更新日:2002/12/1
先月は、「電子申請と公開鍵暗号」ということで「公開鍵暗号」の基礎について、かなり、細かく解説いたしました。今月は、代表的な利用例である「SSL」との関係について、説明しましょう。
SSLとは、「Secure Sockets Layer」の略でネットワークにおいて、安全性を確保するための仕組みです。
SSLを使っているホームページのアドレスは、http://ではなくて、https://で表示されます。
また、インターネットエクスプローラであれば、右下に鍵のマークが表示されます。
SSLでは、公開鍵暗号と共通鍵暗号を組み合わせています。簡単にご説明すると次表のようになります。以下では、日本ベリサイン社のホームページを参考にしました。
※同ホームページ→ http://www.verisign.co.jp/repository/faq/SSL/index.html
ここで、公開鍵暗号について、少し、復習しておくと、公開鍵で暗号化されたものは、秘密鍵でのみ正しく復号化されます。また、逆に秘密鍵で暗号化されたものは、公開鍵で復号化されます。
SSLの流れ | より具体的には・・ |
公開鍵暗号と証明書を使って接続先のサイトが 正しいサイトであるかどうかを確認する |
1.サイト側は、CA(認証局)が発行した認証証明書を パソコン側に伝える。認証証明書には、CA(認証局)の 秘密鍵により暗号化した電子署名とサイトの公開鍵を 添付する。 2.パソコン側は、CAの公開鍵で証明書を復号し、CAの電 子署名をパソコン側のものと照合し、確認する。 |
共通鍵暗号の鍵を生成する | 4.鍵は、毎回ランダムな128ビットの文字が使用される。 |
公開鍵暗号を使って、生成した共通鍵をサイトに 伝える |
5.パソコン側は、共通鍵をサイトの公開鍵で暗号化して 送信する。 |
共通鍵暗号による暗号通信を開始する | 6.サイトは、送られてきた共通鍵を自らの秘密鍵で復号 化し共通鍵による通信を開始する。 |
上記のように、公開鍵暗号と共通鍵暗号を使い分けるのは、公開鍵暗号の暗号化・復号化の速度が遅いためです。速度の速い共通鍵暗号は、鍵の送信が必要になります。鍵の送信時のみ、安全性の高い公開鍵暗号を利用しているのです。
2.のCA(認証局)の公開鍵と電子署名は、パソコン側に予めセットされています。これは、WINDOWSのインストールの際にセットされているのです。
自分のパソコンに含まれている証明書は、次のように確認できます。
・インターネットエクスプローラのツールからインターネットオプションを開く
・コンテンツタブから証明書をクリックします。
・信頼されたルート証明機関をクリックします。
・目的の▼ボタンをクリックして、すべてを選択します。
・下欄の中から、例えば、Microsoft Root Authorityをクリックして、表示ボタンをクリックします。
・全般タブでは、発行者や有効期間を確認できます。
・詳細設定タブでは、表示をすべてにして、公開キーを選択すると、公開鍵が2048ビットのRSA暗号であることが分かります。
・CAの電子署名の確認は、ここに記載された拇印を元にして行います。
パソコンに新しい証明書をセットするプロセスは、東京都の入札情報にアクセスする方は、先月の本欄で記載した地方公共団体における組織認証基盤(LGPKI)」(http://www.lgpki.jp/)の発行した証明書をインストールする過程を例にして説明しましょう。
・証明書をダウンロードします。
・証明書をダブルクリックして開き、ホームページで公開されているLGPKIの拇印と照合して確認します。
・インストールのボタンを押して、ウイザードに従い、証明書をインストールします。
ただし、証明書は、みだりにインストールすべきものでは、ありません。このことは、申し上げるまでもありません。本当に証明書の発行元が信頼できるかどうかを、十分に確認すべきです。
では、今月は、ここまで。
皆様、お元気でお過ごし下さい。また、来月、お会いしましょう。