PKI（公開鍵暗号基盤）のバックアップ(No.6) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
PKI（公開鍵暗号基盤）へ行く。
- 1 (2019-10-27 (日) 14:46:36)
- 2 (2019-10-27 (日) 14:50:07)
- 3 (2019-10-28 (月) 09:29:47)
- 4 (2019-10-28 (月) 21:13:23)
- 5 (2019-10-29 (火) 01:01:16)
- 6 (2019-10-29 (火) 21:17:54)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
認証局（CA）
参考
- PMI（権限管理基盤）

概要 †

PKI : Public Key Infrastructure（公開鍵暗号基盤）

公開鍵暗号を利用し、安全に情報のやりとりを行うセキュリティのインフラ（基盤）

その１つに、インターネット上の身分証明書の役割を担っている「電子証明書」がある。

認証や署名により、公開鍵の正当性を保証する。

証明書の認証局、証明機関などは、証明書のPKI（公開鍵暗号基盤）の構成要素。

認証局（CA） †

CA：Certification Authority

認証局、証明機関などと呼ばれる。

要件 †

以下の要件を満たす必要がある。

鍵の保管・管理の徹底

発行申請者の認証による発行ミス防止

各種セキュリティ対策の徹底
- 物理的侵入
- 不正アクセス
- 災害
- 障害

保守 / 運用体制の確立
- メンテナンス体制の整備
  - 証明書の変更
  - 証明書の取消

不足事態発生時の対応
- 対応の体制
- 手順の整備

構成 †

機能 †

認証局の中には以下の機能がある。

登録局（RA）
審査により証明書申請者の身元を保証する。

申請書、証明書中に列記される情報が正確であることの確認
申請書中で特定された人物と同一であることの確認
証明書に含まれる公開鍵に対応する秘密鍵の所持を確認
法人申し込みなどの代理申請で、代理人の権限を確認

発行局（IA）
秘密鍵を保管・管理し、証明書の発行・失効を行う。

認証局の中枢部
認証局の秘密鍵を厳重に保管・管理
発行：証明書失効リスト (CRL)
失効：証明書信頼リスト (CTL)

※ RAのみを企業で管理し、IAはアウトソースする形態が増えてきている。

役割 †

その他、以下の様な役割を持つ。

認証局運用規定（CPS）の公開

CA自身の証明書の公開（主要OSなどに事前インストール）

CA自身の秘密鍵を厳重に保管・管理する。

階層 †

ルート認証局（root CA） †

最上位のCA（上位なのにルートとか解り難いな）

証明書チェーンのルートに居る。

中間認証局（intermediate CA） †

商用 or 自営 †

商用 †

自営 †

Active Directoryの証明書サービス的な。

CP と CPS †

証明書ポリシ（CP） †

CAが証明書を発行するときのポリシ

X.509 v3の拡張領域で規定する。

下記のようなケース毎、
共通のセキュリティ要件によって決定する。

特定のコミュニティ
特定のアプリケーション
特定の,　etc.

認証局運用規定（CPS） †

他者がCAの

下記紅項目を評価できるように、
- 信頼性
- 安全性
- 経済性

以下の詳細を規定した文書
- セキュリティ・ポリシ
- 責任と義務
- 約款
- 外部との信頼関係

と言う事で、当然、
- 助言型監査
- 保証型監査

などで利用される。

参考 https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex05.pdf

参考 †

PMI（権限管理基盤） †

Tags: :セキュリティ, :暗号化, :証明書