この記事を読むために必要な時間は約4分(1437文字)です。
認証局の確認はしていますか? ~ ディジタル署名の証明について ~
- 投稿日:2018-12-18
- 最終更新日:2019-02-25
- 表示:304PV
- カテゴリ:ディジタル証明書
実は、PKIでも弱点が存在します。
それは、本人の証明ではなく、認証局:CAの問題です。
本人の証明の根幹は、認証局が確認したことです。
それでは、本人の証明と同じく、確認を行った認証局:CAの確認が必要になりませんか?ということです。
PKIの考え方では、認証局:CAは正しいものと説明されていることが多いので、忘れられることが多いので、今回は、その点に絞ってお話をします。
目次
認証局:CAの証明
「正規のもの」はどうやって確認するの?
前回お話をした「認証局の署名が正規のものであるか?」の確認は、本人確認の根幹ですから、重要な問題です。その観点から、次の2つが特に重要となります。
- 偽の認証局ではない?
- 発行した認証局は大丈夫?
偽の認証局ではない?
印鑑証明書の偽造と同じく、偽の認証局のディジタル署名を作ってしまえば、偽の認証局の署名入りディジタル証明書:公開鍵が作れるからです。これは、次のような順番で複合できるか?で判断します。
- 認証局の署名入り公開鍵を受取る
- 受取った公開鍵に記載された認証局の公開鍵を取得する
- 取得した認証局の公開鍵で複合し、ディジタル証明書の持ち主の公開鍵を取得する
この順番のどこかに偽りがあれば、ディジタル証明書の持ち主の公開鍵は取得できません。
これにより、偽の認証局ではないかが確認できます。
発行した認証局は大丈夫?
こちらは忘れられがちなのですが、重要な観点です。自由に扱える認証局を作ることができれば、偽者を作成することも可能になるからです。
極論すれば、認証局は、自分が認証局であると宣言してしまえば、作ることができます。
これがディジタル証明書の作成でお話をしたプライベートCAです。
個人情報を含む情報を安心して扱えるようにするためのGPKIのように、国の制度で認証局を確認していることもあります。
また、古くから認証局として活動している組織もあります。
このような組織は、一定の信頼性を得ています。
信頼性がある認証局なのかは、受取り手が確認しなければなりません。
ネットは虚実が入り混じっていますので、認証局の署名入りの公開鍵だから大丈夫とも言い切れないのが実情です。
「正規のもの」はわかったが、大丈夫かどうかはどうやって確認する?
海外の認証局などもありますから、認証局が大丈夫かを確認するのを個人でやっていては大変です。そこで、認証局が大丈夫か確認するのに一番簡単な方法をご紹介します。
それは、ブラウザに格納されている証明書にあるかどうかです。
マイクロソフトのIE・EdgeやGoogleのChromeなどのブラウザは、インストール時から、通信に使用する証明書を格納しています。
会社名を名乗って格納する以上、問題があれば、責任追及されることもあるでしょう。
このため、これらのブラウザに格納する証明書の認証局についても、ある程度確認はしています。
マイクロソフトやGoogleなどが、ある程度は信用できるものでない限りは格納しないだろうと考えて、格納されている認証局であれ、信用できると判断する方法です。
マイクロソフトやGoogleの調査がどの程度信用に値するか?などもありますので、絶対ではないです。
彼らだってだまされることはあるのですから。
| 広告枠・・・広告やリンク先の保証はしません |
|---|