やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ディジタル証明書

 ディジタル証明書とは、暗号化通信やディジタル署名に用いる公開鍵の通信において、受信者が公開鍵の所有者を確認するために同封される一連のデータセットのことです。別の呼び方として、サーバ証明書、電子証明書、公開鍵証明書などがあります。

 ディジタル証明書は、認証局(CA:Certificate Authority)に申請し審査に合格すると発行されます。

 ディジタル証明書は、公開鍵をインターネット上で安全に確実に送受信間でやり取りする方式として考案されました。

 それは、公開鍵が通信途上で改ざんやすり替えされておらず、確かに送信者本人のものであることを受信者が確認できるように、公開鍵のデータに、第三者である「認証局のディジタル署名」を添付するという方式です。

 これにより、「送信者の公開鍵」を認証局が保証するという形態をとることが可能となります。

 ディジタル証明書を受信した側は、「認証局の公開鍵」を使用して、同封された「認証局のディジタル署名」を検証します。これに成功すれば、同封されている「公開鍵」が正当で、かつ、改ざんされていないことが保証されます。

 なお、「認証局の公開鍵」はどのように取得するかというと、Webブラウザにはあらかじめ世界的に有力な認証局(ルート認証局)の公開鍵が組み込まれています。利用者でも追加が可能です。

 各認証局は自身の公開鍵を上位の認証局に署名してもらって公開することで、最終的にルート認証局の署名が得られれば、利用者は安全に各認証局の公開鍵を入手することができます。

 現在普及しているディジタル証明書の規格はITUーTの「X.509」です。これには、公開鍵とアルゴリズム、認証局の識別情報とディジタル署名、証明書の識別情報(シリアル番号など)、証明書の有効期間、鍵の所有者の識別情報などの情報が記載されます。

 

平成29年度 春期 情報セキュリティマネジメント試験 午前

f:id:aolaniengineer:20191116040017p:plain

情報セキュリティマネジメント試験 平成29年度 春期 午前 問19
ア 受信者が、受信した暗号文を送信者の公開鍵で復号することによって、送信者の購入しようとした商品名が間違いなく明記されていることを確認する。

 「受信した暗号文」とありますが、二つの解釈ができます。一つは、公開鍵を使用した暗号化通信のことで、復号に用いるのは秘密鍵になります。もう一つは、ディジタル署名のことで、復号されたデータはメッセージダイジェストであり、商品名ではありません。

イ 受信者が、受信した暗号文を送信者の公開鍵で復号することによって、メッセージの盗聴を検知する。

 同じく「受信した暗号文」は二つの解釈ができますが、ディジタル署名の場合、改ざんの検知は可能ですが、盗聴は検知できません。

受信者が、受信したディジタル署名を検証することによって、メッセージがその送信者からのものであることを確認する。

 これが正解です。

エ 送信者が、メッセージに送信者のディジタル証明書を添付することによって、メッセージの盗聴を防止する。

 盗聴を防止することはできません。

 

にほんブログ村 資格ブログへ にほんブログ村 IT技術ブログへ にほんブログ村 IT技術ブログ ネットワーク・SEへ にほんブログ村 IT技術ブログ セキュリティ・暗号化へ