公開鍵暗号 • デジタル署名 • 秘密鍵で署名＋公開鍵で検証 – 署名された

公開鍵暗号
•  デジタル署名
•  秘密鍵で署名＋公開鍵で検証
–  署名されたデータは無改変
を保証
–  署名者は本人
認証
•  デジタル署名を活用
–  サーバB
•  サーバAの公開鍵を保証 by 署名
–  サーバC
•  サーバBを信用
•  Bの公開鍵を保持
–  Aの公開鍵を検証
図13.1
PKI(Public Key Infrastructure: 公開鍵認証基盤)
•  第三者認証
–  認証局(公開鍵は誰もが所持)
図13.2
公開鍵登録の流れ
1.  証明書所有者(予定)による公開鍵作成
–  証明書所有者(予定)からRAへ証明書申請
2.  RAによる証明書所有者(予定)の本人性確認
–  RAからCAへ証明書申請転送
3.  CAによるデジタル署名作成
–  証明書発行(RA経由)
•  証明書所有者の情報
–  名称、所属、所在地など
•  証明書所有者の公開鍵
–  CAのデジタル署名
•  発行された証明書の保管
–  証明書所有者: 証明書を保管
–  RA: RA自身の秘密鍵と証明書をアーカイブに
保管
–  CA: 証明書をリポジトリに保管
•  暗号 or 署名付き通信
–  証明書所有者
•  証明書を利用者に提示
•  秘密鍵を用いて暗号化
–  証明書利用者
•  リポジトリを参照して証明書確認
–  root証明書を事前入手
•  証明書中の公開鍵を用いて復号
•  証明書の無効化
–  期限切れ
–  誤って発行
–  証明書所有者による取り消し
•  CRLをリポジトリにて公開
•  証明書利用者はCRLを参照
–  手動作業の場合が多い
•  暗号メール
–  メールクライアント­メールサーバ間通信
•  SSLなどで暗号化可能
–  メールサーバ間通信
•  原則として平文通信
平文通信区間
盗聴改竄可能
暗号化可能
平文通信区間
盗聴改竄可能
暗号化可能
•  S/MIMEによる通信
復号
暗号化
暗号通信
受信者の
秘密鍵
送信者
受信者
受信者の
証明書
(公開鍵)
署名
署名付き
通信
送信者の
秘密鍵
暗号通信と署名付き通信の併用も可能
署名
確認
送信者の
証明書
(公開鍵)
•  電子署名
フォーマットバージョン 電子署名アルゴリズム
メールヘッダ
MIMEヘッダ
MIMEヘッダ
MIMEエンコード
送信者の
証明書
(1)署名作成
(ハッシュ)
MIMEヘッダ
MIMEエンコード
オプション
MIMEヘッダ
(2)暗号化
送信者の
秘密鍵
(3)MIMEエンコード
暗号部分
メールヘッダ
MIMEヘッダ
•  暗号メール
–  盗聴による解読不可能
–  受信者による改竄防止
暗号メール
本文
(5)MIMEエンコード
(2)暗号化
(1)共通鍵生成
共通鍵
(暗号化)
(3)暗号化
共通鍵
(4)暗号化
受信者の
証明書
(公開鍵)