ではなくテキストの方です)に含めると良いでしょう。
GnuPGはメールをより安全にするのですが、無効な鍵に気をつけなければいけません。そういった鍵は間違った者の手に渡る可能性があります。無効な公開鍵で暗号化された電子メールは監視プログラムが読めるものとなるかもしれません。
メール・プログラムでEdward君があなたに送信した最初の暗号メールを開いてください。Edward君があなたの公開鍵で暗号化したので、上部にEnigmailからのメッセージが表示されているでしょう。それはおそらく「Enigmail: 復号されたメッセージ; ...」というようになっているでしょう。
GnuPGを使うときは、このバーをいつもチラリと見る習慣を身に付けてください。信頼できない鍵で暗号化されたメールを受信したときにEnigmailはそこに警告します。
鍵を作成しGnuPGが作成した失効証明書を保存したときを覚えていますか。ここでその証明書をあなたが持っている一番安全な記憶媒体にコピーしましょう。理想的なのはあなたの家の安全な場所に保管されるUSBメモリ、CDあるいはハード・ディスクです。いつも持ち歩くデバイスではありません。
もし、プライベート鍵をなくしたり盗まれたりしたら、人々にその鍵ペアをもう使っていないことを知らせるために、この失効証明書ファイルが必要になります。
あなたが自分のプライベート鍵をなくしたり、だれかが(あなたのコンピュータを盗んだり、侵入することで)それを手に入れた場合、重要なのはその鍵をすぐに失効させることです。ほかのだれかが、それを使ってあなたの暗号メールを読んだり、あなたの書名を偽造する前にです。このガイドでは、鍵を失効させる方法までは扱いませんが、この説明(英語)が利用できるでしょう。失効させたのち、新しい鍵を作り、通常あなたが鍵を使って(暗号メールを送って)いる全員に一通のメールを送信し、確実に知らせます。新しい鍵のコピーも含めます。
メールにアクセスするのにブラウザを使っている場合、あなたはウェブメール、つまり、遠くのウェブサイトに置かれたメール・プログラムを使っています。ウェブメールと違い、デスクトップのメール・プログラムはあなたのコンピュータで動きます。ウェブメールは暗号メールを復号できませんが、それでも暗号化状態のまま表示します。ウェブメールを主に利用するならば、暗号メールを受信したときにメール・クライアントを起動(して復号)することを知りましょう。
![[GNU Social]](http://static.fsf.org/nosvn/enc-dev0/img/gnu-social.png)
![[Pump.io]](http://static.fsf.org/nosvn/enc-dev0/img/pump.io.png)
![[Reddit]](http://static.fsf.org/nosvn/enc-dev0/img/reddit-alien.png)
![[Hacker News]](http://static.fsf.org/nosvn/enc-dev0/img/hacker-news.png)