PKI（公開鍵暗号基盤） の変更点

https://techinfoofmicrosofttech.osscons.jp:443/index.php?PKI%EF%BC%88%E5%85%AC%E9%96%8B%E9%8D%B5%E6%9A%97%E5%8F%B7%E5%9F%BA%E7%9B%A4%EF%BC%89

[ トップ ]   [ 編集 | 差分 | バックアップ | 添付 | リロード ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• 追加された行はこの色です。
• 削除された行はこの色です。
• PKI（公開鍵暗号基盤） へ行く。
• PKI（公開鍵暗号基盤） の差分を削除

---

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>証明書]]

* 目次 [#bf42560c]
#contents

*概要 [#m987a438]
-PKI : Public Key Infrastructure（公開鍵暗号基盤）

-公開鍵暗号を利用し、安全に情報のやりとりを行うセキュリティのインフラ（基盤）

-その１つに、インターネット上の身分証明書の役割を担っている「電子[[証明書]]」が
ある。

-認証や署名により、公開鍵の正当性を保証する。

-[[証明書]]の認証局、証明機関などは、[[証明書]]のPKI（公開鍵暗号基盤）の構成要素。

*認証局（CA） [#f5fb280c]
-CA：Certification Authority

-認証局、証明機関などと呼ばれる。

**要件 [#i0c13c2a]
以下の要件を満たす必要がある。

-鍵の保管・管理の徹底

-発行申請者の認証による発行ミス防止

-各種セキュリティ対策の徹底
--物理的侵入
--不正アクセス
--災害
--障害

-保守 / 運用体制の確立
--メンテナンス体制の整備
---証明書の変更
---証明書の取消

-不足事態発生時の対応
--対応の体制
--手順の整備

**役割 [#xe3b5dc6]
その他、以下の様な役割を持つ。

-[[認証局運用規定（CPS）>#n1d6d1f7]]の公開

-CA自身の証明書の公開（主要OSなどに事前インストール）

-CA自身の秘密鍵を厳重に保管・管理する。

**機能 [#qf902dd4]
認証局の中には以下の機能がある。

※ RAのみを企業で管理し、他はアウトソースする形態が増えてきている。

***登録局（RA：Registration Authority） [#v0802006]
審査により証明書申請者の身元を保証する、申請の窓口となる機関。

-申請書、証明書中に列記される情報が正確であることの確認
-申請書中で特定された人物と同一であることの確認
-証明書に含まれる公開鍵に対応する秘密鍵の所持を確認
-法人申し込みなどの代理申請で、代理人の権限を確認

***発行局（IA：Issuing Authority） [#a528e0f1]
秘密鍵を保管・管理し、証明書の発行・失効を行う。

-認証局の中枢部
-認証局の秘密鍵を厳重に保管・管理
-発行：[[証明書失効リスト (CRL)]]
-失効：[[証明書信頼リスト (CTL)]]

***検証局 (VA：Validation Authority) [#j3085a65]
-[[証明書失効リスト (CRL)]]を集中管理し、証明書の有効性をチェックする機関
CA自身やCRLを集中管理するVAが運営する。

-[[証明書失効リスト (CRL)]]を集中管理し、証明書の有効性をチェックする機関・システム
-CAとは異なり、デジタル証明書の発行は行わずに検証機能に特化している。
-CAの公開鍵で署名の正当性を検証したり、証明書の有効期限を確認したりする。

※ RAのみを企業で管理し、IAはアウトソースする形態が増えてきている。

**階層 [#q2c82fed]

***ルート認証局（root CA） [#k7d39ed0]
-最上位のCA（上位なのにルートとか解り難いな）

-証明書チェーンのルートに居る。

***中間認証局（intermediate CA） [#x5675f15]

**商用 or 自営 [#j5885786]

***商用 [#g986b74c]

***自営 [#c3133d5f]
[[Active Directoryの証明書サービス>証明書サービス (AD CS)]]的な。

**CP と CPS [#x552f983]

***証明書ポリシ（CP） [#f783b6ec]
-CAが証明書を発行するときのポリシ

-[[X.509 v3の拡張領域>証明書#jddb1297]]で規定する。

-下記のようなケース毎、~
共通のセキュリティ要件によって決定する。

--特定のコミュニティ
--特定のアプリケーション
--特定の,　etc.

***認証局運用規定（CPS） [#n1d6d1f7]
-他者がCAの

--下記紅項目を評価できるように、
---信頼性
---安全性
---経済性

--以下の詳細を規定した文書
---セキュリティ・ポリシ
---責任と義務
---約款
---外部との信頼関係

-と言う事で、当然、
--助言型監査
--保証型監査

>などで利用される。

-参考
https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex05.pdf

*参考 [#j06f3102]

**[[PMI（権限管理基盤）]] [#b578aa55]

----
Tags: [[:セキュリティ]], [[:暗号化]], [[:証明書]]

       

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.002 sec.