nDiki : 暗号化

インストール Windows Linux マニュアル ソフトウェア 日本語 Mew USB メモリ Emacs WEP Unison USB Web ブラウザ ポータブルアプリケーション ルータ WLA2-G54 ThinkPad X31 インストール不要 Skype ランチャ 母 CD-ROM WPA UnplugDrive Portable rsync PStart エディタ メモ FON Pagent

■ GnuPG の布教失敗

仕事で本社にパスワードを伝えるなければならなくなった。 メールで送るのはもちんまずいので、暗号化(必要ならば電子署名も)しなければ。

ちょうど以前 NaneyOrgWiki に GnuPG の Windows 版 (gnupg-w32) の簡単な使い方を書いたことがあった。1.2.0 の時に書いたものだったので最新の 1.4.0a で、動作確認・出力等の再ドキュメント化などをする。

で、あとちょっとまとめたらその文書のポインタを本社の担当に送って鍵ペアをまずは作成してもらって……ふとMewでメールをチェックすると……別のスタッフがパスワードをメーリングリストに流しているんやないけー。

タッチの差で間にあわなかったか。

次回からはメールでパスワードをやりとりしないように指導。

• Linux で入力して Windows で参照できるパスワード管理ツール ... (2006-12-31)
• Mew と SSH (2004-04-23)
• Linux 母艦ノート PC を使わずに仕事ができるかチャレンジ (2007-08-20)
• Flickr::UploadでLinuxから画像アップロード (2005-04-22)
• TrueCrypt で USB メモリに Windows と Linux ... (2006-12-14)

■ 普通の人向けに svnserve を立ち上げるか

開発チームでは主に svn+ssh で Subversion を利用している。

Windows ユーザは

1. 前準備「PuTTYgen で鍵ペアを生成し」「リポジトリのあるサーバ(Linux)側に公開鍵を登録」
2. 前準備「Pagent を動かして秘密鍵を指定しておく」
3. TortoiseSVN でリポジトリアクセス

という手順をとっている(参考記事)。 しかしこの方法は SSH に詳しくなかったり Linux のオペレーションとかに慣れていなかったりするユーザにはかなり敷居が高い。

最近ソフトウェア開発以外でのチームでも Subversion の利用を検討しているが、この手順だと多分萎えるはず。

SSHで暗号化するほどのセキュリティが必要ない運用なので、svnserve を起動して運用した方が楽そうだ。まだ使ったことがないけれど。

svnserve を実行する権限を気にする必要がある以外は基本的には手間なしのはず。 しかし svnserve の組み込みの認証機能を使う場合には、平文パスワード文字列を含むパスワードファイルを使う必要があるのがちょっと嫌。

• TortoiseSVN と svn+ssh (2004-07-26)
• TortoiseSVN 1.0.4 (2004-05-17)
• ノート PC を持たずに会社に行きたい (2006-12-21)
• Unison + Zebedee (2004-06-11)
• 私的10大ニュース2004 [ comp ] (2004-12-31)

■ Mew と GnuPG

久しぶりに GnuPG な暗号化メールのやりとり。 PGP/MIMEではない暗号化メールって Mew で扱えたっけかと調べたら、マニュアルにちゃんと書いてあった。以前は PGP/MIME だけだったような覚えがあるのだが、勘違いだったかかなり以前の話だったか。

メモ

• 復号化/検証: C-cC-z
• 暗号化: (setq mew-use-old-pgp t) か zo して C-cC-e

入社してから名刺を作る際に Fingerprint を印刷してもらうようにしてあるんだけれど、此の方ビジネスでやりとりしている人と PGP なやりとりしたことって全くないのだよねぇ。

• GnuPG の布教失敗 (2005-02-02)
• Linux 母艦ノート PC を使わずに仕事ができるかチャレンジ (2007-08-20)
• 紙ベースのファイリング (2005-11-08)
• Mew と SSH (2004-04-23)
• なかなかの品質なオンライン名刺プリント (2006-05-11)

■ TrueCrypt で USB メモリに Windows と Linux からアクセスできる仮想暗号化ドライブを

USB メモリといえば、他人の PC とデータをやりとりする際によく使われるメディアだ。

最近どんどん大容量化していることもあり、ついいろいろなデータを入れっぱなしにしがち。

• 「ファイルをもらうのに渡した USB メモリを、受け取って確認したら見られたくなかったファイルが入ったままだった。」
• 「USB メモリにファイル入れて渡すのだけれど、今入っている見られたくないファイルを消すの面倒だな。後でまた入れておきたいし。」
• 「紛失した時が心配」

