PKIとは?
前回までのSSLでの説明では、公開鍵暗号方式を使って、
1. 暗号化による安全な通信(盗聴の防止)
2. 電子署名(データの「改ざん」「否認」防止)
が実現できることを説明しました。
■SSLとは(1)
■SSLとは(2)
■SSLとは(3)
■SSLとは(4)
このように、公開鍵暗号方式というのは、SSLに必要不可欠なものなのですが、そもそも、データの暗号化や認証に利用する「公開鍵」自体の信用はどうなのでしょうか?
例えば、Webサーバが暗号化通信のために、ブラウザに対して「公開鍵」を送ってきたとします。
でも、このWebサーバ自身が悪いやつだったり、信用あるWebサイトに「なりすまし」していた場合、それをどうやって見分ければいいのでしょうか?
その際に必要となるのが、公開鍵が正当なものであると証明してくれる「デジタル証明書」です。
「デジタル証明書」は、名前の通り、実世界での「身分証明書」と同じで、それを持っている人(Webサーバ)は、信用があると見なすことができます。
実世界での身分証明書は、公共の機関が発行するのが基本ですが、インターネットでは、民間の「認証局(Certificate Authority)」と呼ばれる機関が発行します。
日本では、日本ベリサインが有名ですね。
このように、証明書や認証局を利用して、安全な通信を行うための仕組みを「PKI(Public Key Infrastructure)」と呼びます。
日本語では、「公開鍵暗号方式を利用したセキュリティインフラ」と訳したりします。
民間の業者が実は悪いやつだったら・・・というケースも考えられるのですが、それを言い出したらそもそもPKIの仕組み自体が成り立たなくなってしまうので、認証局を運営する機関がある程度社会的に信用できるかどうかも重要となります。
そんな背景もあって、社会的に信頼のあるベリサインを選択する業者が多いんですね。
ちなみに、SSL通信の時に証明書を確認したい場合は、ブラウザの右下にある鍵マークをクリックしてみると、証明書の中身を見ることができます。
セキュリティベンダーで働くエンジニアです。
難しいセキュリティの話題をわかりやすく解説していきたいです。