このページの本文へ移動

FUJITSU

China

  1. 首页 >
  2. ニュースセンター >
  3. 2009年 >
  4. IT セキュリティ基礎知識シリーズ:第2回 安全なインターネット利用を支える電子署名と暗号技術
プレスリリース

2009-08-01
富士通(中国)信息系統有限公司

IT セキュリティ基礎知識シリーズ

第2回 安全なインターネット利用を支える電子署名と暗号技術

シリーズ第1回では、インターネットを安全に利用するためのSSLの概要をテーマにお話しいたしました。第2回では、SSLをはじめITの世界で広く用いられている電子署名と暗号技術についてその仕組みをご説明いたします。少しややこしいですが、ITセキュリティの基本をご理解いただけると思います。

共通鍵暗号と公開鍵暗号

暗号には、共通鍵暗号と公開鍵暗号があります。共通鍵暗号とは、暗号化するときと復号するときに用いる数列(暗号鍵)が同じであるものをいいます。(図2-1)

図2-1

これに対して、公開鍵暗号とは、2つの鍵をもつ箱で、一方の鍵で鍵をかければ、もう一方の鍵でしか開けることはできないようになっているというイメージです。この2つの鍵のことを鍵ペアといいます。

この箱は、いくつでも複製することができますが、鍵は、1組の鍵ペアしかありません(図2-2)。

図2-2

公開鍵暗号では、鍵ペアの片方を本人が保有して、厳重に保管し(秘密鍵)、もう片方を広く自分の公開鍵として公開鍵証明書(証明書)に記載して開示します。

秘密鍵の保有者がドキュメントを送るときは、自分の秘密鍵で鍵をかけた箱に証明書を添えて送ります。受け取った人は、証明書についている鍵で箱を開くことができれば、たしかにこの公開鍵-秘密鍵ペアの持ち主から送られたものであることがわかります。公開鍵と暗号化された文書から、秘密鍵を推定することは、スーパーコンピユータを用いても何万年もかかるとされており、事実上不可能です。公開鍵暗号は、①本人性の確認(自分しか受け取れない)をした上で②共通鍵を安全に受取る(使用する共通鍵を公開鍵で暗号化してもらい、受け取る)手段として用いられます。

電子署名とは

こうして本人性を確認し、かつ暗号化された状態で電文を送ること(盗聴防止)は可能になりますが、そのドキュメントが書き換えられる(改ざん)危険性は排除できません。

そこで用いられるのが電子署名という技術です。電子署名とは「相手方に送付したい電子文書(ファイル、ドキュメント)を、ハッシュ関数を通して短い文字列(ハッシュ値:メッセージダイジェストともいう)にし、送付元の秘密鍵で暗号化したもの」を指します。

ハッシュというのは暗号の一種で、ドキュメントを短い文字列に変換するものです。元のドキュメントが少しでも違うと、導出されるハッシュ値が大きく変わります。また、ハッシュ値から元のドキュメントを導きだすことは不可能という特性(不可逆性)を持っています。

送付側は、元のドキュメントと自分の公開鍵証明書、電子署名、使用したハッシュ関数の種類など必要な情報をセットにして、標準のフオーマットで送ります。受取り側は電子署名を公開鍵証明書に乗っている公開鍵で復号し、ハッシュ値(X)とします。さらに受け取り側は、同じハッシュ関数を用いて送付されたドキュメントのハッシュ値(Y)を導きます。

なお、XとYを比較することを署名検証といい、同じであれば送付側の本人性と改ざんされていないことを同時に判断できます。

図2-3

残る課題一証明書の信用性

これまでの説明では、暗号化に用いた共通鍵を受け取るにも、電子署名を検証するにも、一緒に送付された公開鍵証明書の公開鍵を用います。では、この証明書自身は、信用してよいものなのでしょうか?もしも巧妙に作成された偽証明書だったりした場合には、暗号化した状態で情報を送付することになりかねません。

証明書の発行(鍵ペアの作成を含む場合もあります)は、認証局といわれる機関に依頼します。業務で使用する場合には、民間の認証機関に依頼することになります。

認証機関は規定の審査を行い(たとえば、法人の場合には社印・代表者サイン・商業登記簿などの照合、個人に対する場合には住民票や印鑑証明書による本人確認など)、規定を満たしている場合に限り安全・確実な手段で申請者に渡します。申請者は、その使用目的に応じてサーバやPCに証明書と秘密鍵をSETすることになります。

証明書には、その証明書をドキュメントとして認証局自身の電子署名が記載されています。電子署名付きのデータや共通鍵を受け取った人は、一緒に添付されてくる証明書上の認証局による電子署名を検証し、真に認証局の発行したものであるならば、信用してよいということになります。

インターネットのセキュリティの基盤―PKI

認証局の公開鍵は、認証局自身の発行した証明書を利用することになります。この証明書は自分で自分の公開鍵を証明することから「自己署名証明書」と呼んだり、認証ツリーの頂点となる証明書であることから「ルート証明書」と呼んだりします。

著名な認証機関のルート証明書は、ブラウザにSETされていたり、初出の認証局の署名による証明書であった場合には、自動的に特定の機関(認証局を評価している機関:WebTrust)にインターネット経由で確認にいき、信用できる認証局として認定されている場合には、そのルート証明書をPCにSETすることとなっています。(図2-4)

以上、ネット上のセキュリティは、公開鍵証明書のチェーンによつて形成されていることがご理解いただけたかと思います。これは、全世界共通であり、公開鍵を用いたインフラということで、全体をPKI(Public Key Infrastructure)と呼んでいます。

図2-4

(※本ニュースは、漫歩創媒が発行した「Whenever BizCHINA」の転載です)


お客様お問い合わせ先

富士通(中国)信息系統有限公司
企画部
陳永昶(日本語可)
電話: 021-5887-1000/8821
Fax: 021-5877-5283
E-mail:sales@cn.fujitsu.com

以上


ページの先頭へ

お問い合わせ

このコンテンツについて