機密データをメールやクラウドストレージに保存するのは不安かもしれませんが、適切な暗号化技術を使えば安心できます。Pretty Good Privacy(PGP)、またはそのオープンソース実装であるOpenPGPは、オンライン暗号化のゴールドスタンダードであり、適切に使用すればNSAのような機関さえも阻止できる可能性があります。
BitLockerやDiskCryptorなどの暗号化ソリューションは、メールメッセージやクラウド上のファイルを保護できません。OpenPGPの業界最高レベルの暗号化は、ファイルやメッセージの安全な配信を保証するだけでなく、デジタル署名と呼ばれるプロセスを使用して、メッセージの作成者または送信者の検証も提供します。
OpenPGP を通信に使用するには、送信者と受信者の両方の参加が必要です。また、モバイルデバイスやクラウドなどの脆弱な場所に保存されている機密ファイルを保護するためにも、OpenPGP を使用できます。
こうした保護機能の代償として、使い方が少し複雑になります。始めるには、以下の手順に従ってください。
gpg4winのインストール
ここで使用する OpenPGP 互換の Windows プログラムは、gpg4win (GNU Privacy Guard for Windows) です。
まず、セットアッププログラムをダウンロードして実行します。インストールするコンポーネントを選択する画面が表示されたら、デフォルトで選択されている他のコンポーネントに加えて、GPA(GNU Privacy Assistant)コンポーネントもインストールしてください。GPAは、この記事でも取り上げている暗号化キーの管理におすすめのプログラムです。
ファイルを暗号化または復号化する必要があると思われるすべてのコンピューターに gpg4win をインストールする必要があります。
モバイル デバイスで暗号化を使用する予定の場合は、Android 用の APG アプリまたは iOS 用の oPenGP アプリのダウンロードを検討してください。
OpenPGPキーの作成
OpenPGPを使用するには、少なくとも2つの鍵、つまり公開鍵と秘密鍵を生成する必要があります。鍵は暗号化されたテキストを含む非常に小さなファイルです。公開鍵は、暗号化されたメッセージやファイルを送信するために誰にでも渡すことができます。秘密鍵はパスフレーズで保護されており、メッセージやファイルを復号するために必要です。
選択した名前は証明書のキーに表示されます。より匿名性を高めたい場合は、偽名とメールアドレスで別のキーペアを作成することを検討してください。
キーを作成するには、GPAを開いて[キー] > [新しいキー…]をクリックし、名前を入力して[進む] をクリックします。
次に、メールアドレスを入力して「転送」をクリックします。
キー ペアをバックアップする場合 (強く推奨)、[バックアップ コピーの作成] を選択します。
秘密鍵を紛失したり、パスフレーズを忘れたりしたら、もうおしまいです!秘密鍵を必要とするメッセージやファイルを復号できなくなります。さらに、秘密鍵とパスフレーズが漏洩した場合、攻撃者はあなたが暗号化したすべてのデータにアクセスできるようになります。
キーペアは、ハードドライブ以外の安全な場所にバックアップしてください。USBメモリを使用する場合は、そのメモリがキーの保存専用であり、他のファイルの保存には使用されていないことを確認してください。
キーペアをフラッシュドライブにバックアップし、安全な場所に保管することを検討してください。秘密鍵ファイルはデジタル社会保障カードのように扱い、クラウドやインターネットに接続されたコンピューターやデバイスのストレージには絶対に保存しないでください。
証明書が作成されたら、キー ペアをバックアップする場所を選択できます。
最後に、秘密鍵のパスフレーズを入力するよう求められます。強力で長く、複数の文字を組み合わせたパスフレーズを使用してください。辞書に載っている単語は絶対に使用しないでください。
公開鍵のエクスポートまたは配布
鍵ペアを生成したら、公開鍵をエクスポートして配布し、他のユーザーから暗号化されたメッセージやファイルを受信できます。GPAで鍵を右クリックし、「鍵のエクスポート」を選択して保存するだけです。
このオプションは、キーペアから公開鍵のみをエクスポートします。秘密鍵部分をエクスポートするには、右クリックして「バックアップ」を選択してください。
公開鍵はメールの署名に含めたり、ブログやウェブサイトで公開したりできます。ファイル自体を配布することも、テキストエディタで開いたときに表示されるプレーンテキストのみを配布することもできます。
