暗号メールの利用者はお互いの公開鍵が必要ですが、その公開鍵は本人のものであることが保証されなければなりません。この問題を解決するために証明書と呼ばれるものが利用されます。
| @証明書のシリアル番号 |
A認証局の名前 |
| B証明書の有効期間 |
| C公開鍵の所有者の名前、メールアドレス等 |
| D公開鍵 |
| EX.509拡張項目 |
@〜Eまでのダイジェストに認証局の秘密鍵をキーとして公開鍵暗号で暗号化したデータ
|
公開鍵証明書とは、公開鍵とその所有者の名前、所属、メールアドレス等の情報を組み合わせたデータに第三者である認証局が電子署名したものです。認証局はその証明書データが本人のものであることを確認し、証明書の正しさを保証します。
認証局が電子署名をつけることを、証明書を発行すると言います。
利用者は、証明書データを認証局に提出し、自分の証明書を取得、公開することにより、初めて、暗号メールの送受信が可能となります。
認証局へ認証データを送ることを、証明書署名要求(Certificate
Signing Request)と呼びます。
この方式は、階層構造になるので、最上位の認証局をルート認証局と言います。
ルート認証局 − 認証局 − ユーザ のような、階層を持った信頼関係を構築するので、これを認証パスあるいは証明パス(Certificate
Chain)といいます。
ルート認証局は自身の私有鍵によって電子署名することによって、公開鍵証明書を作成します。このような証明書を自己署名の証明書などとも言います。
利用者はルート認証局の証明書を絶対的に信用することにより、この信頼関係は成り立ちます。ユーザはルート認証局の証明書には慎重にならなければなりません。
電子メールやWebブラウザなどのアプリーケーションソフトウエアでは下の図のように、証明書から公開鍵を取り出し、電子署名の検証や暗号化に使っているわけです。
なお、公開鍵証明書はISO/IECで規定されているX.509仕様に基づいています。
X.509 V3
拡張項目は、以下のような構造になっていて、証明書には複数の項目を入れることができます。
| 項目ID |
|
| 重要性 |
(重要または非重要)
重要となっていた場合、この項目の意味に応じた処理が要求されていることを示します |
| 値 |
|
拡張項目では、公開鍵の用途を規定したり、次節でのべるCRLがどこから入手できるのかなどが示されています。
|
