前のページ 目次 次のページ

最終更新日:2005年 6月 9日


11  付録

11.1  PKI 用語集

PKI において用いられる主な用語を解説します。

 

用語

解説

A

Access Control

アクセス制御
アクセスコントロール

ユーザの権限に応じた制御を行う方法。データへのアクセスについて、閲覧が許可されている人に限りアクセスできるように物理的、電子的な手法で制御すること。

Applicant

申請者

CA に証明書を申し込んだ後で、かつ、証明書発行手続きが完了する前の利用者のこと。

Asymmetric Cryptography

公開鍵暗号技術

情報の暗号化と復号に異なる鍵を用いる暗号技術。公開鍵、プライベート鍵と呼ばれる一組の鍵ペアを用いるため公開鍵暗号ともいう。 「公開鍵で暗号化した情報はプライベート鍵でのみでしか 復号できない」、「プライベート鍵で暗号化した情報は公開鍵でのみでしか復号できない」という特徴をもっている。

Attribute Authority (AA)

属性認証機関
属性機関

PA (Policy Authority) に認可された、または CA 本体と同等のエンティティで、実体と属性が正しく結合していることを検証する権限を所有するエンティティ。

Attribute Certificate

属性証明書

属性認証機関 (AA) が発行し、証明書に添付する主体者の属性を指定するもの。公開鍵証明書がパスポートのようなもので、属性証明書は添付する査証(ビザ)のようなものである。属性証明書で定義する属性は、グループ名、組織名、セキュリティ区分などがある。

Audit

監査

システム操作の妥当性の査定、規定されているポリシーと操作手順を順守していることの確認および操作・ポリシーまたは手順に必要な変更を勧告するための行為、独立した審査および記録の調査 。

Authenticate

本人認証する

ある主体が示されたときにエンティティの同一性を確認すること。

Authentication

認証
本人認証

ある対象が別の対象に対して、本物であることを証明する方法または同一性を証明すること。デジタル ID にアクセスするためにパスワードまたはトークン、パスワードの組み合わせによって、認証を提供しなければならない。ネットワーク越しの認証には、デジタル ID に格納されたプライベート鍵で行うデジタル署名の利用も含まれる。

Authority Revocation List (ARL)

認証局失効リスト
認証機関失効リスト

CRL が、CA が発行する利用者の失効リストであるのに対して、ARL は CA の証明書の失効リストである。CA のリンクがある場合(階層型の CA や相互認証型の CA 構成の場合)、CA の証明書の発行 CA が対象の CA の信頼パスを切断するために発行するCA の失効リストをいう。

Authorization

認可

認可を受諾する行為。例えば、組織がある操作(ユーザの証明書を失効するなど)を行おうとしたとき、1人または複数の管理者に承認を請求する場合にあたる。

B

Bridge CA (BCA)

ブリッジCA
ブリッジ認証局
ブリッジ認証機関

Peer-to-Peer 型の煩雑な相互認証(接続)を解決するための橋渡し CA。CA 間の相互認証を仲介する Hub となる CA で、ここに相互認証されて接続する他の認証ドメインの CA を主 CA という。この BCA は自己署名の証明書をもつが、Root CA ではない。それはこの BCA から信頼パスのチェックがはじまることはないからである。ここに接続された他の認証ドメインの利用者は認証ドメイン内のどこかの Root CA から信頼パスの追跡が始められる。

C

CA Domain

CA ドメイン

同じ CA に属する人々および同一の CA により証明された集まり。

CA Policy Management

CAポリシー管理

CAの鍵を特殊なハードウェア(HSM) に格納するかどうか、CA の署名鍵を暗号化するのに使用するアルゴリズムまたはユーザの証明書失効情報をどれくらいの間隔で発行するか、などの CA の特性の管理

CA Signing Key Pair

CA 署名鍵ペア

鍵ペアの一方はデジタル証明書に署名するとき、CA が使う鍵で、この鍵は署名用秘密鍵という。署名鍵を検証できるように、CA は署名検証に使う鍵を公に配布する。暗号化され、署名され、またはタイムスタンプを押された情報にアクセスするときに、この情報の信頼性は CA の署名検証用公開鍵を使って、CA の署名を認証することによって、検証される。

