Comments
Description
Transcript
公開鍵暗号 • デジタル署名 • 秘密鍵で署名+公開鍵で検証 – 署名された
公開鍵暗号 • デジタル署名 • 秘密鍵で署名+公開鍵で検証 – 署名されたデータは無改変 を保証 – 署名者は本人 認証 • デジタル署名を活用 – サーバB • サーバAの公開鍵を保証 by 署名 – サーバC • サーバBを信用 • Bの公開鍵を保持 – Aの公開鍵を検証 図13.1 PKI(Public Key Infrastructure: 公開鍵認証基盤) • 第三者認証 – 認証局(公開鍵は誰もが所持) 図13.2 公開鍵登録の流れ 1. 証明書所有者(予定)による公開鍵作成 – 証明書所有者(予定)からRAへ証明書申請 2. RAによる証明書所有者(予定)の本人性確認 – RAからCAへ証明書申請転送 3. CAによるデジタル署名作成 – 証明書発行(RA経由) • 証明書所有者の情報 – 名称、所属、所在地など • 証明書所有者の公開鍵 – CAのデジタル署名 • 発行された証明書の保管 – 証明書所有者: 証明書を保管 – RA: RA自身の秘密鍵と証明書をアーカイブに 保管 – CA: 証明書をリポジトリに保管 • 暗号 or 署名付き通信 – 証明書所有者 • 証明書を利用者に提示 • 秘密鍵を用いて暗号化 – 証明書利用者 • リポジトリを参照して証明書確認 – root証明書を事前入手 • 証明書中の公開鍵を用いて復号 • 証明書の無効化 – 期限切れ – 誤って発行 – 証明書所有者による取り消し • CRLをリポジトリにて公開 • 証明書利用者はCRLを参照 – 手動作業の場合が多い • 暗号メール – メールクライアントメールサーバ間通信 • SSLなどで暗号化可能 – メールサーバ間通信 • 原則として平文通信 平文通信区間 盗聴改竄可能 暗号化可能 平文通信区間 盗聴改竄可能 暗号化可能 • S/MIMEによる通信 復号 暗号化 暗号通信 受信者の 秘密鍵 送信者 受信者 受信者の 証明書 (公開鍵) 署名 署名付き 通信 送信者の 秘密鍵 暗号通信と署名付き通信の併用も可能 署名 確認 送信者の 証明書 (公開鍵) • 電子署名 フォーマットバージョン 電子署名アルゴリズム メールヘッダ MIMEヘッダ MIMEヘッダ MIMEエンコード 送信者の 証明書 (1)署名作成 (ハッシュ) MIMEヘッダ MIMEエンコード オプション MIMEヘッダ (2)暗号化 送信者の 秘密鍵 (3)MIMEエンコード 暗号部分 メールヘッダ MIMEヘッダ • 暗号メール – 盗聴による解読不可能 – 受信者による改竄防止 暗号メール 本文 (5)MIMEエンコード (2)暗号化 (1)共通鍵生成 共通鍵 (暗号化) (3)暗号化 共通鍵 (4)暗号化 受信者の 証明書 (公開鍵)