debiruはてなメモ

はてなブログの HTML が Invalid なの、わたし、気になります

【8日目】IPAに脆弱性情報をメールで届出する方法

8日目の記事です

この連載を読む人がどういう話題を期待しているのかは分かりませんが、昨日のようなあまりに関係のない内容を扱ってしまうとつまらないばかりになってしまう気もするので、脆弱性なり技術的な話に寄せたほうがいいのかなと思ったりもしている9日目です。

ということで、ウェブ届出フォームの話を書いてみます。

前に届出したメールの内容(平文)

届出様式に則って、2015年12月22日に書いた VALUE DOMAIN の件の本文はこちらです。

IPA に届け出を行う手順

「メール」で届け出を行う場合は次のようにします。

(1) 電子メール

下記の届出様式に則り必要事項を記入の上、メールでご連絡ください。IPAでは PGP公開鍵による暗号化を推奨しています。ただし、暗号化は必須ではありません。

電子メールアドレス
vuln-info@ipa.go.jp
電子メールの件名
記入の手引きに記載している内容を記入してください。
PGP暗号鍵
https://www.ipa.go.jp/security/pgp/index.html

届出の際には、以下の届出様式をご利用ください。

これは https://www.ipa.go.jp/security/vuln/report/ に書かれています。

つまり、上記の様式に沿った形式で内容を記入し、そのままメールを送るだけです。

PGP暗号でメール本文を暗号化する場合

暗号化は必須ではないとされていますが、脆弱性が修正される前に脆弱性情報が公開されてしまうと悪用される懸念があるため、内容を暗号化して扱えるように IPAPGP 公開鍵を公開しています。

公開鍵ではデータを暗号化することはできますが、復号することはできません。復号するための秘密鍵IPA だけが持っています。

macOS であれば brewbrew install gnupg などとすれば PGP を扱うためのコマンド(gpg)が使えるようになります。

#### 作業ディレクトリはどこでもよい
cd ~/

#### gpg に登録済みのキーを確認する
gpg --list-keys

#### gpg に公開鍵を登録する
# IPA の公開鍵を用意する(この URL は毎年変わる)
wget https://www.ipa.go.jp/security/pgp/fy29.asc
# gpg にそれを登録する
gpg --import vuln-info-fy29.asc

#### 改めて gpg に登録済みのキーを確認する
gpg --list-keys

#### メール本文を暗号化する(body.txt を暗号化する場合)
# https://gnupg.org/documentation/manpage.html
# -e は encrypt(暗号化)を実行
# -a は ASCII 形式で出力(バイナリでなくテキスト)
# -r は使う公開鍵の指定(登録済みの鍵のメールアドレスを指定する)
gpg -ear vuln-info@ipa.go.jp body.txt

#### 暗号化された本文が生成される
cat body.txt.asc

body.txt.asc の中身はこんな感じになります。

-----BEGIN PGP MESSAGE-----
Comment: GPGTools - https://gpgtools.org

hQIOAwWJDAtamxYZEAf/VSXayxqv8PYEWb0syhGT+BazTKXej3Fvkc1JqMycTaER
qbm1o7Hay4ca6dpfij7LoA3rcKpsjJJxh/m1Bhc2t3FFrlATZkwkHJpwUriC1JS5
WFAPRs4vypCv0Ou2/0orReLINv60jmkyLOxmZjCZu2R2Jm2icvYNz6lNWRpah/No
2mg9eV4RPIymj9S7jY2ycE6LuI6plq/r1+ZdUoCzQzDLh7hqkf4MWlX72lQj4Ew1
lJ7Y14DEa19ZXyvXkGS9W9+4GBCo/3dAJC7CUT8rUo4+su9XeXcdWhPVbKHwtKQD
dlJ3komUD8CnPQhZ37UP9GX8XsS/jt2mFG6OhQ/uVgf/VyEtv7V28PwQnNnW19Jw
c3rM3vsn5aTKiYP8tcgHYTLnnZJl01fCIi/I2Cl/Q6WDvWUk3FWbmD2prqIGbb/d
v+A1G/ehP6s629kYX84elrVnd22Y2GicEtsY2q0voYWxYHyIunK07Dfju3Y42UOE
ScjMTGygytbecOke1BsKXMkRgyAZOnc3JCHGJ+WxXuOremKXsWVCgROBdhLIBW7t
97WjL5KPciPRcRhQ73G/Wf78tIjfpRs3T3Z4X9xvxw2vl0/qG48jsiWspaQR2dCJ
0blZWgAYNaglyx7h0Bp3VNjHqeQg71j9xItDoAKgVqDyY6Hez2zT7LSApBTKawsW
i9KNAYq3SnZKOj+jlZePKEvaY6Zf+lmpzHhlYDwyP7NHZ/39fA2QlmMIlfS+/jx/
aoPsC/mNOVBHoH++xy8DLE8ViRQK5Ii3phni8HkVl35YRrsvzN3WzTXUFeyuhyuh
k+FH8zYvvkFqwvxDMUOnOKofsS7m70x7sc4PWGhl1qxtGQv57KWTbZaz0YAm1HHI
=YX9P
-----END PGP MESSAGE-----

上記の暗号化された「元のメッセージ」が何か分かりますか?それを知ることができるのは秘密鍵を持っている IPA だけです。

なお、届出様式の最後の方に書いてありますが、逆に IPA からの返信を届け出た人の PGP 公開鍵を使って暗号化することをお願いすることもできます。これは必要ないと思えば暗号化をお願いする必要はありません。

というか一般的にはメーラーの方で PGP 鍵を設定して、メーラーの操作で暗号化(あるいは受信メールを復号)することが多いようです。

今日のステータス

https://www.ipa.go.jp/security/vuln/report/index.html

改修中

「ウェブ届出フォームはいつ公開されるのでしょうか」(上で暗号化したメッセージ)

これはウェブ届出フォーム Advent Calendar 2017 の記事です。

Next debiru's HINT 「ホームページいうな