電子署名
電子署名は、暗号化と密接に関連しています。電子署名を使用すると、データの発信者が作成者かどうか、誰もデータを変更していないかどうかを判断できます。メールメッセージだけでなく、文書のフィールドやセクションに電子署名を追加することもできます。データベースのフィールドやセクションを署名可能にするかどうかはデータベース設計者が決めます。メールメッセージに署名するかどうかは個々のユーザーが選択できます。
ユーザーは、Notes® ユーザー、または Microsoft™ Outlook Express® などの S/MIME プロトコルをサポートするその他のメールアプリケーションに送信されるメールに署名できます。Domino® は、暗号化に使用するのと同じキー (Notes® のパブリックキーとプライベートキーか、インターネットのパブリックキーとプライベートキー) を使用して電子署名を行います。
S/MIME の署名と暗号化に別々のキーを使用するよう Notes® を設定することもできます。この場合、2 つのインターネット証明書を Notes® ID ファイルに追加して、1 つの証明書を S/MIME 暗号化に、もう一方を S/MIME 署名と TLS クライアント認証に使用します。インターネット証明書を 2 つ使用すると、暗号化と、電子署名と TLS クライアント認証でパブリック・キーとプライベート・キーのペアを使い分けることができます。
署名付きのフィールドとセクションを作成する方法の詳細については、HCL Domino® Designer ヘルプ のトピック「フィールドの暗号化を有効にする」を参照してください。
Notes® 署名
送信者が Notes® を使用して署名をすると、メールのすべてのフィールドに署名されます。
- Notes® により、データのハッシュ、つまりデータを表す番号が生成され、データ作成者のプライベートキーで暗号化されます。これが署名になります。ハッシュは、「メッセージダイジェスト」と呼ばれることもあり、次の特性を備えています。
- ダイジェストを見ても、元のメールメッセージを推測することはできません。
- メールメッセージを少し変更しただけでも、予測不能な方法でダイジェストが変更され、まったく異なる値が生成されます。
- Notes® により、署名、署名者のパブリックキー、署名者の証明書がデータに添付されます。
- 署名付きデータに読者がアクセスすると、Notes® により照合が行われます。これは、読者が信用している認証者が発行した共通認証かその原形を署名者が持っているかどうかを確認するものです。持っている場合は、Notes® により、署名時に使用されたプライベートキーに対応するパブリックキーで署名の暗号が解除されます。
- 暗号が正常に解除されると、メールの署名者名が Notes® に表示されます。失敗すると、Notes® により、署名を照合できなかったことを示すメッセージが表示されます。暗号の解除と照合に失敗した場合は、データが改ざんされていることを示す可能性があります。 注: 証明書の信頼性チェックは、ハッシュによる暗号の解除と照合とは無関係に実行されます。証明書を信頼できない場合でも、暗号の解除と照合に成功することがあります。たとえば、別の会社のユーザーからメールを受け取った場合に、そのユーザーが相互認証されていなくても、暗号解除に成功することがあります。
S/MIME の署名
送信者が S/MIME を使用してメールに署名すると、メールの本文と添付書類だけに署名が付きます。
- Notes® によって、署名付きのデータハッシュが生成され、データ作成者のプライベートキーで暗号化されます。これが署名になります。
- Notes® によって、証明書チェーン (その証明書に対する階層内の全認証者のリスト) と署名がデータに添付されます。
- 署名付きデータに読者がアクセスすると、Notes® やメールアプリケーションにより照合が行われます。これは、読者が信用している認証者が発行した共通認証かその原形を署名者が持っているかどうかを確認するものです。持っている場合は、Notes® またはメールアプリケーションにより、署名時に使用されたプライベートキーに対応するパブリックキーで署名付きデータの暗号が解除されます。 注: 通常、Notes® ユーザーの組織認証者は、署名者の認証機関 (CA) に対して相互認証を発行します。Notes® ユーザーが署名者の証明書や署名者の認証機関に直接相互認証を発行した場合も、信頼関係が確立されます。Notes® ユーザーの組織認証者が、署名者の証明書に相互認証を直接発行することもできます。
- Notes® やメールアプリケーションは、暗号解除されたハッシュと、読者がメールから生成したハッシュを照合します。一致した場合は、署名が有効であることを意味します。
- ダイジェストの照合に成功すると、メールの署名者名が Notes® か S/MIME メールアプリケーションに表示されます。失敗すると、署名を照合できなかったことを示すメッセージが表示されます。暗号の解除と照合に失敗した場合は、データが改ざんされていることを示す可能性があります。 注: 証明書の信頼性チェックは、ハッシュによる暗号の解除と照合とは無関係に実行されます。証明書を信頼できない場合でも、暗号の解除と照合に成功することがあります。たとえば、別の会社のユーザーからメールを受け取った場合に、そのユーザーが相互認証されていなくても、暗号解除に成功することがあります。
送信メールに署名する
Notes® クライアントのユーザーが、送信するメールに署名するかどうかを選択します。メールメッセージに個別に署名する方法と、送信するメールメッセージすべてに署名する方法があります。S/MIME メールアプリケーションのユーザーに署名付きメールを送信する場合、Notes® ユーザーはインターネット用のパブリックキーとプライベートキーのセットが別途必要になります。
メールへの署名の詳細については、『HCL Notes® ヘルプ』の「メールメッセージを暗号化し、デジタル署名を付ける」のトピックを参照してください。