« 2007年04月28日 | メイン | 2007年04月30日 »
2007年04月29日
PDFと署名(14) — 電子証明書の検証
電子署名を検証するためには、その電子署名に付随する電子証明書が信用できるかどうかを判断する必要があること、そしてそのためには、電子証明書を発行した認証機関が信用できるかどうか判断しなければなりません。そして、認証機関は鎖のように繋がっていて、最終的にはルート認証局が信用の原点であることがわかりました。
一般人には、ルート認証局の信用を独自に調査するのは困難です。しかし、Web Trustなどの基準、あるいは、日本の電子署名法に基づく認定認証機関などであれば、ある程度の信用は確保できると考えられます。
公開鍵証明書のチェーンが信用できるルート証明書にたどり着ければ、第一関門はクリアされます。
電子証明書の検証では、さらに、次のことが必要です。
1.電子証明書が有効期限内かどうか。— これは、X.509公開鍵証明書の標準に準拠したものであれば、電子証明書の中に記述されていますので確認できます。
2.電子証明書が、失効していないかどうか。—電子証明書は、次のような場合に失効します。
・電子証明書に記載された事項について記録誤り等があった場合
・秘密鍵が漏えいまたはき損した場合
・失効の申請をした場合
失効した電子証明書のリストは、証明書失効リスト(CRL)として提供されることになっています。電子証明書がそのリストにないことを確認しなければなりません。なお、CRLを提供しないで、OCSPプロトコルを使ってオンラインで状態を問い合わせると証明書が失効しているか否かを解凍する方式の認証局もあります。
※これは、こう書くのは簡単ですが、実際に、実現するのはかなり大変ではないでしょうか?ちょっと疑問です。