暗号技術のいま ネット社会とPKI
<暗号技術のいま ネット社会とPKI>第9回 PKI構築技術(その2)
2002/04/15 16:18
週刊BCN 2002年04月15日vol.937掲載
1.CP/CPSとはCPとは
(電子)証明書のポリシー(CP:Certificate Policy)、CPSとは証明書を発行する認証局の運用規程(CPS:Certificati on Practice Statement)である。 これは、証明書をパスポートに例えると、CPは旅券法に相当する規定で、証明書の発行根拠(例えば提出書類)や適用範囲および義務と責任などを規定するもの。 一方、CPSは旅券事務所などの事務・運用・設備等の規程に相当する規定で、認証局がどのような安全仕様に基づいて運営されているかなどを規定するものである。 なお、CP/CPSは、別々の規程にする場合もあれば、1つの規程にする場合もある。
2.CP/CPSの標準
CP/CPSが証明書や認証局の安全仕様を規定していることから、これを標準化することは、証明書や認証局の安全仕様の品質向上等に必要である。 IETF(*1)が1999年3月に発行したRFC2527(*2)は、CP/CPSのフレームワークとして業界で広く扱われ、利用されている標準である。
3.RFC2527とは
RFC2527は、次の8章で構成される。 1章では、証明書の識別番号や有効期間に加え、証明書のコミュニティ(適用範囲)として登場人物やその役割を、またアプリカビリティ(適応可能性)などを規定する。 2章では、証明書や登場人物の義務や責任、免責事項、準拠法と紛争解決手続き、公表情報や機密管理情報等を一般規定として規定する。 3章では、証明書の登録・更新・失効などを申請する者の本人確認などを規定する。 4章では、認証局の運用として、証明書の発行・受領・失効を、また認証局の監査・帳簿などの保管・災害復旧、および業務の廃止などを規定する。 5章では、認証局の建屋や部屋の入退管理、災害対策、体制や役割の安全仕様、人事管理などを規定する。 6章では、電子署名に使う鍵等の安全仕様などを規定する。 7章では、証明書や証明書失効リストの形式を規定する。 8章では、CP/CPSの変更規定を規定する。
4.電子署名法とCP/CPS
電子署名の法的根拠を与え、その円滑な利用を目的とした電子署名法は、そのなかで認証局の認定制度を規定している。 具体的には、電子署名法および関連省令・告示で定める認証業務を「特定認証業務」とし、この認定制度を「特定認証業務認定制度」と呼んでいる。 認証局が特定認証業務の認定を取得しようとする時は、「設備基準」、「利用者の真偽の確認方法」、「その他の業務」からなる特定認証業務の適合基準に基づいた審査を受けることになり、この時の主要な審査対象ドキュメントがCP/CPSである。
5.CP/CPSの公開
利用者が証明書や認証局の安全性やその適用範囲等を確認するためには、まずはCP/CPSを調べる必要がある。従って、一般に、CP/CPSはホームページなどで公開されている。*1、The Internet Engineering Task Forceの略で、インターネットソサエティのもとで国際標準であるインターネットプロトコルを決める組織*2、RFCとはRequest for Commentsの略で、この和訳はhttp://www.ipa.go.jp/ security/に掲載されている
- 1