暗号化方式
■秘密かぎ(共通かぎ)方式と公開かぎ方式
■認証技術
公開かぎ暗号化方式における
通常の通信方式と比べて、認証技術においては、
「公開かぎ」と「秘密かぎ」の位置づけが逆であるので注意すること。
| 方式 |
公開かぎ |
秘密かぎ |
目的 |
| 暗号通信 |
(一般の)発信者が
暗号化に用いる |
(特定の)受信者が
復号化に用いる |
通信時の盗聴防止 |
| 電子署名 |
(一般の)受信者が
復号化に用いる |
(特定の)発信者が
暗号化に用いる |
発信者の本人認証 |
◆ディジタル署名 (digital signature)
ディジタル署名=「ユーザ認証(本人確認)」+「メッセージ認証(改竄検知)」
ディジタル署名(電子署名)は、公開かぎ暗号方式を
応用している。
発信者は平文を一方向ハッシュ関数で圧縮したものを秘密かぎで暗号化して署名を作成し、
平文に添付して送付する。
受信者は署名を公開かぎで復号し、一方で送られた平文を同じハッシュ関数で圧縮して、
両者を比較して一致すれば
- 確かに(秘密かぎを知っている)発信者本人が発行したものである
- データに改竄は無かった
という事を同時に検証することが出来る。
平文全体を暗号化するのではなく、ハッシュ関数で圧縮した
メッセージダイジェストだけを暗号化・復号化するので、
高速に処理できる。
なお、ディジタル署名は、ネットワーク上を平文が流れるため、
データ内容の機密性を保証するものではない。
また、改竄を防止したり修復したりする機能も持っていない。
◆PKI【Public Key Infrastructure】
認証局、各種サーバ(ディレクトリサーバ、CAサーバ、RAサーバ)、
証明書を利用するユーザやシステムやアプリケーションで構成される
セキュリティ基盤のこと。公開鍵基盤とも訳される。
データの暗号化、デジタル署名、シングルサインオンなどを実現する。
X.509証明書は、ディジタル署名の有効性を確認する仕組みで、
第三者機関である認証局(CA:Certificate Authority)が発行する
証明書を送信者に送ることで、
本人確認の確度を高めることが出来る。
- 利用者が公開かぎと秘密かぎのペアを生成し、
公開かぎを認証局に送付する。
- 認証局は本人確認を十分行い、公開かぎが本人のものであることを確認する。
- 認証局が証明書を発行する。
証明書には、発行者名、有効期間、証明先(申請者)識別名、公開かぎ情報
などが含まれる。
認証局(CA:Certificate Authority)は、一般的には
ルート認証局、認証サービスを専門に行う企業、
認証を自社で行う企業などによって階層構造が出来ている。
CAの機能は、以下の4つから成ると考えられている。
- 登録局(RA:Registration Authority)
証明書を発行してよいかを判断する。
また、パスワード認証のためのデータベースを管理する。
- 発行局(IA:Issuing Authority)
証明書やCRLに署名を行う。
また、CAの鍵や、アプリケーション別証明書プロファイルを管理する。
- 配布局(PA:Publishing Authority)
証明書やCRL(Certificate Revocation List:証明書失効リスト)を
管理・配布する。
利用者に証明書の検索サービス(ディレクトリサービス)を提供する。
- 検証局(VA:Validation Authority)
運用時に個々の証明書の有効性を確認し、
CRL(証明書失効リスト)を作成する。
