【認証技術.002】認証の仕組み②
佐藤@IT雑貨屋です。
認証の仕組みで、公開鍵基盤(PKI)について書いていきます。
◆PKIの仕組み
PKI(Public Key Infrastructure:公開鍵基盤)は、公開鍵暗号方式を利用した社会基盤(インフラ)の事です。政府や信頼できる第三者機関に設置した認証局(CA:Certificate Authority)に証明書を発行してもらい、身分を証明してもらう事で、個人や会社組織の信頼を確保します。
CA(認証局)の内部には、以下の役割を持つ機関があり、運用されています。
・RA(Registration Authority:登録局)
証明書の登録を受け付け、証明書を発行してもよいかの審査を行う機関
・IA(Issuing Authority:発行局
実際に証明書を発行する機関。証明書にデジタル署名を行う。
PKIのために、CAではデジタル証明書を発行します。デジタル証明書は、CAがデジタル署名を行うことによって、申請した人や会社組織の公開鍵が正しい事を証明します。
◆GPKI
政府が主導するPKIは一般のものと区別し、政府認証基盤(GPKI:Goverment Public Key Infrastructure)と呼ばれます。GPKIは行政機関に対する住民や企業からの申請・届出などをインターネットを介して実現することを目的に運用されています。国税の電子申告・納税システムであるe-Taxなどで利用されています。
◆プライベートCA
組織の中には、自営でCAを立ち上げて、公共の第三者機関ではなく自らがデジタル証明書を発行するところもあります。この様なCAをプライベートCAといい、通常の第三者機関発行のものと区別しています。
◆デジタル証明書
デジタル証明書は、作成したキーペアのうちの公開鍵をCAに提出し、その公開鍵に様々な情報を付加したものに対して、CAがデジタル署名を行ったものです。
このデジタル証明書を受け取った人は、CAの公開鍵を用いてデジタル署名を復元し、デジタル証明書のハッシュ値と照合して、一致すると、デジタル証明書の正当性が確認できます。デジタル証明書の規格は、ITU-T X.509で定められています。
デジタル証明書のうち、サーバで使用する証明書をサーバ証明書、クライアントが使用する証明書をクライアント証明書といって区別しています。
◆CRL
デジタル証明書には有効期限がありますが、その有効期限内に秘密鍵が漏洩したりセキュリティ事故が起きて、デジタル証明書の信頼性が損なわれる場合があります。そうした場合には、CAに申請して、CRL(Certificate Revocation List:証明書失効リスト)に登録してもらいます。こうする事により、そのデジタル証明書は無効であることを利用者に伝えることができます。CRLは、失効したデジタル証明書のシリアル番号と失効した日時を記したリストです。
◆VA
VA(Validation Authority:検証局)は、デジタル証明書のリストを集中的に管理し、証明書の有効性を確認することに特化した組織です。CAとは異なり、デジタル証明書の発行は行わず、CRLを集中管理して検証を行います。
◆OCSP
デジタル証明書の失効状態を取得するためのプロトコルにOCSP(Online Certificate Status Protocol)というのがあります。CRLの代替として提案されており、主にHTTPを使ってやりとりされています。
OCSPのやり取りを行うサーバをOCSPレスポンダといいます。OCSPレスポンダは、クライアントから指定された証明書うの有効状態について、「有効」「失効」「不明」のいずれかの応答を署名をつけて返します。
◆サーバ証明証の種類
サーバ証明証には、以下の3種類があります。
①DV(Domain Validation:ドメイン認証)証明証
サーバの運営組織がサーバ証明証に記載されているドメインの利用権を持つことを確認できる証明証です。サーバの運営組織にとっては、短期間かつ低コストで発行できるメリットがあります。組織の実在性などは確認できません。
②OV(Organization Validation:企業認証)証明証
ドメイン名に加えて、サーバの運営組織の実在性を確認できる証明証です。DV証明証より信頼性が高いのですが、現在のWebブラウザの表示方法では、DV証明証との違いを明確に識別する事は出来ません。
➂EV(Extended Valiation)証明証
サーバの運営組織の実在性について、国際的な認定基準に基づく審査が行われ、発行される証明証です。最も信頼性が高く、発行コストも高くなりますが、Webブラウザでアドレス部分が緑色になり、アドレスバーに運営組織(Organization Name)が表示される事で、利用者はEV証明証である事が容易に識別できます。