【学問のすすめ】中世ヨーロッパ写字生のように黙って静かに手を動かすブログ

これまで習ったことや学んだことを記事にまとめています。ITネタが多いです。

【SC試験対策】認証局についてまとめてみた


f:id:pesia_one:20160409232952j:plain:W300

情報セキュリティスペシャリスト試験よく出題される、認証局(CA=Certificate Authority)についてまとめました。
特に午後2試験では、自前認証局の運営など通常とは違う使われ方が問われます。

認証局 (CA = Cetrificate Authority)

認証局(CA = Certificate Authority)とは、被認証者(ディジタル署名の作成者)の申請に基づいて、被認証者の持つ公開鍵が間違いなく被認証者のものであることを示すディジタル証明書を発行する機関です。
=被認証者の本人確認や、廃棄申請の受付、証明書の配布を行います。

ディジタル証明書を発行する
=被認証者の公開鍵を認証局秘密鍵で署名する


午後試験では、認証局の役割を機能ごとに3分割し、それぞれの機能について問われる場合が多いです。
3分割した場合は下記のとおりです。

1.発行局 (IA = Issuing Authority)

発行局 (IA = Issuing Authority)とは、登録局 (後述)の確認した申請に従い、実際にディジタル証明書を発行する機関です。

2,検証局 (VA = Validation Authority)

検証局 (VA = Validation Authority)とは、ディジタル証明書の廃棄申請を受け付け、CRLの発行を行う機関です。過去問ではIAとVAを一緒に運用しRAとの役割分担を問うパターンがありました。
注:CRL(=Certificate Revocation List) =証明書失効リスト

3.登録局 (RA = Registration Authority)

登録局 (RA = Registration Authority)とは、CAの行う業務の中でIA/VAの行わない業務すべてを行います。具体的な内容は下記のとおりです。

  • ディジタル証明書発行申請の受付
  • 申請者の本人確認
  • IAに代わっての証明書の配布

備考

  • 鍵ペアの作成は被認証者(= ディジタル証明書を使う人)が行います
  • ただしディジタル証明書の利用目的が、本人確認や否認防止ではなく認証のみの場合は被認証者以外が鍵ペアを作成することができます

(出題:平成27年度春季試験 午後2/問2)

出題例

f:id:pesia_one:20160410012918p:plain:W150
(平成27年度春季試験 午後2/問2)

提示された状況

  • ディジタル証明書による端末認証を行う
  • ディジタル証明書の発行はJ社のプライベート認証局が行う
  • J社では発行業務を委託しておらず、認証局はルート認証局である
  • 鍵ペアの作成はJ社が行う
  • ディジタル証明書の端末へのインストールは被認証者が行う

質問

通常、鍵ペアの作成は被認証者が行うが、今回はJ社が行っている。J社が行って問題のない理由を35字以内で述べよ。

解法

  • 提示された状況のうち「ディジタル証明書による端末認証を行う」以外はすべてフェイントです
  • ディジタル証明書は、被認証者のみが作成できるディジタル署名を登録することで認証の主体を確認します。
  • 今回は端末認証のみを行います。
  • 被認証者が送信するデータの否認防止は必要ありません。(= 秘密鍵を秘密にしなくても良い)
  • 被認証者の本人確認は必要ありません。 (= 秘密鍵を秘密にしなくても良い)
  • そのため、被認証者に公開鍵を提出させる必要がなくなります。

解答例

証明書を本人確認や否認防止ではなく、端末認証のみに利用するため。 (32文字)

備考

否認防止が必要な場合は、被認証者のみがディジタル署名を作成できる必要があります。
被認証者以外がディジタル署名を作成できると、だれがアクセスしたかがわからなくなる(= アクセスしていないととぼけられる)可能性が出てくるためです。
「解法」では「否認防止」と「本人確認」を別々に説明していますが、これは解答例にあわせて表現しています。
実際には、文脈によって表現を変えているだけでほぼ同じ意味でつかっているため、下記のように解答することもできます。

別解:ディジタル証明書を端末認証のみに利用し、否認防止には利用しないため。 (34文字)