SDPのここがすごい！ゼロトラスト勉強会～前編～

Slide 1

Slide 1 text

Slide 2

Slide 2 text

© APCommunications Co., Ltd. 2023 Page 2 自己紹介所属：(株)エーピーコミュニケーションズ iTOC事業部 BzD部 0-WAN 氏名：嘉藤育宏（カトウヤスヒロ）略歴：HW保守（チェンジニア）数年、運用監視/管理COTSの設計･構築数年、インフラ設計･構築数年、 2022年6月エーピーコミュニケーションズ入社目標：CCIE SP（Service Provider）挑戦中資格：CCNP､DEVASC､ITILv3､Zscaler(ZIA/ZPA) 好き：アイス、ベルギービール、ジーパン嫌い：パクチー

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

© APCommunications Co., Ltd. 2023 Page 5 はじめに 8a1にご参加いただきありがとうございます。今回は2週に渡りセキュリティに関するVPNの課題に焦点を当てて、VPNと SDP(ZTNA)の比較、SDPの仕組みについてお話します。SDP(ZTNA)について学びたい方、VPNとSDP(ZTNA)の違いを理解したい方、ゼロトラストに興味のある方に、是非聞いて頂ければと思います。

Slide 6

Slide 6 text

Slide 7

Slide 7 text

© APCommunications Co., Ltd. 2023 Page 7 コンセプト「Zero Trust Network Accessとは？」が理解できる興味「ゼロトラストアーキテクチャ、SDPの仕組み」が理解できる体感 Level2 「脱VPNへの一歩：VPNとSDPの違い」を理解・説明できる体験 Level3 Level1 「Zero Trust Network Accessって何？」⇒「ゼロトラストアーキテクチャ、SDPの仕組みが理解できた」となってもらうことが目標対象者 • ゼロトラストを勉強中の方 • ZTNA、SDPに興味のある方本セッションの目標 = Level2到達

Slide 8

Slide 8 text

© APCommunications Co., Ltd. 2023 Page 8 ゼロトラスト勉強会の内容（概要）＃１ポートノッキング＃２ Single Packet Authorization（SPA）＃３ VPN v.s. SDP（従来のVPNとSDPを比較）＃４ Software-Defined Perimeter（SDP） SDP 分からん SDP 完全に理解した SDP Dive into Software-Defined Perimeter  SPA Port Knocking VPN v.s. SDP

Slide 9

Slide 9 text

Slide 10

Slide 10 text

© APCommunications Co., Ltd. 2023 Page 10 Internet 話の位置づけゼロトラストの主要な技術要素とZTNA（SDP）の位置づけを以下に示します。 External Application Internal Application SASE※ FWaaS CASB SD-WAN SWG ZTNA（SDP）端末 EDR NGAV MDM ログの監視と収集 SIEM SOC UEBA SOAR IdP IDaaS 本日はココ！ ※ Secure Access Service Edge, SASE

Slide 11

Slide 11 text

© APCommunications Co., Ltd. 2023 Page 11 SASE/SSEとはセキュリティサービスとネットワークサービスを融合したものを、 Secure Access Service Edge, SASEといいます。セキュリティサービス SWG ZTNA FWaaS 認証サービスなど CASB ネットワークサービス MPLS/VPN インターネット NW最適化 QoS など SD-WAN SASE Secure Access Service Edge ＋＝またSASEのセキュリティ面を担うものを、 Security Service Edge, SSEといいます。出典：CXO REvolutionaries、「Security Service Edge (SSE) reflects a changing market: what you need to know」 SASE SSE ZTNA CASB SWG 3つのコアコンポーネント FWaaS DLP など複数のオプションコンポーネント

Slide 12

Slide 12 text

© APCommunications Co., Ltd. 2023 Page 12 Zero Trust Network Accessとは Zero Trust Network Access（ZTNA）は2種類あります。 PROXY-Based Service-Initiated ZTNA 以降、ZTNAと省略します。 SDP-Based Endpoint-Initiated ZTNA 以降、SDPと省略します。 Zero Trust Network Access（ZTNA）他にも色々今回はこっち

