公開鍵基盤 (PKI) の機能と仕組み
PKI (公開鍵基盤) には、公開鍵の暗号化を確立・管理する際に使用されるすべてのものが含まれます。これには、デジタル証明書の作成、配布、管理、保存、および失効に使用されるソフトウェア、ハードウェア、ポリシー、および手順が含まれます。
デジタル証明書は、 公開鍵とそれを所有するデバイスまたはユーザーを暗号的に結び付けます。これにより、ユーザーとデバイスを認証し、安全なデジタル通信を確保することができます。
PKI は、インターネット暗号化の最も一般的な形式の1つであり、WebブラウザとWebサーバー間のトラフィックを保護および認証するために使用されます。また、接続されたデバイスへのアクセスや組織内の内部通信を保護するためにも使用できます。
デジタル通信の保護と認証という長い歴史を持つ公開鍵基盤には、送信されるメッセージのプライバシーを確保する、送信者が本人であることを確認する、という2つの主な目的があります。
公開鍵基盤 (PKI) とは?
公開鍵基盤は、インターネットセキュリティの重要な側面です。デジタル通信を保護し、認証するための暗号化の枠組みを構成する一連のテクノロジーとプロセスです。
PKI は、デジタル証明書に接続された暗号化公開鍵を使用して、デジタル通信を送信するデバイスまたはユーザーを認証します。デジタル証明書は、信頼できる発行元である認証局 (CA) によって発行され、送信者が本人であることを確認するためのデジタルパスポートの一種として機能します。
公開鍵基盤は、Webサイト (Web サーバーでホストされている) とクライアント (ブラウザを介して接続しようとしているユーザー) 間など、サーバーとユーザー間の通信を保護および認証します。また、組織内の安全な通信にも使用され、送信者と受信者のみがメッセージを見ることができるようにし、転送中に改ざんされていないことを確認することもできます。
公開鍵基盤の主なコンポーネントには、次のものがあります。
- 認証局 (CA): CA は、デジタル証明書を発行、保存、および署名する信頼できるエンティティです。CA は、独自の秘密鍵でデジタル証明書に署名し、要求に応じてアクセスできる公開鍵を公開します。
- 登録機関 (RA):RA は、デジタル証明書を要求しているユーザまたはデバイスの ID を確認します。これは、サードパーティにすることも、CA が RA として機能することもできます。
- 証明書データベース:このデータベースには、デジタル証明書とそのメタデータ (証明書の有効期間を含む) が格納されます。
- 中央ディレクトリ:暗号化キーのインデックスが作成され、格納される安全な場所のことです。
- 証明書管理システム:証明書の配信と証明書へのアクセスを管理するためのシステムです。
- 証明書ポリシー: PKI の手順を概説するものです。このポリシーは、部外者が PKI の信頼性を判断するために使用することができます。
PKI のしくみを理解する
公開鍵基盤では、非対称暗号化方式を使用して、メッセージの秘密性を確保し、送信を送信するデバイスまたはユーザーを認証します。
非対称暗号化では、公開鍵と秘密鍵が使用されます。暗号化鍵は、データの暗号化に使用される長いビット列です。
公開鍵は、要求するユーザーは誰でも使用でき、信頼できる認証局によって発行されます。この公開鍵は、暗号化されたメッセージの送信者を検証し、認証します。
公開鍵基盤で使用される暗号鍵ペアの 2つ目の構成要素は、秘密鍵 (シークレットキー) です。この鍵は、暗号化されたメッセージの受信者によって秘密にされ、送信の復号化に使用されます。
複雑なアルゴリズムを使用して、公開鍵と秘密鍵のペアを暗号化および復号化します。公開鍵はデジタルメッセージの送信者を認証し、秘密鍵は受信者だけが開いて読むことができるようにします。
PKI 証明書
公開鍵基盤の中核は信頼です。受信側エンティティにとって、電子証明書の送信者が間違いなく本人であることがわかることが重要です。
信頼できる第三者の認証局 (CA) は、送信者を保証し、送信者が本当に本人であることを証明するのに役立ちます。電子証明書は、デジタル ID を検証するために使用されます。
電子証明書は、PKI 証明書またはX.509 証明書とも呼ばれます。PKI 証明書は、第三者によって検証され、デジタルパスポートや運転免許証のように機能する身元 (アイデンティティ) 証明を要求者側に提供します。
PKI 証明書には、以下が含まれます。
- 所有者の識別名 (DN)
- 所有者の公開鍵
- 発行日
- 有効期限
- 発行 CA の識別名 (DN)
- 発行 CA の電子署名
なぜ PKI が使われるのか?
