デジタル証明書の説明

  • 5 分

現代社会において、暗号には数多くの用途があります。 暗号化によってメッセージの機密性を確保する方法を確認しました。 また、デジタル署名でハッシュを使用して、メッセージが改ざんされていないことを確認する方法についても説明しました。 このユニットでは、デジタル証明書と、追加のセキュリティ層を提供する方法について説明します。

証明書は、デジタル通信で発生する可能性のある、非倫理的な人物によるメッセージの傍受、変更、または偽造の可能性に対処します。

基本的に、デジタル証明書は証明機関 (CA) によって発行された資格情報であり、証明書が発行される個人またはエンティティ (サブジェクトと呼ばれます) の ID を検証するために使用できます。 この意味では、デジタル証明書は、信頼された機関または政府機関によって発行されたパスポートやその他の ID 資格情報のようなもので、ID の確認に使用されます。 証明書のデータには、サブジェクトに関する情報と、サブジェクトの公開キーと秘密キーのペアのうちの公開キーが含まれており、CA によって検証されています。

デジタル証明書を取得するために、個人またはエンティティは信頼できる CA に認定要求を送信します。 使用可能なツールから生成された公開キーと秘密キーのペアから、要求元の ID とその公開キーの詳細が証明書要求に含まれます。 場合によっては、要求元は、要求の一部として、代わりに CA にキー ペアを発行させているように見える場合があります。 いずれの場合も、秘密キーは常に個人またはエンティティによって秘密にされます。 CA は、要求で送信されたすべての ID 情報を確認して、証明書を発行するための CA の基準を満たしているかどうかを判断します。 CA が要求を承認すると、サブジェクトとサブジェクトの公開キーに関する情報を含む証明書に署名して発行します。

デジタル証明書の有効期間は 1 年であることが多く、その後証明書は有効期限が切れます。 その場合、期限切れの証明書に関する警告メッセージが表示されます。 警告は、サブジェクトの ID を確認できないことを示します。

ユーザーが目にするデジタル証明書の一般的な用途は、Web ベースの通信です。 デジタル証明書は、セキュリティで保護された HTTPS 通信を使用する Web サイトで用いられ、ブラウザーのアドレス バーの南京錠アイコンで表されます。 アドレス バーの南京錠を選択するといくつかのオプションが表示され、それを選択すると追加情報が提供されます。

Web サイトのアドレス バーの南京錠アイコンを示す図。

次の図に示すように、[接続はセキュリティで保護されています] を選択すると、接続に関する情報が提供されます。

このサイトには、信頼された機関によって発行された有効な証明書があります。情報は安全にサイトに送信され、傍受されることはありません。

証明書アイコンを選択すると、デジタル証明書の詳細が表示されます。

この画像は、デジタル証明書に関する詳細を提供します。提供される情報には、証明書の目的、その発行先、証明書の発行者、および証明書の有効期間が含まれます。

デジタル証明書が必要な理由

前のユニットでは、非対称暗号化のプロセスと、公開キーと秘密キーのペアの使用方法について説明しました。 この例では、Quincy と Monica は安全に通信したいと考えているため、すぐに利用できるソフトウェアを使用してそれぞれがキー ペアを生成します。 Monica と Quincy は公開キーを互いに共有しますが、秘密キーは秘密にしています。 Quincy がセキュリティで保護されたメッセージを Monica に送信する必要があるとき、Quincy は Monica の公開キーを使用して、メッセージを暗号化して送信します。 Monica は自分の秘密キーを使用してメッセージを解読します。

この例で説明する非対称暗号化を使用すると、メッセージの機密性が確保されます。 公開キーは公開されているため、Quincy が使用した公開キーが実際に Monica から取得されたことを検証するものはありません。 同様に、メッセージが実際に Quincy によって送信されたことを検証するものはありません。 非倫理的な人物がメッセージを傍受、変更、または偽造する可能性があります。 デジタル証明書は、このリスクに対処する上で重要な役割を果たします。

信頼できる CA を通じて Monica にデジタル証明書が発行され、Quincy と共有していると仮定しましょう。 証明書によって、Monica の ID と公開キーがリンクされます。 Quincy は Monica の証明書の公開キーを使用するため、Quincy は公開キーが Monica から取得され、Monica の秘密キーのみがメッセージを復号化することを保証されます。

信頼できる CA を通じて Quincy もデジタル証明書を発行されていると仮定します。 Quincy は、自分の秘密キーを使用してメッセージにデジタル署名します。 Quincy は、署名されたメッセージを、自分の公開キーを含むデジタル証明書と共に Monica に送信します。 デジタル証明書によって Quincy の ID が公開キーにリンクされるため、証明書の公開キーを使用してメッセージが改ざんされていないことを確認し、メッセージが Quincy から送信されたことを確認します。 デジタル証明書がないと、デジタル署名ではメッセージが改ざんされていないことだけしか確認できません。