Certificate

証明書
公開鍵証明書

証明書。

Certificate Expiry

証明書期限

その日付以後はユーザの証明書は、もはや信頼されない。証明書期限は証明書の中に記載されている。

Certificate Policy (CP)

証明書ポリシー

CA が証明書を発行するときのポリシー。X.509 の拡張フィールドで規定するものであり、OID で特定する。X.509 は以下の用に定義している。証明書ポリシーとは証明書を特定のコミュニティやアプリケーションに共通のセキュリティ要件に沿って適用する名前付けられた規則である。例えば、ある証明書ポリシーは EDI ポリシーと名前付け、これは一定の価格範囲で取引するための EDI トランザクションの認証を行なうために適用する証明書のタイプと定めるなどである。CP が何を(What)ポリシーとするかを決めるのに対して、CPS はどのように(How)ポリシーを適用するのかの手順を示すものとなる。

Certificate Renewal

証明書更新

前の証明書と同じ公開鍵を使って、新しい証明書を発行するプロセス。証明書の追加発行により、収入を得られるように短い有効期間の証明書を発行する CSP もある。そこにはセキュリティ的な価値はなく、古い番号の組み合わせの新しい金庫を買うのと同じだと言う提言もある。一方、FPKI では、鍵と証明書の両方を有効期限前に自動的に更新するよう提言している。自動鍵更新は鍵が特定の期間でのみ使われるので、強力なセキュリティを提供している。

Certificate Revocation

証明書失効

もはや信頼されないと識別している証明書の失効行為。失効された証明書は、「証明書失効リスト(CRL)」で識別される。管理されたPKIでアプリケーションは、それらを信頼する前に自動的に証明書の失効状態をチェックする。

Certificate Revocation List (CRL)

証明書失効リスト
失効リスト

有効期限中に何らかの理由により、失効した公開鍵証明書のシリアル番号のリスト。CA が作成して、公開する。CRL はディレクトリと呼ばれる公開された格納場所に置かれ、アプリケーションが証明書を信頼する前に失効状態をチェックするのに利用する。

Certificate Service Provider (CSP)

証明書発行サービス提供者

CA システム等で信頼される第三者 (Trusted Third Party)が、デジタル証明書の発行、署名、失効、管理を行うサービス提供者。

Certification

認証

証明書の発行対象者が正当であることを証明(認証)すること。サーバなどへアクセスする際の認証(authentication)が本人性の確認を機械的に行うのに対して、運用面にいても正当性を確認して行う行為。

Certification Authority (CA)

認証機関
認証局

公開鍵証明書を発行する認証機関を指す。CA はユーザの身元を確認し、その公開鍵証明書を CA のディレクトリに登録する。登録する情報のフォーマットは、ITU-T X.509v3 の証明書プロファイルを使う。公開鍵を利用するユーザは、CA から CA の署名の付いた相手のユーザの公開鍵証明書を取得し、信頼できる相手の公開鍵を入手する。CA は階層的に構成されている場合は、下位のCA は上位の CA が認証する。

Certification Practice Statement (CPS)

認証実施規定
認証局運営規定

信頼される第三者機関が認証を利用する者に対して、信頼性、安全性および経済性などを評価できるように CA のセキュリティポリシー、約款および外部との信頼関係などに関する詳細を規定した文書。
信頼される第三者機関は、この認証実施規定 (CPS) を公開する必要がある。

Compromise

危殆化する
侵す

プライベート鍵が紛失・不正コピーなどの疑いから厳格な本人性の証明に使えなくなった状態。

Confidentiality

秘匿性
守秘性

データのプライバシーを保証すること。意図した特定(単数または複数)のエンティティ以外は、誰もこのデータを読むことが出来ない状態。

CRL Distribution Points (CRLDP)

