PKIの基礎まとめ (1)
「セキュアシステム設計技術者の育成」プログラム、松本泰先生の資料を参考にまとめました。
やっぱり文字だけじゃつらいな。。
基礎知識 キーワード
- 署名 Signature (否認防止 Non Repudiation)
- Certification
- 証明書を使って、何らかの権威者が何事かを証明する
- 否認防止の署名は、自署名、記名捺印にあたる。署名がなされた文章は一定期間保存され、事後に大きな意味を持つ。(身近な例: 米国出入国カード)
- 認証 Authentication
- 本人真正性の確認
- ボブはアリスの文書(署名)をどうやって検証するのか(単一CAモデルの場合)
- 何らかの形でCA証明書を信頼する(ボブの信頼点)
- CA証明書を使ってアリスの公開鍵証明書を検証できる(なぜなら、アリスの公開鍵証明書は、CAの署名鍵による署名が付いており、これをCA証明書(CA公開鍵)によって検証できるため)
- アリスのメッセージを検証できる
- X.509証明書の中身抜粋
- (証明書の中身が出てきたのでついでに、、) V3拡張の、criticalフラグについて
- criticalがTRUEだが、拡張タイプを知らない場合、証明書の検証は失敗する
- criticalがFALSEで、拡張タイプを知らない場合は、該当の拡張フィールドを無視する
- criticalが付いている証明書はあんまりないみたい。一般に配る証明書に付けると、検証に失敗してしまう場合が出てくるので、特定のサイトでしか付けていないみたい。
- PKIが安全であるための基本的な要件
- subscriberの要件
- なりすましをいかに防ぐか、私有鍵(署名鍵)の保護
- relying partyの要件
- 信頼点が信頼できること
- リポジトリから必要な情報(CRLなど)を取得
- 信頼点の公開鍵認証パスの検証を行う
- 証明局の要件
- 証明局の運用、鍵の管理
- subscriberの要件
- リライングパーティ(署名検証者)
- PKIの基本コンポーネント
- CA Certificate Authority: CRL/ARL、証明書などの発行 (CAの鍵を管理するHSMとつながっており、非常にセキュアな環境にある)
- RA Registration Authority: 証明書発行要求、更新要求、失効要求などの受付
- EE End Entitiy
- リポジトリ: CRL/ARL、各種証明書の配布。耐障害性が要求される。
- 鍵ペアの生成と証明書発行
- X.509証明書拡張 基本制約拡張 (BasicConstraints)
- Critical、CA True(CAへの証明書)、PathLength=0(CAへのパス数)をTop CAからCA-Aに発行すると、Top CAを信頼点とするEEは、CA-Aが下位CAに発行した証明書が検証できない。
- X.509証明書拡張 鍵使用目的拡張 (Key Usage)
- リンク
- Internet Week 2005「インターネット上の信頼を確立するPKIの技術と運用」 http://www.soi.wide.ad.jp/class/20050042/slides/24/
- 「インターネット上の信頼を確立するPKIの技術と運用」のスライド資料(PDF) http://www.nic.ad.jp/ja/materials/iw/2005/proceedings/T12-1.pdf
- PKI 関連技術解説 (IPA) http://www.ipa.go.jp/security/pki/
- 公的個人認証サービスポータルサイト http://www.jpki.go.jp/
明日は、EasyCertを使って実習してみよう。