PKI と証明書

PKI (Public Key Infrastructure) は、電子証明書を使用して安全に通信できるようにするためのシステムです。Reflection では、ホストとユーザの両方の認証に PKI を使用できます。

公開鍵認証のように、証明書認証では公開/秘密鍵のぺアを使用してホストの身元を確認します。ただし、証明書認証を使用すると、公開鍵が電子証明書内に含まれ、この場合 2 つの鍵のペアが使用されます。例えばサーバ認証の場合、ホストは秘密鍵を 1 つ保有し、CA がもう 1 つの鍵を保有します。ホストは、CA から証明書を取得します。この証明書には、ホストに関する識別情報、ホスト公開鍵のコピー、CA の秘密鍵を使用して作成された電子署名が含まれています。この証明書は、認証処理時にクライアントに送信されます。ホストから送信される情報の整合性を検証するには、クライアントが CA ルート証明書に含まれる CA の公開鍵のコピーを保有している必要があります。クライアントが、ホスト公開鍵のコピーを保有する必要はありません。

送信されたメッセージの信頼性と整合性の確認に使用されます。通常、送信者は公開/秘密鍵のペアのうち秘密鍵を保有し、受信者は公開鍵を保有します。署名を作成するには、送信者はメッセージからハッシュを計算し、この値を自らの秘密鍵で暗号化します。受信者は、送信者の公開鍵を使用して署名を復号化し、受信したメッセージのハッシュを独自に計算します。復号化した値と計算した値が一致した場合、受信者は、送信者が秘密鍵の保有者であり、メッセージが送信中に改ざんされていないことを信頼します。

PKI (公開鍵インフラストラクチャ) には不可欠な部分です。電子証明書 (別名、X.509 証明書) は認証局 (CA) によって発行されるもので、証明書内の情報の有効性を保証します。証明書は、その証明書所有者の識別情報、証明書所有者の公開鍵のコピー (メッセージやデジタル署名の暗号化および復号化に使用される)、およびデジタル署名 (証明書の内容に基づいて、CA が生成したもの) が含まれています。受信者はデジタル署名を使用して、証明書が改ざんされておらず、信頼できることを確認できます。

証明書認証により、公開鍵認証によリ発生するいくつかの問題が解決されます。例えばホスト公開鍵認証の場合、システム管理者はすべてのサーバのホスト鍵を各クライアントの既知のホスト格納場所に配布したり、クライアントユーザが既知のホストに接続する場合に、クライアントユーザに依頼してホストの身元を正しく確認する必要があります。証明書をホスト認証に使用すると、単一の CA ルート証明書を使用して複数のホストを認証できます。多くの場合、必要な証明書は Windows の証明書格納場所ですでに使用可能です。

同様に、公開鍵をクライアント認証に使用すると、各クライアント公開鍵をサーバにアップロードし、その鍵を認識するようにサーバを構成する必要があります。証明書認証を使用すると、単一の CA ルート証明書を使用して複数のクライアントユーザを認証できます。