電子証明書の信頼性について - ネットワークセキュリティ - 教えて！goo

こんばんは。

ベリサインに代表される「ルート認証局」に第三者が成りすます（証明書発行を行う）ことはマズ不可能でしょう。（現実レベルで可能であれば仕組みそのものが成り立ちませんから。）

十分に信頼できる認証局として機能するためには非常に厳しい基準（もちろん、証明書の偽造防止を含めて）をクリアする必要があります。

認証局（発行証明書）の正当性を保持する仕組みについて、詳しくは下記のURLなどで知る事が出来ます。

■＠IT記事　連載PKI基礎講座　＜第2回　電子証明書と認証局＞■　Copyright(c) 2000-2004 atmarkIT
↓
http://www.atmarkit.co.jp/fnetwork/rensai/pki02/ …

いずれにしても、自前で運営する（できる）認証局とルート認証局（発行された証明書）については全く別物であると考えるべきだと思います。

ただし、世の中には完璧な仕組みというものは存在せず、下記URLの記事にもあるように「悪意あるWebサイト（のロゴマーク）をルート証明期間のお墨付きをもらっているもののように偽装する事ができる（できた）。」というような問題が過去に起きている事も確かです。

■Net Security　関連過去ログ（記事）■　Copyright (c) 1999 - 2003 EDGE Co., Ltd. & Vagabond Co.,LTD.
↓
https://www.netsecurity.ne.jp/article/1/4279.html

しかし上記の問題も証明書そのものを偽造できているわけではなく、これも全く別次元の問題といえると思います。

少なくとも、PKIを利用した「盗聴」「改ざん」「なりすまし」「否認」の防止そのものの仕組み自体は十分に信頼に値すると思います。

仕組みそのもの脆弱性よりも、利用する側が「鍵や証明書（PKIのアキレス腱）の保護・管理」を含めた正しい運用を出来るか否かの方がよほど重要な問題になってくると思います。（特にセキュリティー上のリスクを考える場合には。）

この事はPKI以外のどんなセキュリティー目的のシステム・規格にも等しく言える事ですね。（仕組みの強度以前に「正しい運用が大前提」だということです。）

以上、参考になれば幸いです。

それでは。

通報する

まず、実際に電子証明書を利用してやりとりをすることを考えてみましょう。
SSLとかS/MIMEとか、利用方法はいくつもありますが、単純に、お互いが持っている電子証明書が嘘偽りのない物か否か、を考えてみればいいでしょう。

Aさんの電子証明書の信頼性をBさんはどうやって確認すればいいか？
それは、以下のいずれかです。

(1)Bさんが信頼を置く認証局によって発行された電子証明書である
(2)Bさんが信頼を置く認証局が信頼性を保証する認証局が発行した電子証明書である

つまり、Bさんが(1)(2)に該当しない電子証明書は、Bさんにとっては偽物と同じなわけです。
(1)(2)であるか否かは、その電子証明書を発行した期間の公開鍵等の情報を見れば自ずと明らかになります。
また、その電子証明書が本物かどうか、取り消されていないかどうかは、認証局に問い合わせてみればすぐにわかります。

例で言うと、IEのインターネットオプションで、「コンテンツ」タブの証明書のところとか、「詳細設定」タブの「サーバー証明書の取り消しを確認する」なんてのがそれですかね。
ただ、これはどっちかというとサーバ証明書であって、個人を認証するような電子証明書ではないですが。

で、つまりは、誰かが「ベリサインっぽい」認証局（ブランド物の偽物みたいですが・・・）になりすまし、Aさんに電子証明書を発行したとしても、Bさんがその認証局を信頼してなければ、なりすましても無意味ということになります。
この場合は、Aさんの利用してる認証局は信頼できん、だから電子証明書もあてにならん、といったところですね。

ま、実際のところは、あまり個人での使い道というのはないんですよね。
取引などの際に、今まではサインとか印鑑とかでやってたものを、電子商取引となるとそうもいかないので、電子証明書を利用する。
で、そのような取引も法的には、通常の取引と変わらないと認められた訳で、個人ではあまり利用価値というのは今のところない。

電子署名及び認証業務に関する法律 http://www.soumu.go.jp/joho_tsusin/top/ninshou-l …
電子署名法関連 http://www.meti.go.jp/policy/netsecurity/digital …

ちなみに、自分で認証局を作って、電子証明書を発行するのは簡単ですよ。
ApacheでSSL通信やろうと思ったら、opensslを使って、自分でサーバー証明書作ったりとかできますしね。
ただ、それは、サーバとクライアント間で暗号化通信（SSL）を行う際の公開鍵暗号方式の利用に使われるんであって、電子証明書自体の真偽については関係が薄れてしまうわけですが。。。
本当は、ちゃんとした認証局の作ったサーバ証明書を用いた方が良いわけです。このサイトは、信頼できるサイトだよ、と。

以上、簡単に(?)説明してみました。
私も随分前に某所で関わってたくらいで、ほとんど忘れましたので間違いがあるかもしれません。
（というか忘れたことにしたいのが本音なので一般人にしてみた(苦笑)）

なんか、とりとめもなくなってしまいましたが、実際本一冊書けるくらいの内容なので、実際のところは書籍等購入して調べていただければと思います。
電子証明書の他にも、「PKI」「電子認証」「認証局」なんかをキーワードにGoogle等で検索すれば一杯出て来ますよ。

↓参考になりそうなところ。

5分で絶対に分かるPKI http://www.atmarkit.co.jp/fsecurity/special/02fi …

＠IT：PKI再入門 - 第1回 個人認証とは？
http://www.atmarkit.co.jp/fsecurity/rensai/re_pk …

＠IT：連載 PKI基礎講座　全9回 http://www.atmarkit.co.jp/fnetwork/index_index.h …

SSLでセキュアなECサイト構築 http://www.atmarkit.co.jp/fsecurity/special/01ss …

PKI/IT用語辞典/キーマンズネット http://www.keyman.or.jp/search/30000341_1.html

証明書と証明機関 http://www.microsoft.com/windows2000/ja/server/h …

通報する