PKI / Pubric Key Infrastructure


■ 暗号化

  暗号化方式には、
  共通鍵暗号方式と公開鍵暗号方式の2種類がある。

■ 共通鍵暗号方式。Common-Key Ecryption。

  暗号化するときと復号するときに同じ鍵を使う方式。

  共通鍵暗号方式では、
  送信者と受信者で同じ鍵を持つ必要があるため、
  どちらかが共通鍵を決めたら、これを相手方に送る必要がある。
  ふつうは安全のため、相手の公開鍵で暗号化して送る。 

  共通鍵方式は単純で処理が軽いので、実装しやすく広く使われる。
  また同一の鍵長であれば、
  共通鍵暗号方式の方が公開鍵方式よりも強度は強い。

  代表的な共通鍵暗号方式には、DESがある。

  【 DES /  Data Encryption Standard 】

    1976年にアメリカ商務省標準局が行った標準暗号の募集に対して
    IBMが設計・応募し、採用された暗号方式。
    アメリカ政府機関における長い間の実績がある。

    しかしRSA Security社が開催した暗号解読コンテストでは、
    DESの暗号文が解読されてしまったので、
    現在はDES暗号化を3回行なった3DES(トリプルデス)が使われる。

■ 公開鍵暗号方式。Public-Key Ecryption。

  暗号化するときと復号するときに異なる鍵を使う方式。
  一方の鍵で暗号化したデータは、他方の鍵でのみ復号できる。

  ふつうは2つの鍵のうち、一方を外部に開示する公開鍵とし、
  もう一方は自身で保持する秘密鍵とする。
  相手の公開鍵で暗号化して送付することにより
  第三者に対する送信情報の秘匿が可能になるだけでなく、
  自分の秘密鍵で暗号化して送付すれば、自身の認証ができる。

  一般に公開鍵暗号方式では、
  共通鍵暗号方式と比較して処理が重くなる。
  また同一の鍵長であれば、共通鍵暗号方式の方が強度が強い。
  このためデータ本体は共通鍵で暗号化し、
  共通鍵を交換するときだけ公開鍵方式を用いるのが普通である。

  代表的な公開鍵方式には、RSAやだ円曲線暗号方式がある。

  公開鍵暗号方式を応用すれば、
  送信するデータに電子署名を施すことができ、
  またCAの認証を受けることでPKIが成立する。

■ 電子署名。Digital Signature。

  デジタル文書の正当性を保証する為の暗号化された署名情報。

  メッセージの送信者は、
  メッセージ本体をハッシュ関数に掛けてダイジェストを作成し、
  これを自分の秘密鍵で暗号化する。これが電子署名である。
  そしてこの電子署名とメッセージ本体とをセットにして相手に送付する。

  受信者はまず、受け取った電子署名を送信者の公開鍵で復号する。
  もし復号できれば、文書の作成者が正しいと認められる。
  次に、こうして復号されたダイジェストと
  メッセージ本体をハッシュ関数に掛けたものとを比較する。
  もし合致すれば、その文書が途中で改ざんされていないことが分かる。

  しかしこのように電子署名を用いても、
  署名の復号に用いた公開鍵が確かに相手のものであるのか、
  この点には疑念が残ってしまう。
  このため公開鍵と個人との結付きは、第三者に証明してもらう必要がある。

  【 ハッシュ関数 】

    入力されたデータを元に擬似乱数を生成する演算関数。
    任意の入力データを圧縮し、
    これを固定長のビット列(ハッシュ値)に変換して、出力する。

    ハッシュ関数では、
    元のメッセージは任意(無限)であるのに対し、
    変換後のハッシュ値は有限のビット列である。
    1対nの変換のため、元のメッセージへの逆変換はできない。

    またハッシュ関数は、
    同じメッセージは必ず同じビット列に変換されるという性質を持つ。
    元のメッセージが少しでも異なると、演算結果も異なってくる。
  
    代表的なハッシュ関数には、MD5などがある。
    このMD5はPPPのCHAPのほか、APOPなどの認証に使われている。

■ CA。Certification Authority。認証局。

  自分の公開鍵が確かに自分のものであることを
  公的な第3者に証明してもらう仕組みを、第3者認証と呼ぶ。
  この第3者認証を提供する機関がCA(認証局)である。

  CAは、適切な審査を行なった上で
  公開鍵の登録を受け付けてこれを管理する機能(RA)と、
  その公開鍵が確かに本人のものであると保証する
  電子証明書を発行する機能(IA)から、構成される。

  (1) RA。Registration Authority。登録局。

    一般ユーザから公開鍵の登録を受け付ける機関。

    RAはユーザからの公開鍵の登録申請に対して
    一定の基準に基づき審査を行う。
    審査が通れば、ユーザは公開鍵と秘密鍵のペアを作成し、
    自分の公開鍵を登録することができる。

    RAによる審査方法は
    希望する電子証明書の種類(信用度)に応じて、
    メールアドレスの確認だけの場合もあるし、
    戸籍抄本を必要とする場合もある。

  (2) IA。Issuing Authority。発行局。

    登録ユーザの電子証明書を要求に応じて発行する期間。

    IAが発行する電子証明書には、
    登録ユーザの情報、ユーザの公開鍵、電子証明書の有効期限
    などの情報が含まれ、これにより、
    本人と公開鍵を関連付けたり、送信者の身元を保証することができる。

    また、電子証明書には、CA自身の電子署名が付加される。
    この電子署名はCAの秘密鍵によって暗号化されているため、
    受け取ったユーザがCAの公開鍵によってこれを復号できれば、
    正規のCAであると認められる。

■ PKI。Pubric Key Infrastructure。

  公開鍵インフラストラクチャ。

  盗聴やなりすましが容易なインターネット上で、
  電子商取引等を安全に実行できるようにするための
  セキュリティ基盤。

  公開鍵暗号方式を用いて、すなわち、
  電子署名の技術とCAの機能とを組合わせることによって、
  実際に面と向かっていない通信相手とも
  安心して取引ができるようにするインフラストラクチャ。

  PKIは、
  e-Japan戦略に掲げる電子政府・電子自治体の実現においても
  重要な構成要素の1つとなっている。
  2001年の「電子署名および認証業務に関する法律」では
  電子署名を捺印と同等とし、CAを国が認定できるとしている。

以上。

2004/03/02 pm


HOME |  BACK

Gポイントポイ活 Amazon Yahoo 楽天

無料ホームページ 楽天モバイル[UNLIMITが今なら1円] 海外格安航空券 海外旅行保険が無料!