公開鍵基盤
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/07/06 03:21 UTC 版)
関連技術
時刻認証局とタイムスタンプ
電子的なタイムスタンプとは、 信頼できる第三者機関(時刻認証局、Time Stamping Authority, TSA,[34])が電子的な文書に対してつける時刻の証明書(タイムスタンプトークン[35][36]、Time-Stamp Token、TST)を発行する技術である。タイムスタンプトークンの生成方法には様々なものがあるが、後述のようにPKIを利用したものもある。なお時刻認証局が証明書に記載する時刻情報は、原子時計などの正確な時間計測器を管理している時刻配信局(Time Assessment Authority、TAA[37])から配信してもらう。
タイムスタンプには以下の種類がある。
- PKIベース:PKIによる公開鍵証明書付きの電子署名を用いる
- リンクトークン方式[35]:ハッシュチェイン技術を利用した方式。時刻認証局がリンクトークンと呼ばれるハッシュ値1つを管理。不特定多数の利用者から文書が送られてくるたびに、その文書とリンクトークンとのハッシュ値を計算し、そのハッシュ値を新しいリンクトークンとする。
- MACベース
- アーカイビング方式[35]:時刻認証局が文書のハッシュ値をすべて保管する方式
- Transient鍵方式:短時間だけ有効な署名鍵を使う方式
方式 | RFC 3161 | X9.95 | ISO/IEC 18014 |
---|---|---|---|
PKI | Yes | Yes | Yes |
リンクトークン | Yes | Yes | |
MAC | Yes | ||
アーカイビング | Yes | ||
Transient鍵 | Yes | ||
署名つきリンクトークン | Yes |
より詳細な分類と評価は日本銀行の宇根正志による文献[38]を参照。
なお、TAAに関する標準はJIS X5094:2011として標準化されており、これは後にISO/IEC 18014-4として国際標準化もされた[35]。
高度電子署名と長期署名
高度電子署名(Advanced Electronic Signature、略してAdES)とはEUの規則eIDASで定められたもので、電子署名の中で自然人ないしその代理人との対応付けがとれるものを指す[39]。なお、高度電子署名で、安全な署名デバイスで生成され、さらに適格証明書(qualified certificate)がつけられたものは適格署名(Qualified Signature)という[39]。
高度電子署名の標準化はCMS(暗号メッセージ構文)に従ったCAdES(ETSI TS 101 733、RFC5126、ISO14533-1[40])、XMLに従ったXAdES(ETSI TS 101 903、ISO14533-2[40])、PDFに従ったPAdES(ETSI TS 102 778、ISO 32000-1[41])がある。いずれも欧州電気通信標準化機構(ETSI)[42]がその標準を策定し、ISOやRFCにも採用されている。
高度電子署名では提供される保護レベルの異なる6つのフォーマットを規定しており、その中には鍵の危殆化などに対応する長期署名の標準も規定されている。以下ではXAdESを例に説明したが、CAdESやPAdESも同様である:
- XAdES, 高度署名(advanced signature)に関する欧州指針を単に満足するための基本フォーマット
- XAdES-T(timestamp):署名行為の否認に対して保護するためにタイムスタンプを追加する。
- XAdES-C(complete), オフライン検証や将来的な検証ができるように(証明書や証明書失効リストなどの)検証データへの参照情報を署名文書に追加する。(しかしながら検証情報は保存しない)
- XAdES-X(extended), 将来、チェーン中の証明書が危殆化する可能性から保護するために、XAdES-Cで導入された参照情報に対してタイムスタンプを追加する。
- XAdES-X-L(extended long-term), 証明書や証明書失効リストの配布元が利用できなくなったとしても、将来検証できるように署名文書に証明書や失効リストそのものを追加する。
- XAdES-A(archival), 長期に渡る保存期間において署名が脆弱になることによる危殆化を避けるために、アーカイブされたドキュメントに対し定期的(例えば毎年)にタイムスタンプを追加する
権限管理基盤(PMI)と属性証明書
権限管理基盤(Privilege Management Infrastructure、PMI)とは、PKIと類似した方法により、個人の持つ権限や属性を証明するための基盤技術である[43][44]。この基盤において権限や属性を証明する証明書を属性証明書(attribute certificate, or authorization certificate、AC)と呼び、PKIと同様X.509のフォーマットに従う。またPKIにおける認証局、ルート認証局に相当する機関をそれぞれ権限局(Attribute Authorities、AA。直訳は「属性権限者」)、ルート権限局(Sources of Authority、SOA)と呼ぶ。
