情報処理安全確保支援士_デジタル署名

情報処理安全確保支援士(2021春)を取ろうと思いたったので、過去問を解いた時に分からなかったことを調べてメモしていきます。

 

- デジタル署名

インターネット上でのデータ送信において、送信されてきたデータが送信者本人からのものであるかどうかを証明する技術である。データの送信者の証明ができるので、データが改竄されていないことも証明できる。公開鍵暗号を応用した技術である。
送信するデータからハッシュ値を算出し、送信者が持つ秘密鍵で暗号化した上でデータと一緒に送信する。受信側では、公開鍵でハッシュ値を復号し、受信したデータから算出したハッシュ値と同じであればデータが正しいと判断できる。

 

- デジタル証明書

デジタル署名だけでは、配布されている公開鍵が本当に正しいのかどうかを確認することができない。そのため、デジタル署名にデジタル証明書を付加することで、データ改竄されたかどうか、公開鍵が正しいかどうかを検知する。また、認証局を通してデータの作成者を証明できる。
デジタル証明書はサーバの公開鍵や所有者情報と、それらから算出したハッシュ値認証局秘密鍵で暗号化したものである。

 

- コードサイニング証明書

ソフトウェアにデジタル署名を行う電子署名用の証明書である。ソフトウェアの配布元を認証し、なりすましや内容の改ざんなどがされていないことを保証し、ユーザの手元に責任をもってソフトウェアを届けることができる。

 

- CSR(Certificate Signing Request)

公開鍵証明書を申し込むために認証局へ送られるメッセージである。 

 

-  CRL(Certificate Revocation List)

有効期限よりも前に失効させたデジタル証明書のリストである。
デジタル証明書の誤発行やデジタル証明書の秘密鍵を紛失した場合に、悪用刺されるのを防ぐことを目的としてCRLに登録する。

 

- OCSP(Online Certificate Status Protcol)

CRL を使わずにディジタル証明書の現在の状態を判断できるプロトコルである。
OCSPクライアントにOCSPサーバにデジタル証明書の有効性を確認させることで、元々CRLを必要としていたクライアント側でもCRL取得・照合作業の手間を省くことができる。

 

- 参考URL

デジタル署名の仕組み

デジタル証明書の仕組み

証明書署名要求 - Wikipedia

CRL(証明書失効リスト)とは、OCSPとは

 https://jp.globalsign.com/service/codesign/knowledge/