S/MIMEメール暗号化

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

active

inactive

active

active

inactive

前提条件

電子メールの暗号化には、広く使われている2つの規格があります。

  • 個人ではOpenPGP/GnuPGが人気です。

  • S/MIME/X.509は主に企業で使用されています。

どちらを選択すべきか迷った場合は、OpenPGP を使用する必要があります。`こちら<../openpgp/index.html>`_ を参照してください(ニトロキー HSM 2 には適用されません。ニトロキー HSM 2 は現在 S/MIME/X.509 標準をサポートしているため、このガイドの残りの部分は HSM 2 や他のニトロキーにも適用されます)。このページでは、S/MIME 電子メール暗号化の使用方法について説明します。

You need to purchase a S/MIME certificate (e.g. at CERTUM) or may already got one by your company. Furthermore, you need to install OpenSC on your System. While GNU/Linux users usually can install OpenSC over the package manager (e.g. sudo apt install opensc on Ubuntu), macOS and Windows users can download the installation files from the OpenSC page.

注釈

64ビットシステム(標準)のWindowsユーザーは、32ビット版と64ビット版の両方のOpenSC!をインストールする必要があります。

既存の鍵と証明書のインポート

以下の説明は、OpenSCの`wiki <https://github.com/OpenSC/OpenSC/wiki/OpenPGP-card>`_に基づいています。ここでは、すでに鍵と証明書のペアを.p12ファイルとして入手していると仮定します。別の鍵と証明書のファイルを入手した場合は、wikiページを参照してください。

To open the Windows command line please push the Windows-key and R-key. Now type ‘cmd.exe’ in the text field and hit enter. To open a Terminal on macOS or GNU/Linux please use the application search (e.g. spotlight on macOS).

To make these commands as simple as possible, the .p12 file needs to be in your home folder. On Windows this is usually C:\Users\yourusername and on macOS and GNU/Linux system it will be /home/yourusername. If you do not store the .p12 file there, you have to adapt the path in the commands below. Please plug in the Nitrokey before submitting the commands.

鍵・証明書のファイル名が「myprivate.p12」であるとすると、Windows用のコマンドは以下のようになります。

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

となり、macOSとGNU/Linuxでは以下のようになります。

$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
$ pkcs15-init --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

この2つのコマンドは、鍵と証明書のペアをスロット2(メールの復号化に必要)とスロット3(署名に必要)にコピーします。両システムでの出力は以下のようになります。

img1

エラーメッセージが表示されますが、無視してかまいません(上記の出力例を参照)。これで、Nitrokeyに鍵と証明書のペアが読み込まれました。

使用方法

このページでは、使用方法についての詳しい情報をご覧いただけます。