Windows 環境への GnuPG の導入と運用

• 本文書について
• GnuPT のインストール
• GPGrelayの日本語化
• GnuPG の設定
  • 自分の鍵ペア（公開鍵と秘密鍵）の作成
  • 自分の公開鍵のエクスポート（書き出し）
  • 他人の公開鍵のインポート（登録）
• GPGrelay の設定
  • 復号化のための準備
  • 暗号化・署名のための準備
• メーラーの設定
  • Outlook Express の設定
• GnuPG (WinPT) の運用
  • WinPT を使用したファイルの暗号化
  • WinPT を使用したファイルの復号化
  • WinPT を使用したファイルへの署名
  • WinPT を使用した署名ファイルの検証

本文書について ↑

ビジネスの場において、送受信するメールの暗号化・署名を行いたい、ファイルの暗号化・署名を行いたいといった場合、コストをかけずに実現するためには GnuPG を用いることが現状では最も現実的でしょう。
しかし、一般ユーザのレベルで導入から運用まで可能になるような記事やWebページが見当たらないというのもまた現実です。

この文書は「システム管理者」レベルのユーザが GnuPG の導入を行うにあたり、周囲の「一般ユーザ」レベルに配ることの出来るマニュアルになることを目指します。
なお、本文書中の設定や運用方法については、あくまでも使用方法の一例ととらえていただきたく思います。

GnuPT のインストール ↑

GnuPT をダウンロードしてきます。
2005年4月10日現在の最新版は GnuPT 2.6.1.1 になっています。
ドイツ語版もリリースされていますので、英語版のインストーラをダウンロードするように注意しましょう。
英語版のインストーラは http://www.equipmente.de/viewtopic.php?p=1080#1080 にあります。

インストールに関しての注意事項が表示されます。 PowerUsers? 権限もしくは Administrator 権限を持っていない場合、インストールディレクトリの選択の際に「C:\Program Files」から「C:\Documents and Settings\ユーザー名」に変更するようにという指示が書いてあります。

「GnuPT セットアッププログラムへようこそ。お使いのコンピュータに GnuPT をインストールします。利用中のアプリケーションを全て終了してから作業を続けてください。続ける場合は Next を、やめる場合は Cancel をクリックしてください」と書かれています。

利用許諾の画面です。「No」をクリックするとインストールは終了します。インストールするには GNU GENERAL PUBLIC LICENSE Version 2 に同意し「Yes」をクリックします。
GENERAL PUBLIC LICENSE は Gnu のページ で読むこともできます。

インストールされるソフトウェアとバージョンが表示されます。

インストールするディレクトリを選択します。
インストールするユーザーが PowerUsers? 権限もしくは Administrator 権限を持っていない場合、初めの画面の注意の通り、ディレクトリを「C:\Program Files」から「C:\Documents and Settings\ユーザー名」に変更するようにしてください。

鍵リングを置く場所を選択してください。

選択しない場合、次のようにエラーが表示されます。

「Browse...」ボタンを押してフォルダを選択します。

インストールするソフトウェアを選択します。
今回はWinPT, GPGrelayの両方のソフトをインストールしますので、特に変更する必要はありません。
なお、GnuPG は必須のソフトウェアのためチェックを外すことは出来ません。

スタートメニュー内に作成するフォルダ名を変更出来ます。

Windows の起動時に実行するかどうか（スタートアップに登録するか）
ファイルの関連付けを行うかどうかを選択します。

インストールの設定を確認します。よければ「Install...」ボタンを押してください。

インストールが進行していきます。

インストールが完了しました。
Windows Privacy Tray の設定を行うために WinPT を起動するならチェックを入れたまま「Finish」を、設定は今すぐは行わないということであればチェックを外して「Finish」ボタンを押してください。

