この記事を読むために必要な時間は約5分(1606文字)です。
ディジタル証明書は何を証明するの? ~ ディジタル署名とPKIについて ~
- 投稿日:2018-12-13
- 最終更新日:2019-02-25
- 表示:524PV
- カテゴリ:ディジタル証明書
ディジタル署名は素晴らしいといいたいところですが、弱点があります。
今回はその弱点についてと、弱点への対策であるPKIについてお話をします。
目次
ディジタル署名の弱点とPKI
ディジタル署名の弱点
電子契約・電子署名などのディジタル証明書の使われ方についてで、「ディジタル証明書を印鑑の代わりのように扱い、電子契約や電子署名を実現しています。」とお話をしました。印鑑の変わりだから本人であると証明できる・・・かというとそうとも言い切れないです。
実際に、三文判と呼ばれるような100円均一のお店で売っているような印鑑の場合、誰でも購入できますから、本人であると証明できるとまでは言い切れません。
このため、ディジタル署名しただけでは、ディジタル証明書を持っているだけで、本人が署名したとは言い切れないという弱点があります。
弱点対策は?
それでは、弱点対策にはどうしたらよいのでしょうか?ご存知の方も多いと思いますが、印鑑の場合は、実印と呼ばれる方法を用いています。
その方法とは次のような順番です。
- 登録:印鑑の持ち主は、事前に、役所(個人であれば市区町村、法人であれば法務局)に、実印としたい印鑑(厳密には印影)を登録します
- 認証:役所は、印鑑の持ち主を、免許証などの本人確認書類で確認して、本人であることを確認します
- 交付:役所は、印鑑の持ち主に、役所の名前が印刷された用紙に、登録された印鑑(印影)が印刷された印鑑証明書を渡します
- 使用:印鑑の持ち主は、相手に、実印の押された書類と合わせて、登録された印鑑(印影)が印刷された証明書を渡します
- 確認:受取った相手は、証明書が正規のものであるか、印鑑(印影)が証明書と同じかを確認します
- 証明:同じであれば、本人のものであると確認できます
ディジタル署名でも同じことを行えば、本人のものであると確認できると考えました。
これが、PKI(Public Key Infrastructure)、日本語では「公開鍵基盤」と呼ばれるものです。
実印をPKIに置き換えると・・・
「実印」をPKIの「公開鍵・秘密鍵」に置き換えると同じであるとわかります。「認証局:CA」に「役所」と同じ役割を持たせようという方法です。
前回お話をしたように認証極:CAは、登録局:RAと発行局:IAとにわかれるのですが、実際に合わせて、CAとします。
- 登録:ディジタル証明書の持ち主は、事前に、認証局:CA(=登録局:RA)に、自分のものと証明したい秘密鍵に対応する公開鍵(=印鑑)を登録します
- 認証:認証局:CA(=登録局:RA)は、公開鍵の持ち主を、免許証などの本人確認書類で確認して、本人であることを確認します
- 交付:認証局:CA(=発行局:IA)は、ディジタル証明書の持ち主に、認証局の秘密鍵で署名したディジタル証明書:公開鍵(=印鑑証明書)を渡します
- 使用:ディジタル証明書の持ち主は、相手に、自分の秘密鍵で署名した暗号文と認証局の署名があるディジタル証明書を渡します
- 確認:受取った相手は、公開鍵が正規のものであるか、複合できるかを確認します
- 証明:正規のものであり、複合できれば、本人のものであると確認できます
これで、実印と同じように、本人確認もできるようになり、本人が署名したとは言い切れないという弱点を克服できます。
ご注意
PKIは、公開鍵暗号方式で暗号化していますので、ディジタル証明書(=秘密鍵)を使用しています。このため、秘密鍵が漏えいすると攻撃者などの第三者にもPKIを用いた暗号文の作成が可能になります。
秘密鍵が漏えいしている場合にも備え、CRL(証明書失効リスト)も確認した方が、より確実です。
タグ:ディジタル証明書, 公開鍵, 攻撃の影響, 攻撃者, 暗号化, 電子署名, PKI
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|