最終更新日:2002年12月12日
「4.2 CRLモデル」と「4.3 OCSPモデル」において解説した 2種類の失効方式についての比較を示します(表 4-15)。
|
|
CRL モデル |
OCSP モデル |
|
メリット |
失効情報を保存できる。 |
リアルタイムで問い合わせることができる。 |
|
デメリット |
クライアントにおける CRL の処理が必要。 |
レスポンスに電子署名を付与するため、パフォーマンス上の問題が発生する。 |
|
標準 |
X.509, |
|
|
主な用途 |
Webモデル(SSL/TLS、S/MIME) 電子署名の有効性検証 |
PKI の Thin クライアント(携帯端末等) |
CRL は、過去の失効情報もファイルとして残るので、電子署名の有効性の検証に向いています。主要な Web ブラウザも CRL に対応しており、7章において解説する TLS/SSL、S/MIME 等のアプリケーションにおいて利用できます。
OCSP は、リアルタイムで失効情報を問い合わせることができるため、証券、金融、株取引などのリアルタイム性が要求されるシステムにおける利用に適すると考えられます。ただし、この場合 、OCSP レスポンダ自体が、CA からの失効情報をリアルタイムで取り込むように設計されている必要があります。OCSP の致命的な欠点は、証明書の有効性確認で、単一な認証ドメインでの使用が前提となることです。複数の認証ドメイン間をまたいで証明書の有効性確認を行なう場合、各 CA の発行する証明書および失効リストを統合的にまとめたリポジトリの構築や、証明書の有効性を確認するためのパス構築および検証を代行する CVS (証明書検証サーバー) を構築する等の方法を採用する必要があります。
OCSP が、DPD、DPV と組み合わせて証明書の有効性検証を確認できるようになると、携帯端末等の Thin クライアントへの適用が考えられます。
今後は、用途に応じてこれら 2つの方式を組み合わせた運用が検討されるでしょう。
前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.