PKI（公開鍵暗号基盤）

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• PKI : Public Key Infrastructure（公開鍵暗号基盤）

• 公開鍵暗号を利用し、安全に情報のやりとりを行うセキュリティのインフラ（基盤）

• その１つに、インターネット上の身分証明書の役割を担っている「電子証明書」が ある。

• 認証や署名により、公開鍵の正当性を保証する。

• 証明書の認証局、証明機関などは、証明書のPKI（公開鍵暗号基盤）の構成要素。

認証局（CA） †

• CA：Certification Authority

• 認証局、証明機関などと呼ばれる。

要件 †

以下の要件を満たす必要がある。

• 鍵の保管・管理の徹底

• 発行申請者の認証による発行ミス防止

• 各種セキュリティ対策の徹底
  • 物理的侵入
  • 不正アクセス
  • 災害
  • 障害

• 保守 / 運用体制の確立
  • メンテナンス体制の整備
    • 証明書の変更
    • 証明書の取消

• 不足事態発生時の対応
  • 対応の体制
  • 手順の整備

役割 †

その他、以下の様な役割を持つ。

• 認証局運用規定（CPS）の公開

• CA自身の証明書の公開（主要OSなどに事前インストール）

• CA自身の秘密鍵を厳重に保管・管理する。

機能 †

認証局の中には以下の機能がある。

※ RAのみを企業で管理し、他はアウトソースする形態が増えてきている。

登録局（RA：Registration Authority） †

審査により証明書申請者の身元を保証する、申請の窓口となる機関。

• 申請書、証明書中に列記される情報が正確であることの確認
• 申請書中で特定された人物と同一であることの確認
• 証明書に含まれる公開鍵に対応する秘密鍵の所持を確認
• 法人申し込みなどの代理申請で、代理人の権限を確認

発行局（IA：Issuing Authority） †

秘密鍵を保管・管理し、証明書の発行・失効を行う。

• 認証局の中枢部
• 認証局の秘密鍵を厳重に保管・管理
• 発行：証明書失効リスト (CRL)
• 失効：証明書信頼リスト (CTL)

検証局 (VA：Validation Authority) †

CA自身やCRLを集中管理するVAが運営する。

• 証明書失効リスト (CRL)を集中管理し、証明書の有効性をチェックする機関・システム
• CAとは異なり、デジタル証明書の発行は行わずに検証機能に特化している。
• CAの公開鍵で署名の正当性を検証したり、証明書の有効期限を確認したりする。

階層 †

ルート認証局（root CA） †

• 最上位のCA（上位なのにルートとか解り難いな）

• 証明書チェーンのルートに居る。

中間認証局（intermediate CA） †

商用 or 自営 †

商用 †

自営 †

Active Directoryの証明書サービス的な。

CP と CPS †

証明書ポリシ（CP） †

• CAが証明書を発行するときのポリシ

• X.509 v3の拡張領域で規定する。

• 下記のようなケース毎、
  共通のセキュリティ要件によって決定する。

• 特定のコミュニティ
• 特定のアプリケーション
• 特定の,　etc.

認証局運用規定（CPS） †

• 他者がCAの

• 下記紅項目を評価できるように、
  • 信頼性
  • 安全性
  • 経済性

• 以下の詳細を規定した文書
  • セキュリティ・ポリシ
  • 責任と義務
  • 約款
  • 外部との信頼関係

• と言う事で、当然、
  • 助言型監査
  • 保証型監査

などで利用される。

• 参考 https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex05.pdf

参考 †

PMI（権限管理基盤） †

---

Tags: :セキュリティ, :暗号化, :証明書