II-19-4. CA局の仕組みとその機能

電子証明書に電子署名(Digital Signature)を行う第三者機関であるCertification Authority (CA)局の役割や目的を説明し、CA局の仕組みやCA局が提供する機能、CA局を構成するソフトウェア、CA局による暗号化の手順などについて解説する。

【学習の要点】

* CA局は公開鍵証明書および失効リストを発行し、他のCA局の信頼性を担保する役割を担っている。

* CA局の種類は、Public CAとPrivate CAの二種類がある。

* CA局の機能は、証明書の作成、証明書の登録・管理、CRLの発行、信頼モデルに基づいた信頼の構築である。

* CA局を構成するソフトウェアは、PKIを構築するために利用するソフトウェアである。例えばOpenSSLやWindows ServerのCA機能が利用される。

* CA局における暗号化手法は、公開鍵暗号化標準(PKCS)沿った暗号化が用いられる。

 

図II-19-4. CA局の役割とその機能

 

【解説】

1) CA局の役割と種類

* CA局はPKIで利用される公開鍵証明書の信頼性を保証する役割を担っている。また、他のCA局と相互認証を行うことにより、PKIの信頼性基盤を構築する礎となる。

* CA局の種類は次の二つである

- Public CA:第三者により発行される証明書で本人性を証明する。一般に広く利用される。

- Private CA:組織内や限られた範囲で利用される。

2) CA局の機能と暗号化の手順

* CA局は、PKIの基盤に則り公開鍵証明書を発行し、第三者として本人性を保証する仕組みを提供する。

* CA局の暗号化手順は下記のとおりである。

- 利用者の公開鍵に対して、CA局の秘密鍵を用いて電子署名を行い、これを公開鍵証明書として発行する。

- 発行した公開鍵証明書はリポジトリに登録され、利用者が証明書を受けることができるようにする。

* CA局の公開鍵は、公開鍵証明書の検証のために公開される。

* 公開鍵証明書の失効したリスト(CRL)を発行する。

* 信頼モデルに基づいて他のCAと信頼関係を取り結ぶ。

* CA局の秘密鍵は、PKIの信頼性基盤を形づくる上で最重要の要素であるために、厳重に保管されなければならない。

3) CA局を構成するソフトウェア
広く利用されているCA局を構成するソフトウェアは、オープンソースソフトウェアではOpenSSL、企業のイントラネットではWindows ServerのCA機能である。これ以外にも商用のソフトウェアが各ベンダから発売されている。

4) CA局における暗号化手法

* CA局では暗号化手法として、米国RSA社の提唱するPKIを実現するための技術仕様のグループであるPKCS(Public Key Cryptography Standards)に実質的に準拠しているといえる。

* 現在、PKCS #1からPKCS#15までが策定されている。

* PKCS#1など、IETF(Internet Engineering Taskforce)のRFCといった標準技術団体に採用されているものもある。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。