認証局を信頼する仕組み

これまで、ユーザーの公開鍵の信頼性がディジタル証明書によって保証されることを解説してきました。しかし、そもそものディジタル証明書自体の信頼性はどのように確認する仕組みになっているのでしょうか。今回はその点を解説します。

前回、ディジタル証明書には発行元の認証局が自分の秘密鍵を使って電子署名を行っていることを書きました。ディジタル証明書の発行元が詐称されていないかどうかはこの認証局のディジタル署名を検証すれば確認できます。

確認する方法は、認証局のディジタル証明書から公開鍵を取りだせば実現できますが、この認証局のディジタル証明書は誰が発行しているのでしょうか?

認証局は、自分より上位の他の認証局からディジタル証明書を発行してもらいます。となると、最上位の認証局(ルート認証局)はどこからディジタル証明書を発行してもらうのでしょうか。答えはルート認証局は、自分より上位の認証局が当然ありませんので、自分自身でディジタル証明書を発行しています。

つまり、ユーザーが受け取ったディジタル証明書が本当に信頼できるかどうかは、最終的にこのルート認証局を信頼できるかどうかによって決まることになります。

アプリケーション側に信頼できるルート認証局のリストを持つ

ルート認証局を信頼するかどうかは本来であれば、ユーザーそれぞれが個別に判断しなくてはなりません。そのための判断基準として、認証局が公開しているCPSと呼ばれる「認証局運用規定」を参照するという方法があります。これは運用ポリシーが書かれた文書ですが、CPSの内容は非常に長くて複雑な内容となっているため、一般ユーザーが参照するのは現実的はありません。

そこで、現在ではPKIに対応したアプリケーション側にあらかじめ信頼できるルートの認証局のリストを保持させることが一般的になっています。

情報セキュリティスペシャリスト試験対策講座の目次はこちら