公開鍵暗号方式が技術のキモ

公開鍵暗号方式では、2個1組の暗号鍵を使ってデータを暗号化する方式です。一方の鍵で暗号化したデータはもう片方の鍵でしか複号できないのが特徴になっています。

PKIでは、この公開鍵暗号方式を暗号化とディジタル署名に用います。しかし、これらの仕組みは、公開されている公開鍵が「間違いなく当人のものである」ことが前提になります。もし公開鍵の持ち主が詐称されると、なりすましなどの脅威が発生します。

そのためPKIでは、ディジタル証明書に公開鍵を収めて配布することで、公開鍵の所有者を証明しています。

ディジタル証明書の発行手順

続いては、ディジタル証明書の発行手順を確認しながら、認証局の役割と、電子証明書の具体的な内容を見てみましょう。ユーザーAが認証局に電子証明書の発行依頼を出したケースを例として説明します。

認証局は、まずAさんからのディジタル証明書の発行申請を受け付けたのち、Aさんが果たして本当に信頼できるかどうかを審査します。結果問題ないと判断された場合には、認証局はAさんの公開鍵を収めたディジタル証明書を発行します。

発行時には、認証局が自分の秘密鍵を使ってディジタル証明書にディジタル署名を行います。これは例えるならば現実世界の印鑑証明書に発行元である地方自治体の印が押してあるのと同等の意味を持ちます。この認証局のディジタル署名が、ディジタル証明書の信頼性を確認するうえで重要な意味を持ちます。

データベースにして公開する

認証局はその際、自分が発行したディジタル証明書に関連する情報をデータベース化して公開します。これはネットワーク経由で外部のアプリケーションがその情報を参照できるようにするためです。

ここで公開するのは、ディジタル証明書そのものではなく、CRLと呼ばれる有効期間内にもかかわらず失効したディジタル証明書のリストなども含まれます。

このCRLを利用することによって、秘密鍵が盗まれた際などに盗まれたユーザーのディジタル証明書が悪用されることを防ぎます。

なお、ディジタル証明書はX.509というITUが策定したディジタル証明書とCRLの標準仕様に従って作成されています。ディジタル証明書とブラウザなどのアプリケーションの双方が標準仕様に従っているため、PKIに基づく暗号通信やサーバーの認証が可能になるといえます。

この一連の流れで、安全な通信ができるように見えますが、ディジタル証明書を発行した認証局の信頼性が確認できないと本当に安全な通信は実現されません。

次回は、認証局の信頼性を保証する仕組みについて解説します。

情報セキュリティスペシャリスト試験対策講座の目次はこちら