【無料ツールで作るセキュアな環境（35）】〜証明書発行局の選択〜（執筆：office）

　前回はOpenSSLを用いて独自認証局を作る方法について解説した。独自認証局を作るための無料のツールは他にもいくつか選択肢があり、日本にも無料ツールを配布している組織がいくつかある。

　認証実用化実験協議会(ICAT)[1]では、その研究成果として認証局構築用プログラムパッケージであるICAPが無料で公開している[2]。ICAPはSolaris、FreeBSD向けに開発されていたが、最近Linux版も公開されるようになった。
　また名古屋工業大学電気情報工学科岩田研究室[3]では認証局構築用プログラムパッケージとしてAiCA[4]とEasyCert[5]を無料で公開している。

　AiCAは同研究室で開発された暗号ライブラリAiCryptoを用いたパッケージで、Unix上で動作する。

　EasyCertはAiCAをWindows用に移植したもので、Windows95, 98, NT4.0, 2000で動作する。SetUpプログラムを起動するだけでインストールは自動的に行われ、最初にEasyCertを起動したときに、CAの名前、CA証明書と秘密鍵を生成する方法の選択、暗号の鍵長とハッシュ関数の選択、証明書のsubject、証明書とCRLの有効日数、パスワード等を記入、またはデフォルト選択すれば非常に簡単に誰にでも認証局が構築可能である。運用の仕方まで丁寧に日本語で解説したHelpファイルも付属している。

　これら認証局パッケージを用いると独自認証局はすぐに開設・運用できる。そして独自認証局は一つの組織内の人間が、インターネットなどを介して外部から組織のサーバにアクセスする場合などには非常に有効である。

　しかし独自認証局で発行されている証明書がどのような基準・認証手続きを経て発行されているかは認証局を発行している組織外部の人にはわからない。従って、インターネットビジネス用Webサーバなどのように、これまで全く無関係だった第三者がアクセスしてくるサーバについて、独自認証局からいくら証明書を発行しても該当サーバやそこでビジネスを行う組織や人物の信用を示す根拠とはならないことがわかる。

　そこで組織外の人々にその信頼性を証明するには、認証局運用規程(CPS）を明らかにして運用し、既に信用を得ている外部（第三者）の認証局から証明書を発行してもらって、その信頼性を証明してもらわないといけないことがわかる。

　既に【無料ツールで作るセキュアな環境 (31)】などで述べたように、高い信頼性のある証明書を発行しようとすれば、本人確認を公的書類の提出などを含めて行わなければならず、必然的に高いコストがかかる。従って高い信頼性を確保するためには既に実績をあげている商用証明書発行サービスと契約する以外には選択肢はないという結論となる。

office
office@ukky.net
http://www.office.ac/

[1] http://www.icat.or.jp/
[2] http://www.icat.or.jp/conf/results.html
[3] http://mars.elcom.nitech.ac.jp/
[4] http://mars.elcom.nitech.ac.jp/security/aica.html
[5] http://mars.elcom.nitech.ac.jp/security/easycert/

（詳しくはScan本誌をご覧ください）