インストールの画像は異なるバージョンの画像が混在していますがご容赦下さい。本質的に違いはありません。

GPGrelayの日本語化 ↑

venona様作成の GnuPGとpgpdumpのページ にGPGrelayを日本語化するファイル、GPGrelay 0.955 日本語メッセージ用 DLL ファイル が公開されています。
GPGrelay 0.955 日本語メッセージ用 DLL ファイル をダウンロードし、解凍して出来た GPGrelay.lang.dll を GPGrelay 本体 (GPGrelay.exe) のあるディレクトリと同じ場所にコピーしてください。
gpgrelay.ja.po ファイルはもとの英語と日本語訳を照合したい方の参考用とのことですので、必要があれば参照下さい。
なお、GPGrelay.lang.dll のコピー先は、GnuPT のインストール時にインストールするディレクトリを変更していなければ「C:\Program Files\GnuPT\GPGRelay」にコピーすることになるかと思います。

GnuPG の設定 ↑

自分の鍵ペア（公開鍵と秘密鍵）の作成 ↑

日本語化されている GPGrelay を使って鍵ペアを作ります。

自分の公開鍵のエクスポート（書き出し） ↑

他人の公開鍵のインポート（登録） ↑

GPGrelay の設定 ↑

GPGrelay を使用するためにはまず、自分の秘密鍵／公開鍵の設定、暗号化されたメールを受け取った場合の処理の設定、送信時に自動で暗号化される必要性があるならメールを送信する相手の公開鍵、および鍵の所有者によって GPGrelay の設定を変えるという作業が必要になります。

復号化のための準備 ↑

まず、自動的に復号化されるようにします。

ここに現在使っているメールサーバーの設定を書き加えていくことになります。「追加」ボタンをクリックして個別の設定を登録する画面に移ってください。

まず、画面左下の「種類」は POP3 にチェックをつけてください。

「名称(表示用)」の部分は適宜自分のわかりやすい名前を入力してください。

自ホストのポートはメーラーのほうに出力するポート番号です。30000〜34000の範囲で適当に番号を入力してください。ただし、後でメーラーの設定を行う際に必要となりますので設定したポート番号は覚えておいてください。環境によっては選択したポートがすでに他のアプリケーション等で利用されていて使えない場合がありますので、その場合は別のポート番号を入力し直してください。
「サーバのドメイン名」 は今お使いの POP3 サーバー名です。「サーバのポート」に関しては通常変更する必要はありません。

「プロトコルの変換」に関しては、現在お使いのメールサーバーが APOP 認証を行っている場合にチェックを入れてください。(追記)

次に「鍵の設定」というタブをクリックして移動してください。

今は復号化の設定をしていますので自分の鍵の設定を行います。

自分の鍵を選択し、「鍵の編集」をクリックしてください。自分の鍵の設定をします。特に設定が必要なのは「秘密鍵の設定」の部分です。

「パスフレーズに入力後に記憶する時間」という方を選択すると、暗号化メールをメーラーで受信したときに自分のパスワードの入力を促されます。秒数の設定はメーラーの一回の受信時間(120秒程度にしておけば大丈夫でしょうか)を入力します。例えば0秒にしておいた場合、1度の受信時に暗号化メールを複数受け取った場合、それぞれの受信のたびにパスワードが必要となることになります。

「常にこのパスフレーズを使う」という方を選択し、右の空欄に自分のパスワードを入力すると、暗号化されたメールは常にこのパスワードで復号化されることになります。(この欄へ入力したパスワードは保護されていないので十分注意してください。そのまま表示されてしまいます)以後、暗号化されたメールを受信した場合でもパスワードの入力をする必要は一切無いので非常に便利ですが、その分セキュリティレベルは落ちますので PC の管理には注意してください。

暗号化・署名のための準備 ↑

送信するメールを自動的に相手の公開鍵で暗号化・自分の鍵で署名を行う必要があるときには、以下の設定もあわせて行ってください。受信するメールが自動的に復号化されるだけ、もしくは暗号化・署名は WinPT など別のソフトウェアで行うということでしたら、このステップは省略していただいてもかまいません。

