ディジタル証明書も試験によく出るので、仕組みをまとめておきます。
ディジタル証明書とは
公開鍵暗号方式の仕組みを利用した、本人確認のための技術。
身近なところではマイナンバーカードに使われています。
インターネットの世界では、なりすましが容易にできてしまうので、
身元の正当性の証明が必要です。
そこで生まれたのがディジタル証明書(電子証明書)の仕組みです。
図解と一連の流れ
1.Aさんは公開鍵を認証局に送り証明書の発行を依頼
2.認証局はAさんの身元の確認が取れたら証明書を発行
3.Aさんは秘密鍵で送りたい文書を暗号化
4.暗号化した文書と証明書をBさんに送付
5.Bさんは証明書の正当性を認証局へ問い合わせ
6.正当性が確認できれば(間違いなくAさんが送ってきたことがわかれば)
証明書から公開鍵を取り出し、文書を復号
認証局の仕組み
CA、VA、RA、AA
と役割がわかれています。
CA:Certificate Authority 認証局
証明書を発行する機関。
発行する機能のみをIA(Issuing Authority) 発行局
として分断して運用することもある。
RA:Registration Authority 登録局
証明書の発行申請を受け付け、
審査を行う機関。本人確認ができれば、
認証局に証明書の発行を申請する。
VA:Validation Authority 検証局
証明書の失効リスト(CRL)を集中管理して、
証明書の有効性をチェックする機関。
またAA(Attribute Certificate Authority) 属性証明書を発行する機関
を別に設ける場合もあります。
そのほかのポイント
・ディジタル証明書はITU-T勧告のX.509として標準規格化されている
・CRLに記載されるのは、証明書の失効情報(シリアル番号と失効日時)
※公開鍵情報は記載されない
・認証局自身の失効したディジタル証明書をARL(Authority Revocation List)という
・リアルタイムで証明書の失効情報を問い合わせるOCSP(Online Certificate Status Protocol)は、RFC6960で規定されている