二日ほどかけて結城浩『暗号技術入門　秘密の国のアリス』isbn:4797322977を読了。たいへん読みやすい本でした。暗号関係はなんとなくは知っていたけどまとまって勉強したことがなかったので読んでみましたが、ずっと疑問に思っていながら放置してたこととか色々すっきりしてたいへん満足。アリスが萌えキャラじゃなかったのはちょっと不満(ぉ。

この本を読んだもう一つの理由は高木さんと結城さんの「オレオレ証明書」を巡るやりとり。

• オレオレ証明書クイズ（問題編）(結城さん)
• オレオレ証明書クイズ（解答編）(結城さん)
• PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」(高木さん)
• オレオレ証明書クイズに対する高木さんのコメント(結城さん)

二人ともオレオレ証明書では認証が正しくできないのでダメ、という点では一致してますが、なんだかいがみあってるように見えて困惑していました。が、『暗号技術入門』を読んでいてやっと意味がわかりました。

結城さんは「暗号」をセキュリティ技術の中の要素技術の一つという狭い意味で使っていて、高木さんは、一般人の考える「暗号＝機密性を守るもの」(国語辞書的には「第三者に漏れないように、当事者間でのみ解読できるよう取り決めた特殊な記号や文字。」)という広い意味で使っている(というかそのように使われる場を想定している)のです。

オレオレ証明書が問題であることを説明するのに、結城さんは「要素技術としての暗号と機密性の実現がイコールでないこと(SSLだと暗号と認証の両方が必要)を理解しよう」と訴えていて、一方高木さんは「(一般人に対して)機密性を守らないシステムを暗号と呼ぶな(暗号化していると言うな)」ということを訴えているのでした。

どちらもそれぞれの文脈では正しいのだけど、文脈を入れ替えるとおかしなことになってしまいます。技術の文脈では暗号自体と機密性は区別しなければならないし、一般消費者相手に暗号を使っても機密性がないことがありますよ、という話を中途半端に聞かせても無駄に不安がらせるだけですし。