TechReport

技術者情報

セキュリティ

2010年9月15日(水)公開

第28回

これが、電子証明書のすべて

電子署名の正当性を裏付ける電子証明書および認証局について

これまで公開鍵暗号方式(公開鍵、秘密鍵)や電子署名のしくみについて説明してきたが、この公開鍵を正しい所有者に紐づけて配布するうえで重要な役割を果たしているのが電子証明書だ。今回のレポートでは電子証明書の内容、さらにはその証明書を発行する認証局(CA)についてGMOグローバルサイン株式会社 代表取締役社長 中條一郎氏、同社取締役 武信浩史氏が語る。

記事INDEX

電子証明書を確認してみよう

電子証明書は、皆さんお使いのパソコンにも入っています。まずは、現物を確認してみましょう。

Windowsパソコンであれば、Internet Explorerを起動し、以下のURLをアクセスしてみてください。

https://jp.globalsign.com/repository/

これはGMOグローバルサイン株式会社の認証局の公開情報を配置してあるサイトで、リポジトリと呼ばれるものです。

URL欄の隣に表示される南京錠マークのあるプルダウンから、[証明書の表示]をクリックすると証明書ビュアーが立ち上がり、このサイトに発行された電子証明書の内容を確認できます(図1)。

証明書の[全般]表示では、「発行先」、「発行者」、「有効期間」を確認できます(図2)。

証明書の[詳細]表示では、証明書の構成内容を確認できます(図3)。

[証明のパス]表示では、ルート証明書からこのサイトに発行された証明書までの階層を確認できます(図4)。

図1 電子証明書の内容確認画面
図1 電子証明書の内容確認画面
図2 証明書-[全般]表示イメージ
図2 証明書-[全般]表示イメージ
図3 証明書-[詳細]表示イメージ
図3 証明書-[詳細]表示イメージ
図4 証明書-[証明のパス]表示イメージ
図4 証明書-[証明のパス]表示イメージ
電子証明書の構成はこうなっている

図5 X.509 v3 証明書フォーマット
図5 X.509 v3 証明書フォーマット
図6 証明書の基本領域
図6 証明書の基本領域

証明書の詳細表示イメージでは、電子証明書の構成を確認することができます。「フィールド」及び「値」に表示されている内容は、ITU-T(国際電気通信連合―電気通信標準化部門)が定めたX.509という規格に準拠しており、インターネットの世界でスタンダードとなっています。

X.509規格は、1988年に最初のVersion 1が定義された後、1993 年にVersion 2が、 1997年に現在のVersion 3が公開されました。

Version 3は、Version 1で規定された基本領域とVersion 3で追加された拡張領域と呼ばれる2つの領域 から構成されているのが一般的です。なお、Version 2の領域は、利用が推奨されておらず、現在ほとんど使われていません。

現在、Version 3の規格は、IETF(インターネット技術タスクフォース)のPublic Key Infrastructure (X.509)として議論されており、進化をつづけています(最新版はRFC 5280を参照)。

証明書の[詳細]表示の[表示]プルダウンにて「バージョン1のフィールドのみ」を選択すると、 基本領域の内容を確認できます。基本領域には以下の項目が規定されています。


①.バージョン情報
X.509規格のバージョン番号を示します。
②.シリアル番号
この認証局が発行した証明書に一意に付けられる番号です。
③.署名アルゴリズム
この証明書に付けられている認証局の署名のアルゴリズム(ハッシュアルゴリズム+公開鍵署名アルゴリズム)を示します。
④.発行者識別名
この証明書を発行した認証局に付けられた識別名です。
⑤.有効期間
証明書の有効期間(開始日・時刻―終了日・時刻)を表します。
⑥.主体者識別名
証明書の発行対象者の識別名(ユーザーの名前やサーバ名など)が記述されています。
⑦.公開鍵情報
証明書発行対象者の公開鍵に関する情報です。

拡張領域で証明書の仕様を詳細化

図7 証明書の拡張領域
図7 証明書の拡張領域

証明書の[詳細]表示の[表示]プルダウンにて「拡張機能のみ」を選択すると、Version 3で規定されている拡張領域の内容を確認できます。

拡張領域は、認証局がその証明書を発行する際に、証明書の利用用途や確認方法などの詳細仕様をフレキシブルに規定できるようになっており、認証局のノウハウや技術力が凝集されている部分でもあります。

