電子署名・認証センター

HOME お問い合わせ サイトマップ サイトポリシー JIPDEC TOP
English Japanese
HOME電子署名について電子署名の仕組み > 公開鍵暗号基盤

電子署名について

 

電子署名の仕組み

 

公開鍵暗号基盤(PKI)

 公開鍵暗号基盤(PKI:Public Key Infrastructure)とは、公開鍵暗号技術に基づいて、電子署名や相手認証等を実現するための技術基盤です。具体的には、公開鍵暗号で用いる秘密鍵と公開鍵の鍵ペア(鍵対)と、その鍵ペアの所有者(利用者:Subscriber)の関係を保証するための仕組み(基盤)といえます。
 公開鍵暗号方式で、秘密鍵と公開鍵の対を用いて、署名の作成(署名生成)と検証ができることを説明してきました。しかし、秘密鍵と公開鍵の対だけでは、秘密鍵の持ち主を特定することはできません。そこで、秘密鍵とその所有者の関係を確認し保証するために考案された仕組みが公開鍵暗号基盤(PKI)です。PKIで重要な役割を担う「要素」として、「認証局(Certificate Authority:CA)」、「電子証明書(Certificate)」、「リポジトリ(Repository)」が特に重要です。「認証局(CA)」は、役割の違いから「登録局(Registration Authority:RA)」と「発行局(Insuring Authority:IA)」とに分割されることもあります。
 認証局のうち「登録局(RA局)」は、秘密鍵と公開鍵が対となっていること確認するとともに、鍵ペアの所有者の身元を確認し、「発行局(IA局)」に、電子証明書の発行を依頼します。発行局は、登録局の依頼に基づき、公開鍵の所有者であることを保証した「電子証明書」を発行します。発行された電子証明書は、認証局(発行局)の秘密鍵で電子署名され、認証局が発行した電子証明書であることを保証しています。また、認証局は電子証明書を無効化する機能も担っています。電子証明書を無効化することを「失効(Revoke)」と呼び、「無効化された電子証明書」の一覧表(CRL:Certificate Revocation List)をリポジトリへ公開する役割も担っています。
 認証局が発行する電子証明書は、「公開鍵証明書」とも呼ばれます。電子証明書に含まれる公開鍵とその所有者の関係を保証する情報を「発行局(IA局)」の秘密鍵で署名することで、電子証明書の信頼性を保証しています。「電子証明書」には、公開鍵の他に、公開鍵の所有者や電子証明書を発行した認証局の情報などが含まれています。「電子証明書」に対する認証局の署名を検証することで、電子証明書が「偽装」されていないこと、「改ざん」されていないことを確認することができます。
 また、認証局自身の公開鍵は、認証局自身の電子証明書で確認することになります。認証局自身の電子証明書は、認証局の秘密鍵で署名されているので「自己署名証明書」、あるいは、信頼性の拠り所となるため「ルート証明書」と呼ばれます。
 自己署名証明書の信憑性は、自己署名証明書の署名と自己署名証明書の「ハッシュ値(フィンガープリント)」で確かめることができます。まず、認証局は、自己署名証明書とそのハッシュ値をリポジトリへ公開しておきます。
 利用者は、公開された自己署名証明書の署名を検証することで、自己署名証明書に含まれる認証局の公開鍵と対をなす秘密鍵を認証局が持っていること、および自己署名証明書が改変されていないことを確認します。次いで、自己署名証明書をハッシュ関数で処理して得られたハッシュ値とリポジトリで公開されたハッシュ値が一致することを確認することで、自己署名証明書を認証局が作成したことを確認できます。
RSA暗号を用いた署名検証
 
ページトップへ
 
Copyright (C) 2000-2007 JIPDEC All Rights Reserved.