PKI の最も一般的な用途の1つは、暗号化された HTTP (ハイパーテキスト転送プロトコル) 通信を保護するTLS/SSL (トランスポート・レイヤー・セキュリティ/セキュア・ソケット・レイヤー)です。
Webサイトの所有者は、信頼できる CA からデジタル証明書を取得します。CA から証明書を発行してもらうためには、Webサイトの所有者は、自分が本当に実際の所有者であることを証明しなければなりません。証明されると、Webサイトの所有者は SSL 証明書を購入し、Webサーバーにインストールすることができます。これにより、ブラウザがアクセスしようとしている正当なWebサイトであることがブラウザに通知されます。
TLS/SSL プロトコルは信頼の鎖に依存しており、ユーザーはルート認証局を信頼する必要があります。別の方法は、第三者によって検証された自己署名証明書を使用する信頼の輪です。信頼の輪は、組織の自己完結型ネットワーク内など、小規模なユーザーコミュニティでよく使用されます。
PKI のその他の用途には、次のようなものがあります。
- 電子メールの暗号化と送信者の認証
- ドキュメントとソフトウェアへの署名
- データベースサーバーによる内部通信の保護
- 電子商取引などの Web通信の保護
- ドキュメントの認証と暗号化
- ローカルネットワークとスマートカード認証の保護
- ファイルの暗号化と復号化
- VPN およびエンタープライズイントラネットへのアクセス制限
- IoT (モノのインターネット) デバイスなど、相互に信頼できるデバイス間の安全な通信
オープンソース PKI の種類
オープンソースの公開鍵基盤は一般に公開されています。以下に、オープンソース PKI の一例を紹介します。
- EJBCA Enterprise:エンタープライズグレードのフル機能を持つ CA 実装として Java で開発され、CAをサービスとして、または内部使用として設定できます。
- OpenSSL:商用グレードのフル機能のツールキットで、すべての主要な Linux ディストリビューションに含まれており、C言語で開発されています。PKI 対応アプリケーションで、単純な CA の構築に使用できます。
- CFSSL:TLS証明書の署名、検証、バンドル、カスタム TLS PKI ツールの構築のための Cloudflare のPKI/SSL ツールキットです
- XiPKI::高性能で拡張性の高い CA および OCSP レスポンダーで、SHA-3 をサポートする Java で実装されています。
- Dogtag Certificate System:証明書のライフサイクル管理のあらゆる側面をサポートする、エンタープライズクラスのフル機能 CA です。
こちらの情報も併せてご活用ください
Apple や Microsoft などの主要なブラウザーや OS は、信頼できるルート証明書の一覧を提供する信頼ストアを公開しています。信頼できるルート証明書は、提供された電子証明書および一致する CA に信頼を植え付けるために必要です。信頼できる CA は、公開キー基盤の重要な側面です。
PKI は、非対称暗号化を使用してデジタルメッセージを暗号化および復号化します。非対称暗号化、公開鍵と秘密鍵の使用の詳細に関するご質問は、 Okta がお答えします。今すぐお問い合わせください。
参考文献
Why Public Key Infrastructure Is a Good Idea (2001年3月、Computer Weekly)
EJBCA Enterprise (2022年、PrimeKey AB)
OpenSSL(2021年、The OpenSSL Project Authors)
Cloudflare/CFSSL(2022年、GitHub, Inc.)
Xipki/xipki(2022年、GitHub, Inc.)
PKI Main Page(Dogtag PKI)
Available Trusted Root Certificates for Apple Operating Systems (2022年、Apple, Inc.)
List of Participants – Microsoft Trusted Root Program(2021年12月、Microsoft Build)
非対称暗号化 :定義、アーキテクチャ、用途. (2022年、Okta)
Public vs. Private: Unlocking the Full Potential of Public Key Infrastructure(2021年12月、 Forbes)