• 他のユーザーに送信するメール。暗号化すると、権限のないユーザーは転送中のメールを読めなくなります。保存メールと受信メールも暗号化できます。
• ネットワークポート。Notes Client と Domino Server の間や、2 つの Domino Server 間でやり取りする情報を暗号化することによって、権限のないユーザーは転送中のデータを読めなくなります。
• SSL トランザクション。インターネットクライアント (たとえば、Notes Client) とインターネットサーバーの間でやり取りする情報を SSL を使って暗号化することによって、権限のないユーザーは転送中のデータを読めなくなります。
• フィールド、文書、データベース。アプリケーション開発者は、文書内のフィールド、文書全体、ローカルに保存されているデータベースを暗号化できます。こうすると、指定したユーザーだけが情報を読み取ることができます。

フィールド、文書、データベースの暗号化について詳しくは、『Lotus Domino Designer 6 ヘルプ』を参照してください。

パブリックキーとプライベートキー
Domino では、ネットワークポート以外の全種類の暗号化に、パブリックキーとプライベートキーを使います。一方のキーで暗号化したデータは、もう一方のキーがなければ暗号解除できません。パブリックキーとプライベートキーの間には数学的な関係があり、誰のキーなのかを正確に特定できます。どちらのキーも、ID ファイルに格納されます。ID ファイル内で、パブリックキーは証明書内に格納されますが、プライベートキーは証明書とは別に格納されます。パブリックキーの格納先である証明書は Domino ディレクトリにも保存されるので、他のユーザーも利用できます。

Domino では、Notes 用とインターネット用に、パブリックキーとプライベートキーを 2 種類使います。Notes 用のパブリックキーはフィールド、文書、データベース、他の Notes ユーザーに送るメールを暗号化するときに使用され、Notes 用のプライベートキーは暗号を解除するときに使用されます。それと同様に、インターネット用のパブリックキーは S/MIME の暗号化、インターネット用のプライベートキーは S/MIME の暗号解除に使用されます。Notes の場合もインターネットの場合も、プライベートキーを使って電子署名が作成され、パブリックキーを使って電子署名が認証されます。

インターネット用のパブリックキーとプライベートキーは 1 組だけを使うことも、2 組を使うこともできます。2 組使うときは、1 組を電子署名と SSL でのクライアント認証用に使い、もう 1 組を暗号化用に使用します。

2 つのインターネット証明書について詳しくは、「S/MIME 暗号化および署名用の 2 つのインターネット証明書」の項目を参照してください。

ユーザーを登録すると、ユーザーのパブリックキーが含まれる Notes 認証を Domino が自動的に作成し、それを ID ファイルと Domino ディレクトリに追加します。プライベートキーは、作成された後、ID ファイルに格納されます。インターネット用のパブリックキーとプライベートキーは、ユーザー登録後に作成することもできます。パブリックキーが含まれるインターネット証明書は、ID ファイルと Domino ディレクトリに保存されます。インターネット用のプライベートキーは、ID ファイルに格納されますが、証明書とは別に格納されます。

Domino では、Notes 用のパブリックキーとプライベートキーの作成に、デュアルキー RSA Cryptosystem を使います。暗号化のアルゴリズムには RC2 と RC4 を使います。インターネット用のパブリックキーは X.509 認証形式で作成します。X.509 認証形式は、Domino を含む大半のアプリケーションで使用できる業界標準の形式です。

Notes Client でも Domino Server でも、S/MIME と SSL で 1024 ビット RSA キーと 128 ビット対称キーをサポートしています。Notes 専用プロトコルでは、キー交換用に 630 ビットのキーと、64 ビット対称キーを使用します。

暗号化のレベル
どの Notes ID にも、パブリックキーとプライベートキーのペアが 2 組含まれています。R5.0.4 以前は、キーの長さは、認証や署名のためではなく、データの暗号化のために制限されていました。RSA キーでは 512 ビット、対称キーでは 56 ビットを超える長さは、強力な暗号化とみなされ、米国政府によって輸出が禁止されていました。ユーザーは、さまざまな暗号化レベルを持つキットの中から目的のキットを選択し、それを注文する必要がありました。