Slide 13

Slide 13 text

Slide 14

Slide 14 text

© APCommunications Co., Ltd. 2023 Page 14 Software-Defined Perimeterの歴史 2003 Port knocking 誕生 ※１ Cloud Security Alliance, CSA ※２ Defense Information System Agency, DISA ※３ Single Packet Authorization, SPA ※４ FireWall KNock OPerator, fwknop https://www.cipherdyne.org/fwknop/ ※５ Continuous Adaptive Risk and Trust Assessment, CARTA 2005 RFC4226 HOTP 2007 2010 Forrester社 Zero trust 提唱 2014 CSA SDP v1.0 仕様書公開 2019 Gartner社 SASE※7 提唱 2020 2021 2022 NIST※8 SP800-207 ZTA※9標準ガイド公開 2007年にSDPの概念が生まれ、2014年にCSA※1 がSDPの仕様書v1.0を公開し、 2022年にCSAがSDPの仕様書v2.0を公開しています。 DISA※2で SDPの概念が考案 Gartner社 SSE※10 提唱 CSA SDP v2.0 仕様書公開 2018 Forrester社 ZTX※6 提唱 2017 Gartner社 CARTA※5 提唱 SPA※3 / SDP：fwknop※4（OSS）開発 ※６ Zero Trust eXtended, ZTX ※７ Secure Access Service Edge, SASE ※８ National Institute of Standards and Technology, NIST ※９ Zero Trust Architecture, ZTA ※１０ Security Service Edge, SSE

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

© APCommunications Co., Ltd. 2023 Page 17 Port knocking概要 Port Knocking Client SSH Client SSH Client ＦＷ Client Server Deny access from Client Port Knocking Client SSH Client SSH Client ＦＷ Client Server Deny access from Client Port Knocking Client SSH Client SSH Client ＦＷ Client Server Allow access from Client 最初の状態ではポート22は閉じられています。 ClientからPort knockingに定義されたTCP SYNのシーケンスが送信される。 ServerはTCP/22を開放します。 Deny-Allの状態を維持しつつ、決められたノックシーケンスが送られてきた時のみアクセスを許可するということが実現できます。

Slide 18

Slide 18 text

© APCommunications Co., Ltd. 2023 Page 18 Port knockingのメリット •パケットはデフォルト・ドロップ •ポートスキャンに対して有効 •DoS/DDoS攻撃を最小化 Service Server Deny access from any（Deny-all） Port knocking用のシーケンスにならないパケットは全てドロップ基本的にポートは閉めているため、開きポートはスキャンできないＦＷ

Slide 19

Slide 19 text

© APCommunications Co., Ltd. 2023 Page 19 Port knockingのデメリット Port Knocking Client SSH Client SSH Client ＦＷ Server Deny access from Client これって、真似したらワンチャンサーバにアクセスできるんじゃね？暗号化していないから丸見えリプレイ攻撃に弱いノックシーケンスは、暗号化されずにそのままネットワーク上を流れます。１ノックシーケンスの破壊第三者がノックシーケンスの一部を送ることで、シーケンスそのものを破壊可能です。２ IDS、ポートスキャンに弱いノックシーケンスは、一連のパケットの流れになるので探索が可能です。３

Slide 20

Slide 20 text

© APCommunications Co., Ltd. 2023 Page 20 Port knockingの構築 ① install Server（Knock-server） knock-server-0.7-1.el7.nux.x86_64.rpm 【コマンド】 rpm -ivh http://li.nux.ro/download/nux/dextop/el7Server/x86_64/knock-server-0.7-1.el7.nux.x86_64.rpm ② edit /etc/sysconfig/knockd ③ edit /etc/knockd.conf 事前に libpcap が必要 ※ ※What is libpcap used for? Libpcap enables administrators to capture and filter packets. Packet sniffing tools like tcpdump use the Libpcap format. For Windows users, there is the WinPcap format. WinPcap is another portable packet capture library designed for Windows devices. WindowsでいうところのWinPcap → パケットキャプチャに使うライブラリのことです。 ① install Client（Knocker） knock-0.7-1.el7.nux.x86_64.rpm 【コマンド】 rpm -ivh http://li.nux.ro/download/nux/dextop/el7Server/x86_64/knock-0.7-1.el7.nux.x86_64.rpm 事前に libpcap が必要 ※ Server（Knock-server）とClient（Knocker）で若干構築手順が異なります。

