この記事を読むために必要な時間は約3分(1166文字)です。
ディジタル証明書はいつまでも(永遠に)有効なの? ~ ディジタル証明書の失効とCRLについて ~
- 投稿日:2019-01-10
- 最終更新日:2019-02-25
- 表示:410PV
- カテゴリ:ディジタル証明書
印鑑と同じように使えるPKIなどの場合、有効期限は不要な気がします。
しかし、無くてはならないものなのです。
今回は、ディジタル証明書の失効についてのお話をします。
目次
ディジタル証明書の失効について
失効が必要な原因は?
ディジタル証明書の失効が必要な主要な原因は次の3通りです。- 危殆化(きたいか)
- 脆弱性(ぜいじゃくせい)
- 漏えい
危殆化(きたいか)
この場合の危殆化とは、計算機などの能力が向上することにより、ディジタル証明書を用いた暗号化した通信の解読が早くなり、暗号化の意味がなくなる現象を意味します。脆弱性(ぜいじゃくせい)
ディジタル証明書の方式そのもの又は利用する暗号化方式に脆弱性があり、暗号化の意味がなくなる現象を意味します。漏えい
公開鍵暗号方式を使用する場合で、秘密鍵が漏えいした場合です。失効が必要な理由は?
危殆化の場合、PKIなどの盗聴防止に使用しないディジタル証明書では、有効期限が不必要にも感じます。しかし、有効期限が設けられています。
その理由は、「ディジタル証明書の使われ方について」でもお話したように、ディジタル署名が盗聴の防止にも使用できるからです。
盗聴防止に使用できるとはいっても、PKIをそのような使い方はしないから、納得できないという方もいらっしゃるでしょう。
この方に対しては、「認証局は、ディジタル証明書の使い方を限定していないから・・・」と回答するしかありません。
ディジタル証明書の作り方については、「ディジタル証明書(電子証明書)はどうやって作るの?」や「ディジタル証明書は何を証明するの?」でお話をしていますが、認証局(CA、RA、IA)には、ディジタル証明書の使い方を通知しません。
このため、認証局から発行されたディジタル証明書を盗聴防止にも使用することができます。
使用できる以上、危殆化対策として、ディジタル証明書には有効期限が必要になるのです。
危殆化以外の失効原因に対する対応は?
脆弱性の発見や漏えいした場合など、緊急性を要する原因の場合、有効期限まで待つことは危険を増加することになります。このための対策として、有効期限内に何らかの理由で失効が必要なディジタル証明書をリストとして認証局が管理するようになりました。
この認証局が管理するリストが、CRL(Certificate Revocation List:証明書失効リスト)です。
ディジタル証明書を検証する場合は、このCRLも確認することにより、失効していないかを確認することにより対応します。
タグ:タイムスタンプ, ディジタル証明書, 公開鍵, 改ざん, 暗号方式, 漏えい, 脆弱性, PKI
| 広告枠・・・広告やリンク先の保証はしません |
|---|