コードサイニング証明書

SSLのコードサイニング証明書とはいったいどういうものなのでしょうか。
ネットで色々調べたのですが、難しすぎてちょっと理解できません。
ご存知の方、なるべく簡単にご説明いただけるとありがたいです。
すみませんが、よろしくお願いします。

No.1 ベストアンサー 回答者： luune21 回答日時： 2007/03/09 17:00

まず、SSL（簡単にいえば暗号化）とコードサイニング（電子署名）とはちょっと違います。

用語の説明
鍵：ネットで暗号化や署名を行うため、偽造・解読されにくいように
　　数学的に処理された小さいデータ
公開鍵：誰にでも配布したり見せたりしてもかまわない鍵
秘密鍵：自分だけで厳密に管理しておく鍵。印鑑のようなもの。
※公開鍵と秘密鍵は互いに関連したペアになっています。違うペアの鍵が使えないのは、玄関の鍵・錠と同様です。ただ、ネットのばあいは、その鍵が公開と秘密の2種類あるということです。

SSLは暗号化のための通信です。
　あるWebサイトと秘密の通信をしたい場合、サーバーとクライント両方のデータを暗号化する必要があります。その際、お互いの公開鍵で暗号化します。公開鍵は通信をするときにサーバとブラウザが勝手に交換しています。
　ＡさんがＢ企業に本を注文するのでクレジットカード番号を送信するとします。
　ＡさんのブラウザはＢ企業の公開鍵ｂpで電文全体を暗号化します。その電文を受け取ったＢ企業は、Ｂ企業自身の秘密鍵ｂsで解読します。ｂpで暗号化したものはｂsでしか解読できないので、秘密が保たれるというわけです。ｂsはＢ企業しか持っていないからです。

コードサイニング（電子署名）
　電子署名の役目は文字通り署名です。ネットで自分が確かに本人であることを証明するために使います。これは従来の印鑑と印鑑証明の役割と同じものですね。Ａ企業が官庁Ｂに申請をするような場合、Ａは"Ａ"という署名（サイン）をＡの秘密鍵で暗号化します。
　秘密鍵で暗号化したものは、公開鍵を持っている人であれば誰でも解読できるのものなので、暗号としての役目は果たしません。しかし、逆に解読できることが、すなわち秘密鍵を持っている人、つまり本人だとということがわかるというわけです。
　また、電子署名はソフトウェアが信頼できるところかどうかという証明にも使われます。一般にコードサイニング証明書はSSL証明書よりも審査が厳しい（料金も高い）ため、信頼性がやや高く、Ａ社のソフトウェアであると証明されている場合、そのＡ社が信頼できる企業であるならば、そのソフトウェアも信頼できるだろうというわけです。
　

この回答へのお礼

早速のご回答ありがとうございます。

>印鑑と印鑑証明の役割と同じもの
この例えがかなりわかりやすかったです。

>Ａ社のソフトウェアであると証明されている場合…
つまり、お墨付きで、改編や改ざんがなく、悪質なソフトで
ある可能性が低いということですね。

たいへん、わかりやすく勉強になりました。

お礼日時：2007/03/09 17:12