PKI の概要

PKI (Public Key Infrastructure) は、電子証明書を使用して安全に通信するためのシステムです。Reflection では、Secure Shell セッションおよび SSL/TLS セッションでのホスト認証およびユーザ認証で PKI を使用できます。

認証

認証は、通信相手の身元を確実に確認する処理のことです。身元の確認は、パスワードなどの既知の情報、秘密鍵やトークンなど所有しているもの、または指紋などの固有の情報を使用して行います。リモートホストへの一般的な Telnet セッションでは、ユーザはパスワードで認証しますが、ホストは認証されません。Secure Shell および SSL/TLS などのより安全なプロトコルでは、ホスト認証が必要となります。Secure Shell セッションおよび SSL/TLS セッションでは、ホスト認証は公開鍵暗号によって行われます。また、どちらのセッションも、ユーザ認証に公開鍵暗号を使用するように構成できます。

公開鍵暗号

公開鍵暗号では、公開/秘密鍵ペアと数値アルゴリズムを併用して、データの暗号化および復号化を行います。鍵の片方は公開鍵で、これは通信相手に自由に配布できます。もう片方の鍵は秘密鍵で、鍵の所有者が安全に保管しておく必要があります。秘密鍵によって暗号化されたデータは公開鍵によってのみ復号化でき、公開鍵によって暗号化されたデータは秘密鍵によってのみ復号化できます。

鍵が認証に使用される時は、認証される側のユーザが、公開/秘密鍵ペアの秘密鍵を使用してデジタル署名を作成します。受信者は、対応する公開鍵を使用して、このデジタル署名の信頼性を確認する必要があります。これは、受信者が、他方のユーザの公開鍵のコピーを所有し、その鍵の信頼性を信頼しなければならないことを意味します。

電子署名

PKI (Public Key Infrastructure) の核となる構成要素です。証明書は認証局 (CA) から発行され、証明書の情報が有効であることを保証します。各証明書には、証明書の所有者に関する情報、証明書の所有者の公開鍵のコピー (メッセージおよび電子署名の暗号化と解読に使用)、電子署名 (証明書の内容に基づいて認証局が生成) が含まれています。受信者はこの電子署名を使用して、証明書が不正に変更されておらず、信頼できることを確認します。

電子証明書の格納場所

電子証明書は、コンピュータの証明書格納場所に保存されています。証明書格納場所には、相手の身元を確認するのに使用する証明書が含まれています。また、自分の身元を相手に示すのに使用する個人用証明書が含まれていることもあります。個人用証明書は、コンピュータにある秘密鍵に関連付けられています。

Reflection は、次のどちらかまたは両方の格納場所にある電子署名を使用するように構成できます。

  • Windows の証明書格納場所

    この格納場所は、Reflection、Web ブラウザ、メールクライアントなど、複数のアプリケーションで使用できます。この格納場所の証明書のいくつかは、Windows オペレーティングシステムのインストール時にインストールされます。また、インターネットサイトに接続して信頼関係を確立したり、ソフトウェアをインストールしたり、暗号化された電子メールや電子署名のある電子メールを受け取った時にも追加されます。Windows の格納場所に証明書を手作業でインポートすることもできます。この格納場所の証明書は、Windows の証明書マネージャを使用して管理します。

  • Reflection の証明書格納場所

    この格納場所は、Reflection アプリケーションでのみ使用されます。この格納場所に証明書を追加するには、証明書を手作業でインポートする必要があります。証明書はファイルからインポートでき、スマートカードなどのハードウェアトークン上の証明書を使用することもできます。この格納場所の証明書は、Reflection の証明書マネージャを使用して管理します。

Reflection のアプリケーションは、Reflection の格納場所にある証明書のみ、または Windows の格納場所と Reflection の格納場所の両方を使用して認証するように構成することができます。Windows の証明書格納場所を使用したホスト認証を有効にすると、既存の証明書を使用して認証できるので、証明書をインポートしなくて済むことがあります。Windows の証明書格納場所を使用した認証を無効にすると、認証で使用する証明書を詳細に制御できるようになります。詳細については、「Windows の証明書格納場所を使用した認証の有効化と無効化」を参照してください。

Reflection セッションでの PKI

Reflection セッションは、Secure Shell セッションおよび SSL/TLS セッションの PKI 認証に対応しています。

  • すべての SSL/TLS セッションでは、ホスト認証用の証明書が必要です。必要な証明書を所有していないと、ホストへの接続を確立できません。ホストの構成によっては、ユーザ認証用の証明書もインストールしなければならないことがあります。詳細については、「SSL/TLS セッションでの電子証明書」を参照してください。
  • Secure Shell セッションは、通常、ホスト認証とユーザ認証両方を要求します。証明書は、ホスト認証とユーザ認証の両方またはそのいずれかで使用できますが、既定では必要ありません。詳細については、「Secure Shell セッションでの電子証明書」を参照してください。