暗号技術のいま ネット社会とPKI

<暗号技術のいま ネット社会とPKI>第15回 PKIの規格化動向

2002/06/03 16:18

週刊BCN 2002年06月03日vol.943掲載

 PKI技術を用いた情報セキュリティシステムをマルチベンダー環境で構築するためには、公開鍵証明書やその検証処理手順が、一定の規格に従って実装されている必要がある。今回は、PKI関連規格の標準化動向を紹介する。現在のPKIのベースとなっているのは、ITU-T勧告X.509と呼ばれる国際標準規格である。X.509は、当初はOSIディレクトリの仕様を規定したX.500シリーズ勧告の1パートとして作成された規格であり、ディレクトリサービスにおけるクライアント・サーバー間、サーバー・サーバー間の認証手順を規定していた。その後、多くの規格から参照されるようになったため、現在は適用対象をOSIディレクトリに限定せず、PKIに不可欠な公開鍵証明書の枠組みを規定している。X.509は、ITU(国際電気通信連合)傘下のITU-T SG17とISO(国際標準化機構)/IEC(国際電気標準会議) JTC1傘下のSC6/WG7の2つのグループが共同で標準化を進めており、同等の規格は、ISO/IEC 9594-8として発行されている。ITU-T勧告とISO/IEC標準の対応を、表1に示す。現在、主に参照されているのは、第三版および第四版である。X.509では、以下に示すPKI関連の項目が規定されている。

●公開鍵証明書の形式●証明書の失効を通知するために用いられるCRL(失効証明書リスト)の形式●公開鍵証明書やCRLの機能を拡張するために用いられる標準的なエクステンション(拡張データ)の定義●証明経路(対象である証明書およびその検証に必要となる上位証明書を含む証明書の集合)を検証する際の処理手順●ディレクトリにPKI関連情報を格納するためのスキーマ(オブジェクトクラス、属性、照合規則)の定義●公開鍵証明書を用いたディレクトリアクセス時の認証手順

 最新仕様であるX.509第四版では、上記に加えて、属性証明書を用いたPMI(権限管理基盤)の規定が強化されている。X.509は、全てのPKI適用分野に対して、共通に使用可能な定義を規定している。このため、適用分野ごとにX.509をベースとしたプロフィル(サブセット)化や追加規定が、様々な標準化団体で行われている。インターネットの標準化団体であるIETF傘下のPKIX WGでは、インターネットを適用対象として、X.509をベースとした証明書やCRLのプロフィル仕様(RFC 2459)を作成している。また、証明書を管理するためのプロトコルであるCMP、証明書の発行を申請するためのメッセージ形式であるCRMF、証明書の有効性をオンラインで照会するためのプロトコルであるOCSPやSCVPなどを規定している。ITU・ISO/IECのX.500グループとIETF PKIX WGは、連絡を密にしながら標準化を進めている。

 また、金融分野を対象としたFinancial PKIの標準化は、ISO TC68やANSI(米国規格協会) X9において、医療分野を対象としたHealthcare PKIの標準化は、ISO TC215において、それぞれX.509をベースにして進められている。無線通信・携帯電話に関する標準化団体の1つであるWAPフォーラムでは、X.509のプロフィル仕様であるIETF PKIX RFC 2459をベースとして、さらにサブ・プロフィル化した仕様を採用している。この様に、PKIに関連する規格・標準化活動は多岐に渡っており、仕様の細部は標準やその標準化団体ごとに異なっている。PKIを導入する際は、どのPKI仕様を採用するかを、慎重に決定することが大切である。
  • 1