CA(Certificate Authority)

導入

認証局(CA:Certification Authority)の役割の一つ目は電子証明書を発行することです。


暗号において、公開鍵証明書認証局または認証局 (CA、Certificate Authority、Certification Authority) は、他の当事者にデジタル 公開鍵証明書 を発行する実体である。これは、信頼できる第三者機関(TTP)英語版)の例である。

サービスに課金する商用CAは多い。政府などではCAを独自に立てていることがあり、またそれ以外に無料のCAもある。











とは

 電子的な身分証明書を発行し、管理する機関。認証局、CA局またはCAセンターと呼ぶ場合もある。CAには、“パブリックCA”と“プライベートCA”があり、前者は本人性を第三者が発行する証明書により証明するもので、電子商取引など不特定多数の広い範囲で運用される。


CAは、公開鍵証明書を発行する。公開鍵証明書には公開鍵と持ち主の記載があり、記載の個人、組織、サーバその他の実体がこの公開鍵に対応した私有鍵[1]の持ち主だと証言する。このスキームにおけるCAの義務は、CAの発行した証明書にある情報を利用者が信頼できるよう、申請者の身分を確認することである。この基本にある概念は、もし利用者がCAを信じかつCAの署名が検証できたならば、その利用者はその証明書で特定される者がその証明書の公開鍵を所有していると検証できたことになる。

CAが改ざんされた場合、システム全体のセキュリティは失われてしまう。 たとえば(『アリスとボブ』の用法でいう)邪悪な攻撃者マロリーが、偽造の証明書を発行する認証局を手に入れ、マロリーの所有している私有鍵に対応した公開鍵をアリスとひもづけると仮定してみよう。 ボブはこの偽造証明書からアリスの偽造公開鍵を入手することになり、ボブからアリスへの意思疎通の安全性は、マロリーによって侵害されてしまう。すなわち、メッセージの復号や署名者のでっち上げにつながるのである。


CA(Certificate Authority) とは、主にインターネット取引などで使用されるデジタル認証(公開鍵証明書)などを発行する機関(認証局)を指します。CAには、パブリックCAとプライベートCAの2種類があり、パブリックCAは電子署名法などで規定される指定業者が発行する認証であり、不特定多数への電子商取引や個人情報の入力ページなどで使用されます。プライベートCAは、自由に発行が許されている認証であり、主にイントラネットや特定の商取引などで使用されます。


認証局 (certificate authority)は、一般には CA と呼ばれていますが、e-business に従事するユーザー同士がお互いを 信頼できるようにするために、信頼のおける第三者機関としての役割を果たします。認証局 (certificate authority)は、証明書を発行することによって、それぞれ当事者であることの識別を保証します。それぞれの証明書は、ユーザーを識別することのほかに、公開鍵を持っており、これによって ユーザーは通信を検証し、暗号化することができます。

当事者を信頼できるかどうかということは、証明書を発行した CA の信頼性に依存しています。 CA は、証明書の整合性を確実なものするために、署名秘密鍵を使用し、証明書作成の一環として 証明書にデジタル的に署名 (電子署名) します。証明書を変更しようとすると、その署名は無効になり、使用不可能になります。

CA の署名秘密鍵を保護することは、CA の整合性にとってきわめて重要なことです。この理由に より、PKI Services CA の秘密鍵を安全に保管するために、ICSF の使用を考慮する必要があります。PKI Services を使用する CA として、以下のタスクを実行できます。

  • 発行済み証明書リスト (ICL) を用いて発行した証明書を追跡します。このリストには、シリアル番号で索引付けされたそれぞれの証明書のコピーが含まれています。
  • 証明書失効リスト (CRL) を使用して、取り消された証明書を追跡します。証明書が取り消されると、PKI Services は次の定期更新の際に CRL を更新します。CA は、証明書に署名するのと同じように、すべての CRL にデジタル的に署名して、その整合性 を保証します。

CA(Certification Authority)とは、主にインターネット取引などで使用されるデジタル認証公開鍵証明書)などを発行する機関(認証局です。CAにはパブリックCA、プライベートCAの2種類があります。パブリックCAは、電子署名法で規定されている指定業者です。不特定多数の電子商取引や個人のホームページでデジタル認証が使用されます。

プライベートCAは、自由に発行が許されている認証局です。自由にデジタル認証を発行できることから、イントラネットや限られた利用を限定した電子商取引で使用されます。パブリックCAは維持に費用がかかることから、プライベートCAの方が数が多く、企業間の電子メールにおけるデジタル署名に使用されています。


電子証明書を発行する認証局自身の公開鍵が含まれた電子証明書。
認証局が発行した電子証明書の検証を行う場合にサーバやクライアントにインストールされている必要があります。一般的なウェブブラウザにはジオトラストなど信頼性の高い認証局のCA証明書があらかじめインストールされています。


CAとはデジタル証明書(電子証明書)を発行する機関。
CAにはルート認証局(root CA)と中間認証局(intermediate CA)とがある。

・ルート認証局
 上位認証局が存在しない。

・中間認証局
 上位認証局から証明を受ける。

一般的なブラウザにはあらかじめ有名で信頼性の高い証明書がインストールされている。ブラウザのSSL接続などではこの証明書を使用して接続先のサーバの正当性を確認する。

主な認証局は以下の通り

■ベリサイン(VeriSign)
http://www.verisign.com/
http://www.verisign.co.jp/

■サイバートラスト(CyberTrust)
http://www.cybertrust.com/
http://www.cybertrust.ne.jp/

■ジオトラスト(GeoTrust)
http://www.geotrust.com/
http://www.geotrust.co.jp/

■グローバルサイン
http://www.globalsign.com/
(GMO インターネットグループ)

■セコム
https://www.secomtrust.net/service/pfw/






H2候補

  • 認証局の役割
  • 認証局の構成
  • パブリック認証局とプライベート認証局

まとめ

参考

  • https://www.atmarkit.co.jp/ait/articles/0401/01/news072.html
  • https://jp.globalsign.com/ssl-pki-info/pki/ca.html
  • https://ja.wikipedia.org/wiki/%E8%AA%8D%E8%A8%BC%E5%B1%80
  • https://www.mitsue.co.jp/case/glossary/p_032.html
  • https://www.ibm.com/docs/ja/zos/2.3.0?topic=services-what-is-certificate-authority
  • https://www.secomtrust.net/secword/ca.html
  • https://www.geotrust.co.jp/support/glossary/ca_certificate.html
  • https://securitychecklist.net/security/glossary/Certificate-Authority.html

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です