暗号化技術の輸出に対する米国政府の規制緩和に伴い、Domino Server と Domino Administrator、Domino Designer、Lotus Notes Client といった製品では、以前の複数の暗号化レベル (アメリカ・カナダ版、インターナショナル版、フランス版) をすべて 1 つの強力な暗号化レベルに統合しました。つまり、製品の「グローバル」リリースが誕生したのです。このグローバルリリースでは、以前「アメリカ・カナダ版」と呼ばれていた暗号化方式を採用しています。このグローバルな製品の強力な暗号化機能は、自国の輸入関連法によって輸入が禁止されている国や、米国政府が製品およびサービスの輸出を禁止している国を除き、世界中で使用することができます。ユーザーは、暗号化レベルに基づいて Notes ソフトウェアを注文する必要がなくなりました。

Domino および Notes のグローバルリリースにアップグレードすると、既存の ID を再発行することなく、より強力な暗号法を利用することができます。この変更は、ユーザーにとってもシステム管理者にとってもシームレスなものです。バージョンの異なる 2 つのソフトウェア間で通信する場合は、暗号化に関するネゴシエーションが行われ、低い方の暗号化レベルが適用されます。そのため、より強力な暗号法をフルに活用できるのは、すべてのソフトウェアをグローバル (R5.0.4 およびそれ以降) のレベルにアップグレードした場合だけです。ただし、バージョンが異なるソフトウェア間でも、相互運用は可能です。

[ユーザーの登録] ダイアログボックスを使用すると、アメリカ・カナダの ID とインターナショナル ID のどちらかを選ぶことができます。この選択機能がまだ残されているのは、システム管理者が管理上の目的でアメリカ・カナダとインターナショナルを区別して使う場合があったり、一部の会社で以前のバージョンのソフトウェアをまだ使用していたりするためです。また、独自の輸入規制を設けている国もあります。この区別を維持しておくと、Lotus では、必要に応じて国ごとに異なる状況に対応することができます。

メモ これらの規制は、米国からの輸出に対してのみ適用されます。輸入規制のある他の国の場合、各国の要件を確認する必要があります。Lotus では、暗号化に関する世界中の規制に従うために、あらゆる措置を講じます。ただし、お客様ご自身が各国における暗号化に関する規制を熟知し、それに準拠することを推奨します。

相互運用性に関する注意事項

• ID の種類のサポート。グローバルリリースでは、アメリカ・カナダの ID もインターナショナル ID も、引き続きサポートしています。これは、R5.0.4 以前のクライアントとの下位互換性を確保するためです。グローバルバージョンのソフトウェアがインストールされた場合、Lotus Notes ユーザーは、既存のインターナショナル ID をそのまま使用できます。グローバルバージョンでは、より強力な暗号化機

• 5.0.4 以降のリリースでの相互運用性組織のクライアントやサーバーで R5.0.4 またはそれ以降が実行されている場合は、アメリカ・カナダの ID とインターナショナル ID のどちらを作成しても違いはありません。どちらの種類の ID も、同じように機能します。
• 5.0.4 以前のリリースでの相互運用性。Lotus Notes のユーザーも、R5.0.4 およびそれ以降にアップグレードした Domino Server も、以前のバージョンのソフトウェアが実行されているクライアントやサーバーを使って認証を行い、引き続き日常業務を安全に実行できます。ただし、組織内に R5.0.4 以前の Notes や Domino が実行されているクライアントやサーバーがある場合は、その古いバージョンで作成したのと同じ種類の ID を引き続き作成する必要があります。R5.0.4 以前のインターナショナル版の場合、ユーザーはアメリカ・カナダの ID に切り換えることができません。そのため、インターナショナルライセンスのユーザーを新規に登録する場合は、アメリカ・カナダの ID のみを作成しないでください。同様に、以前のリリースのアメリカ・カナダ版では、インターナショナル ID による実行時、レベルの低い方の暗号法を使用します。そのため、インターナショナル ID のみを作成しないでください。

関連項目

メールの暗号化
Domino Server で SSL を設定する