暗号技術のいま ネット社会とPKI
<暗号技術のいま ネット社会とPKI>第6回 PKIとは
2002/03/25 16:18
広義には、公開鍵暗号を利用した電子署名や電子認証を行うアプリケーション構築のためのハードウェア、ソフトウェアおよび人間系から成る標準的共通基盤である。
PKIは、多様なアプリケーションの共通基盤として、認証、秘匿、改ざん防止、否認防止、アクセス制御などの機能/サービスを提供してくれる。いわば縁の下の力持ちである。認証を始めとするセキュリティ機能実現のための複雑な処理/手続きを担ってくれている。PKIは、セキュアなアプリケーションの品質・生産性向上の要であり、PKIを導入し適切に仕組むことによって、主に次のようなメリットを得ることができる。
・PKIによる確かなセキュリティ機能によって、今まで電子化できなかった業務の電子化が可能になり、サービス向上、スピーディな経営活動、コスト低減などを推進できる。
・利用者に統合的な環境を提供できる。複数のセキュアなアプリケーションにわたって、利用者は同一のICカードおよびパスワードを共通に利用できる。運用管理者にとっても、サーバーごとにIDとパスワードを管理する必要がなくなる。
・システム構築が容易になるとともに、保守性や相互運用性を高められる。
2.PKIの仕組み
先に、公開鍵暗号に基づく認証の原理を示した。署名者が秘密鍵を用いて生成した署名を署名者の公開鍵を用いて署名検証することによって、電子文書が本物であることを確認できる(誰が作成したものか、改ざんされていないかということが確認できる)という原理である。ここで、署名者の公開鍵は本当に署名者のものだろうか。裸のままでは信用しにくい。
PKIではこの問題を解決するために、信用できる「認証局」が公開鍵とその所有者の対応を証明する「証明書」を発行するという仕組みを導入した。
証明書には、公開鍵、所有者の識別名、有効期限などの情報が記載され、認証局の署名が付けられる(秘密鍵と証明書の関係は、実印と印鑑証明書の関係に似ている)。検証者は、署名者の証明書に載っている公開鍵を用いて署名検証するとともに、その証明書の有効性を検証することによって、相手や文書を確実に認証できるようになる訳である。
この認証の仕組みを実現するPKIの実体はどんなものだろうか。典型的な例では、認証局、リポジトリおよび利用者側認証システムから構成される。
リポジトリは、通信相手の証明書や失効リストを貯蔵し検索してもらうためのサーバーである。ここで、失効リストは有効期限内に無効にされた証明書の識別子リストであり、証明書の有効性検証で参照できる。利用者側認証システムは、署名生成、署名検証、証明書検証などの機能要素を有し、認証を始めとするセキュリティ機能を実現するソフトウェア、ハードウェアおよび利用者である。
3.PKIの適用動向
わが国では、昨春いわゆる電子署名法が発効した。また、世界最高水準の電子政府GPKI(Government PKI)の実証実験に成功した。現在、行政情報システムへのPKI実用展開が進みつつある。
民間でも既にインターネットバンキングなどが実用化するなど、GPKIとそれらにけん引されるように企業間電子商取引、社内情報システムなどへのPKI適用も加速されつつある。
いよいよPKIの実用展開と普及が進み始めた。適用アプリケーションについても、セキュアメール、セキュアウェブアクセス、デジタルコンテンツ配布、セキュアストレージを始め、多岐にわたっている。セキュリティベンダーのホームページ近年、PKIという言葉をよく見聞きするようになった。PKIはPublic Key Infrastructureの略称で、通常、公開鍵基盤と訳す。PKIに基づいてインターネット上で相手を確認したり、電子文書が本物であることを確認したりするアプリケーションを容易に構築できるようになってきた。ではPKIとはどんなものだろうか。それが今回のテーマである。
- 1