• 梧桐彰

なんど教わってもPKIがわからない

梧桐(≠クマ)です。


IT関係者なら、PKIって聞いたことありますよね。

なくてもいいです。強引に進めます。


これがわからない。


Wikpediaにはこんな風に書いてあります。


暗号技術において、公開鍵基盤(こうかいかぎきばん、英: public key infrastructure、以下PKI)は公開鍵暗号方式や電子署名方式で用いる公開鍵とその公開鍵の持ち主の対応関係を保証するための仕組みである。 公開鍵認証基盤、公開鍵暗号基盤とも呼ばれる。

PKIの実現例として、たとえばX.509 (PKIX: Public-Key Infrastructure using X.509)がある。


わからない!


SSL・電子証明書を発行しているグローバルサインのサイトにはこう書いてあります。


PKI(公開鍵暗号基盤 Public Key Infrastructure)とは、公開鍵と秘密鍵のキーペアからなる「公開鍵暗号方式」という技術を利用し、インターネット上で安全に情報のやりとりを行うセキュリティのインフラ(基盤)のことです。


わからない!


まあ明らかに最初の3行しか読んでない私が悪いのですが。


ともかくそんなわけで詳しい人に聞きました。

詳しい人は本当に詳しかったのであっさりわかりました。


PKIは1.認証局 2.証明書 3.レポジトリ 4.登録局で構成されている


  • 認証局は役所みたいなもので証明書を発行する機関

  • 証明書が公開鍵とそれに対応する秘密鍵を結びつける(ID)

  • レポジトリが証明書やCRL(失効リスト)を公開していて、第三者が当該証明書が有効であることを確認する

  • 登録局は証明書を発行する前に本人確認を行う機関でdomain保有確認や在籍確認を行い、なりすましを防ぐ。

登録局がまともに働いているのはある意味非常に重要で、不適切な人間あるいは組織に証明書を発行した認証局はその信頼性を大きく毀損してしまう。過去にそういったトラブルを起こした事業者は多い。


記憶に新しいところではシマンテックで、それが原因でデジサートに売却する羽目になった 。その背景には、Googleがシマンテックの発行する証明書は信頼ならないので無効にしたということがあった。

で、これを使って証明書でできることは、暗号化、署名、認証である。


これでかなりよくわかりました。

まだわからないっていうプロの人がいましたら質問ください。書き足します。


もうちょっと詳しく知りたい人はこちらをどうぞ。

https://ja.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%8D%B5%E5%9F%BA%E7%9B%A4

https://jp.globalsign.com/ssl-pki-info/pki/aboutpki.html

https://www.ipa.go.jp/security/pki/032.html

https://yamanjo.net/knowledge/internet/internet_20.html


ではでは、梧桐でした。



©2020 Neo Logic Security.