HOME >> 情報セキュリティ >> 事業概要 >> 記事

電子政府情報セキュリティ相互運用支援技術の開発
GPKI 相互運用フレームワーク

更新履歴

最終更新日 2004年 7月12日

実施者

概要

背景

複数のルート CA を相互認証して拡張していく PKI は、「マルチドメイン PKI」と呼ばれる。複数のルート CA 間において相互認証を実現するための機構として、メッシュモデル、階層型モデル、ブリッジ CA モデル等の信頼モデルがある。我が国の「政府認証基盤(GPKI)」においては、ブリッジCAモデルが採用されている。

このブリッジ CA モデルは、ひとつの CA ドメインをまたぐ相互認証において、認証パスの数を低減しつつ柔軟な相互認証サービスを提供できるという特徴をもつ。一方、相互運用可能性を確保するためには高度な技術が要求される。各認証パスを構築するためのロジックは、単純ではない。また、マルチドメインPKI においては、CA サーバー等の主要な構成要素は複数のベンダーによって提供されて構築される混在環境となる。

電子政府の政府認証基盤が、複数ベンダー製品によって構成されること自体は、望ましいことであるが、各種プロトコルや実装において、パラメータ設定や標準仕様の解釈における見解の相違等により、相互運用可能性が欠如している事項が見受けられる。これは、電子政府向けアプリケーションの開発・流通の阻害要因となる。そこで、PKI および GPKI のアプリケーションを本番環境に近い環境で動作させるための環境と、PKI および GPKI の相互運用問題の有無・内容を検証するツールが提供されることが求められている。

目的

本プロジェクトにおいては、以下の事項を目的とした。:

  1. ブリッジ CA と各省庁の認証局から成る政府部門の GPKI 環境と、それと相互認証される民間認証局を含む GPKI の環境を模擬した相互運用テスト環境を開発する。
  2. 総務省行政管理局「GPKI相互運用性仕様書」に記述された、GPKI のアプリケーションが実装すべき証明書パス検証に関するテストケースを設計する。
  3. GPKI の仕様に準拠した証明書パスの構築/検証を行うライブラリを開発し、PKI 相互運用テストスイートに適合したテストプログラムを開発する。
  4. また、上記 1, 2, 3 を使用して実施する PKI 相互運用テストの結果を踏まえ、かつ別途、調査を実施することにより GPKI に準拠したアプリケーションの実装ガイドを「GPKIアプリケーション実装ガイド」として取りまとめる。

図はGPKI相互運用フレームワークを表している。

成果物

1. 調査: テストケース設計書 PDFファイル (664 KB)

2. 開発: PKI 相互運用テストスィート

3. 調査: GPKI アプリケーション実装ガイド PDFファイル (831 KB)

4. 開発: GPKI アプリケーション サンプル実装

4.1 「パス構築・パス検証」クライアントサンプル実装

Windows 環境における CryptoAPI による「パス構築・パス検証」クライアントサンプル実装

Java 1.4 環境における「パス構築・パス検証」クライアントサンプル実装

注意:

本テストスイーツに含まれる GPKI サンプル実装アプリケーションを動作させるにあたり、次の富士ゼロックス株式会社製ライブラリ(本ライブラリという)を必要とします。

  • fujixerox-security.jar
  • fujixerox-PKI-develop.jar
  • fujixerox-PKI.jar

富士ゼロックス株式会社は、マルチドメイン PKI テストスイーツを使用する目的にのみ、本ライブラリを使用することを許諾します。本ライブラリの商業目的での利用、逆アセンブル、動作解析などのリバースエンジニアリングは禁止します。

4.2 GPKI CVS クライアント サンプル実装

Java 1.4 環境における GPKI CVS ク ライアント サンプル実装

総括報告書

普及啓発状況

関連報道

関連リンク

更新履歴

2004年 7月12日 「関連リンク」を追記。
2004年 4月28日 「関連報道」を追記。
2003年 7月10日 「実行スクリプト取扱説明書」を追加掲載。
2003年 7月18日 PKI 相互運用テストスィートの 実行プログラム 圧縮ファイルに、"/src/server/bin/cvsenvgen.pl"を追加。$PKITESTROOT/bin/にインストールします。