公開キー基盤 いろいろ
〜PKI/Public Key Infrastrucutre〜
0.更新履歴
- 2002.01.18 新規作成
1.はじめに
このドキュメントでは,公開キー基盤にかかわるものについて説明する.
2.公開キーの保証
「公開キー方式で公開されているキーは,ほんとうに本人のものか」わからない. よって,本人確認する方法が必要となり,大きく2つの方法がある.
- 証明機関(CA)/証明書方式
- その公開キーが本人のものであると保証する第三者機関(認証局)によって保証される方式.
- Web of trust方式
- 友達の友達は友達方式.
- AはBの公開キーに署名して保証.
- Cは,Aを信じてているので,Bを信頼する.
- 電子メールの暗号化PGPに使用されている.
- 友達の友達は友達方式.
証明機関(CA)/証明書方式の事を,公開キー基盤(PKI)と呼ぶ.
3.電子証明書
- 電子証明書は,公開キーを含む電子データである.
- よく日本の「印鑑証明」にたとえられる.
- 印鑑証明は,印鑑(公開キー)を市役所(認証局)が認定した書類として作成される.
- 電子証明書のフォーマットとしては,ITU-Tが定義したX.509という規格に沿ったものが利用されることが多い.
- 勘違いされやすいのは,「電子証明書」があるから安全ではなくて,その電子証明書を発行した機関(認証局)が信頼できるか否かが重要である.
4.認証局
- 証明書を発行する組織のことである.
- ベリサイン,ボルチモアテクノロジーズ等が有名.
- 日本ベリサイン
- ボルチモアテクノロジーズ
- セコムトラストネット
- 帝国データバンク
- 綜合警備保障
- Windows2000 Serverには,「証明書サービス」がオプションで実装されているため,前出の承認局を使用しなくても独自に認証局を構築することができる.
- ただし,自分も相手がその認証局を信頼していないと,意味がないので,普通は前出の有名な認証局を使う事となる.
※大手の認証局で証明書を発行してもらうと,1通あたり5万〜10万円程度のコストがかかる模様で,有効期限が1年しかない場合は,1年毎に更新する必要がある.
- Webブラウザの多くには,証明書が改ざんされていないことを確認するために,有名な認証機関の発行証明書(ルート証明書)が含まれている.
- ブラウザが知らない認証局によって発行された証明書を読み込もうとした場合,警告画面がでるようである.(Internet Explorerは出る)
- 組み込み機器のWebブラウザによっては,ベリサインの証明書はOKだが,ボルチモアの証明書はNGなどの制約があったりする.
※組み込み機器では,出荷ロットによってさらに制約が増えたりするようである.
5.証明機関(CA)
- 電子商取引などで使われる電子的な身分証明書を発行し、管理する機関.
- 電子署名に使用した公開キーが,間違いなく相手のものであることを証明する機関のこと.
- その実態は,上記の有名な認証局だったり,独自のサーバだったりする.