CRL 配布点

X.509 v1 においては、全ての CRL をまとめて発行する仕組みになっていたが、大規模な証明書を発行する CA では、CRL も大量になるために特定の証明書の失効を検索するのに効率が悪い。X.509v3 では、この検索を効率化するために CRL を分割して(例えば、1000 以下に)、保管庫(リポジトリ)に登録する仕組みを取り入れた。デジタル証明書の拡張フィールドに、この証明書が失効したときにCRL が、登録されるディレクトリのエントリ・ポイント (CRL1、CRL2、…)が記載される。利用者は、CRL 全体を検索することなく、証明書に記載された CRL DP のディレクトリ・エントリのみを調べることで、効率的に CRL のチェックができる。

Cross Certificate

横断証明書
相互認証証明書

2つの CA における信頼関係を確立して、互いに発行され交換された証明書。

Cross Certification

横断認証
相互認証

相互認証、横断認証。
(日本の多くの文献においては、cross-certification(異なる CA ドメイン間)の意味以外に、双方向 (Mutual Authentication)の意味を持たせている場合もある。)

Cryptography

暗号技術

情報の意味を当事者以外には解らせないようにするための手段。セキュリティにおける暗号技術は数学的手法を用いることにより行われる。サイファー(Cipher)とも呼ぶ。

D

Data Encryption Standard (DES)

データ暗号標準

対称暗号鍵を使用する米国政府が開発したブロック暗号。

Decryption / Decrypt

復号

不可読な暗号文を可読可能な平文へ転換するプロセス。

Delta CRL

差分CRL

証明書失効リスト(CRL) の定期的発行間隔内で直前のCRLから一定期間毎に発行する差分 CRL をいう。これは X.509v3 で定義された CRL のタイムリー性を強化する方法である。例えば、CRL の定期発行が 24時間毎 であるとすると、Delta CRL を 5分毎に発行すれば失効リストにリアルタイム性は強化される。Delta CRL は直前のCRL 発行点から、次の CRL 発行までの間に登録された失効リストのみを差分として発行し、この Delta CRL は次の CRL 発行点に全て反映される。

Digital Certificate

デジタル証明書

公開鍵の所有者であることを証明する電子的な文書。CA が証明書を発行する。証明書の内容はユーザ情報、ユーザ公開鍵、証明書シリアル番号、証明書の発行日、失効日などとその内容を CA の秘密鍵で暗号化したデジタル署名が格納される。

Digital Signature

デジタル署名

PKI ベースのプライベート鍵(秘密鍵)を用いた電子署名。本人の署名意思が保証できる。

Directory

ディレクトリ

X.500 または LDAP 互換のディレクトリ・サービス。ディレクトリには所属別に人の名前があり、ユーザの暗号化公開鍵証明書、証明書失効リストの保管庫となる。

Distinguished Name (DN)

識別名

ディレクトリ情報ツリー(DIT) 内のエントリ。X.500 ディレクトリにあるオブジェクトをユニークに識別する。

Dual Key Pairs

デュアル鍵ペア

ユーザの暗号用と署名用の鍵ペアを組み合わせたもの。2つの鍵ペアを使用することは、否認防止と鍵のバックアップ・リカバリの要件を満たすために必要である。

E

Electronic Signature

電子署名

何らかの方法により、デジタルデータ(電子文書)の原本保証や文書作成者の意思を目的とした署名。

Encryption

暗号化

可読可能な平文を不可読な暗号文へ転換するプロセス。ファイルを暗号化するとは、数学的関数を適用し、ファイル内のすべての文字を別の文字に変換すること。暗号化はファイルを読解不可能にする。これは、復号しなければ、だれもファイルを読めないことを意味する。許可された受取人だけが、ファイルを復号できる。

Encryption Algorithm

暗号化アルゴリズム

テキストを暗号化もしくは復号する数学公式。

Encryption Key Pair

暗号鍵ペア

暗号化公開鍵と復号秘密鍵からなる。これは、暗号用公開鍵と復号用秘密鍵から構成され、公開鍵は暗号鍵として使われ、対応する復号用秘密鍵でだけ復号できるようにデータを暗号化する。

End Entity

エンドエンティティ

証明書の発行対象者の総称。

Extension (X.509 Field)

拡張フィールド
拡張

X.509v3 公開鍵証明書において標準領域以外に追加された領域。鍵使用目的のような標準拡張と独自拡張がある。

F

Federal Information Processing Standards (FIPS)