など、そのまま入れておくのは不安なファイルもある。

ということでやっぱりいくつかのファイルは暗号化しておきたい。さて何かよい暗号化ソフトウェアはないだろうか。

• Windows でも Linux でも使えること。
• データをやりとりする可能性のあるグループごとに別の領域を用意できること。
• 暗号化ソフトウェアをインストールしていない Windows PC からでも、ファイルを取り出せること (インストール不要で復号できるソフトウェアを USB メモリに一緒に入れておけること)。

で調べたところ TrueCrypt が有名らしい。Windows と Linux の両方から使えるというのが良い。

ということで試してみた。

@ Linux 版

ライセンスの関係で Debian GNU/Linux には無いので、ビルドしてインストールする。

@ ビルド

まずはビルド。

 tar zxvf truecrypt-4.2a-source-code.tar.gz
 cd truecrypt-4.2a/Linux
 fakeroot ./build.sh

@ インストール

次にインストール。apt-get install dmsetup してから ./install.sh を実行する。

 # ./install.sh
 Checking installation requirements...
 Testing truecrypt... Done.

 Install binaries to [/usr/bin]:
 Install man page to [/usr/share/man]:
 Install user guide and kernel module to [/usr/share/truecrypt]:
 Allow non-admin users to run TrueCrypt [y/N]: y
 Installing kernel module... Done.
 Installing truecrypt to /usr/bin... Done.
 Installing man page to /usr/share/man/man1... Done.
 Installing user guide to /usr/share/truecrypt/doc... Done.
 Installing backup kernel module to /usr/share/truecrypt/kernel... Done.

@ 仮想ドライブボリュームファイルを作成

ここからは実際の利用。まず最初にボリュームファイルを作成する。

 $ truecrypt -c vol.tc
 Volume type:
  1) Normal
  2) Hidden
 Select [1]:

 Filesystem:
  1) FAT
  2) None
 Select [1]:

 Enter volume size (bytes - size/sizeK/sizeM/sizeG): 128M

 Hash algorithm:
  1) RIPEMD-160
  2) SHA-1
  3) Whirlpool
 Select [1]:

 Encryption algorithm:
  1) AES
  2) Blowfish
  3) CAST5
  4) Serpent
  5) Triple DES
  6) Twofish
  7) AES-Twofish
  8) AES-Twofish-Serpent
  9) Serpent-AES
 10) Serpent-Twofish-AES
 11) Twofish-Serpent
 Select [1]:

 Enter password for new volume 'vol.tc':
 Re-enter password:

 Enter keyfile path [none]:

 TrueCrypt will now collect random data.

 Is your mouse connected directly to computer where TrueCrypt is running? [Y/n]:

 Please move the mouse randomly until the required amount of data is captured...
 Mouse data captured: 100%

 Done: 125.85 MB  Speed: 15.66 MB/s  Left: 0:00:00
 Volume created.

基本的にはデフォルトで OK。確保容量とパスワードはそれぞれ決めて入力する。

@ 仮想ドライブをマウントしてみる

マウントポイントを作成してマウントする。 自分の場合ロケールを ja_JP.UTF-8 にしているので、日本語ファイル名を読み書きするために -M utf8 しておく必要がある。

 cd
 mkdir mnt
 truecrypt -M utf8,fmask=133 -u vol.tc mnt         # マウント
 Enter password for '/home/naney/vol.tc': # パスワード入力

マウントができたら後は普通に読み書きができる。読み書きが終わったら、truecrypt -d でアンマウント。

 truecrypt -l         # マウントされているもののリスト
 truecrypt -d mnt     # アンマウント

@ Windows 版

Windows 版は truecrypt-4.2a.zip を展開して、中に含まれているインストーラを使ってインストール。

TrueCrypt を起動して、先ほど作成したボリュームファイルとつけたいドライブ名を指定してマウントすると、うまく中身を読み書きすることができた。

@ トラベラーモード

また TrueCrypt にはトラベラーモードというものがある。 メニューから [Tools] -> [Traveller Disk Setup] を実行して、指定したいメディア(ディレクトリ)に、インストールせずに実行するのに必要なファイル群を配置することができる(オプションで autorun.inf を作ることも可能)。

これを実行して USB メモリに TrueCrypt を入れておけば、TrueCrypt をインストールしていない Windows PC 上でも TrueCrypt をトラベラーモードで実行してマウントできるようになる (ただし、管理者権限が必要)。

@ これから

母艦である Linux BOX からアクセスできるというのが便利。 Linux BOX に USB メモリを挿した後、truecrypt でマウントして Unison で同期してアンマウントまでの一連の処理を流れ作業でできるようにしたい。

