　今日はオヤジがハリキって伊勢神宮に連れて行くというので、カミさんと3人でワゴンでお出かけ。家の近くにインターができ、そこから名古屋を通過せず伊勢湾岸をガンガンと巨大吊橋で渡っていけるから早いの何のって。子供の頃は数時間の遠出であった長島温泉なんて数十分で通過である。なんだか便利だなぁというよりは無茶するなぁ、という印象。ほとんどクルマ走ってないし(時間も時間なんだが)。

　途中、黒いSVXに遭遇。特徴的な窓がスッと追い抜いていったときは思わず叫んでしまいますた。やっぱりレアですな。チェックしてても遭遇確率は果てしなく低い。8年間に1度も出会わなかったソアラエアロキャビンほどではないけども。

　そのまま世にも不思議な名阪国道へ。極限まで高速道路ライクな道なのに高速道路ではないというヘンな道。「ここから一般国道」とワザワザ表記してあるクセに、緑色をした高速仕様の案内板が次々に現れるのだ。当然ながら無料であるためインターチェンジはないが、クルッと一周する減速レーンもない。本線から出たら数10メートルで一般道である。知らないと激突死しそうな構造である。

　 1時間半ほどで伊勢神宮へ到着。なんでも昔なら小旅行の枠を超え、人によっては新婚旅行に選ぶような場所だったらしいが、今ではちょっと行く程度の距離。高速道路のパワー、オソロシやである。

　伊勢神宮は内宮と外宮という2つの本殿がある。内外とはいうものの、文字通り外側と内側というワケでなく、数km離れたまったく別の場所である。外宮を参ってから、内宮へ。本来なら逆順らしいが、両方回らないとイカンというハナシも聞きつつ、外宮に比べて内宮の混雑していることといったらない。ちょっとレトロな賑わう町並みを抜けて内宮を参る。

　帰りにうどんを食う。なんでも伊勢うどんというのは名物で、ツユでなくタレで食うらしい。ちょっと甘いがコクのあるタレをからめて食うが、うどんはダラダラである。プリプリの讃岐うどんが好きなオイラは「うどん」とは認識せず。なかなかウマかったのでいいんだけども。

　帰りのクルマではオヤジが溶接について話を咲かせわ、黙っていれば行きも帰りも全部オヤジが運転するわ、親も親なら子も子じゃと思うヒトトキであった。なはははは。

高速	名古屋南→亀山	\2,250
高速	関→伊勢西	\1,900
備考	オラもいつかは溶接

[ツッコミを入れる]

2017-01-08(Sun) 明るい玄関

[ツッコミを入れる]

2024-01-08(Mon) 続・Maveでデジタル署名付きメールを検証する

　先日、改めて「Maverick」に移行したのだが、早速新しいメールを読み出さなくなってしまっていた。OSサポートという仕事柄、何か障害が起こると、瞬時に頭の中に思い当たる点がリストアップされてしまう性分である。そして案の定、リフレッシュトークンの期限切れであった。アクセストークンの有効期限は1時間だが、リフレッシュトークンの有効期限は7日間らしい。むー、そういうのヤメようよ。

　結局、自分で先日の記事を読み返し、リフレッシュトークンを再発行して対処したが、週に一度くらいなら我慢するかなぁ。それとも、もう少し手順を簡略化できる方法もありそうなので、来週までにそれをやってみるかな。また、面白そうな課題が出てきたな。他に取り組みたい課題もあるのだけれどな。ウキウキ。

　そういう一方で、また気になる点を見つけてしまった。署名付きメールの署名が検証できなかった(署名が不正である)という「?」マークが出ている。どちらも銀行のメールだ。

.. 300 住信SBIネット銀  Fri, 29 Dec 20:01   9K w? +出金のお知らせ
.. 650 service@smbctb.c Sat, 14 Oct 17:18  11K .? +SMBC信託銀行 カードご利用のお知らせ

　先日、Maveでデジタル署名付きメールを検証する機能はガッチリと作ったはずなのだが、何がおかしいのだろうか。検証をやりなおす手順を実行してみると「送信元が署名者と一致していない」というエラーが出た。

Digital Signature is NOT Valid. reason=[Sender does not match Signer.]

