ページの本文へ

Hitachi

自治体向けソリューション

第3回 信頼される電子証明書と認証局 (1)

前回、PKIの各種要素技術を駆使すれば、電子的で、相手の顔が見えなくても、安心してやり取りを行うことが出来るようになるとお話しました。また、そのためには電子証明書や認証局を信頼しているという事が前提になければならないとも述べました。
今回は、信頼される電子証明書・認証局についてお話していきたいと思います。

1. 電子証明書

電子証明書は、公開鍵がその所有者のものであることを証明するために存在します。
電子証明書の基本的な項目には、証明書の持ち主の情報(名前、メールアドレスなど)、証明書の発行者の情報、証明書の発行者のデジタル署名などが含まれています。またこの中には、証明書の持ち主の公開鍵も含まれています。

しかし、電子証明書を受け取ったからといって、意図する相手から来たものであるかどうかはまだ断定できません。電子証明書自体は、簡単に発行することができるからです。そうなると、どこから発行されたかが問題になってきます。電子証明書を信頼するためには、送信者、受信者双方が信頼のおける発行元でなくてはなりません。信頼される電子証明書には、信頼できる発行元、つまり信頼できる認証局が必要となってくるわけです。

2. 認証局

信頼できる認証局とは、どのようなものなのでしょうか。
例えば、認証局の秘密鍵が盗まれてしまうと、その認証局になりすまして不正に証明書を発行されてしまう可能性があります。また、電子証明書は公開鍵と所有者とを結び付けるものなので、発行する際、十分な本人確認を行わないと、他人になりすまして、電子証明書が悪用される可能性があります。認証局が信頼されるためには、以上のようなことがあってはなりません。

そこで認証局は認証局運用規程(CPS:Certificate Practice Statement)としてまとめ、認証局を運用するにあたっての方針を一般に公開しています。運用方針を示すことで、信用できる認証局であることをアピールするのです。自分の公開鍵を登録しても良い認証局かどうか判断したい場合や、証明書の発行元である認証局が信頼できるかどうか確かめたい場合などは、認証局のCPSを見ることで確認ができるという訳です。

また一方で、証明書ポリシー(CP:Certificate Policy)と言われるものがあり、認証局が証明書の利用方針を定めたものがあります。CP・CPS両方を使って、認証局は信頼性を保証するしくみを確立しています。

3. PKIの一連の流れ

AさんからBさんへ文書を送る例で、簡単にPKIの一連の流れを見てみましょう。

[イメージ] インターネット(非対面取引き)でAさんからBさんへ文書を送る際のPKIの一連の流れ

(1)公開鍵を登録
送信者Aさんが自分の公開鍵・秘密鍵を作成し、登録しようとする認証局のCP・CPSを確認した上で、公開鍵を認証局に登録する。

(2)電子証明書発行
それを受けて、認証局が送信者の本人性を確認して、電子証明書を発行する。

(3)電子文書を作成 秘密鍵で暗号化(デジタル署名)
Aさんは、受信者Bさんに対して、文書と、自分の秘密鍵で暗号化したデジタル署名、そして認証局から発行された電子証明書(公開鍵)を送付する。

(4)デジタル署名の検証
受け取ったBさんは、まず送られてきたデジタル署名を、送られてきた公開鍵を使って検証することで、文書に改ざんが無いかチェックする。

(5)電子証明書の有効性確認
送付された電子証明書が信頼できるものかどうか、電子証明書に記載されている発行元の認証局に、電子証明書の有効性を確認する。(但し、発行元の項目に記載されている認証局は、CP・CPSを参照するなどして、Bさんは信頼しているものとする。)

(6)セキュアな通信確立
有効であることが認められれば、電子的で、非対面でも安心して通信が可能となる。

以上のような流れで、PKIは安全な通信環境を提供することができるのです。

4. 電子証明書の有効性確認

「3、PKIの一連の流れ」の項番5で、電子証明書を発行した認証局に有効性を確認すると書きましたが、実際はどのようにして確認するのでしょうか。

次回は、電子証明書の有効性の確認方法について、簡単にご説明したいと思います。

(2002年3月25日掲載)

(株)日立製作所 公共システム事業部

何をお探しですか?

製品・ソリューションや、電子行政用語集などを検索することができます。

[リンク]自治体ICT応援サイト「CyberGovernment Online」へ [リンク]日立 自治体向けメールマガジン