公開鍵基盤―電子証明書とは何か、PKIの仕組み、特徴、活用場面。

トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ 情報セキュリティとは 情報セキュリティに関する技術 公開鍵基盤

公開鍵基盤とは、PKI（Publuic Key Infrastructure）ともいい、公開鍵暗号技術に基づき、電子証明書（ディジタル証明書）やCAによって実現される相互認証の基盤です。電子証明書とは何か、PKIの仕組み、特徴、活用場面について見ていきます。

▲記事トップへ

目次

この記事の目次です。

1. PKI（Public Key Infrastructure：公開鍵基盤）
2. 電子証明書（ディジタル証明書
3. CRL（Certificate Revocation List：証明書失効リスト）
4. OCSP
5. CA（Certification Authority： 認証局）

公開鍵基盤に関連したIPA情報処理試験の過去問題
もっと知識を広げるための参考
更新履歴

1. PKI（Public Key Infrastructure：公開鍵基盤）

公開鍵基盤とは、PKI（Publuic Key Infrastructure）ともいい、公開鍵暗号技術に基づき、 電子証明書（ディジタル証明書）やCAによって実現される相互認証の基盤です。

公開鍵基盤は公開鍵認証基盤とも呼びますが、簡単に言えば、公開鍵を「とても信頼できる第三者」にお願いして、 公開鍵そのものに「とても信頼できる第三者」による署名をしてもらうという方法です。

公開鍵暗号技術はアルゴリズムが公開されているため、だれでも公開鍵と秘密鍵を生成することができます。 ですので、公開鍵暗号技術による認証や署名では、公開鍵や秘密鍵の正当性が保証されていることが重要です。 そのため、信頼できる第三者（認証局）が署名し、発行する電子証明書（ディジタル証明書、公開鍵証明書）が用いられています。 公開鍵基盤は、電子証明書（ディジタル証明書）と、それを発行・管理する機関である認証局によって気づかれる相互認証の基盤ととらえることができます。

認証局が果たす役割

PKI（公開鍵基盤）において、認証局が果たす役割の一つは、失効した電子証明書（ディジタル証明書）の一覧を発行することです。

公開鍵基盤に関連した参考書籍

公開鍵基盤に関連した参考書籍です。目次や参考いたしました内容をまとめています。

• Amazon）サイバーセキュリティ入門: 私たちを取り巻く光と闇 (共立スマートセレクション)

2. 電子証明書（ディジタル証明書）

電子証明書（ディジタル証明書）とは、個人や組織に関する電子式の身分証明書です。 TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されています。 認証局（CA）とよばれる第三者機関によって発行されます。CAは、役割ごとに複数の組織に分割されることがあります。

なお、電子証明書（ディジタル証明書）はITU-T勧告のX.509に定義されています。

X.509とは

X.509は、ITU-Tが1988年に勧告した電子証明書（ディジタル証明書）およびCRLの標準仕様です。 ISO/IEC9594-8として国際規格化されています。

3. CRL（Certificate Revocation List：証明書失効リスト）

CRLとは、Certificate Revocation Listを省略した呼び方で証明書失効リストのことをいいます。 X.509ではCRLの実装に関する標準も含んでいます。

CRLは、電子証明書（ディジタル証明書）の悪用やご発行などの不測事態が発生したことによって 有効期限内に失効させる必要が生じた電子証明書（ディジタル証明書）が登録されたリストです。 CRLは、申請者からの証明書廃棄申請を受けて検証期間もしくは認証局が発行し、公開します。

認証局は、有効期限内の電子証明書（ディジタル証明書）のシリアル番号をCRLに登録することがあります。

4. OCSP

OCSPとは、Online Certificate Status Protocolの略で、電子証明書（ディジタル証明書）の有効性をリアルタイムで確認する仕組みです。

電子証明書（ディジタル証明書）の失効情報を問い合わせることがOCSPを利用する目的になります。

5. CA（Certification Authority： 認証局）

CAの役割を分割した場合の主な組織は以下のようなものがあります。

• RA：登録局
• VA：検証機関
• IA：発行機関

RA：ルート認証局

ルート認証局（RA：Root Authority）は、信頼された第三者機関として、認証局運用規程を公開しています。

VA

VAとは、Validation Authorityを省略した呼び方で、証明書有効性検証局のことをいいます。 VAは、証明書の廃棄申請を受け付けて、有効期限内に失効した証明書の失効リスト（CRL）を発行します。

VAは、次のような役割を担っているシステムや期間となります。

• 電子証明書（ディジタル証明書）の失効情報の集中管理
• CAの公開鍵で署名を検証
• 電子証明書（ディジタル証明書）内に記載された有効期限の確認
• CRLの確認

公開鍵基盤に関連したIPA情報処理試験の過去問題

以下では公開鍵基盤に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年春 問30 認証局が果たす役割―情報セキュリティマネジメント試験 午前
• 平成29年秋 問26 ルート認証局―情報セキュリティマネジメント試験 午前
• 平成30年春 問8 CRL（Certificate Revocation List）―情報処理安全確保支援士（SC）午前Ⅱ
• 平成28年秋 問7 CRL（Certificate Revocation List）―情報セキュリティスペシャリスト試験（SC）午前Ⅱ
• 平成28年春 問3 OCSP―情報セキュリティスペシャリスト試験（SC）午前Ⅱ
• 平成28年春 問8 電子証明書（ディジタル証明書）―情報セキュリティスペシャリスト試験（SC）午前Ⅱ
• 平成27年春 問4 VA（Validation Authority）―情報セキュリティスペシャリスト試験（SC）午前Ⅱ
• 平成27年春 問6 CRL―情報セキュリティスペシャリスト試験（SC）午前Ⅱ

もっと知識を広げるための参考

• 情報セキュリティ

  情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

• テクノロジ系

  情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

更新履歴

• 2020/7/18 CRLについて追記しました。
• 2019/4/9 ルート認証局について追記しました。
• 2018/10/9 記事をUPしました。

戻る