最終更新日:2004年 6月 9日
欧州における公的個人認証の必要性から、リアルな世界の自然人(個人)を対象として、法的に認められるための証明書として必要となる各種条件が検討されました。その結果、セキュリティポリシーとそれを反映した証明書フォーマット(プロファイル)の制定が必要と判断されました。これを満たすため欧州の標準化団体[94] により提唱された標準が、IETF で採用され RFC 3039 として規定されたものが 「クオリファイド証明書(Qualified Certificate)(適格証明書)」です。その後、このクオリファイド証明書のプロファイルについて改訂され、RFC 3739 が発行されました。
適格証明書には、以下のような主な特長があります。
- X.509 v3 証明書プロファイルに準拠している。
- 基本領域、拡張領域への記載内容にルールを設けている。
- 適格証明書に特化した拡張領域を持っている。
- 「人」を対象とした証明書であり、そのために必要となるポリシーを規定している。
記載内容に関するルールには、欧州電子署名指令案(EU-directive)の指示のもと ETSI [95]に よる標準化検討がなされました。検討された標準に加えて、実際には欧州における法律制度・社会制度にのっとり内容についてさらに詳細な規定を加えて利用されようとしています。
適格証明書を定義したRFC 3739 は、利用される国や団体の幅広い要件に対応できるように汎用的な内容になっています。
RFC 3739 は、X.509 証明書プロファイル(RFC 3280 とその前身の RFC 2459)をベースに、クオリファイド証明書に必要となるプロファイルを定めています。クオリファイド証明書として独自に拡張したフィールドには「生体情報」と「QC 宣言」があり、既存の基本領域・拡張領域は、クオリファイド証明書として必要となる注意事項・制約事項などを定義しています(表 9-3)。
表 9-3 クオリファイド証明書プロファイル
|
|
項目 |
内容 |
|
基本領域 |
発行者名 (issuer) |
発行者組織・名称は公的に登録された名称を用いることになっています。 |
|
主体者名 (subject) |
証明書の発行を受ける本名ないしは通称を用いることになっています。 |
|
|
拡張領域 |
主体者ディレクトリ属性 (Subject Directory) |
主体者の役職、生年月日、出生地、性別、国籍、居住地が記載できます。この項目は必須ではありません。 |
|
証明書ポリシー (Certificate Policies) |
証明書ポリシー(OID)を最低一つは記載することになっています。この項目は必須にすることもできます。 |
|
|
鍵使用目的 (Key Usage) |
この項目は必ず設定することになっており、必須にすることもできます。否認防止(nonRepudiation)に指定した場合は他の使用目的の指定はできないことになっています。 |
|
|
生体情報 (biometricInfo) |
この項目はオプション的に、写真、署名筆跡、指紋などの生体情報のハッシュ値などを記載できます。値の実態を格納したアドレス(URLなど)も記載できます。 |
|
|
QC宣言 (qcStatements) |
法的な説明文(QC 宣言)を登録した OID を記載します。この項目は必須にすることができます。 |
生体情報を含んだクオリファイド証明書を発行する場合は、CA で発行対象(主体者)の生体情報を受け取る仕組みが必要になります(図 9-4)。
図 9-4 生体情報を含むクオリファイド証明書の発行
クオリファイド証明書は、欧州において公的個人認証を目的として定義されましたが、現在(2004年 4月)において大規模な導入実績は未だありません。
今後に期待される点は、クオリファイド証明書に記述されたバイオメトリクス情報を利用したシステムの開発です(図 9-5)。
図 9-5 クオリファイド証明書を利用したバイオメトリクス認証
クオリファイド証明書を利用したバイオメトリック認証のメリットには、既存のバイオメトリック認証を利用したシステムのように、利用者の生体情報を保管・保持しなくて良いと言う点や、生体情報をネットワーク経由でサーバーに送らなくても良いなどプライバシーの問題がクリアできる点があります。
しかし、現在の技術では、バイオメトリクス装置から取得される生体情報には、必ず多少の誤差を含んでおり、取得した生体情報に対してハッシュ計算を行った場合、クオリファイド証明書に記載されたハッシュ値とは必ずしも同じにはならないといった問題があります。
残念ながら、現在、クオリファイド証明書を利用できるバイオメトリック認証装置は、まだ開発されていません。
前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.