Slide 21

Slide 21 text

© APCommunications Co., Ltd. 2023 Page 21 Port knocking構築 /etc/knockd.conf ! [options] UseSyslog logfile = /var/log/knockd.log [openSSH] sequence = 123:udp,179:tcp,162:udp seq_timeout = 15 tcpflags = syn start_command = /sbin/iptables -I INPUT -s 172.16.12.2 -p tcp --dport ssh -j ACCEPT cmd_timeout = 10 [closeSSH] sequence = 9:udp,9:udp,9:udp seq_timeout = 15 tcpflags = syn start_command = /sbin/iptables -D INPUT -s 172.16.12.2 -p tcp --dport ssh -j ACCEPT cmd_timeout = 10 /etc/sysconfig/knockd ! OPTIONS="-i ens34" Port Knocking Client SSH Client SSH Client ＦＷ Server Port Knocking Client SSH Client SSH Client Server Client Client Server Client 172.16.12.0/24 .2 .1 ens34 ServerのFWを開ける時 ServerのFWを閉める時ＦＷ

Slide 22

Slide 22 text

© APCommunications Co., Ltd. 2023 Page 22 Port knockingデモ百聞は一見に如かず！ Port Knocking Client SSH Client SSH Client ＦＷ Client Server Deny access from Client Port Knocking Client SSH Client SSH Client ＦＷ Client Server Port Knocking Client SSH Client SSH Client ＦＷ Client Server Allow access from Client 最初の状態ではポート22は閉じられています。 ClientからPort knockingに定義された TCP SYNのシーケンスが送信します。 ServerはTCP/22を開放します。 Clientはこの開放している間に TCP/22に対してアクセスします。 Port Knocking Client SSH Client SSH Client ＦＷ Client Server Deny access from Client Port Knocking Client SSH Client SSH Client Client Server Port Knocking Client SSH Client SSH Client ＦＷ Client Server Allow access from Client 最初の状態に戻ります。 ClientからPort knockingに定義された TCP SYNのシーケンスが送信します。 ServerのTCP/22が開放しっぱなしはセキュリティが甘すぎます。 ClientからノックしてFWを閉めます。ＦＷ

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

© APCommunications Co., Ltd. 2023 Page 25 Single Packet Authorizationの概要 SDP Client SSH Client SSH Port22 ＦＷ Client Server Deny access from Client SDP Client SSH Client SSH Port22 ＦＷ Client Server Deny access from Client SDP Client SSH Client SSH Port22 ＦＷ Client Server Allow access from Client SPA パケット最初の状態ではポート22は閉じられています。 ClientがSPAパケットを送信します。 Serverは一定時間TCP/22を開放します。 SDP Server SDP Server SDP Server Deny-Allの状態を維持しつつ、正規のSPAパケットが送られてきた時のみアクセスを許可するということが実現できます。 chapter “Trusting the Traffic” in Zero Trust Networks by Evan Gilman and Doug Barth (O’Reilly Media, Inc., 2017).

Slide 26

Slide 26 text

Slide 27

Slide 27 text

Slide 28

Slide 28 text

© APCommunications Co., Ltd. 2023 Page 28 SPAパケットの構成 SPA Field Values: ================= Random Value: 1471177112137289 Username: root Timestamp: 1682842565 FKO Version: 2.0.2 Message Type: 1 (Access msg) Message String: 192.168.12.1,tcp/22 Nat Access: Server Auth: Client Timeout: 0 Digest Type: 3 (SHA256) HMAC Type: 3 (SHA256) Encryption Type: 1 (Rijndael) Encryption Mode: 2 (CBC) Encoded Data: 1471177112137289:cm9vdA:1682842565:2.0.2:1:MTkyLjE2OC4xMi4xLHRjcC8yMg SPA Data Digest: qgklgxzGr7QdRrqmlvwir11KAnDBk2tEyzRli6bqN9I HMAC: FdvJhWhHJI7CYuOZEguBIfMdyA1aLFfYcJ+fuUZDMsk Final SPA Data: +o639oNwQUJl92UrPr02q9Qdlu9/PWtYtzD3tB8Jo+Ey0Bftbf8r0qC6qYNg5d5z+4pquI+oaV1+hIFy9Ich/1qWHZvfGtrTOqBn2osg+Xo9CpdpmFLMllfIczh O/8QrLaDskF52YiAS0LFBH5Rinkid33Sl+wCF+DhWRHEtIXw67UlL7orFDSFdvJhWhHJI7CYuOZEguBIfMdyA1aLFfYcJ+fuUZDMsk Generating SPA packet: protocol: udp source port: destination port: 62201 IP/host: 192.168.12.2 send_spa_packet: bytes sent: 225 SPAパケットの構成は以下のとおりです。暗号化されて1パケットに様々な情報が含まれています。 ① どんな通信か？ ② 暗号化され、ユニークなパケット

