[情報セキュリティマネジメント試験]公開鍵基盤(PKI)[無料講座・例題付き!]
今回は情報セキュリティマネジメント試験で問われる公開鍵基盤(PKI)について学習します。
公開鍵基盤(PKI)
PKIは公開鍵暗号基盤とも呼ばれ、なりすましなしで確実に本人の公開鍵であることを認証する仕組みです。
例えばアナログでも捺印するときに印鑑を本人名義で作られてしまっては意味がないですよね。
そんな時にその印鑑は確かに自分のだ!と証明する場合、役所や法務局で印鑑証明を発行します。
その印鑑証明のディジタル上での手続きがPKIになります。
PKIにおける重要用語
PKIを学習するにあたってはいくつか重要語句があるので押さえておきましょう。
ディジタル証明書
ディジタル証明書は公開鍵基盤において、公開鍵が入ったディジタル署名が正規の物であることを証明する第三者機関が発行する証明書です。
ディジタル署名が印鑑に該当するのに対して、ディジタル証明書は印鑑証明・身分証明に該当すると考えておきましょう。
失効リスト(CRL)
ディジタル証明書には有効期限がありますが、その中でも信頼性を失って失効してしまうことがあります。
有効期限だけであればディジタル証明書に記載されていますが、失効しているかどうかはそのディジタル証明書を確認しても分からないので、失効したリストをまとめたCRL(Certificate Revocation List)を参照します。
具体的にはディジタル証明書が悪用されたり、秘密鍵を紛失してしまった際に失効します。
認証局(CA)
認証局は公開鍵基盤においてディジタル証明書やCRLを発行する機関です。
英語でCertificate Authorityと言われ、CAとも表現されます。
認証局は第三者機関なので、信頼性が高くなっています。
また、認証局は一つの局で全ての問い合わせに対応することが困難なため複数存在しています。
一方で局自体が多くても管理が煩雑になるため認証局を階層構造にしています。
そして上位の認証局が下位の認証局を認証するような構造を取っています。
一番上位の認証局をルート認証局と呼びます。
ディジタル証明書入手の手順
認証局からディジタル証明書を発行してもらう流れをまとめていきます。
- 送信者は、公開鍵と秘密鍵を作成し、認証局に公開鍵が入ったディジタル署名と身分証明書を提出して登録申請する。
- 認証局は、内容を承認し、提出されたディジタル署名を入れたディジタル証明書を発行する。
- 送信者は、受信者にメール本文・送信者のディジタル署名・認証局のディジタル証明書を送る。
- 受信者は、認証局に送信者がなりすましでないことを確認する。
ディジタル証明書の種類
ディジタル証明書と一口に言っても、用途によって呼び方が変わります。
サーバ証明書
サーバ証明書はWebサーバのなりすましを防ぐために認証局が発行するディジタル証明書です。
サーバ証明書内の認証局の公開鍵によって、Webサーバが正規の物であると検証できます。
クライアント証明書
クライアント証明書は利用者や利用機器のなりすましを防ぐために、利用機器にインストールするディジタル証明書です。
ルート証明書
ルート証明書は、ルート認証局などが、自分自身が正規の物であることを証明するために発行するディジタル証明書です。
公開鍵基盤(PKI)・例題
実際に例題を解いて問題に慣れていきましょう。
問題
問1
PKI(公開鍵基盤)において,認証局が果たす役割はどれか。(H.30/春)
ア 共通鍵を生成する。
イ 公開鍵を利用してデータを暗号化する。
ウ 失効したディジタル証明書の一覧を発行する。
エ データが改ざんされていないことを検証する。
問2
ルート認証局についての記述はどれか。(H.29/秋)
ア UNIX系のOSにおいて,rootアカウントの権限レベルでプログラムを実行するために利用者が使用する。
イ 上位の認証局が発行した証明書によって,自らの認証局としての正当性を示す。
ウ 信頼される第三者機関として,認証局運用規程を公開している。
エ ハッカーが侵入の痕跡を隠蔽して,コンピュータやネットワークに対する管理者レベルのアクセス権限を得るために使用される。
解説(クリックで展開)
公開鍵基盤(PKI)・まとめ
今回は公開鍵基盤(PKI)について学習しました。
認証局が何のためにあるのか、認証局がどのような構造を取っているかは押さえておきましょう。
次回は暗号の種類について学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
