暗号化の方式は盗聴に対して非常に有効です。しかし、他人になりすまして偽りのメールを送るケースに対してはその発見が困難です。

  そこで、重要情報を電子メールで送る場合や、ECなどで本人認証の手段として使われるのが電子署名の技術です。

  電子署名は、暗号化の技術を利用して、送られてきた情報が本当に本人から送られたものなのかを確認するための仕組みで、改ざんやなりすましを防止するために有効です。電子署名は、公開鍵方式を使って実現されています。

  その手順は

1. 送信する情報から、ハッシュ関数を用いてメッセージダイジェストと呼ばれるデータを作り出します。
2. 送信者は本文（本文は平文を使うケースもある）すると共に、メッセージダイジェストに対して、送信者の秘密鍵を使って暗号化し電子署名を作成します。そして、暗号化したメッセージ本文と電子署名を送信します。
3. 受信者は、受信した電子署名を送信者の公開鍵で復号化し、メッセージダイジェストを求めます。また、受信したメッセージ本文から、送信者と同様の方式でメッセージダイジェストを作成します。
4. 公開鍵で復号化したメッセージダイジェストと自分で作成したメッセージダイジェストを一致しているか比較します。一致していなければ、ネットワーク上で何らかの改ざんが発生したことがわかります。

  公開鍵暗号方式は、通信相手の公開鍵を使って暗号化を行います。この方式は鍵の秘密性を確保しなくて良いのが利点ですが、鍵を作成したのが本当に通信相手なのかを確認する手立てがありません。
そこで、この鍵の正当性を保証するため、後述する認証局などが発行する鍵の証明書（公開鍵証明書）を利用します。この証明書には、通信相手の情報と公開鍵そのもの、認証局の情報、さらに証明書の正当性を保証するために付与した認証局のデジタル署名などの情報が含まれます。

  暗号化された通信を特定企業内などの狭い範囲で利用している場合は認証局は、1つで十分です。

  しかし、グローバルな通信環境で通信する場合、認証局の選択が問題になってきます。すべての認証局が、世界中の利用者の正当性を保証する情報をもつことは不可能といえます。世界統一の認証局が設立されれば、問題は解決しますが、この方法は難しいといえます。

  そこで、認証局同士の信頼関係によってこれを解決する方法が、証明書パスです。

  この方法では、特定ユーザの正当性を保証する情報は、どこか信頼できる特定の認証局にあればよく、あとは特定の認証局を別の信頼できる認証局が保証するというチェーン動作で、鍵の正当性が保証されることになります。

  認証局同士（またはユーザ）の信頼を確立するためには、分散する、認証局を一元管理する方法が必要になっています。通常このような分散環境の一元化には、階層構造をもったディレクトリサービスが利用されます。X.500（RFC2256）ディレクトリサービスとは、上図のような階層構造をITU-T（国際電気通信連合-電気通信標準化部門）が国際標準として制定したものです。ディレクトリ概念やその階層構造、サービスやオブジェクトの定義などがルール化されています。

  証明書の情報にこのサービスを利用すれば、世界統一規格によって認証局やユーザの正当性を保証することが可能になります。

  CAとは、認証局または認証機関を示し、電子メールやWebページなどにデジタル署名を付ける時に添付する公開鍵やIDの証明書などを発行するサーバーや機関を表します。

  電子メールなどのメッセージに対して、デジタル署名を付けると、メッセージ作成者が正しく本人であることや、メッセージが改ざんされていないことが確認できます。

  この確認には、一般に公開鍵を使いますが、CAが発行する証明書は、この公開鍵の正当性を保証するものです。

  日本のCAには、米ベリサイン社の日本法人である日本ベリサイン、米GTE社などのサイバートラスト、日立製作所・富士通などが設立した日本認証サービスなどがあります。

  PKIとは、Public Key Infrastructureの略で、公開鍵基盤と訳され公開鍵暗号技術と電子署名を使って、インターネットや特定ネットワークを安全な通信ができるようにするための環境をあらわします。

  ECやEDIといったネットワーク上での商取引が本格化してくると、なりすましやデータの盗聴、改ざんといった危険性が浮き彫りになってきます。PKIはこうしたリスクをなくすネットワークインフラの技術として注目されています。