電子証明書は電子署名を応用したもので、ある人の公開鍵暗号方式の公開鍵が正しいことを他の人(一般にはCA)が証明するものです。
電子署名では、Aさんが署名した文書をBさんに渡すと、BさんはAさんの公開鍵を使ってこれを検証します。BさんとAさんが親密で、直接出会って「これが私(A)の公開鍵ですよ」と手渡すならば問題ないのですが、ネットワーク越しではそうもいきません。例えば、Eさんが嘘をつき「私はAです。これが私の公開鍵と署名した文書です」と言ってBさんに文書とEさんの秘密鍵でした署名を渡したとしても、Bさんにはそれを調べる術がありません。
そこで、この公開鍵にも署名をつけ、信頼のおける誰かに「この公開鍵は間違いなくAさんのものです」と承認してもらえば、Bさんは「これはAさんの公開鍵に間違いない」と信じることができます。この署名された公開鍵(とAさんの情報)が「電子証明書」です。また、この「信頼のおける誰か」は一般にはCA(Certificate Authority)がその役割を果たします。
電子証明書はその形式が規定されています。現在の所、電子証明書としてはX.509しか使われていないといって間違いないでしょう。X.500はITU-T(以前はCCITT)の出しているDIRECTORYサービスに関する勧告(X.500シリーズ)の一つとして定義されているものです。実際にはこのX.509で定義されているASN.1構文をDER(Distinguished Encoding Rule)で符号化したものが実際の電子証明書になります。
現在のX.509のバージョンは3となっており、バージョン1に比べてExtensionsパラメタが増えて付随情報をつけられるようになったり、インターネットに対応してe-mailアドレスを入れる場所ができたりしています。
今後はUNICODEへの対応などが進められていくものと思います。(そうです、現在は日本語を利用することができないのです。(Extensionsを除く))
| Copyright (C) Keiichiro Oguma / All rights reserved. |
|