« 2007年04月17日 | メイン | 2007年04月19日 »
2007年04月18日
PDFと署名(10) — 自己証明書とルート証明書
さて、前回は、電子証明書を発行する機関を認証局(CA)ということ、そして、その発行された電子証明書の信用はCAの電子証明書(CA証明書)の信用に依存していることを説明しました。
CA自身の信用が他のCAに依存しているのですが、その信用の鎖をたどって遡っていきますと、最後には、ルートCAにたどり着きます。ルートCAの証明書(ルート証明書)は、他のCAが署名したものでなく、自分自身で署名したものになります。
公開鍵証明書の標準形式X.509には、発行元(Issuer)と発行先(Subject)の項目があり、そこに、証明書を発行した機関と発行先の機関の名前が書かれています。
発行元と発行先が同じになっている公開鍵証明書のことを、自己署名証明書と言います。
さて、そこで、次のような疑問をもってしまいました。
1.自己署名証明書は、電子署名法第13条でいうところの「電子証明書」に該当するのでしょうか?
※電子署名法第13条について
2007年04月13日PDFと署名(8) — 公開鍵証明書の発行と有効性検証
この文章を読みますと、どうも、自己署名証明書は電子証明書とは、言えないのではないかと思うのですが。今のところ、ちょっと自信がありません。
2.ルート証明書は、必ず自己署名証明書になります。しかし、逆に、自己署名証明書はルート証明書ではないでしょう。これは、自分で公開鍵と秘密鍵を生成して、自分の公開鍵に自分の秘密鍵で署名したX.509形式の公開鍵証明書を作れば、定義上、自己署名証明書になることから考えて明らかです。
まとめますと、電子署名の信用の根拠は、電子証明書にあります。その電子証明書の信用の根拠は、その証明書に署名したCAにあります。そのCAのCA証明書には他のCAが署名していますので、CAの信用の根拠は、そのCA証明書に署名した他のCAにあります。という具合にCAの信用の根拠をずっとたどっていきますと、ルートCAの自己署名証明書であるルート証明書に行き着きます。
そうしますと、どのような条件を満たす自己署名証明書が信用できるルート証明書として認められるのでしょうか?これは、電子署名ではかなり重要なポイントだと思います。
投票をお願いいたします