ホーム
テクノロジ系
C. 技術要素
ⅩⅠ. セキュリティ
1. 情報セキュリティ

1.8.5. 公開鍵基盤

1. 概要

 PKI(Public Key Infrastructure:公開鍵基盤)は、インターネット上での安全な通信や電子署名を実現するための重要な基盤技術です。PKIは、公開鍵暗号方式を利用して、デジタル証明書の発行、管理、検証を行うシステムです。インターネットの普及に伴い、PKIはオンラインでの取引やコミュニケーションにおいて信頼性を確保するために不可欠な技術となっています。

 PKIの重要性は、以下の点にあります:

  1. 通信の暗号化による機密性の確保
  2. デジタル署名による改ざん防止と認証
  3. なりすまし防止と本人確認

2. 詳細説明

2.1. PKIの構成要素

 PKIは以下の主要な要素で構成されています:

  1. CA(Certification Authority:認証局)
  2. デジタル証明書(公開鍵証明書)
  3. 証明書の失効メカニズム

2.2. CA(認証局)

 CAは、PKIの信頼の基点となる機関です。CAの主な役割は、以下の通りです:

  1. デジタル証明書の発行と更新:CAは、Webサイトや個人に対してデジタル証明書を発行し、必要に応じて更新します。
  2. 証明書の失効管理:失効した証明書のリストを管理し、ユーザーが信頼できない証明書を認識できるようにします。
  3. ルート証明書の管理:最上位の信頼を証明するルート証明書を発行し、証明書の階層構造を維持します。

2.3. デジタル証明書

 デジタル証明書は、以下のような種類があります。それぞれ異なる目的で利用されます。

  1. ルート証明書:最上位の認証局が自身に対して発行する証明書。信頼の基点となります。
  2. サーバ証明書:Webサーバの認証に使用される証明書。例えば、銀行やショッピングサイトでのオンライン取引では、SSL/TLSを使用してユーザーの個人情報や支払い情報を保護します。
  3. クライアント証明書:個人やデバイスの認証に使用される証明書。例えば、企業の社内ネットワークにアクセスする際のユーザー認証に利用されます。
  4. コードサイニング証明書:ソフトウェアの認証に使用される証明書。例えば、ダウンロードしたソフトウェアが改ざんされていないことを保証します。

2.4. 証明書の失効メカニズム

 証明書の失効情報を管理する仕組みとして、以下の2つがあります:

  1. CRL(Certificate Revocation List:証明書失効リスト):失効した証明書のリストを定期的に配布する方式で、一括でダウンロードするため、通信量が多くなります。
  2. OCSP(Online Certificate Status Protocol):リアルタイムで証明書の有効性を確認する方式で、個別の証明書ごとに確認するため、通信回数は増えますが1回あたりの通信量は少なくなります。OCSPステープリングを使用することで、サーバが証明書の有効性情報をキャッシュし、通信回数を減らすことができます。

3. 応用例

3.1. SSL/TLS通信

 PKIは、Webサイトでの安全な通信(HTTPS)に広く利用されています。サーバ証明書を用いてサーバの正当性を確認し、通信を暗号化します。例えば、インターネットバンキングやオンラインショッピングサイトなど、ユーザーの個人情報や支払い情報を守るために不可欠です。

3.2. 電子署名

 PKIは、電子文書の署名に利用されます。例えば、契約書や公的な文書に電子署名を行う場合、署名者の公開鍵証明書を使ってその署名が正しいかどうかを確認できます。この仕組みにより、紙の文書と同様の法的な効力を電子文書に持たせることが可能です。

3.3. 政府認証基盤(GPKI)

 GPKI(Government Public Key Infrastructure)は、電子政府の実現に向けて構築された公開鍵基盤です。各府省庁の認証局をBCA(Bridge Certification Authority:ブリッジ認証局)で相互接続しており、政府内での安全な通信とデータ交換を可能にしています。

4. 例題

例題1

問題:PKIにおけるCAの主な役割を3つ挙げてください。

回答例:

  1. デジタル証明書の発行と更新
  2. 証明書の失効管理
  3. ルート証明書の管理

例題2

問題:CRLとOCSPの違いを説明してください。

回答例:

  • CRLは失効した証明書のリストを定期的に配布する方式です。
  • OCSPはリアルタイムで証明書の有効性を確認する方式です。
  • CRLは一括でダウンロードするため通信量が多くなりますが、OCSPは個別の証明書ごとに確認するため、通信回数は増えますが1回あたりの通信量は少なくなります。OCSPステープリングを使用することで、通信回数を減らし、効率を改善することができます。

5. まとめ

 PKI(公開鍵基盤)は、インターネット上での安全な通信や認証を実現するための重要な技術基盤です。CAによるデジタル証明書の発行と管理、証明書の失効メカニズムなどの要素で構成されており、SSL/TLS通信や電子署名、政府認証基盤など、様々な場面で活用されています。情報セキュリティの確保において、PKIの仕組みと特徴を理解することは非常に重要です。