デジタル証明書
通信をセキュリティで保護するには、認証が不可欠です。 ユーザーは、通信相手に自分の身元を証明でき、他のユーザーの身元を確認できる必要があります。 ネットワーク上の ID の認証は複雑です。通信相手が通信中に物理的に会わないためです。 これにより、非倫理的なユーザーがメッセージを傍受したり、別の人物やエンティティを偽装したりすることができます。 通信プロセス内で必要なレベルの信頼を維持するには、メソッドを実行する必要があります。
デジタル証明書 は、ID を検証する手段を提供する一般的な資格情報です。 このセクションでは、証明書がセキュリティで保護された通信を提供する方法と、CryptoAPI を使用してそれらの証明書を使用および管理する方法の概要について説明します。
証明書は、エンティティを識別するデータのセットです。 信頼された組織は、個人に証明書を割り当てるか、公開キーを個人に関連付けるエンティティを割り当てます。 証明書が発行される個人またはエンティティは、その証明書のサブジェクトと呼ばれます。 証明書を発行する信頼された組織は、証明機関 (CA) であり、証明書の発行者と呼ばれます。 信頼できる CA は、証明書のサブジェクトの ID を確認した後にのみ証明書を発行します。
証明書では、暗号化手法を使用して、通信するユーザー間の物理的な接触の欠如の問題に対処します。 これらの手法を使用すると、非倫理的な人物がメッセージを傍受、変更、または偽造する可能性が制限されます。 これらの暗号化手法により、証明書の変更が困難になります。 したがって、エンティティが他のユーザーを偽装することは困難です。
証明書内のデータには、証明書サブジェクトの 公開キーと秘密キーのペアからの公開暗号化キーが含まれます。 送信者の秘密キーで署名されたメッセージは、送信者の公開キーを使用してメッセージの受信者のみが取得できます。 このキーは、送信者の証明書のコピーにあります。 証明書から 公開キー を持つ署名を取得すると、証明書サブジェクトの 秘密キーを使用して署名が生成されたことが証明されます。 送信者が注意を引き、秘密キーのシークレットを保持している場合、受信者はメッセージ送信者の ID に自信を持つことができます。
ネットワーク上には、多くの場合、証明書サーバーと呼ばれる信頼されたアプリケーションがあります。 セキュリティで保護されたコンピューターで実行されている CA が証明書サーバーを管理します。 このアプリケーションは、すべてのクライアントの公開キーにアクセスできます。 証明書サーバーは証明書と呼ばれるメッセージを分配します。各メッセージには、クライアント ユーザーの 1 人の公開キーが含まれています。 各証明書は CA の秘密キーで署名されます。 したがって、このような証明書の受信者は、指定された CA によって送信されたことを確認できます。
デジタル証明書には、証明書の件名に関する追加情報 (サブジェクトのメール アドレスや証明書のサブジェクトが実行できるアクティビティなど) を提供する拡張機能と拡張プロパティも含まれます。