The Journey to Stars〜未知への探求〜

好奇心の赴くままに。学んだことを中心に書いています。

  当サイトの記事には、広告・プロモーションが含まれています

<セキュリティ#12>ディジタル証明書関連

f:id:yamaiririy:20210729171554p:plain

ディジタル証明書も試験によく出るので、仕組みをまとめておきます。

 

ディジタル証明書とは

公開鍵暗号方式の仕組みを利用した、本人確認のための技術。

身近なところではマイナンバーカードに使われています。

 

インターネットの世界では、なりすましが容易にできてしまうので、

身元の正当性の証明が必要です。

そこで生まれたのがディジタル証明書(電子証明書)の仕組みです。

 

図解と一連の流れ

f:id:yamaiririy:20210802213114j:image

 

1.Aさんは公開鍵を認証局に送り証明書の発行を依頼

2.認証局はAさんの身元の確認が取れたら証明書を発行

3.Aさんは秘密鍵で送りたい文書を暗号化

4.暗号化した文書と証明書をBさんに送付

5.Bさんは証明書の正当性を認証局へ問い合わせ

6.正当性が確認できれば(間違いなくAさんが送ってきたことがわかれば)
証明書から公開鍵を取り出し、文書を復号

認証局の仕組み

上記で”認証局”とひとまとめに書きましたが、実は認証局では

CA、VA、RA、AA

と役割がわかれています。
f:id:yamaiririy:20210802213111j:image

CA:Certificate Authority 認証局

証明書を発行する機関。

発行する機能のみをIA(Issuing Authority) 発行局

として分断して運用することもある。

 

RA:Registration Authority 登録局 

証明書の発行申請を受け付け、

審査を行う機関。本人確認ができれば、

認証局に証明書の発行を申請する。

 

VA:Validation Authority 検証局

証明書の失効リスト(CRL)を集中管理して、

証明書の有効性をチェックする機関。

 

またAA(Attribute Certificate Authority) 属性証明書を発行する機関

を別に設ける場合もあります。 

そのほかのポイント

・ディジタル証明書はITU-T勧告のX.509として標準規格化されている

・CRLに記載されるのは、証明書の失効情報(シリアル番号と失効日時)

※公開鍵情報は記載されない

認証局自身の失効したディジタル証明書をARL(Authority Revocation List)という

・リアルタイムで証明書の失効情報を問い合わせるOCSPOnline Certificate Status Protocol)は、RFC6960で規定されている

参考リンク

www.youtube.com

www.gmosign.com

最近はIoTデバイス向けの電子証明書もあるようです⬇︎

jp.globalsign.com