公開サーバー上で公開キーを一般の人が検索してダウンロードできるようにしたい場合は、キーを右クリックし、[キーの送信]を選択します。
「鍵を送信」を選択すると、選択した公開鍵がデフォルトの鍵サーバー(keys.gnupg.net)にアップロードされます。使用する鍵サーバーは、GPAのバックエンド設定で変更できます。
PGPキーのインポート
公開キーまたは秘密キーを別の PC またはデバイスにインポートする必要がある場合があります。
秘密鍵は非常に機密性の高いものであることを覚えておいてください。ファイルの復号に必要なコンピューターやデバイスにのみインポートしてください。逆に、公開鍵はファイルの暗号化が必要なデバイスであれば、自由にインポートできます。
生の PGP 公開キーを GPA にインポートするには、それをコピーして GPA に直接貼り付けます。
PGP を使用する友人に暗号化されたメッセージやファイルを送信するには、その友人の公開鍵を目的の PC またはデバイスにインポートする必要があります。
公開キーをテキスト形式でインポートするには、開始ラベルと終了ラベル、ダッシュを含む生のキー ブロック全体をコピーし、GPA アプリケーションに貼り付けます。
Windows 上の GNU Privacy Assistant (GPA) へのキーのインポート
キーをインポートするには、GPAを開いて「インポート」をクリックします。次に、必要なキーを参照して選択し、 「開く」をクリックします。
GPA にキーをインポートするには、 [インポート]ボタンをクリックします。
Android Privacy Guard (APG) へのキーのインポート
Android の APG にキーをインポートするには、キー ファイルまたは生のキー テキストをデバイスにコピーします。
秘密鍵をインポートする際は、デバイスをUSB経由でコンピューターに接続するか、OTGケーブルを使って鍵ペアを保存したUSBメモリを接続するなど、安全な方法を使用してください。秘密鍵を自分宛にメールで送信しないでください。絶対にやめてください。
APG では、キーサーバー、QR コード、またはファイルからキーをインポートできます。
APGアプリを開き、左上の鍵アイコンをタップしてメニューを開き、「鍵をインポート」をタップします。公開鍵が必要な場合は、公開サーバーを検索できます。それ以外の場合は、上部のドロップダウンメニューを選択して、ファイル、QRコード、クリップボード、またはNFCから鍵をインポートします。
キーが読み込まれたら、「選択したキーをインポート」をタップします。
必要な場所にキーが準備できたので、メッセージとファイルを暗号化および復号化する方法を説明します。
Windowsでのファイルの暗号化と復号化
gpg4winをインストールすると、Windowsエクスプローラーシェルに拡張機能がインストールされ、システム上の1つ以上のファイルまたはフォルダを右クリックで暗号化できるようになります。ファイルはTARアーカイブファイルに追加され、圧縮されてから暗号化されます。
gpg4winで暗号化する
まず、選択したファイルを右クリックし、「署名と暗号化」を選択します。「署名」は、受信者に対して、あなたがファイルを暗号化した本人であることを確認するものです。元のファイルを削除する場合は、「完了時に暗号化されていない元のファイルを削除する」にチェックを入れます。 「次へ」をクリックして続行します。
受信者の公開鍵を選択し、「追加」 ボタンをクリックしてリストに追加し、「次へ」をクリックします。必要に応じてファイルを復号化できるように、自分自身も追加することをお勧めします。
Kleopatraで、秘密鍵を使ってファイルを復号できるユーザーを選択します。後でアーカイブにアクセスしたい場合は、必ず自分自身も追加してください。
ファイルに署名(または署名と暗号化)を選択した場合、PCに複数の秘密鍵がインストールされている場合は、次にどの秘密鍵でファイルに署名するかを選択する必要があります。「次へ」をクリックすると、その秘密鍵のパスフレーズも入力する必要があります。
アーカイブに署名すると、それを暗号化したのがあなたであることを証明します。署名後にアーカイブが何らかの形で変更された場合、署名は無効になります。
完了すると、拡張子 .gpg の暗号化されたファイルが作成され、電子メールで送信したり、他の人に送信したりできるようになります。
gpg4winで復号する