暗号化するためには送信メールサーバー（SMTP）の設定を行わなければいけません。先ほどの Relays の画面で再び Add をクリックします。

復号化の設定とほぼ同じ手順で設定を行います。

Name の部分は適宜自分のわかりやすい名前を入力してください。

LocalPort? はメーラーのほうに出力するポート番号です。30000〜34000の範囲で、復号化の設定のときに指定したポート番号以外の番号を入力してください。ただし、後でメーラーの設定を行う際に必要となりますので設定したポート番号は覚えておいてください。
環境によっては選択したポートがすでに他のアプリケーション等で利用されていて使えない場合がありますので、その場合は別のポート番号を入力し直してください。
Remoto Server は今お使いの SMTP サーバー名です。Remote port に関しては通常変更する必要はありません。

Type は SMTP にチェックをつけてください。

次にそれぞれの鍵ごとに動作を設定するために Profile を作成します。Default-Profile では送信時の暗号化、暗号化＆署名は出来ない設定になっています。

常に暗号化(インラインまたは PGP-MIME 形式)、メールの件名の先頭が条件にマッチした場合暗号化＆署名(インラインまたは PGP-MIME 形式)は既に Profile がありますので、そちらをご利用ください。

Keyrules 画面の Add ボタンを押すと Profile の作成画面になりますので以下を例として作成してください。

ここでは特定の宛先へメールを送信する時に署名(クリアテキスト形式)する設定を行います。

以下のように Profile が作成されると思います。引き続き必要があれば別の Profile も作成しましょう。

最後にそれぞれの鍵がどの設定で動作するかを決定します。公開鍵・秘密鍵の持ち主を選択して「Edit Key」ボタンをクリックするか、右クリックでメニューから「Edit Keyrule」を選択すると以下のような画面になります。上のほうの「Associate Profile」から所属させる設定を選択して「OK」です。

または、鍵の持ち主を Profile へドラッグ＆ドロップすることでも所属させる設定を適用できます。

すると、所属する Profile が次のように変わります。

この設定で s.takahashi@tortoise.jp にメールを送信する時に署名(クリアテキスト形式)を行うことになります。

メーラーの設定 ↑

GPGrelay はメーラーとメールサーバーの途中に入ってメールをリレーする Windows ソフトウェアです。したがって、通常、メーラーはプロバイダー等のメールサーバーから直接メールを受信するようになっていますが、それを GPGrelay から受信するように変更しなければ GPGrelay が自動で復号化したメールを読むことが出来るようになりません。

Outlook Express の設定 ↑

ツールバーの「ツール｣から「アカウント...」を選択してください。

アカウントの「プロパティ」から「サーバー｣タブに移動し、「サーバー情報」の｢受信メール(POP3)」・「送信メール(SMTP)」の欄を「localhost」と変更してください。

次に「詳細設定」タブに移動し、「サーバーのポート番号」の「受信メール(POP3)」「送信メール(SMTP)」の部分に先ほど GPGrelay に設定したポート番号を入力してください。

以上で電子メールクライアントの設定は終了です。

GnuPG (WinPT) の運用 ↑

WinPT を使用したファイルの暗号化 ↑

暗号化したいファイルがある場合、タスクトレイの WinPT アイコンを右クリックして「File Manager」を選択します。

暗号化するファイルを選択するためのダイアログボックスが表示されます。

「File」メニューから「Open...」を選択するか、ファイルをドラッグ＆ドロップすれば、リストにファイルが追加されます。もちろんファイルはテキストファイルでもバイナリファイルでもかまいません。

リストにファイルを追加したら、「File」メニューから「Encrypt」を選びます。

誰の鍵で暗号化するかを選択するダイアログが表示されます。注意すべきなのは、暗号化メールを送る際には相手も絶対に複合化できるツール（WinPT やGnuPG、あるいは PGP 等）を持っている必要があるということです。また相手の公開鍵も事前に入手して、インポートしておく必要があります。また暗号化したファイルは自分では復号化することは出来ません。

