情報セキュリティスペシャリスト試験よく出題される、認証局(CA=Certificate Authority)についてまとめました。
特に午後2試験では、自前認証局の運営など通常とは違う使われ方が問われます。
認証局 (CA = Cetrificate Authority)
認証局(CA = Certificate Authority)とは、被認証者(ディジタル署名の作成者)の申請に基づいて、被認証者の持つ公開鍵が間違いなく被認証者のものであることを示すディジタル証明書を発行する機関です。
=被認証者の本人確認や、廃棄申請の受付、証明書の配布を行います。
ディジタル証明書を発行する
=被認証者の公開鍵を認証局の秘密鍵で署名する
午後試験では、認証局の役割を機能ごとに3分割し、それぞれの機能について問われる場合が多いです。
3分割した場合は下記のとおりです。
1.発行局 (IA = Issuing Authority)
発行局 (IA = Issuing Authority)とは、登録局 (後述)の確認した申請に従い、実際にディジタル証明書を発行する機関です。
2,検証局 (VA = Validation Authority)
検証局 (VA = Validation Authority)とは、ディジタル証明書の廃棄申請を受け付け、CRLの発行を行う機関です。過去問ではIAとVAを一緒に運用しRAとの役割分担を問うパターンがありました。
注:CRL(=Certificate Revocation List) =証明書失効リスト
3.登録局 (RA = Registration Authority)
登録局 (RA = Registration Authority)とは、CAの行う業務の中でIA/VAの行わない業務すべてを行います。具体的な内容は下記のとおりです。
- ディジタル証明書発行申請の受付
- 申請者の本人確認
- IAに代わっての証明書の配布
備考
- 鍵ペアの作成は被認証者(= ディジタル証明書を使う人)が行います
- ただしディジタル証明書の利用目的が、本人確認や否認防止ではなく認証のみの場合は被認証者以外が鍵ペアを作成することができます
(出題:平成27年度春季試験 午後2/問2)
出題例
提示された状況
質問
通常、鍵ペアの作成は被認証者が行うが、今回はJ社が行っている。J社が行って問題のない理由を35字以内で述べよ。
解法
解答例
証明書を本人確認や否認防止ではなく、端末認証のみに利用するため。 (32文字)