商務省連邦情報処理規格

米国連邦政府が採用している商務省連邦情報処理規格を記した刊行物シリーズである。連邦政府の諸部門が用いるコンピュータや通信システムなどのデータ処理分野について、システムの統一と維持を図るもので、ハードウェア/ソフトウェア、データ、コンピュータ・セキュリティ、通信などのカテゴリ別に、それぞれの技術標準と運用基準を NIST の Security Technology Group がまとめている。

G

Government PKI (GPKI)

政府認証基盤

行政情報化推進基本計画閣議決定を踏まえて、日本政府が 2001年の電子署名法で施行と同時に運用を開始した認証基盤(PKI)。政府に対する許認可の申請、登録および届け出などに電子署名を付加し、提出するための基盤を提供する。GPKI の相互認証構成として、中央にブリッジ CA (Bridge CA) を配置し、関係府省のCAと相互認証を行う。

I

Integrity

i完全性
インテグリティ

(データの)完全性とは、保護されたファイルの内容が、改竄されていないことを示すことを意味する。PKI はデジタル署名を使って、データが改竄されていなかったことを検出する方法を与えることで、データの完全性を保証することができる。このプロセスは、もし、メッセージが改竄されていれば、自動的に受信人が検出できるように受信時に検証される。このプロセスの一部として署名用プライベート鍵が伝送用の原本に署名するのに使い、そして検証用公開鍵が発信人の認証をするために使う。

Internet Engineering Task Force (IETF)

 

インターネットで利用されるプロトコルを決定するための民間主導の標準化団体。RFC 3233 において定義されている。

Issuer

発行者

証明書発行者の識別名(DN)。通常 CA の識別名が用いられる。

Issuing Authority (IA)

発行機関

Verisign 社において定義された用語。CA と LRA の中間に位置し、LRAより発行を依頼された証明書を発行する機関。

K

Key

メッセージを暗号化、復号する場合に必要となる情報。通常は数字。

Key Exchange

鍵交換

セキュアなコミュニケーションを確立するために公開鍵を交換するプロセス。

Key Generation Material Random Numbers

鍵生成用乱数

暗号鍵の生成に使用される乱数および暗号パラメータ。

Key Management

鍵管理

鍵を安全に管理するプロセス。鍵管理により、ユーザが必要とするときに必要な場所へ提供される。

Key Pairs

鍵ペア

数学的に関連を持った2つの鍵で、
(1)片方の鍵でメッセージを暗号化すると、他方の鍵でしか復号できない。
(2)片方の鍵を入手しても、他方の鍵を計算で見つけ出すのは不可能

Key Update

鍵更新

ユーザ鍵ペアの更新、取り替えなどのプロセス。鍵の更新には新しい鍵ペアの生成および対応した公開鍵証明書の発行を伴う。CA鍵を含むすべての鍵を有効期限が切れる前に自動的に更新する必要がある。

KeyUsage(X.509 Field) 

鍵使用目的

証明書の公開鍵(とペアの秘密鍵)を使用する機能やサービスを識別する(または規制する)ためのビット列。

L

Lightweight Directory Access Protocol (LDAP)

 

軽量ディレクトリ・アクセス・プロトコル。X.500 ベースのディレクトリにアクセスするためにプロトコル部分のみ標準化されたもの。PKIにおいては、証明書および証明書失効リスト(取消しリスト)の保管庫として使用する。LDAP は IETF で標準化され、Version 3 がRFC2251 になっている。

M

MD5

 

RSA 社の Rivest によって開発されたメッセージダイジェストを作る方法。任意の長さの文章から固定長のダイジェストを効率よく作り出す関数。異なる文章から同じダイジェストを作る確率が極めて小さいので、原文の指紋として電子署名に使われる。任意の長さの文章から 128 ビットのダイジェストができる。MD4 より処理速度が若干遅いが、その弱点を改良したものとされる。MD2、MD4 は弱点が指摘されており、過去の互換性のために使う以外は SHA-1 を使うことが推奨される。

