【無料ツールで作るセキュアな環境(33)】〜証明書と証明書失効リスト〜(執筆:office)
前々回に認証局について解説した。引き続き今回は証明書と証明書失効リスト (CRL: Certificate Revocation List)について、電子証明に関する規格であるX.509の規定に沿って解説したい。
特集
特集
[X.509証明書]
X.509はデジタル証明書、証明書要求、鍵、および後述する証明書失効リスト (CRL: Certificate Revocation List) のフォーマットを定義する規格として国際電気通信連合(ITU)により1988年に最初に勧告された。1995年の秋からはIETF (Internet Engineering Task Force [1])内のワーキンググループとしてPKIX(Public Key Infrastructure X.509 [2])が設立され、PKIXによってX.509をベースにした公開鍵インフラストラクチャ (PKI) のガイドラインおよび規格の作成とその標準化が行なわれている。
[証明書]
X.509 規格では、証明書に含める情報が定義されており、この情報を証明書に書き込む方法 (データ形式) についても記述されている。すべての X.509 証明書は、署名のほかに以下に列挙するデータを含んでいる。また証明書のすべてのデータは、データについての記述であるAbstract Syntax Notation 1 (ASN.1)とデータの保存および転送の方法について記述されているDefinite Encoding Rules (DER)と呼ばれる2つの関連規格を使って符号化されている。
・バージョン
証明書に適用されている X.509 標準のバージョンを識別する。現在は、3つのバージョンが定義されており、証明書に指定できる情報は、バージョン毎によって異なる。X.509 Version 1は、1988年から利用されて広く普及しており、今でも一般的である。Version 2の証明書は現在あまり使われていない。Version 3は1996年に定められた最も新しい規格であり、エクステンションの概念をサポートしている。エクステンションは誰でも定義することができ、証明書に含めることができる。
・シリアル番号
証明書を作成するときには、他の証明書と区別できるよう証明書にシリアル番号を割り当てる。証明書を無効にするときにシリアル番号を 証明書失効リスト(CRL: Certificate Revocation List)に入れるなど、この番号はさまざまな用途に使用される。
・署名アルゴリズム識別子
これによって証明書に署名を付けるときに認証局が使ったアルゴリズムを特定される。
・発行者名
証明書に署名した認証局の X.500 名。この証明書を使うことは、証明書に署名を付けた認証局を信頼することを意味する。ルート認証局の証明書など、発行者が自身の証明書に署名を付けることもある。
・有効期間
各証明書は、証明書への署名に使われる非公開鍵の強度や証明書に支払う金額など様々な要素に基づいて、有効期限が決められる。この期間は、開始日時と終了日時で決められ、秘密鍵が損なわれない限り、この期間中は公開鍵を使用できるものと考えられる。数秒から100年近い期間までさまざまな期間を設定される。
office
office@ukky.net
http://www.office.ac/
[1] http://www.ietf.org/
[2] http://www.ietf.org/html.charters/pkix-charter.html
(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm
《ScanNetSecurity》