ここには、X.509規格(RFC 5280)で標準的に規定されている項目以外に、独自に定義した項目も入れることができるようになっており、証明書利用者がその項目の内容を解釈できなければその証明書を使うことができない項目(重要なX.503 Version 3拡張と呼ばれ、”!”マークが表示されます)、解釈できなくても証明書を使うことのできる項目を、認証局が任意に指定できるようになっています。

拡張領域の代表的な項目をいくつか紹介しておきます。


キー使用法(keyUsage)
電子証明書に記載されている公開鍵がどのような用途に使用されるかを指定しています。digitalSignature(電子署名)、nonRepudiation(否認防止)、keyEncipherment(鍵暗号化)、dataEncipherment(データ暗号化)などがあります。

拡張キー使用法(extentedKeyUsage)
上記キー使用法をさらに限定する働きがあります。電子メールの保護、サーバ認証、タイムスタンプなどがあります。

CRL 配布ポイント(cRLDistributionPoints)
証明書の不正使用や、ユーザーから取消の要請を受けた時など、有効期間内であっても認証局はその証明書を失効し、CRLというファイルに該当する証明書のシリアル番号を出力します。ここには、そのCRLを入手するための情報が記載されています。

証明書ポリシー(certificatePolicies)
どのような方針のもとで証明書を発行しているかという認証局の宣言や、運用規定のページへのURLなどが記載されています。

認証局に要求される認証レベルとは

このように認証局は、電子証明書の発行を通して秘密鍵の保有者(主体者識別名)とその対応する公開鍵を、暗号技術を使用して紐付けています。証明書利用者は、主体者識別名に記載されている内容を確認し、証明書の署名を検証することにより、証明書を提示した相手と向かい合わなくても、安全な取引を行うことができるようになるわけです。

認証局は、証明書を発行する際に、発行する証明書の仕様や利用者の要求レベルに見合った認証を行うことが要求されます。つまり、証明書利用者の取引内容や、その重要度に合わせて証明書発行対象者の認証を行う必要があります。

図8は認証レベルと発行する証明書の発行対象の関係を示したものです。縦軸は認証レベルで、上に行くほど認証レベルが高いことを示し、横軸は証明書の発行対象を示しています。

図8 認証レベルと証明書の発行対象
図8 認証レベルと証明書の発行対象

個人に対する証明書の用途としては、S/MIME、社内業務システムへのアクセス、公的申請などがあります。特定のメールアドレスへの署名・暗号化メールに使うだけであれば、E-mailアドレスへの到達確認レベルの認証で間に合うでしょうし、公的申請のような重要な用途に用いるのであれば、対面での本人確認が必要になるでしょう。

一方、SSLサーバ証明書の認証レベルもドメインの保有確認の認証レベルから、EV SSL証明書のようなビジネス業務の確認をも要求する認証レベルのものまで存在します。一般的に認証レベルが上位であると、ウェブサイトに訪れるユーザーへ信頼感をよりアピールできます。一方、認証レベルが下位のサービスは低価格で導入でき短時間発行などのメリットがあり、既知の相手とのやりとりに適しています。

認証局の主な機能

認証局(Certification Authority:CA)の主な機能としては、証明書の登録と発行、及び、それに付随するリポジトリ機能やアーカイブ機能があります。登録を行う機能を提供する部分を登録局(Registration Authority:RA)、発行を行う部分を発行局(Issuing Authority:IA)と分けて呼ぶこともあります。

登録局では、証明書の発行対象者を認証し、証明書の仕様に見合った認証レベルの証明書の内容を登録する機能、証明書の失効申請を受け付ける機能などが提供されます。

一方、発行局では、認証局の秘密鍵を使って、登録局から送付された証明要求の内容に署名を行い、証明書を発行する機能、登録局からの証明書失効要求を受け付け、証明書を失効する機能(CRL発行など)が提供されます。

リポジトリでは、証明書失効情報や、運用規定ドキュメントなどの提供を行います。

次回は、認証局のシステムやその運用形態について詳しく述べていきたいと思います。


2010.09.15



取材協力:GMOクリエイターズネットワーク株式会社



中條 一郎

GMOグローバルサイン株式会社

GMOグローバルサインは、電子認証サービスが登場し始めた1996年より、ベルギーでのサービス提供を開始。2006年よりGMOインターネットグループにジョインし、電子証明書を発行する認証局として累計150万枚以上の発行実績を持ちます。 パブリックルート認証局として、日本をはじめアメリカ・ヨーロッパ・アジアに拠点を置き、政府レベルのセキュリティをワールドワイドに提供しております。 また、サービス開発を日本国内で行っており、国内はもとより、世界のさまざまなニーズに対応した証明書サービスを展開しております。

執筆者一覧