- 認証局(CA:Certification Authority)
- 証明書所有者に対して、公開鍵とそれに対応する秘密鍵の所有者の証明書(公開鍵証明書)を発行
- 発行した証明書の信頼性が失われた場合は、その証明書を失効させ、証明書失効リスト(CRL:Certificate Revocation List)を発行
- 登録局(RA:Registration Authority)
- ユーザからの証明書申請が発生した場合に本人確認を実施
- CAに対して証明書の発行や失効を要求
- リポジトリ(Repository)
- 証明書リストおよびCRLを格納してユーザへ公開
- アーカイブ(Archive)
- 証明書の長期保存や秘密鍵のバックアップを実施
- 証明書所有者(Certificate Holder)
- 証明書および対応する秘密鍵を用いて、電子文書へのデジタル署名や暗号文の復号を実施
- 証明書に対応する秘密鍵を安全に保持し、デジタル署名や暗号文の復号に使用
- 証明書利用者(Relying Party)
- 証明書所有者の証明書を入手してデジタル署名の検証や文書の暗号化を実施
- リポジトリから証明書やCRLを取得し、それらの有効性を検証
- 取得した証明書を用いて、署名検証や文書の暗号化を実施
- 暗号化(Encryption)
- データを暗号化し、第3者に読まれることを防止
- デジタル署名(Digital Signature)
- データに対して、そのデータの作成者を特定するための署名を付与
PKIは『暗号化』と『デジタル署名』の機能を用いて以下のセキュリティサービスを提供
- 守秘性(Confidentiality)
- あるデータを意図した特定の相手(人やサーバ)のみが読めるようにすることが可能
- 暗号化の機能を用い盗聴の脅威を防止
- 認証(Authentication)
- その人が誰であるのかを証明することが可能
- 認証の種類
- ローカル認証:目の前の相手を確認
- ネットワーク認証:離れた相手を確認
- PKIはネットワーク認証において高レベルな認証を実現可能
- 認証はデジタル署名の機能を用いて実現し、不正侵入やなりすましの脅威を防止可能
- 完全性(Integrity)
- あるデータが変更されていないことを証明
- デジタル署名の機能を用いて実現し、改ざんの脅威を防止
- 否認防止(Non-Repudiation)
- ある人が以前に行った行動を証明し、否認の脅威を防止
- 認証と完全性が正しく機能することで実現される
- 共通鍵暗号方式
- ブロック暗号方式
- 平文を一定の長さに分割してそれぞれを暗号化する方式
- 平文を分割したものをブロック、分割する長さをブロック長と呼ぶ
- 代表技術:DES, RC2, IDEA
- ストリーム暗号方式
- 平文を分割せずに逐次(1 ~ 数ビット毎)暗号化する方式
- 代表技術:RC4
- ブロック暗号方式
- X.509証明書
- 証明書の所有者(Subject)やCAの名前(Issuer)を、DN(Distinguished Name)とよばれる形式で表現する
- DNは一意の名前をつけるためのもので、属性型(Attribute Type)と属性値(Attribute Value)から構成される
- 属性型は属性値の種類を指定するものであり、国(c)、組織(o)、組織単位(ou)、名前(cn)などがある