PKIを利用すれば安全という神話の終焉--危殆化するアルゴリズムと運用面の問題点

EnterpriseZine / 2014年4月21日 7時0分

出所:マイクロソフト TechNet オンライン

 前回の記事では、多層防御の考え方と実例を説明しました。今回からは、認証を強化する多要素認証としてあらためて注目を集めている電子証明書とICカードを利用した認証について解説していきたいと思います。電子証明書は、公開鍵基盤 (PKI:Public Key Infrastructure)の構成要素の1つ証明機関から発行されます。そして、公開鍵の対となる秘密鍵を特に安全に保護するためICカードに格納される場合があります。今回の連載では特に電子証明書に焦点を当ててその枠組みについて解説します。

■電子証明書とは何か? 

 電子証明書とは、簡潔に言うと、公開鍵暗号で利用する公開鍵の持ち主を表したものです。公開鍵暗号は、暗号化と復号化に異なる鍵を利用する暗号化方式です。秘密鍵とよばれる自身だけが保持する鍵と、公開鍵と呼ばれる一般に公開する鍵を利用します。

 公開鍵は、電子証明書として一般に広く公開します。 証明書を利用する場合はまずその証明書が信頼されていることが前提となります。

 証明書は、第三者認証による認証の仕組みを利用しています。証明書を利用している者同士ではなく、証明書を発行した証明機関が信頼できるかどうかをもって、この仕組みは、現実世界でいうと「印鑑証明」に似ています。

 第三者認証をつくりだすしくみを実現しているのが、公開鍵基盤 (PKI:Public Key Infrastructure)なのです。

 PKIでは、証明機関同士の相互認証の仕組みや、証明機関の役割を分割して担う仕組みなども実現しています。 現在、数百もの証明機関が世の中に構築されています。ひとつひとつの証明機関の信頼性をユーザー自身で確認し、信頼するのは大変です。このため、各ブラウザーやOSなどでは、信頼できる証明機関のリストを持ち、ユーザーに変わって信頼できる証明機関の確認を行います。

 マイクロソフトでは、ルート証明書プログラムという仕組みを利用し、信頼できる商用の証明機関のリストを配信しています。Internet ExplorerだけではなくWindows OS上での証明書利用においては、ルート証明書プログラムに参加しているかをもって、それぞれの証明機関が信用できるものなのか、確認を行います。

 ルート証明書プログラムへ参加し信頼できる証明機関の証明書とするためには、証明機関の監査の状況、CA証明書に利用しているアルゴリズムや鍵長など、安全性が確保されるセキュリティ要件を満たす必要があります。

村木 由梨香[著]

EnterpriseZine

トピックスRSS

ランキング