「OK」ボタンをクリックすると、自動的に暗号化処理されます。

ファイルリストウィンドウ内の「Status」が、「ENCRYPTED」（暗号化されています）の状態に変わるはずです。「Operation」の欄も「SUCCEED」になっています。

ここで説明した形式で暗号化を行った場合、元ファイルに「.gpg」が付加された名前を持つファイルが新たに作成されます。元のファイルが「secret.xsl」であれば、作成されるファイルは「secret.xsl.gpg」になります。

より安全性を高めるには暗号化とともにファイルへの署名も行って、メールで暗号化したファイルと署名のファイルを両方送るという方法があります。

WinPT を使用したファイルの復号化 ↑

暗号化されたファイルを復号化します。

暗号化時されたファイルをダブルクリックすると、復号化するファイルのパスフレーズを入力するダイアログボックスが表示されます。

暗号化ファイルの場所に復号化されたファイルが出来ているはずです。

WinPT を使用したファイルへの署名 ↑

署名したいファイルがある場合、タスクトレイの WinPT アイコンを右クリックして「File Manager」を選択します。

署名するファイルを選択するためのダイアログボックスが表示されます。

「File」メニューから「Open...」を選択するか、ファイルをドラッグ＆ドロップすれば、リストにファイルが追加されます。もちろんファイルはテキストファイルでもバイナリファイルでもかまいません。

リストにファイルを追加したら、リスト上でそのファイルを選択し、「File」メニューから「Sign」を選びます。

電子署名の付加形式を選択するダイアログが表示されます。元々のファイルに影響を与えずに、電子署名を行うのが良いでしょう。そうすれば相手側に GnuPG ないし PGP 環境がなくても、相手は通常にファイルを見ることができます。

この場合は「Detached signature」を選択します。１番下の「Text Output」は選択してもしなくてもかまいません。署名ファイルをテキスト形式にするかバイナリ形式にするかの違いがあるだけです。

「OK」ボタンをクリックすると、パスワード入力ダイアログが表示されます。

正しくパスワードを入力すると、ファイルリストウィンドウ内の「Status」が、「SIGNED」（サインされています）の状態に変わるはずです。「Operation」の欄も「SUCCEED」になっています。

ここで説明した形式で電子署名を行った場合、元ファイルに「.sig」が付加された名前を持つファイルが新たに作成されます。元のファイルが「secret.xsl」であれば、作成されるファイルは「secret.xsl.sig」になります。

WinPT を使用した署名ファイルの検証 ↑

検証したいファイルがある場合、タスクトレイの WinPT アイコンを右クリックして「File Manager」を選択します。

検証するファイルを選択するためのダイアログボックスが表示されます。

「File」メニューから「Open...」を選択するか、ファイルをドラッグ＆ドロップすれば、リストにファイルが追加されます。署名ファイル (.sig) をリストに追加するようにし、署名ファイルと検証するファイルは同じディレクトリに置いてください。

リストにファイルを追加したら、リスト上で署名ファイルを選択し、「File」メニューから「Verify」を選びます。

検証結果が表示されますので、正常なことを確認します。

Menu

暗号
Windows 環境へのGnuPG の導入と運用

WinPT
├インストール(GnuPT使用)
└WinPT Tray
GPGrelay Mini-HOWTO
CrossCrypt
├CrossCrypt (作成中)
└CrissCryptGUI (作成中)

sipfone

携帯電話
携帯電話で podcasting (実験編)

投資
米国ネット証券(firstrade)
├私のスタンス
├口座開設
├W8-BEN の記入
├必要書類の記入・郵送
├CITIBANK 送金先登録
├CITIBANK の海外送金
└ゆうちょ の国際送金

メモ
├雑記帳
└買い物メモ

連絡先

高橋　範