旧基本情報技術者試験の午後問題では、PKI(公開鍵基盤)に関する問題が出ています。応用情報技術者試験でも出ていたりと情報処理技術者試験では頻出と言える問題であると考えています。
今回はそんな「PKI(公開鍵基盤)」について見ていきます。
目次
PKI(公開鍵基盤)とは??
PKI(Public Key Infrastructure)は公開鍵基盤とも呼ばれ、デジタル証明書を利用してセキュアな通信とデータの認証を提供するための仕組みやインフラストラクチャを指します。
公開鍵暗号方式を使用してセキュリティを確保します。
公開鍵暗号方式では、公開鍵と秘密鍵のペアを生成し、公開鍵を一般に公開してデータの暗号化やデジタル署名の検証に使用されます。一方、秘密鍵は保護され、データの復号やデジタル署名の作成に使用されます。PKIは、公開鍵をデジタル証明書として配布し、信頼できる第三者(CA:認証機関)によって証明書が発行されることで、公開鍵の信頼性と関連する情報(主体名、有効期限など)が確立されます。
PKIの一般的な流れ
PKI(Public Key Infrastructure)の基本的な流れを以下に説明します。
-
鍵の生成: ユーザーは公開鍵と秘密鍵の鍵対(キーペア)を生成します。公開鍵は他の人と共有され、秘密鍵は所有者のみが知っている機密情報です。
-
証明書の要求: ユーザーは自身の公開鍵と関連する情報を含む証明書を発行するために、信頼できるCA(Certification Authority)に証明書の要求を行います。
-
身元検証: CAは証明書の要求者の身元を検証します。これには身元情報やドメインの所有権の確認などが含まれます。検証にはさまざまな手段が使用される場合があります。
-
証明書の発行: CAは要求者の公開鍵と関連情報を含む証明書を発行します。証明書には所有者の情報(名前、組織など)と有効期限が含まれます。CAは自身の秘密鍵で証明書を署名し、信頼性を提供します。
-
証明書の配布: 発行された証明書は、要求者に安全な方法で配布されます。一般的な方法には、電子メール、Webサイトからのダウンロード、自動的な配布プロセスなどがあります。
-
証明書の検証: 証明書を受け取った他のユーザーやシステムは、証明書の検証を行います。これには、証明書の信頼性、有効期限、CAの署名の検証などが含まれます。
-
キーの利用: 証明書を持つユーザーは、公開鍵を使用してデジタル署名の作成や暗号化通信などのセキュアな操作を行います。
-
証明書の更新と失効管理: 証明書の有効期限が切れる前に、ユーザーは新しいキーペアと証明書の更新を行う必要があります。また、証明書の失効が必要な場合は、CAがCRL(Certificate Revocation List)やOCSP(Online Certificate Status Protocol)などを使用して証明書の失効情報を公開します。
PKIに関する用語について
CA(Certification Authority)
信頼できる第三者機関であり、デジタル証明書の発行を担当します。公開鍵暗号方式に基づいてデジタル証明書を生成し、証明書には公開鍵と関連する情報(所有者の識別情報、証明書の有効期限など)が含まれます。証明書の要求者の身元を検証し、その信頼性を確保します。
一般的なCAには、商用のルートCAや企業内で構築されたプライベートCAがあります。
CRL(Certificate Revocation List)
証明書の失効情報を含むリストです。証明書の失効は、証明書の所有者が秘密鍵を紛失したり、関連するプライベートキーが漏洩したりした場合など、セキュリティ上の問題が生じた場合に行われます。CRLはCAによって定期的に更新され、失効した証明書の一覧が含まれます。証明書を検証する側は、CRLを参照することで証明書の有効性を確認できます。
まとめ
基本的にはPKI(公開鍵基盤)はどんなものかを押さえておけば問題ないと考えています。
また、PKI(公開鍵基盤)に関する問題が必ず出るとは限りません。ただ、どんなものか知っておくだけで解答のスピードは格段に上がり、他の問題に費やせる時間が出てくると思います。
無駄とは思わず、旧基本情報技術者試験(午後問題)の過去問を一度見返してみてはいかがでしょうか。
