Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@teppei19980914(哲平 須山)

PKIとOCSP

Last updated at Posted at 2025-12-05

PKIとOCSP

はじめに

2025年10月のプロジェクトマネージャ試験受験を終え、2026年春の情報処理安全確保支援士に向けて勉強中です。
本記事を含めた各知識のインデックスや学習の道のりについては、「情報処理安全確保支援士への道のり(随時更新中)」をご参照ください。
本記事は学習した内容を記載しています。

該当問題

情報セキュリティスペシャリスト平成25年春期 午前Ⅱ 問3
情報セキュリティスペシャリスト平成27年春期 午前Ⅱ 問4

PKI(Public Key Infrastructure:公開鍵基盤)

PKIとは、公開鍵暗号方式を安全に運用するための技術・制度・運用ルールの総体です。
暗号技術そのものではなく、「公開鍵を“信頼して使える状態”にする仕組み」です。

PKI の構成要素

● 1. CA(Certification Authority:認証局)

  • 利用者へX.509公開鍵証明書を発行する主体
  • インターネット世界における「信頼の根」
  • EV証明書などはCA/B Forumにより審査基準が標準化されている

● 2. RA(Registration Authority:登録局)

  • 証明書申請者の本人確認を実施
  • 証明書発行は行わず、CAの前段階処理を担う

● 3. VA(Validation Authority:証明書有効性検証局)

  • 以下の方法で公開鍵証明書の有効性を検証し、クライアントからの証明書の有効性に関する問い合わせに応答
    • CAの公開鍵で署名を検証
    • 証明書の有効期限を確認
    • CRLの集中管理
    • CRLを確認

● 4. AA(Attribute Authority:属性認証局)

  • CAに代わり属性証明書を発行

● 5. リポジトリ(Repository)

  • 証明書やCRL(失効リスト)を公開するサーバ
  • HTTPやLDAPを利用

● 6. 利用者(Subscriber)

  • 証明書を利用して認証/署名/暗号化を行う

X.509 証明書(エビデンス:RFC 5280)

X.509はPKIで利用される公開鍵証明書の国際標準です。
証明書には以下が含まれます。

  • 公開鍵
  • 所有者の識別情報(DN)
  • 発行者(Issuer)
  • 有効期限
  • 拡張領域(KeyUsage/EKUなど)
  • CAの電子署名(秘密鍵で作成)

証明書失効(Revocation)

証明書は有効期限内でも無効化される場合があります。

失効理由例:

  • 秘密鍵漏洩
  • 利用者の退職・役割変更
  • 証明書内容の誤り

失効の確認にはCRLまたはOCSPを用います。

CRL(Certificate Revocation List)

失効証明書の一覧ファイル(RFC 5280)。

課題:

  • ファイルサイズが肥大化しやすい
  • 取得タイミングに依存するためリアルタイム性が低い

OCSP(Online Certificate Status Protocol)

OCSPは証明書の失効状態をリアルタイムにオンライン問い合わせする仕組みです。

プロトコル動作

クライアント → OCSPレスポンダ
     証明書の状態を問い合わせる

レスポンダ → クライアント
     「Good / Revoked / Unknown」を返答

応答値(RFC 6960)

  • good:有効
  • revoked:失効
  • unknown:レスポンダが対象証明書を知らない

OCSPの利点

  • CRLよりリアルタイム性が高い
  • 必要な証明書だけ確認するため効率的

OCSP Stapling(エビデンス:RFC 6066)

サーバがOCSP応答を事前取得し、TLS ハンドシェイクで提示する方式です。

メリット:

  • クライアントは OCSP サーバへ直接アクセス不要
  • 利用者の閲覧先がOCSPレスポンダに漏れない(プライバシー保護)
  • パフォーマンス向上(レスポンスも高速)

信頼連鎖(Certificate Chain)

証明書は階層構造で信頼を構築します。

Root CA(自己署名)
   ↓
Intermediate CA
   ↓
End-Entity Certificate(サーバ証明書)

ポイント:

  • Root CAはOS/ブラウザにプリインストール
  • チェーンが正しく構築できなければ証明書は「不正」扱い

PKI と TLS の関係(試験頻出)

TLSサーバ証明書はPKIに依存しています。

確認される内容:

  • サーバ証明書の署名検証
  • 有効期限チェック
  • 失効状態の確認(OCSP/CRL)
  • 信頼チェーンの検証

PKIが破綻すればHTTPSの信頼性も損なわれます。

周辺知識(支援士で押さえるべきポイント)

● Key Usage / Extended Key Usage(RFC 5280)

証明書の使用目的を制限します。

例:

  • digitalSignature
  • keyEncipherment
  • serverAuth
  • clientAuth

● CSR(Certificate Signing Request)

証明書発行要求です。
公開鍵と識別情報を含みます。

● HSM(Hardware Security Module)

CA の秘密鍵を安全に保管するための専用装置です。
PKI 全体の安全性に直結します。

● EV証明書(CA/B Forum)

企業の実在性を厳格に確認した証明書です。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?