- ^ IPA013
- ^ 公開鍵認証基盤(PKI)の仕組み (pdf)、地方公共団体情報システム機構公的個人認証サービス。2016年8月4日閲覧
- ^ 用語集「公開鍵認証基盤」、一般財団法人日本情報経済社会推進協会(JIPDEC) 2016年8月4日閲覧
- ^ 公開鍵認証基盤(PKI)の仕組み(pdf)、厚生労働省 2016年8月4日閲覧
- ^ 電子署名について、JIPDEC(一般財団法人日本情報経済社会推進協会)電子署名・認証センター 2016年8月4日閲覧
- ^ a b c d e f g h IPA51。2016年8月3日閲覧
- ^ a b c d e f g h i j k l m n o IPA034 2016年8月3日閲覧
- ^ a b IPA055
- ^ IPA056
- ^ a b e-words「ルート認証局」 2016年8月3日閲覧
- ^ JIPDEC用語集「ルート認証局」 2016年8月3日閲覧
- ^ IPA033、IPA092 2016年8月3日閲覧
- ^ a b c IPA033 2016年8月3日閲覧
- ^ OSS モデルカリキュラムの学習ガイダンス6-1-応。暗号化に関する知識 IPA。p14 2016年8月4日閲覧
- ^ @ITセキュリティ用語辞典「IA(Issuing Authority)」 2016年8月4日閲覧
- ^ IPA032 2016年8月3日閲覧
- ^ IPA62 2016年8月5日閲覧
- ^ a b IPA632016年8月5日閲覧
- ^ IPA041
- ^ IT用語辞典e-words「検証局」 2016年8月5日閲覧
- ^ セコムトラストシステムズBPC用語辞典「VA」 2016年8月5日閲覧
- ^ a b c d e f g h IPA042
- ^ a b c d e IPA043
- ^ IT用語辞典e-Words「GPKI」 2016年8月5日閲覧
- ^ a b 政府認証基盤(GPKI)について 総務省 行政管理局 政府認証基盤(GPKI)。および同サイトのトップページ。2016年8月5日閲覧
- ^ 政府認証基盤システム調達計画書(区分:最適化対象業務・システム(pdf) 総務省行政管理局行政情報システム企画課 情報システム管理室。2016年8月5日閲覧
- ^ 政府認証基盤(GPKI)アプリケーション認証局 CP/CPS p10
- ^ IPA081
- ^ 地方公共団体情報システム機構公的個人認証サービスポータルサイト用語の解説「官職証明書」 2016年8月5日閲覧
- ^ 政府認証基盤(GPKI)官職認証局 CP/CPS(pdf) 2016年8月5日閲覧
- ^ 地方公共団体組織認証基盤 、地方公共団体情報システム機構。2016年8月5日閲覧
- ^ 公的個人認証サービスの利活用について、総務省。2016年8月5日閲覧
- ^ マイナンバーカード(電子証明書)を活用する公的個人認証サービスの利用を行う民間事業者として、初の大臣認定を実施 総務省。2016年8月5日閲覧
- ^ 一般財団法人日本データ通信協会タイムビジネス認定センター「タイムスタンプの仕組み」 2016年8月25日閲覧
- ^ a b c d 一般財団法人日本データ通信協会タイムビジネス認定センター「タイムスタンプの方式」 2016年8月25日閲覧
- ^ 情報セキュリティ対策研究開発評価等事業タイムスタンプ技術に関する調査報告書(pdf) p10、 IPA、2003年。2016年8月25日閲覧
- ^ 一般財団法人日本データ通信協会タイムビジネス認定センター「タイムスタンプの時刻」 2016年8月25日閲覧
- ^ Une, Masashi (2001). The Security Evaluation of Time Stamping Schemes: The Present Situation and Studies. IMES Discussion Papers Series 2001-E-18 .
- ^ a b 長期署名フォーマットの標準化と日欧相互運用実験(pdf) 2016年8月26日閲覧。
- ^ a b 電子契約導入のための20のヒントその20 2016年8月26日閲覧。
- ^ “ISO 32000-1:2008 Document management -- Portable document format -- Part 1: PDF 1.7”. International Organization for Standardization ISO. 2016年3月22日閲覧。
- ^ “Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC”. EUR-Lex. 2016年5月12日閲覧。
- ^ IPA091 2016/8/29閲覧
- ^ 「電子申請業務におけるX.509属性証明書を用いた資格確認技術の開発」平成13年度年次総括報告書(pdf) 2016/8/29閲覧
- ^ analysis of the strong set in the PGP web of trust
- ^ Keysigning Party Methods - The 'Sassaman-Efficient' Method
- 公開鍵基盤のページへのリンク