認証時の一番最初の公開鍵の獲得方法

ベリサイン等での認証を利用する場合、原理的に少なくとも１つの公開鍵は（ＣＡのルートの公開鍵）オフラインで配送する必要があると思うのですが、どのような方法でクライアント１台１台に、正当な公開鍵を配賦しているのでしょうか？　またある一定期間での更新（こちらはオンラインでも可能でしょうが）するひつようもあると思うのですがどのように運用しているのでしょうか？

No.1 ベストアンサー 回答者： hitsuji 回答日時： 2001/03/25 01:54

ベリサインのルートCAの証明書（公開鍵）は、たとえばIEやNetscapeのようなブラウザに同梱されており、それらのブラウザを妥当な入手経路で入手すれば妥当な証明書を入手することができます。

また、「一定期間で」更新する必要はないですが、証明書には有効期限がありますので、その際には新しい証明書を入手する必要があります。2000年になった時点である証明書が有効期限切れとなったのですが、その折にベリサインから出たアナウンスを参考URLにあげておきます。要するに、ブラウザをバージョンアップすると、新しい証明書もインストールされるということです。

なお、ブラウザに組み込まれている証明書が真正であるかどうかですが、これは証明書のシリアル番号とフィンガープリントを表示させ、その値をベリサインに照合することで確認できます（実際には
http://www.verisign.com/repository/root.html
のようなページに掲載されている値と比較する程度か）。

参考URL：http://www.verisign.co.jp/server/cus/rootcert/us …

この回答へのお礼

ご丁寧かつ明確なご回答有り難うございました。
よく調べれば解ることまでお聞きし大変恐縮しております。
大変ずうずうしいのですが、ご回答に関連してまたまた質問させてください。
Ｑ１：ルートCAの証明書（公開鍵）をタンパーフリーな媒体以外で配布することに
　　　一抹の不安を感じるのですが、何か策が施されているのでしょうか？
Ｑ２：フィンガープリントとはどのようなものでしょうか？一方向関数による
　　　ハッシュのようなものでしょうか？
お手すきのときに回答いただければ幸いです。

お礼日時：2001/03/26 10:45

No.2 回答者： hitsuji 回答日時： 2001/03/27 02:03

A1. 公開鍵証明書は（秘密の情報が含まれるものではないので）受け取った時点で偽造や改ざんを受けていないことを確認する手段があれば充分です。

A2. シグネチャーは公開鍵証明書を1方向ハッシュ関数に通すことによって計算されます。よって、真正な公開鍵証明書を元に計算したことが明らかなシグネチャ－と、手元の公開鍵証明書を元に計算したシグネチャ－が一致しない場合、手元の公開鍵証明書は伝送中に損傷を受けた/改ざんされた/偽造されたと判断することができます。

A1. について補足すると、
http://www.verisign.com/repository/root.html
のようなページが存在し、シグネチャーを照合できるようにしてあることが「策」を構成しています。もしも
上記URLの内容すら信頼できない場合にも、ベリサインのオフィスに電話を掛けたり、オフィスまで出向いたりする選択肢もあります（個人のエンドユーザがそこまでするとたぶん嫌がられると思います ^_^）

この回答へのお礼

迅速かつ的確なご回答有り難うございます。
運用のイメージとセキュリティレベルについてイメージがつかめました。
ほんとうに有り難うございました。

お礼日時：2001/03/27 11:01