« 2007年04月13日 | メイン | 2007年04月15日 »
2007年04月14日
PDFと署名(9) — 電子証明書の信用を保証する仕組み
昨日は、電子署名法では、電子署名がある電磁的記録は、その電子署名が本人だけが行うことができることとなるものである場合に限り真性なものと看做す、とされていることを見ました。
これを技術的にどういう仕組みで実現しようとしているか?これはなかなか面白いと思います。で調べてみましたら、かなり、分かりやすくて、良い資料がありました。
「PKI 関連技術解説」(独立行政法人 情報処理推進機構 2005年最終更新)
※この資料は私のレベルには良くできています。こんな資料をWebで無料で読めたら、書籍が売れるわけがありません。PKIの新しい本がないのも良く理解できます。
電子証明書の信用を保証するのは、本人登録を受付て、電子証明書を発行する機関です。本人登録を行う機関をRA(Registration Authority)、電子証明書を発行する機関を認証局CA(Certification Authority)と言います。RAは登録を申請した人が本人かどうかを確認する機関ですから、かなり人間的なアナログ組織、CAの方はデジタルな世界です。(RAとCAを分ける必要はないと思いますが。)
で、ともかくCAは電子証明書を発行します。そして、CAは、それが発行する電子証明書に、CA自身の秘密鍵で電子署名をし、CAの電子証明書を添えます。従って、各人の電子証明書はCAの電子証明書に信用の基盤を持つわけです。
では、そのCA自身の信用をどうやって保証するのでしょうか?
「PKI 関連技術解説」では、CAの信頼を保証する「信用モデル」について次のようなモデルがある、としています。
・単独CAモデル—1つの CA が全てのユーザに証明書を発行する方式。企業内などの閉鎖組織で用いる。
・階層型モデル—複数の CA を階層型(ツリー構造)に構成する方式。最上位のルートCAに絶対的(?)信頼を寄せる。下位のCAは上位のCAを信用する。
・Web モデル—Web ブラウザにはあらかじめルート CA の証明書が幾つか埋め込まれている。この証明書を信用する。
・メッシュモデル—複数の CA を接続して、相互に認証しあう方式。
・ブリッジ CA モデル—複数の CA がブリッジ CA を介して接続する。