Slide 29

Slide 29 text

© APCommunications Co., Ltd. 2023 Page 29 SPAの特徴 SPAの特徴は以下のとおりです。特徴 Deny-All 対リプレイ攻撃対DDoS攻撃対スニッフィング認証の強化 SPAパケットでないものは全てドロップ過去に来たパケットが来た場合にリプレイ攻撃であると判断シーケンスではないのでDDoS攻撃の可能性を低減詳しくは※を参照ください。 1パケットであることから、スニッフィングすることが困難クライアントのユーザ名など、ユーザに対応した追加の認証等の処理が可能 ※ Software-Defined Perimeter as a DDoS Prevention Mechanism https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-as-a-ddos-prevention-mechanism/

Slide 30

Slide 30 text

© APCommunications Co., Ltd. 2023 Page 30 SPAの構築 SPAの構築手順（概要）は以下のとおりです。 ① tarball ダウンロード & 解凍 Server と Client 共通【コマンド】 wget http://www.cipherdyne.org/fwknop/download/fwknop-2.6.10.tar.gz ② configure 【コマンド】 cd fwknop-2.6.10 ./configure --prefix=/usr --sysconfdir=/etc && make 【コマンド】 tar xfz fwknop-2.6.10.tar.gz ③ make install 【コマンド】 make install 事前に libpcap が必要 Client 側での作業 ① KEY 生成【コマンド】 fwknop -A tcp/22 -a 203.0.113.1 -D 203.0.113.254 --key-gen --use-hmac --save-rc-stanza Server 側での作業 ① edit ② edit /etc/fwknop/access.conf /etc/fwknop/fwknop.conf Server Client 203.0.113.0/24 .1 .254 以下に生成する $HOME/.fwknoprc

Slide 31

Slide 31 text

© APCommunications Co., Ltd. 2023 Page 31 SPAの構築 /etc/fwknop/access.conf ! ～途中省略～ #### fwknopd access.conf stanzas ### SOURCE ANY KEY_BASE64 xO5mM5lEJUVKxMn6PcNUKTn1qdivpLA1AHsMALKdhlU= HMAC_KEY_BASE64 i0Asqvm0zGB867vcZT15RlL9TWrkbUs+4tNXAemTYF/D4MBWQX6dCWbCLSJ8ltj/VEPMBc/TNlGYwTlLCEVbVQ== ～以下省略～ SSH Client ＦＷ Server fwknop Client SSH Client Client Server Client 203.0.113.0/24 .1 .254 ens224 fwknop Server SPA パケット /etc/fwknop/fwknopd.conf #################################################### # # [+] fwknopd - Firewall Knock Operator Daemon [+] # # This is the configuration file for fwknopd, the Firewall Knock Operator # daemon. The primary authentication and authorization mechanism offered ～途中省略～ # Define the ethernet interface on which we will sniff packets. # Default if not set is eth0. The '-i ' command line option overrides # the PCAP_INTF setting. # PCAP_INTF ens224; ～以下省略～ Server side Server side Clientにて生成したKEYをコピペ