• xyzzyを読み取り専用メディアから起動する (2004-07-28)
• Linux 母艦ノート PC を使わずに仕事ができるかチャレンジ (2007-08-20)
• Unison + Zebedee (2004-06-11)
• Linux で入力して Windows で参照できるパスワード管理ツール ... (2006-12-31)
• amaroK で Linux 上の iTunes 音楽データを聞く (2006-01-22)

■ USB メモリへのポータブルアプリケーションの詰め込み開始

一昨日購入した USB フラッシュメモリに、ポータブルアプリケーションを詰め込んでいく。

@ PStart

まずはランチャとして有名どころの PStart をインストール。 GNU GPL な ASuite と迷ったがまずは PStart にしてみた。

@ 追記

ASuite 1.3.1 も試してみたが、日本語がうまく表示されなかった(2006年12月18日)。

@ UnplugDrive Portable

USB メモリなどを安全に停止しするためのツール。 PStart を終了させる際に自動的に呼び出すように設定しておけば、「ハードウェアの取り外し」よりも手軽に USB メモリを抜ける状態にできる。 半透明ダイアログで表示するなど、見た目的に格好良い。

1度使うとクセになる便利さ。

@ 暗号化

先日試してみた TrueCrypt をトラベラーモードで入れておく。

• Linux で入力して Windows で参照できるパスワード管理ツール ... (2006-12-31)
• TrueCrypt で USB メモリに Windows と Linux ... (2006-12-14)
• 1インチポータブル HDD HDMC-U12 インプレッション (2006-12-28)
• KDE BasKet、ランチャとしての使い勝手は? (2007-01-12)
• スライドアップ式コネクタの USB フラッシュメモリを購入 (2006-12-14)

■ Linux で入力して Windows で参照できるパスワード管理ツール KeePass

USB メモリ / ポータブル HDD にポータブル環境を構築するに従って、パスワード管理の問題が浮上してきた。

普段はメインの Linux ノート PC 上で、一括管理 (テキストファイルに書いて、重要なものは GnuPG で暗号化しておく) している。 このノート PC で作業している時は、必要に応じて参照できるので問題ない。

しかし、ポータブル環境でも使いたいサービスのアカウント (Skype 等のいくつかのサービス) のパスワードは思い出せない時に参照できるように持ち運んでおきたい。

ということでパスワードマネージャとして KeePass を試してみることにした。

@ KeePass

Windows 用のアプリケーションで、ZIP 形式の配布ファイルを展開するだけで使えるポータブルアプリケーションである。

機能的にも十分だし日本語化もできる。

TrueCrypt 仮想ドライブボリュームに、KeePass とパスワードデータベースファイルを入れておけばパスワードを思い出せない時や、もともと覚える気のないたまにしか使わないパスワードを参照することができる。

@ KeePassX

KeePass は Windows 用のツールであるが、移植版もいろいろ揃っている。 Linux 用としては KeePassX があり、Windows 版と似たインタフェースを提供している。

パスワードデータベースファイルの形式も Windows 版と同様のようで、KeePassX で作成したファイルを KeePass で読むことができた。

Linux 母艦上で使いそうなアカウント/パスワード情報をみつくろって、KeePassX で入力してきメディアに書き込んでおいて、Windows 上で参照するという運用ができる。

希望していた運用に使えそうで満足。

• http://keepass.info/

• Linux 母艦ノート PC を使わずに仕事ができるかチャレンジ (2007-08-20)
• TrueCrypt で USB メモリに Windows と Linux ... (2006-12-14)
• ノート PC を持たずに会社に行きたい (2006-12-21)
• 1インチポータブル HDD HDMC-U12 インプレッション (2006-12-28)
• USB メモリへのポータブルアプリケーションの詰め込み開始 (2006-12-16)

■ MADWIFI で WPA を使うように変更

FON ソーシャルルータが届くのを前に、現在の無線 LAN の設定も確認・見直しをしておくことにした。

MADWIFI を最初に使い始めたころはまだ WPA 関連がまだ安定していなかった(と思っていた)ので WEP で運用していたのだが、今はもう問題ないようである。 ということで設定変更。

@ Debian GNU/Linux sid BOX (ThinkPad X31) に Debian パッケージを追加

 apt-get install wpasupplicant

既にインストール済みだった

@ アクセスポイント側変更

WLA2-G54 の管理画面に Web ブラウザからアクセスして、「無線LANセキュリティ設定」からデータの暗号化 で AES を選び、WPA-PSK に事前共有キーを入力して設定ボタンを押す。

