【合格者の知識】ルートCA(ルート認証局)のルート証明書(情報処理安全確保支援士試験)
このNoteではAPやSCでよく見る「ルートCAの証明書を登録する」という解答理由について解説します
デジタル署名・電子証明書の基礎説明から入るので、「今までなんとか正解してたけど実は・・・」という方もぜひ読んでいってくださいね。
なお、デジタル署名(電子署名)・電子証明書(デジタル証明書)と「デジタルか電子で統一しろい」と思うはその通りです。ただ、私の肌感でよく見る方で記述させてもらいます。
私はIT以外の学部時にITパスポートから応用情報、大学の先生を経てSC, NW、IT専門学校の先生となりDB, ESと全て独学合格してきました。
このNoteには、独学合格経験・授業経験に基づいて作っています。私が対策授業で教えているのと同じですので、安心して頂けたら嬉しいです。
それでは始めましょう!
\私の3ヶ月の学習履歴/
デジタル署名と電子証明書
まずは、「デジタル署名(電子署名)」。
データの改ざん検知・送信者の正当性確認の2点ができる技術でしたね。>デジタル署名の解説Note
でも悪意ある人もデジタル署名を作れるので、「このデジタル署名や公開鍵って信じていいの?」と疑問が残るんです。
そこで「認証局(CA)」や「電子証明書(デジタル証明書)」の登場です。
認証局は信頼できる第三者機関。
公開鍵を発行した組織について審査して「ちゃんとした送信者/組織」なら、電子証明書を付けてくれます。
受信者は「認証局が証明してくれてる。ちゃんとした組織なんだな」と安心して公開鍵を使えます。
電子証明書は、デジタル署名を検証する「公開鍵(署名作成者が作った鍵)」の正当性を証明。デジタル証明書に付いてくる「認証局の公開鍵」で、デジタル証明書を検証し、デジタル署名&公開鍵の検証をOKと判断できる。
「ルートCA」は認証局の王
電子証明書で送信者を信頼できることができました。
でも「電子証明書は本当に信用して良いの?」と疑問も出ます。疑い出すとキリがないですが、それがセキュリティ。
電子証明書を証明する仕組みが必要です。
実は電子証明書(認証の公開鍵)を証明する電子証明書があります。つまり「認証局の上の認証局」が作った電子証明書。
上位の認証局はさらにさらに上があり、最上位が「ルート認証局(ルートCA)」。
「ルートCA」は認証局のキング。誰もが信頼する認証局。
ルート認証局は、下位の認証局の電子証明書に電子証明書を発行します。(正確には下位の認証局が発行した電子証明書、内の認証局の公開鍵ですがご容赦ください)
また自分自身(の公開鍵)が正しいですと発行したのが「ルート証明書」。I am justice!。俺は絶対正しい!
利用者はルート証明書(ルートCAの公開鍵)を安心して使い、下位の認証局が発行した電子証明書を検証し、最終的に送信者の公開鍵でデジタル署名を検証して安心するんです。
難しければこれだけ。
「ルート証明書」はルートCAが自分自身のために発行した電子証明書。誰もが必ず信用する証明書。
電子証明書の面倒さと「プライベートCA」
FEまでは「デジタル証明書はデジタル署名を補強するものだ。認証局が発行するものだ」程度で良かったのですが、APから段々「ん?」と思った場面が多くなったはずです。
「サーバ証明書」と「クライアント証明書」を目にしませんでしたか? 電子証明書の具体的な使い方です。
サーバ証明書:「私は本物のサーバですよ」
クライアント証明書:「私は利用者本人ですよ」
と、Web接続でお互いの正当性を証明する場面が、APで出てきましたよね。
例えば「外出用PCにクライアント証明書を予めインストールしておく」は、サーバが外部からの正答なアクセスだと判断するセキュリティ対策です。
サーバ証明書は分かりやすいかも。私たちも銀行のWebサイトにアクセスしているつもりが、「違うWebサーバ」だったらコワイですからね。正当なサーバである確認をします。
AP・SCでは公開鍵暗号通信でも使われる「SSL証明書」も登場(サーバ証明書の一種)します。
いまや電子証明書は、会社とお客様はもちろん、会社内でも使いたいです。例えば在宅ワークでは、暗号通信VPNで会社に接続したいですから。
しかし「電子証明書は、認証局が発行」だったので面倒だ、という話になってきます。
暗号通信なりなんなりで電子証明書を作って使いたいけど、イチイチ認証局に「電子証明書を発行してください」と申請・許諾・発行の手続きをするのが面倒。
そこで、自社に認証局「プライベートCA」を作って、自社で電子証明書を発行すれば良いですね。
身内だけで信頼のおける認証局に電子証明書を作ってもらいます。
学校や会社の中で通用する社員証や賞状みたいなものと考えてください。
自社認証局をルートCAに設定する「意味」
身内で使う公開鍵への電子証明書を、自社で立てた認証局に発行してもらえば、メンドウな申請が不要。気軽にデジタル署名なり暗号通信なりに使えそうです。
でも電子証明書の正当性は「上位の認証局」が発行する電子証明書が必要でしたよね。結局申請が必要になるのでメンドウ。
この面倒さを断ち切るのが「自社の認証局をルートCAとして設定」です。上位認証局が必要なくなりますからね。
自社の「認証局(プライベート認証局)」を「ルートCA」とするために、自社の認証局が発行した電子証明書を「ルート証明書」として、もう信じることにするのです。
自社の認証局は、認証局の王。だから自社発行した電子証明書を常に信じるようになるので、上位の認証局に申請する必要がありません。
自社内で使う電子証明書には充分ですよね。これで手軽に電子証明書を自社発行して、ばんばん「サーバ/クライアント証明書」なり暗号通信の「SSL証明書」に使えます。
もちろん、外部のお客様へ示す電子証明書は、外部の認証局に申請しますよ。これは変わりません。
なぜなら、どこぞの会社に「うちの会社の認証局をルートCAに設定してください」なんて言われたら、超コワイですよね。
「うちの会社、安全なんで絶対信用するよう設定してください」なんて言われても「それはちょっと・・・」と思いますよね。
PCにソフトをインストールする時「電子証明書~」のメッセージが出る時があります。電子証明書では信頼性が確保されていないので、判断は慎重にお願いしますね。
まとめ
お疲れ様でした!
さくっとまとめます。
認証局を証明する上位認証局がある階層構造
「ルートCA」が頂点(王様)!
電子証明書は認証局への申請が必要
社内通信の証明書すらイチイチ申請は面倒
自社で認証局を立てよう!
自社認証局を「ルートCA」にしよう!
以上の理由から「(Webブラウザに自社認証局の)ルート証明書を信頼できる証明書として登録する」を問う問題に正解できるんです。
以下の過去問で役立つので予習復習にどうぞ。
>SCR05春PM1問3(解説準備中)
>APなどはまとめ中
ぜひ「情報セキュリティスペシャリスト」合格してくださいね。
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
いいなと思ったら応援しよう!
