II-19-3. PKIの役割、仕組みと重要性

暗号化を運用するための基盤を提供するPublic Key Infrastructure (PKI)の目的や仕組み、役割、適用分野などを解説する。PKIを適用する分野や実際の運用状況、代表的なPKIの種類や特徴に関しても言及する。

【学習の要点】

* PKIはユーザ同士の本人認証を、事前の直接的なコンタクトなしに、実現するコンピュータシステム基盤である。

* PKIは公開鍵暗号方式を用いて、本人認証を行う仕組みであり、PKIの要素は証明書・認証局・リポジトリである。

* PKIの適用分野はe-commerce、ドキュメントのリーガルドキュメント化、原本証明、公的機関への入札等の本人証明が必要なすべての分野に渡る。

* PKIの運用状況は、WebにおいてはSSL、メールの暗号化・署名にS/MIME、PDFなどの電子文書の署名、スマートカードの本人認証、電子マネーの本人認証、無線LANの認証等がある。

* 代表的なPKIの種類について、もっとも数が多いものはWindows Serverに組み込まれたPKIであり、OSSではOpenCA、 EJBCA、商用ではEntrust社、RSASecurity社など多数存在する。

図II-19-3. PKIの仕組みと流れ

 

【解説】

1) PKIとは

* PKIはユーザ同士の本人認証を、事前の直接的なコンタクトなしに、実現するコンピュータシステム基盤である。コンタクトなしに認証を実現するためには、信頼できる第三者機関(TTP: Trusted Third Party)が信頼関係を確立するための重要な責をもっている。

* PKIは公開鍵暗号方式を用いて、本人認証を行う仕組みであり、PKIモデルの要素は次の通りである。

- 認証局(CA: Certification Authority)
秘密鍵と公開鍵の鍵ペアの所持者に対して公開鍵証明書を発行する機関である。CAが証明書を発行するさいにはRAの審査が終了していることが必要である。CAは証明書を発行するさいに、自分自身の鍵をもちいて、所持者の証明書に署名をして、リポジトリに登録する。これをもってCAが所持者に信頼を与えたとする。

- 登録局(RA: Registration Authority)
公開鍵証明書を発行するために資格審査を行う要素である。

- リポジトリ
公開鍵証明書を保管、開示するための手段である。

- 公開鍵証明書
公開鍵ペアの所持者であることを証明した情報である。CAにより署名がされている。

- 失効リスト(CRL: Certificate Revocation List)
有効期限切れや資格喪失等により証明できない証明書一覧を記述したリストである。CRLはCAにより署名される。

- 証明書有効性検証機関(VA: Validation Authority)
公開鍵証明書が有効であるかどうかを検証する要素である。信頼されたCAにより署名が行われていること、CRLに載っていないこと、そして有効期限内であることの検証が行われる。

- 証明書利用者
秘密鍵の所有者で、公開鍵証明書を利用する人やプログラムである。

2) PKIの適用

* PKIの適用分野はe-commerce、ドキュメントのリーガルドキュメント化、原本証明、公的機関への入札等の本人証明が必要なすべての分野に渡る。

* PKIの運用状況は、WebにおいてはSSL、メールの暗号化・署名にS/MIME、PDFなどの電子文書の署名、スマートカードの本人認証、電子マネーの本人認証、無線LANの認証等がある。

* 代表的なPKIの種類について、もっとも数が多いものはWindows Serverに組み込まれたPKIであり、OSSではOpenCA、 EJBCA、商用ではEntrust社、RSASecurity社など多数存在する。

3) PKIの規格

* ITU-T X.509

* IETF PKIX

* PKCS標準

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。