[情報SEC]第43回 PKI

第43回　PKI

PKIは公開鍵基盤という不思議な日本語訳の基本技術。
Iがインフラストラクチャ(略してインフラ)なので、
公開鍵インフラでよい気もするが。

PKIは、カギの正当性を保証するためのインフラ。
ディジタル署名とそれを発行・管理する機関の認証局によって成り立つもの。
SSL(https)で使われているのも、これ。

そもそもSSLでは何を認証しているのか。
単なる暗号化技術ではない。
そもそも暗号を使って情報をやりとりして、平気(安全)なのかを証明する技術。

試しにSSLのどっかのサイトに接続して、証明書を見てみるとよい。
ブラウザのどっかに出てるカギマークをダブルクリックすれば出てくる。
自分が接続している企業(お店)の名前と、それを証明している認証局の名前が出てくる。

自分で証明書をとってみるのが一番よいけどね。
もちろん、仕事で。だけど。
結構ややこしい。インターネットでウィンドウズ使う奇特な人は少ないだろうからみんなUNIX系だろうし。

１．OpenSSLというソフトを使ってカギペア(公開用・秘密用)を作ります。
　　OpenSSLが入ってなければインストールから始めます。
２．公開用のカギを認証局(ベリサインとか)に送ります。
　　この際、会社の存在を証明する書類を送ります。
　　正確には忘れたけど、登記簿の写しとかが必要だった気がする。
　　上場会社の方が簡単です。(証券取引所が証明してくれてるので。)
３．送り返されてきたサーバID(ベリサイン用語かの)を設定します。

デジタル証明書による認証基盤を構成する要素(なげータイトル)
登場人物は次の通り。
１．CA
２．RA
３．ディレクトリ
４．証明書有効性検証機関
５．利用者(サーバ屋さん)

たぶん、３と４は試験的には無視でいいと思います。
CAは認証局のことで、証明書発行するところです。
RAは証明書保持者の身元を保証するところです。

証明書とる際に、身元の確認をとるので、外部業者使ってるんでなければ、CAがRAも兼ねます。
けれども、インフラ上の定義としては、CAとRAは別物という扱いになります。
このあたりきっと試験に出るので、覚えておきましょう。

ディレクトリは証明書のデータベースのこと。(それだけ。)
証明書有効性検証機関(VA)は、証明書の失効情報の集中管理や有効期限の確認などをするところ。
...ようわからんの。

ディジタル署名については、前にもちと書いたので割愛。
公開鍵と秘密鍵を使って、逆説的に署名が本物であることを証明する技術。
本物であることは、本人が本人であることの証明が必要で、それが認証局の仕事。