ファイルの復号化は暗号化と同じくらい簡単で、ファイル エクスプローラーから右クリックするだけで実行できます。
gpg4win を使用してファイルを復号化するには、暗号化されたファイルを右クリックし、[復号化と検証]を選択します。
最初の2つのオプション(署名とアーカイブ関連)は、自動的に適切な設定に設定されます。また、復号化したファイルを別の場所に保存することもできます。
復号化しようとしているファイルがアーカイブである場合、Kleopatra はそれを解凍しようとします。
「復号/検証」ボタンをクリックし、秘密鍵のパスフレーズを入力します。
Androidでのファイルの暗号化と復号化
PC で暗号化と復号化の方法を覚えれば、Android デバイスでも問題なく実行できるようになります。
APGによる暗号化
まず、APGアプリを開き、左上の鍵アイコンをタップしてメニューを開き、「暗号化」をタップします。
APG アプリを使用すると、ファイルとメッセージの両方を暗号化できます。
セキュリティを強化するには、 デバイスに秘密鍵をインポートしている場合は、 「署名」 オプションを選択します。
「選択」 ボタンをタップすると、ファイルの復号化を依頼する相手の証明書を指定できます。そこからテキストメッセージを入力するか、矢印をタップしてファイルの暗号化を選択できます。「詳細設定を表示」をタップすると、圧縮などの設定を行うことができます。
ファイルを共有するときに、ファイルを圧縮するオプション、ファイルを ASCII アーマーに変換するオプション、暗号化が完了したら元のファイルを削除するオプションが表示されます。
準備ができたら、「ファイルを暗号化」(ファイルを暗号化する場合)または「共有」 (メッセージを暗号化する場合)をタップして、Androidの標準共有オプションにアクセスします。「クリップボード」をタップすると、他のアプリに貼り付けることができます。
APGで復号する
PGP メッセージのコピーされたテキストはランダムな記号のように見えます。
APGでファイルを復号化するには、左上の鍵アイコンをタップしてメニューを開き、「復号化」をタップします。
APGは、以前にアプリから暗号化されたメッセージをコピーしたことを検出すると、自動的に復号を試みます。テキストベースのメッセージをRAWブロックで復号するには、メッセージボックスに貼り付けてください。
ファイルを復号するには、矢印をタップして「ファイルの復号」を選択し、フォルダアイコンをタップしてファイルを参照します。完了したら、「復号後に削除」を選択して、暗号化されたコピーを削除することもできます。
「復号化」ボタンをタップし、ファイルが暗号化された秘密鍵のパスフレーズを入力します。
ファイルを復号化するには、フォルダー ボタンをタップして参照します。
Windows での電子メールメッセージの暗号化と復号化
OpenPGP対応のアドオンを提供するメールクライアントはいくつかあります。お使いのメールプログラムにそのような機能がない場合でも、ファイル内で、またはGPAのクリップボード機能やAPGなどのモバイルアプリの同様の機能を使用して、手動でメッセージを暗号化・復号化することができます。
GPA のクリップボード機能を使用すると、暗号化されたテキスト メッセージを生成し、それを電子メール、インスタント メッセージ、またはその他の通信形式に貼り付けることができます。
GPAを開き、「クリップボード」ボタンをクリックします。暗号化したいテキストを入力または貼り付け、「暗号化」をクリックします。次に、ファイルを復号化したい相手の証明書を選択します。これで、先頭と末尾のラベル、ダッシュを含む生のメッセージブロック全体を配布できます。
メッセージをテキスト フィールドに直接入力または貼り付けて暗号化することができます。
復号するには、開始ラベルと終了ラベル、ダッシュを含む生のメッセージブロック全体を貼り付けてください。メッセージに関連付けられた秘密鍵のパスフレーズの入力を求められます。
テキスト メッセージを復号化するには、メッセージ ブロックをクリップボードのテキスト領域に貼り付けます。
OpenPGP は「一度設定して忘れる」ような技術ではありませんが、非常に効果的です。実際、非常に効果的であるため、一部の政府機関は、暗号を解読する代わりに、秘密鍵とパスワードを求める召喚状を発行する手段を取っています。
このチュートリアルでは、NSA を破るレベルの保護は提供されませんが (まだ学ぶべきことはたくさんあります、バッタ君)、ほとんどの偶発的な攻撃から情報を非公開に保つための基本を習得しました。