　まったくしょーがないなー、などと呟きつつ原因調査に取り組み始める自分である。ウキウキ。早速、署名の検証部分の処理を抜き出して現象を再現してみる。

require 'openssl'
mail = 'xxxxxxxx.eml'
pkcs7 = OpenSSL::PKCS7.read_smime(open(mail).read)
pkcs7.certificates.each {|cert|
    print(cert.to_text)
    puts('-' * 80)
    cert.subject.to_a.each {|name|
        name[0] == 'emailAddress' and p ['emailAddress', name[1]]
    }
    puts('=' * 80)
}

　以下のような結果が得られた。

$ ./smime_dec.rb
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            3f:07:9c:34:1b:03:0c:e0:bd:b0:42:f1:93:43:b2:a4:17:30:b1:50
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=JP, O=Cybertrust Japan Co., Ltd., CN=Cybertrust Japan SureMail CA G4
        Validity
            Not Before: May 15 07:55:52 2023 GMT
            Not After : Jun  9 07:55:16 2024 GMT
        Subject: C=JP, ST=Tokyo, L=Minato-ku, O=SBI Sumishin Net Bank, Ltd.,, OU=System Department02, CN=SBI Sumishin Net Bank post_master
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Certificate Policies: 
                Policy: 1.2.392.200081.1.24.1
                  CPS: https://www.cybertrust.ne.jp/ssl/repository/index.html
            X509v3 Subject Alternative Name: 
                email:post_master@netbk.co.jp
            Authority Information Access: 
                CA Issuers - URI:http://crl.cybertrust.ne.jp/SureMail/smcag4/smcag4.crt
--------------------------------------------------------------------------------
================================================================================

　やはり、メールアドレスが検出されない。と、思ったら「SubjectAlternative Name」というところに入っているようだ。

            X509v3 Subject Alternative Name: 
                email:post_master@netbk.co.jp

　 SBI銀行だけでなく、SMBC銀行も同様だった。

            X509v3 Subject Alternative Name: 
                email:service@smbctb.co.jp

　オレオレ証明書は「SubjectのemailAddress」の側にだけ入っている。

        Subject: C=JP, ST=Aichi, L=Nagoya, O=ITLine Inc., CN=Furutanian/emailAddress=furutanian@itline.jp

　が、会社から支給されている証明書は両方に入っているので、どっちも間違いというわけではなさそうだ。

        Subject: C=JP, ST=Tokyo, L=Minato, O=xxx, OU=xxx/emailAddress=xxxxxx@xxx.xxx
            X509v3 Subject Alternative Name: 
                email:xxxxxx@xxx.xxx, othername:<unsupported>

　よくわからんが、両方に対応しときゃいいだろう。やや雑だが以下のコードを追加した。

            begin
                pkcs7 = OpenSSL::PKCS7.read_smime(File.open(path).read)
                addrs = []; pkcs7.certificates.each {|cert|
+                   cert.extensions.each {|ext|
+                       ext.to_h['oid'] == 'subjectAltName' and ext.to_h['value'] =~ /mail:([^,]+)/ and addrs << $1
+                   }
                    cert.subject.to_a.each {|name|
                        name[0] == 'emailAddress' and addrs << name[1]
                    }

　改めて、検証をやりなおす手順を実行してみると「Message is Signed.」と表示され、「?」マークが「C」マークに変わった。

.. 300 住信SBIネット銀  Fri, 29 Dec 20:01   9K wC +出金のお知らせ
.. 650 service@smbctb.c Sat, 14 Oct 17:18  11K .C +SMBC信託銀行 カードご利用のお知らせ

　と、いうわけで、今回の盆栽の剪定作業はこれにて完了である。

[ツッコミを入れる]