« 2007年04月12日 | メイン | 2007年04月14日 »

2007年04月13日

PDFと署名(8) — 公開鍵証明書の発行と有効性検証

一般に電子署名を利用する主な目的は、署名した人を特定し、その人により署名された文書が改竄されていないことを検証することにあります。これを支える技術のキーポイントは、公開鍵暗号化方式による電子署名自体であることは無論です。

しかし、公開鍵暗号化方式のみでは、署名者を特定することはできません。署名者を特定できない以上改竄の有無を判定できるはずはありません。署名対象文書を作成した人と別の人が、偽って署名していることがないと言い切れないならば、内容が改竄されていないと言い切れないのは自明です。

ですので、本当に重要なポイントは、署名を検証するための公開鍵を保証する公開鍵証明書のあたりにありそうだ、ということになります。

このあたりどうなっているか、電子署名及び認証業務に関する法律(平成十二年五月三十一日法律第百二号)(電子署名法)を読んでみましょう。

○この法律では、公開鍵証明書のことを「電子証明書等」と言っています。

第十三条で、電子証明書等とは、利用者が電子署名を行ったものであることを確認するために用いられる事項が当該利用者に係るものであることを証明するために作成する電磁的記録その他の認証業務の用に供するものとして主務省令で定めるものをいう、と説明されています。

「等」という部分が、ちょっと曖昧ですが、これを省略して、電子証明書と呼んでも良いのではないでしょうか。そこで、今後は、公開鍵証明書のことを、電子証明書ということにします。

第三条には、「電磁的記録であって情報を表すために作成されたものは、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。」

とありますので、電磁的記録に電子署名がなされていたとき、それが真性に成立すると言うためには、その電子署名が「本人だけが行うことができるものに限る」ことを証明しなければなりません。

では、電子証明書で電子署名を検証すれば本人だけが行うことができると言えるのでしょうか?このあたりがどう扱われるか、とても難しそうです。

電子証明書は、署名が本人に関わるものであることは証明できることになります。では、例えば、ある利用者が公開鍵を認証事業者に登記して電子証明書を入手した後に、秘密鍵が漏洩してしまった場合は、どうなるのでしょうか?これは、秘密鍵が適正に管理されていないので、署名を本人だけが行うことができるといえませんので、真正に成立したとは言えません。

これを、電子証明書では、どうやって判定できるのでしょうか?また、そういう判断を行うための技術基盤はどうなっているのでしょうか?これはもっと調べてみないと分かりません。

投票をお願いいたします

投稿者 koba : 08:00 | コメント (0) | トラックバック