Slide 32

Slide 32 text

© APCommunications Co., Ltd. 2023 Page 32 SPAのデモ百聞は一見に如かず！ SDP Client SSH Client SSH Port22 ＦＷ Client Server Deny access from Client SDP Server SDP Client SSH Client SDP Server SSH Port22 ＦＷ Client Server SDP Client SSH Client SDP Server SSH Port22 ＦＷ Client Server Allow access from Client SPA Packet 最初の状態ではポート22は閉じています。 ClientがSPAパケットを送信します。有効なSPAパケットを受信した Serverは一定時間TCP/22を開放します。 Clientはこの開放している時間内にTCP/22に対してアクセスします。 Port knockingと異なり制限時間を経過するとポートが自動的に閉められます。

Slide 33

Slide 33 text

Slide 34

Slide 34 text

© APCommunications Co., Ltd. 2023 Page 34 まとめ Zero Trust Network Accessは2種類ある Port-Knocking PROXY-Based のService-Initiated 型 ZTNAと、SDP-Based の Endpoint- Initiated 型 ZTNA の2種類があります。 Deny-Allの状態を維持しつつ、決められたパケットシーケンスによりファイアウォールを開閉する仕組みです。暗号化されていないのが最大のデメリットです。 1 ２ Single Packet Authorization Port-Knockingの利点を活かしつつ、Port-Knockingの課題に対処したものです。 SDPの最も重要な要素の１つである「接続前認証」を実現するために使われます。３

Slide 35

Slide 35 text

Slide 36

Slide 36 text

© APCommunications Co., Ltd. 2023 Page 36 次回予告＃１ポートノッキング＃２ Single Packet Authorization（SPA）＃３ VPN v.s. SDP（従来のVPNとSDPを比較）＃４ Software-Defined Perimeter（SDP） SDP 分からん SDP 完全に理解した SDP Dive into Software-Defined Perimeter  VPN v.s. SDP SPA Port Knocking

Slide 37

Slide 37 text

© APCommunications Co., Ltd. 2023 Page 37 次週もよろしくお願いしますまだ申し込まれていない方、本日の話を聞いて続きが気になった方、お気軽にご参加いただけますと嬉しいです。後編 https://8a1-apc.connpass.com/event/298598/ SDPをより深く学びます。・VPNとSDPを比較説明・ゼロトラスト・アーキテクチャ・SDPの仕組み 11月16日（木）18:30～19:35

Slide 38

Slide 38 text

Slide 39

Slide 39 text

Slide 40

Slide 40 text

© APCommunications Co., Ltd. 2023 Page 40 参考URL ■SDP Specification v1.0 https://cloudsecurityalliance.org/artifacts/sdp-specification-v1-0/ ■Software-Defined Perimeter (SDP) Specification v2.0 https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-zero-trust-specification-v2/ ■ SDP Architecture Guide v2 https://cloudsecurityalliance.org/artifacts/sdp-architecture-guide-v2/ ■ Software-Defined Perimeter (SDP) and Zero Trust https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-and-zero-trust/ ■ Software-Defined Perimeter as a DDoS Prevention Mechanism https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-as-a-ddos-prevention-mechanism/ ■Zero Trust Architecture（NIST SP800-207） https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf ■ソフトウェア定義の境界とは https://www.zscaler.jp/resources/security-terms-glossary/what-is-software-defined-perimeter ■How to choose a Zero Trust architecture: SDP or Reverse-Proxy? https://cloudsecurityalliance.org/blog/2021/02/15/how-to-choose-a-zero-trust-architecture-sdp-or-reverse-proxy ■SPA （Single Packet Authorization）解説 https://cloudsecurityalliance.jp/newblog/2019/08/27/448/ ■Single Packet Authorization A Comprehensive Guide to Strong Service Concealment with fwknop https://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html

Slide 41

Slide 41 text

© APCommunications Co., Ltd. 2023 Page 41 Q&A Q1:CARTAとはなんですか？ A1: Continuous Adaptive Risk and Trust Assessment ;CARTA ガートナー社が提唱したといわれる企業ネットワークのリスクとセキュリティ管理に対する戦略的アプローチです。７つの原則に基づいています。ゼロトラストはCARTAを実現するロードマップの一歩と位置付けています。 https://stinet.pl/en/7-cartas-imperatives-continuous-adaptive-risk-and-trust-assessment-by-gartner/ 7 CARTA’S IMPERATIVES – CONTINUOUS ADAPTIVE RISK AND TRUST ASSESSMENT BY GARTNER

