公開鍵証明書について

投稿日: 更新日:

なぜ公開鍵証明書が必要か?

公開鍵暗号では中間者攻撃が行われてしまうからです。入手した鍵が正しい鍵かどうかを判別することができません。

入手した公開鍵が正しいことを証明するのが公開鍵証明書です。公開鍵証明書は単に証明書とも呼びます。

公開鍵の識別ができない

認証局

認証局は公開鍵を登録する際に本人確認を行いそして署名を行います。認証局の署名がある証明書は本人確認を行った公開鍵であることが分かります。

証明書の発行、使い方

  1. 認証局に公開鍵を送信します。
  2. 認証局は本人確認を行い証明書を作成します。
  3. 公開鍵は認証局から入手して署名を検証します。

このような手続きで本人の公開鍵であることを確認できます。

証明書には「公開鍵」「個人情報」「認証局の署名」などが含まれています。

証明書の使い方

認証局の認証局

署名の検証に使う認証局の公開鍵はどのようにして正しいことを確認するのでしょうか?

別の認証局がデジタル署名をすることによって確認できます。別の認証局の公開鍵はまたさらに別の認証局と無限に続けることもできますが、どこかで連鎖を止めなければなりません。どこかで止まり、一番上にある認証局のことを「ルートCA」と呼びます。ルートCAは自分で自分の公開鍵に署名をします(セルフ署名)。

証明の階層構造

証明書の破棄

秘密鍵を紛失、盗まれた場合は証明書を破棄する必要があります。

証明書を破棄する時は認証局が「証明書破棄リスト」を作成します。別名で「CRL」と呼ばれます。

CRLの内容は失効した証明書のシリアル番号と失効日、その一覧に対しての認証局の署名が書かれています。
署名を検証するときは失効されてないかCRLを確認する必要があります。

参考文献

結城浩(2015)暗号技術入門 第3版

書いた人

profile_image

お茶の葉

物理とプログラミングが好きな人