ここで一旦接続が切れる。

@ /etc/network/interfaces の設定を変更

現在は ifupdown から直接 WPA 設定をできるようになっているので、/etc/network/interfaces を変更する。

ath0 のエントリを以下のように修正:

 iface ath0 inet dhcp
   wpa-driver madwifi
   wpa-ap-scan 1
   wpa-scan-ssid 1
   wpa-ssid  <アクセスポイントの ESSID>
   wpa-psk <事前共有キー>

これで ifup しなおすことで無事接続。

• 自宅の無線 LAN を復旧 & IEEE 802.11g 化 (2004-11-26)
• Wi-Fi ファインダで Wi-Fi ホットスポットを探せ (2007-01-23)
• Debian Linux kernel 2.6.23 をビルドする。 (2007-12-23)
• Debian GNU/Linux sid 環境を新 HDD へ (2006-07-29)
• 納品前日なのに /var が壊れた! HDDからのブートで Debian ... (2005-09-27)

■ Wi-Fi ファインダで Wi-Fi ホットスポットを探せ

最近仕事で外出する機会が増えたのと、FON ルータを設置したということから、公衆無線 LAN サービスに興味が沸いてきた。 Web で自分の行動範囲にどんな Wi-Fi ホットスポットがあるか探して、どのように使えそうか想像してみたり。

しかし実際アクセスポイントがあっても電波の強弱があったり停波・廃止されていたりで、必ずしも使えるとは限らない。 また FON なんかは、住所晒しへの抵抗からルータの位置情報をずらしたりしている可能性もある。 FON ハンティングしてみたい。

ということで Wi-Fi ファインダを買ってみた。 今回選んだのはプラネックスコミュニケーションズの 無線 LAN アクセスポイント探知機能付き 無線 LAN USB アダプタ「電波男 GW-US54GD」。OEM 供給されているらしいものらしく他社でもほぼ同じ形・機能のものが発売されている。

「作りが粗雑」「付属ソフトウェアの出来が良くない」「液晶画面の視認性が悪い」等のマイナス評価も見かけるが、同等の機能を持っている製品は少なく選択肢はあまりないようである。

まあ無線 LAN アダプタとして使う予定はなく単体で Wi-Fi ファインダとしてのみ使うつもりなので、ボロボロになるまでガンガン使えばいいかな。

以下ファーストインプレッション

@ 外観

サイズ的にはままこんな感じといったところか。 首から下げるにはもうちょっと小さいと嬉しい。

液晶画面が左にあるため、左利きが左手で操作するとちょっと見にくい。

塗りはちょっと粗雑。

また Next ボタンが陥没気味。背面の製品番号シールも枠からはみ出すように貼られているなど、造りに不満が残る。

@ 機能

ユーザマニュアルは CD-ROM 内に Web ページの形で納められている。 添付ソフトウェアの使い方中心で、肝心の本体操作の説明がきちんと書かれていないようである(見つけられなかっただけ?)。 USB ポートからの充電では電源スイッチを ON にしておかなければならないようなのだが、これも画面表示の説明として暗に書かれているだけ。

まあ使い方は簡単なのでそれほど迷うところはない。

電源スイッチを入れるとスキャンが始まる。 スキャン中は、WEP/WPA がかかっているアクセスポイントとオープンなアクセスポイントの数がそれぞれ開いた/閉じた鍵アイコントともに表示されカウントアップされていく。

これは分かりやすくて良い。

スキャンが終わると

• 通信モード
• 通信規格 (a or g)
• 電波強度 (携帯電話風。5段階)
• アクセスポイント数と、現在見ているのがその何番目か
• チャンネル
• 暗号化情報 (OPEN/WEP/WPA)
• ESSID

が表示される。

ESSID はうまく表示できない場合は '???' のようになる。 ? になる条件は不明。 自宅の WPA アクセスポイントも ???… になった。

FON のアクセスポイントについては FON_AP、MyPlace ともきちんと検出・表示できたので FON hunting には問題なさそう。

@ みやすさ

文字は小さ目。明るいところではそんなに見にくいという事もない。

バックライトもついているのだが暗めで、夜の野外で少し役に立つ程度。 消灯タイマの時間が短いため、検索中にも消灯してしまうのがちょっと不便。 何かキーを押さなければならない。

なお買った時点では液晶画面に保護用のシールが貼ってある。 ぴったりの感じなので気がつきにくいが、貼ったままだと見やすさが落ちるので注意。

@ スキャンしてみる

歩きながら何カ所かでスキャンしてみた。 オフィスビルの近くやマンションの近くでは、かなり多くのアクセスポイントが見つかる。 (多分意図的ではない) OPEN なアクセスポイントもそこらじゅうにゴロゴロ。

