PKI (Public Key Infrastructure＝公開鍵基盤)

なりすましなしで、確実に本人の公開鍵であると認証する仕組み。

デジタル署名と暗号化の組合せでは、攻撃者が本人名義の公開鍵を最初から偽造し、本人になりすます可能性がある。

 

○デジタル証明書

PKIにおいて、公開鍵が入ったデジタル署名が正規のものであることを証明するための証明書。

デジタル署名≠デジタル証明書

デジタル署名＝印鑑、デジタル証明書＝印鑑証明に関係は似ている。

 

○認証局

公開鍵基盤(PKI)において。デジタル証明書・CRLを発行する機関。

 

○CRL (Certificate Revocation List＝証明書失効リスト)

有効期限内にかかわらず、執行したデジタル証明書の一覧。

有効期限・証明書の署名などはデジタル証明書だけで確認できるが、失効したかどうかはデジタル証明書では確認出来ないのでCRLを使用する。

デジタル証明書が悪用されたり、秘密鍵を紛失したりした場合に、その旨を申請すればCRLにそのデジタル証明書が掲載され、認証局(CA)により発行される。

WebブラウザはCRLをダウンロードし、CRLに掲載されていればデジタル証明書をむこうとして判断する。

 

○なりすましなしを確かめる手順

(1)送信者は公開鍵と秘密鍵を作成し、認証局に公開鍵が入ったデジタル署名を身分証明書を提出して登録申請する。

(2)認証局は内容を承認し提出されたデジタル署名を入れたデジタル証明書を発行する。

(3)送信者が受信者にメール本文・送信者のデジタル署名・認証局のデジタル証明書を送る。

(4)受信者が認証局を信頼し、認証局が送信者を認証するのであれば、受信者は送信者を信頼できる。

 

○ルート認証局

最上位に位置する認証局。

1つの認証局がすべてのデジタル証明書を発行することは困難なため、認証局は多数必要となる。

一方で、その数が多すぎると煩雑になるために認証局を階層構造にし、上位の認証局が下位の認証局を認証するようにしている。

・送信者から受け取ったデジタル証明書が、信頼の置けるルート認証局の下位の認証局が発行したものであれば、そのデジタル証明書は正しいと確かめられる。

・ルート認証局は認証局運用規定(CPS)を公開し、厳正な監査基準を満たす必要がある。

 

○デジタル証明書の活用例

・サーバ証明書：Webサーバのなりすましを防ぐために認証局(CA)が発行するデジタル証明書。

・クライアント証明書：利用者やその機器のなりすましを防ぐため、その機器にインストールするデジタル証明書。

・ルート証明書：ルート認証局が自身を証明するために発行するデジタル証明書。