PKI入門(8) PKIの応用 | ScanNetSecurity
2024.04.26(金)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

PKI入門(8) PKIの応用

 これから、インターネット上でいろんな種類のサービスが展開されてゆくときに、認証や権限の証明が絡む場合にPKIが大きな意味をもってくる。中央集権的に情報を処理するシステムだけでことが済むならば、PKIが活躍する場面は少ないだろう。しかし、前回説明したPKIの電

特集 特集
 これから、インターネット上でいろんな種類のサービスが展開されてゆくときに、認証や権限の証明が絡む場合にPKIが大きな意味をもってくる。中央集権的に情報を処理するシステムだけでことが済むならば、PKIが活躍する場面は少ないだろう。しかし、前回説明したPKIの電子署名の機能を見ればわかるように、複数の組織がからみ、権限の委譲を迅速にかつ確実に行うことが意味あるなら、PKIによる電子署名は便利な社会インフラになる。もちろん、確実でかつ使い勝手のよいシステムであることは前提ではある。これから、いくつかのPKIの応用を説明する。時刻証明はすでにサービスが提供されており、その次に紹介する属性証明はまだ実用サービスは展開していないがこれから有望な応用である。


●時刻認証 内容証明や公正証書

 PKIを使って、電子情報にある時点で存在したというのを証明する時刻認証をつけることができる。これは、従来使われている内容証明や、公正証書の機能に近いものであり、実際に同様な法的な効果を持つなら、かなり広く使われる可能性がある。

 内容証明とは、日本郵政公社のサービスで、訴訟を起こす前に、よく行われる手段だ。ある内容の文書をある時刻に作成したことを証明してくれるものだ。実際には、これに配達証明をつけて相手が受け取ったことを証明してもらう。電子的な内容証明は、PKIを使って署名すれば、簡単に行うことができる。署名するときには、基本的には、時刻が押されるからだ。

 しかし、その時刻が正しいかどうかは、別問題になる。Aさんが、Bさんに電子署名付の文書を送ったとしても、Aさんが、署名した時刻は、改ざんされた時刻かもしれないのである。パソコンで電子署名する場合には、パソコンの時刻で署名する。パソコンの時刻を前後させればいくらでも改ざんされた時刻の署名をすることが可能になってしまう。

 そこで、第3者による時刻認証が必要になる。郵政公社の内容証明で第3者による時刻認証が必要とされないのは、郵便局で、内容証明を作成するので、時刻に関しては改ざんをしないだろうと一般にはみなされるからだ。したがって、署名時刻が問題になる場合でも、公的な機関が署名した場合には、時刻は正しいとされる場合が多いだろう。そこで、文書作成や署名の時刻を第3者(時刻認証機関)に証明してもらう必要があるのは、一般の人や組織の文書の作成になる。

 時刻証明は、いくつかバリエーションがある。単純に第3者(時刻認証機関)に署名してもらい自分の署名をつけるというやり方でもできる。しかし、文書を第3者(時刻認証機関)に送りたくない場合もあるだろう。その時には、署名の対象となる文書独自の文字列を作成して第3者(時刻認証機関)に送付して、時刻情報とともにその文字列に署名してもらう。

 文書独自の文字列はハッシュ値と呼ばれるもので、文書が与えられたらハッシュ値を生成することはできるが、逆にハッシュ値からもとの文書をつくることはできない。文書を変更したら生成されるハッシュ値は変わってしまうので、文書の改ざんを防止することができる。第3者(時刻認証機関)から戻ってきた署名には、このハッシュ値と時刻情報がはいっている。これは、第3者(時刻認証機関)の署名を検証することによって確かめられる。

 このように時刻認証の仕組みはそれほど難しくなく、これからどんな場面で実際に運用されるのかが問題になる。電子商取引や、特許などの申請で、時刻認証が必要とされているが、現時点で、それほど需要があるのかどうかはまだわからないのが実情だろう。特に厳密な精度を必要とする時刻認証のサービスは、まだまだ必要とされていないのが現状だろう。おそらく、これから使われてゆく領域は、領収書の控えや、電子カルテの領域ではないだろうか?

 いわゆる契約書や申込書のように双方合意の文書は、時刻などそれほど問題にはならないだろう。相手が公的機関の場合には、時刻付署名を返すわけで、受け取った人はそれを証拠とすればいいからだ。公的機関が関連している場合には、時刻認証ではなく、公的機関が使っている時刻が正確かどうかの時刻監査や、正確な時刻を使うために時刻を受け取る時刻配信サービスが重要だろう。これらは、時刻を証明する時刻認証そのものとは違うものである。

【執筆:武井明】

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性 画像

Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性
TvRock にサービス運用妨害(DoS)と CSRF の脆弱性 画像

TvRock にサービス運用妨害(DoS)と CSRF の脆弱性
NETGEAR 製ルータにバッファオーバーフローの脆弱性 画像

NETGEAR 製ルータにバッファオーバーフローの脆弱性
RoamWiFi R10 に複数の脆弱性 画像

RoamWiFi R10 に複数の脆弱性
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report) 画像

Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
Armeria-saml に SAML メッセージ取り扱い不備 画像

Armeria-saml に SAML メッセージ取り扱い不備

インシデント・事故 記事一覧へ

雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信 画像

雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信 画像

セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に 画像

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導 画像

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に 画像

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
笛吹市商工会へのサポート詐欺被害、調査結果公表 画像

笛吹市商工会へのサポート詐欺被害、調査結果公表

調査・レポート・白書・ガイドライン 記事一覧へ

重い 高い 検索も使いにくいメールを企業の 6 割が使う理由 画像

重い 高い 検索も使いにくいメールを企業の 6 割が使う理由
2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか 画像

2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか
2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性 画像

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表 画像

国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表 画像

社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多 画像

セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

研修・セミナー・カンファレンス 記事一覧へ

札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料 画像

札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談 画像

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

製品・サービス・業界動向 記事一覧へ

NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供 画像

NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供
脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供 画像

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供
脆弱性診断自動化ツール「AeyeScan」アップデート、Apache httpd の脆弱性スキャンルール追加 画像

脆弱性診断自動化ツール「AeyeScan」アップデート、Apache httpd の脆弱性スキャンルール追加
研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント 画像

研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント
SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース 画像

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース
情報処理学会、高等学校情報科の全教科書の用語リスト公開 画像

情報処理学会、高等学校情報科の全教科書の用語リスト公開

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×