Slide 42

Slide 42 text

© APCommunications Co., Ltd. 2023 Page 42 Q&A Q２:ZTXとはなんですか？ A２: Zero Trust eXtended Ecosystem Framework;ZTX Chase Cunningham博士（Dr.チェイス・カニンガム）によって開発および推進されたエンタープライズ IT セキュリティのフレームワークです。 https://www.forrester.com/blogs/what-ztx-means-for-vendors-and-users/ What ZTX means for vendors and users

Slide 43

Slide 43 text

© APCommunications Co., Ltd. 2023 Page 43 Q&A Q３：SPAはいつ作られたプロトコルですか？ A３：2002年にベータ版が作られました。今回のデモは2018年の最終版を使いました。 1977 DES設計※1 ※１ Data Encryption Standard：DES（鍵長:56bit / ブロック長:64bit） ※２ Triple DES（鍵長:56,112,168bit / ブロック長:64bit） ※３ Advanced Encryption Standard：AES（鍵長:128,192,256bit / ブロック長:128bit） 1997 NISTが AESの候補を公募する 1998 3DES設計※２ Rijndael設計 2000 NISTが Rijndael採用決定 AES※３誕生 2002 fwknop ※４ベータ版誕生!? 2003 Port knocking 誕生!? 2005 RFC4226 HOTP 2010 OSS fwknop v2.0.0 C Version 2018 OSS fwknop v2.6.10 最終版 OSS fwknop v0.9.0 Perl Version Forrester Research社 Zero trust 提唱 2020 NIST SP800-207 ZTA標準ガイド公開 ※４ fwknop 誕生秘話 https://www.usenix.org/system/files/login/articles/1063-fwknop.pdf

Slide 44

Slide 44 text

© APCommunications Co., Ltd. 2023 Page 44 Q&A Q４：SPAを実装している製品若しくはソリューション適用事例はありますか？ A４：『Appgate SDP』という製品があります。 http://appgate-sdp.jp/ 番号名称役割１ Appgate SDP Agent 端末にインストールするAgentです。２ Appgate SDP Controller ユーザ認証＋デバイス認証を経た上で、Agentに適切なアクセス権を付与します。３ Appgate SDP Gateway Controllerから認証の許可が下りるとSPA（Single Packet Authorization）により、アクセスポートがOpenします。４ Appgate SDP Log Server 全てのアクセスログを保管し、可視化可能です。 ※引用元URL https://www.techmatrix.co.jp/product/appgate/overview.html

Slide 45

Slide 45 text

© APCommunications Co., Ltd. 2023 Page 45 Q&A Q５：SPAはRFCで規定されていますか？ A５：いいえ。ただし、ベースとしているRFCはあります。 RFC4226 / December 2005 HOTP: An HMAC-Based One-Time Password Algorithm https://datatracker.ietf.org/doc/html/rfc4226 HOTP（HMAC-based One-Time Password） HOTPとは、ワンタイムパスワード（OTP）の生成手法の標準の一つで、秘密鍵とログイン試行回数からハッシュ値を求め、これを6桁程度の数字に変換してパスワードとする方式。

Slide 46

Slide 46 text

© APCommunications Co., Ltd. 2023 Page 46 Q&A Q６：Rijndael（ラインダール）＝ AESではありませんか？ A６：いいえ。イコールではありません。 Rijndael 168bit 224bit AES 128bit 192bit 256bit ブロック長※２ 168bit 192bit 224bit 256bit 128bit 鍵長※１実装の単純化や実用性などを考慮して、 AESでは3種類の鍵長と1種類のブロック長のみを採用した。（端折った！！） ※１（鍵長）暗号強度を表す。bit数が大きいほど暗号強度が強い。しかし、処理速度が遅くなる。 ※２（ブロック長）暗号化する単位データ長。

Slide 47

Slide 47 text

© APCommunications Co., Ltd. 2023 Page 47 Q&A Q７：SPAはpre-shared key による共通鍵暗号方式以外にも対応しているのでしょうか？ A７：はい。サーバ、クライアント双方で GnuPG（GNU Privacy Guard）を用いる公開鍵暗号方式にも対応しています。 ※引用元URL https://www.mizucoffee.com/archives/228 Pretty Good Privacy