よくある質問・用語集

  • どうやって使う?

PKI(公開鍵暗号基盤)とは

PKI(Public Key Infrastructure)とは、公開鍵暗号方式と電子証明書の仕組みを利用し、インターネット上で安全に情報の通信を行うセキュリティのインフラ(基盤)のことです。「公開鍵暗号基盤」と訳されます。

公開鍵暗号方式

公開鍵暗号方式は、公開鍵と秘密鍵という対になる2つの鍵を用いてデータの暗号化/復号化を行う暗号方式です。

  • 公開鍵

    他者に広く配布・公開される鍵

  • 秘密鍵

    本人だけがわかるように厳重に管理される鍵

公開鍵暗号化方式では、秘密鍵で暗号化されたデータは対応する公開鍵でしか復号化できません。また、公開鍵で暗号化されたデータは対応する秘密鍵でしか復号化できません。この仕組みによって送信元の情報が改竄されていないことを保証します。

共有鍵暗号方式と公開鍵暗号方式

公開鍵暗号方式は、共有鍵暗号鍵方式とセットで利用されることがあります。

共有鍵暗号方式は、情報を発信する側と、情報を受け取る側で共通の情報を使って暗号化を行う方式です。共有鍵暗号方式としては、ZIP暗号化などがよく使われています。ファイルを暗号化すると、パスワードを知っている人しか解読できなくなります。共有鍵暗号方式は、導入が簡単なことから、様々なところで使われています。しかし、共有鍵を知っている人であれば、誰でも情報を書き換えることができるためデータの改竄を防止することはできません。

通信の盗聴を防止

公開鍵暗号方式では、データの盗聴を防ぐこともできます。データの盗聴防止には、「共有鍵」の仕組みも利用します。以下の手順で盗聴を防止します。

  1. 通信先から公開鍵で暗号化した「鍵(パスワード)」を送信します。(秘密鍵を持っている相手しか復号できない)
  2. 通信元で「鍵(パスワード)」を取り出します。この時点で鍵が共有されます。
  3. 共有した鍵を使用して、通信を暗号化します。

このように通信先と通信元で「共有鍵」を使用し通信を暗号化することで通信内容の盗聴を防ぎます。

PKIの要素

PKIには、以下の構成要素があります。

  • 認証局
  • 証明書
  • リポジトリ

PKIにおける認証局

認証局は、PKIにおいて重要な役割を担っています。認証局には証明書の発行/CRL(証明書失効リスト)の発行、鍵の管理という機能があります。

証明書の発行/CRLの発行

認証局は、暗号通信に利用する証明書を発行します。また、認証局は発行した証明書の信頼性が失われた場合、その証明書を失効させ、証明書失効リスト(CRL)を発行します。そして、利用者が取得できるように証明書とCRLをリポジトリに登録します。

鍵の管理

認証局では、鍵の作成日や作成者、使用目的などの情報を管理します。そして、こうした鍵の情報漏洩を防ぐことも認証局の役割です。




PKIにおける証明書

証明書とは、暗号通信時に利用する電子証明書です。証明書は認証局によって発行されます。証明書のフォーマットはX.509という規格で定められています。

PKIにおけるリポジトリ

リポジトリには、証明書やCRLが格納されます。格納されている証明書やCRLは利用者が検索して取得できます。

PKIを専用ソフトウェアで構築

PKIは、opensslコマンドで構築することが可能です。しかし、opensslコマンドでのPKIの構築は、構築自体の難易度が高く、また、作成した証明書の所有者や有効期限の管理を行う機構がありません。そのため、作成した証明書の管理を人の手で行う必要があります。これでは証明書の数が増えてくると管理が非常に煩雑になってしまいます。

その点、PKIの専用ソフトウェアには、証明書の管理を行う機構が備わっています。なので、PKIの専用ソフトウェアを利用することで管理の手間を軽減することが可能になります。

PKIに対するデージーネットの取り組み

デージーネットでは、PKIの専用ソフトウェアとしてOpenXPKIを利用することを推奨しています。OpenXPKIは、PKIにおける認証局の運営を円滑に行うためのOSSです。OpenXPKIはwebインターフェースから直感的に証明書の発行、検索、失効を行うことができます。そのため、OpenXPKIを利用しPKIを構築することで、管理の手間を軽減し、より安全にデータ通信を行うことができます。

  • どうやって使う?

関連用語

PKI(公開鍵暗号基盤)に関連するページ(事例など)

PKI(公開鍵暗号基盤)とは先頭へ