これだけ甘いアクセスポイントが多いと FON の有り難みが薄れてしまいそうだ。 いや、もちろんそれらのアクセスポイントに接続できない(マズい)ので、FON が普及してくれた方が嬉しい。

FON は ESSID が FON_ で始まるので見つけるのが容易なので助かる。

これからは散歩や出張のお供として欠かせない存在になりそうだ。

• PLANEX 電波男 アクセスポイント探知機能付 無線USBアダプタ GW-US54GD

[ 製品レポート ]

• MADWIFI で WPA を使うように変更 (2007-01-20)
• 自宅の無線 LAN を復旧 & IEEE 802.11g 化 (2004-11-26)
• [ FON ハンティング ] 東京都品川区東大井3丁目付近 (2007-01-28)
• [ FON ハンティング ] JR 浅草橋駅西口の南 (2007-01-25)
• [ FON ハンティング ] 龍角散ビル (2007-01-24)

■ EasyPG で Emacs から .gpg ファイルを透過的に読み書き

パスワードを含むアカウント情報などは今のところ、テキストファイルに書いて GnuPG で暗号化して記録している。 ……のはずなのだが、面倒なので GnuPG かけてないファイルも結構あったりして実はまずい。

Emacs で EasyPG を使うと .gpg 拡張子を持ったファイルは自動的に暗号化/復号化してくれるようになって便利らしい。

例えば example.gpg という名前で新しいバッファを作りテキストを入力する。 ここで保存しようとすると暗号化する相手の鍵の選択画面が出る。自分の鍵で復号できればよいのでそのまま [OK] を選ぶ。 そうすると暗号化して保存してくれる。

逆に .gpg で終わるファイルを開くとパスフレーズの入力が求めらる。 正しく入力すると復号化されたテキストがバッファに表示される。 再編集して保存する場合も先と同様に暗号化の手順が出るので、また暗号化した状態で保存することができる。

easypg-0.0.9-1 Debian パッケージをインストールして使ってみた。 便利便利。

ただ emacs-snapshot 20070122-1 (22.0.92.1) だと暗号化の際 coding の処理が正しくされないのか日本語を含んでいると文字化けしたテキストが暗号化されてしまい、復号化してももはや読むことができない。 ということで、ここしばらく Emacs 22 を使っていたのだけれど、Emacs 21 に戻すことにした。

こちらでは問題なく動作。

• Linux で入力して Windows で参照できるパスワード管理ツール ... (2006-12-31)
• Linux で使えるデスクトップ検索ツール Beagle でローカルファイ... (2006-08-08)
• Linux 上で Flex 2 SDK を使った Flash コンテンツ開... (2007-09-11)
• Mozex を使って Firefox 1.5.0.1 の textarea... (2006-02-18)
• 自宅の無線 LAN を復旧 & IEEE 802.11g 化 (2004-11-26)

■ 今日のさえずり - 「ちびたれ」って何だよ。スゲー気になる!

• 07:47 久しぶりに pdumpfs 実行。前回12月9日か。バックアップさぼりすぎ。
• 09:03 終了しろ、pdumpfs! (出勤前に)
• 09:13 pdumpfs 終了した。sync 待ち。
• 09:26 いつまでも外付け HDD にアクセスし続けていると思ったら、updatedb が動いてた。
• 11:48 会社のメールアドレスで Google アカウント作った。
• 12:41 地震? L:東京都千代田区東神田3-1-2
• 13:14 会社用 Google アカウントの Google カレンダーを週末を表示「いいえ」に設定。
• 16:18 SafeBoot File Encryptor で暗号化されたファイルをもらった。.exe。
• 16:54 「ちびたれ」って何だよ。スゲー気になる!
• 17:59 Microsoft にあわせて「[ファイル] メニュー」のように書いてみたら、LaTeX だとちょっと面倒。\item の直後とか。
• 19:55 アトレカード新しいのに切り替えた。インフォメーションのお姉ちゃん肌荒れてた。[mb]

• 今日のさえずり - イトーヨーカドーのポイント付加が削られる (2008-04-05)
• 私的10大ニュース2004 [ comp ] (2004-12-31)
• 今日のさえずり - ヨドバシに∞プチプチ品切れ中の張り紙。L:秋葉原 (2007-10-16)
• USB HDD 上に ext3 ファイルシステムを作ろうとしたらフリーズ (2006-01-16)
• ファイルシステム作成はノート PC でやっておいた (2006-01-17)