おもしろインターネット活用講座 千葉県産業振興センター
トップページへ戻る
電子署名とは


  4.PKIによる電子署名・認証

 PKIとは?

 PKIとは、Public Key Infrastructureの略で、日本語では「公開鍵基盤」と訳すことができます。「公開鍵」とは、「公開鍵暗号方式」という特殊な暗号技術をいいます。この技術によって電子署名や暗号化といったセキュリティ対策を高めることができます。また「基盤(インフラ)」とは、社会や組織等の土台を指します。
 
 PKIを身近なものに例えると「身分証明書や印鑑証明書の発行」によく似ています。
 前述の通り、インターネット上では相手の顔が見えないので、なりすましが簡単にできてしまいます。そのため、本人であることを証明するには、実社会にあるような身分証明書が必要となります。互いに身分証明書が確認できれば、安心して通信を行うことができます。
 しかし、自分で作成できてしまうような身分証明書では信憑性がありません。そこで実社会の免許証や印鑑証明書と同様に、信頼できる機関が発行したものの身分証明書だけが有効となるようにしたのです。この信頼できる機関を「認証局(CA)」と呼び、この認証局から発行されるものを「証明書(公開鍵証明書)」と呼んでいます。更に証明書の管理・配布の役割を持つものを「リポジトリ※1」といい、これら3つを合わせてPKIは構成されています。
 つまりPKIとは、証明書を正しく発行して配布するシステムとなります。ただし、PKIはあくまでセキュリティの基盤となるものであり、それ単体では効果がありません。PKIはPKIアプリケーションによって利用されます。主なPKIアプリケーションとしては、ホームページで用いられるSSL※2、電子メールで使われるS/MIME※3等が身近でよく使われています。


※1 リポジトリ
認証局が業務を運営するにあたっての公開情報が格納されている場所で、証明書等が格納されています。
※2 SSL
電子商取引で使われる技術で、通信しているWebサーバが正しいサーバであることを証明するのに使用します。このときWebブラウザとWebサーバは証明書から取り出した鍵で暗号化通信を行います。
※3 S/MIME
電子メールのメッセージとして電子署名や暗号化データをやり取りするためのフォーマットを定めたもので、S/MIMEに対応した電子メールソフトであれば、証明書の確認や暗号化などを自動的に行ってくれます。代表的なソフトとしてOutlookExpressやOutlookなどがあります。
図6 PKIの構成図
PKIの構成図


 認証局とは?

 認証局(CA:Certification Authority)とは、電子認証を行う信頼のおける第三者機関のことで、利用者の本人確認を行い、本人と公開鍵を関連付ける証明書を発行します。公開鍵を受け取る人は、証明書を確認することで、公開鍵が偽造されていないかどうかを確認できます。証明書自体にも電子署名が入っているため、改ざんできないようになっています。

 また、認証局で発行される証明書には有効期間が設けられています。もし証明書が有効期間中に効力を失った場合、認証局は「証明書失効リスト」(CRL:Certificate Revocation List)を発行して、インターネット上に公開します。

 証明局が適切に証明書の登録・発行・失効を管理することで、利用者は安心して証明書を認証に利用できます。
 「公開鍵暗号方式」とは?

 認証局から発行される証明書を利用することで、身分の証明ができると共に、通信の暗号化※1も行うことができます。これは証明書の中に、情報を暗号化するための「鍵」が含まれているからです。
 公開鍵暗号方式とは、暗号化と復号化※2で異なる2つの鍵(公開鍵秘密鍵)を一対で使用します。
 一方の鍵(公開鍵)で暗号化したものは、それと対になっているもう一方の鍵(秘密鍵)でなければ復号化できないということになります。

※1 暗号化
元データを一定の規則に従って第三者が見ても分からないデータに変換すること。
※2 復号化
第三者が見ても分からないデータを一定の規則に従って元データに変換すること。
図7 公開鍵暗号方式
公開鍵暗号方式


 ここでもう一度AさんとBさんの例を挙げると・・・
  1. AさんはBさんへ「公開鍵」を渡します。
    「公開」という名前の通り、ホームページやメールを使用して渡すことができ、誰もが入手できる鍵となります。
  2. BさんはAさんの公開鍵を手に入れたら、その鍵を使って送付したいデータを暗号化してAさんへ送付します。
  3. Aさんは自分の「秘密鍵」を使用して、受け取ったデータを復号化します。
    Aさんの公開鍵で暗号化したものは、Aさんの秘密鍵でしか復号化できないため、もし第三者が公開鍵を入手したとしても、暗号化されたデータの内容が漏れてしまうことはありません。
    つまり、Aさんの「公開鍵」を入手すれば、誰でもAさんと暗号化されたデータのやり取りができるようになります。また、やり取りする相手が増えても、Aさんは自分の秘密鍵だけを厳重に保管するだけで済みます。
 よってPKIでは、この公開鍵暗号方式が採用されています。
 PKIによる電子署名・認証とは?

 電子署名は、先に述べた公開鍵暗号方式の秘密鍵を利用し、「そのデータが本人によって作成されたこと」と「改ざんされていないこと」を保証してくれるものです。
 PKIにより電子署名を実現するには「秘密鍵で暗号化し、対になっている公開鍵で復号化する」技術が利用されます。
 それでは電子署名を利用したデータのやり取りを、AさんからBさんへデータを送信する例で説明します。
図8 PKIによる電子署名の仕組み
PKIによる電子署名の仕組み

  1. 送信者Aさんは元データを圧縮してデータを生成します。
  2. 生成したデータを秘密鍵で暗号化し、電子署名を作成します。
  3. Aさんは「元データ」と「電子署名」そして「認証局(CA)から発行されたAさんの証明書」をBさんへ送信します。
  4. 受信者Bさんは「元データ」を圧縮してデータを生成します。
  5. 更にBさんは、Aさんの証明書から公開鍵を取り出して電子署名を復号化し、圧縮してデータを生成します。
  6. 3,4の圧縮されたデータを比較します。
 ここで圧縮されたデータが一致した場合、「公開鍵に対応する秘密鍵の持ち主によって暗号化されたこと」と「データが改ざんされていないこと」が証明できます。なぜなら「公開鍵で復号化できる=対応するAさんが持つ秘密鍵で暗号化されたもの」ということになり、暗号化したのはAさんだと断定できます。
 ただし、これだけでは「なりすまし」や「否認」を完全に防ぐことができません。そこで解決策として認証局から発行される証明書を利用します。

 受信者Bさんは認証局(CA)が発行する証明書失効リスト(CRL)等により、Aさんの証明書の失効の有無を確認します。ここで証明書が有効なことを確認することで、Aさんによって電子署名されたことを確実に確認できます。


 以上により、電子署名が「なりすまし」、「改ざん」のリスクを回避することができ、結果として「否認行為」のリスクも回避することができます。


このページについてのお問い合わせは こちらまで。
3.電子取引における
セキュリティ上の問題点 戻る
 -- 目次 --
1.はじめに
2.電子署名とは?
3.電子取引におけるセキュリティ上の問題点
4.PKIによる電子署名・認証
5.電子署名法
  (電子署名及び認証業務に関する法律)
6.今後の予測
5.電子署名法(電子署名及び
認証業務に関する法律)
進む

トップページへ戻る
千葉県産業振興センター ccjc-net home