Message Authentication Code (MAC)

メッセージ認証コード

ある秘密の鍵がなければ、ハッシュ値を計算できないハッシュ関数(鍵付きハッシュ関数)を使用し、その鍵を保有しているものが、識別子の生成・検証が行なえるメカニズムのための符号いう。

Mutual Authentication

双方向認証

双方の通信元が他方にとって本物であることを認識するプロセス。例えば、双方向認証は Web ブラウザと Webサーバ間で、両方に対しての通信の安全性を認証する。双方向認証ではお互いが認証され、安全な取引を確認する。

N

National Institute Of Standards And Technology (NIST)

 

米国商務省標準化技術研究所として知られる米国商務省 (U.S. Department of Commerce) が管轄する情報機関で研究所をもち、技術指針や政府内における標準や運用基準の策定に務めている機関

Non-Repudiation

否認防止

送信者が配達の証明を与えられ、さらに受取人が送信者の同一性の証明を与えられることで、両者ともデータに関与したことを否定できないという保証。技術的には否認防止は、もし、公開鍵を使ってデジタル署名が検証できれば、その署名が対応する署名用プライベート鍵によってなされたことを、信用しているパーティが確認できることを表すことができる。法律的には否認防止は署名用プライベート鍵がどの程度厳密に所有、管理されているかにも関係する。

Notarization / Notary

公証
公証サービス

ビジネス・トランザクションのバインディングの有効性を、そのトランザクションが確かにその特定時刻にユーザにより署名されたことを保証することによって保証する。

O

Object Identifier (OID)

オブジェクト識別子

国際的に登録し標準化機関によって、承認された特別に形式化された番号。一意な英字/数字により、識別子で ISO 標準に登録された特定のオブジェクトやオブジェクトクラスを示す。

Online Certificate Status Protocol (OCSP)

オンライン証明書状態プロトコル

タイムリーな証明書の状態(失効していないかどうか)をオンラインで問い合わせるプロトコル。インターネットの RFC 2560 として定められた。

P

Pass Phrase

パスフレーズ

公開鍵暗号システムで秘密鍵にアクセスする際に必要なパスワード。秘密鍵を管理するパスワードはセキュリティ上重要な意味をもつため、簡単に類推できないフレーズをもつ、パスワードで管理される。

Peer-To-Peer Cross-Certification

ピア・ツー・ピア相互認証

他の組織の CA の信頼性を証明するプロセス。これにより、ユーザは相互認証された CA のユーザを認証することができるようになる。Peer-to-peer 相互認証は各組織が自組織内で安全管理を行っていて、最大限の柔軟性を保ちながら、組織間がビジネス要求から必要となる関係を結ぶのに相応しい。

Policy Management Authority

ポリシー管理機関

証明書ポリシーの作成や更新、認証局運営規定のレビュー、ポリシー規定に従った CA の監査結果のレビュー、ドメイン内での非ドメインポリシーの受入れのための評価などを監督し、さらに PKI 証明書ポリシーの一般的な監督・管理を行うために設置された機関。

Policy Mapping (X.509 Field)

ポリシーマッピング

発行 CA ドメインポリシーと、証明書所有者ドメインポリシーとのマッピング

Pretty Good Privacy (PGP)

 

Pretty Good Privacy の頭文字をとって、PGP と呼ばれる公開鍵暗号利用方式。ファイルの暗号化・署名機能とともに電子メールソフトの暗号化 ・署名機能に用いられている。暗号化やデジタル署名の仕組みは S/MIME と基本的には同様だが、信頼のモデルが異なり、PGP ではユーザ同士が公開鍵を交換し、信頼し合うのに対して、S/MIME は、CA から証明書の発行を受け、個人の公開鍵に信用を与えてもらう。

Private Key

プライベート鍵

証明書に乗っている公開鍵とペアになった公開鍵暗号方式の鍵。この鍵の管理者(通常は鍵の生成者)が自分だけが利用できるよう厳密に管理(POP)することが PKI の前提となる。

Proof Of Possession (PoP)

プルーフ・オブ・ポゼッション
所有証明

プライベート鍵を唯一所有していることの証拠・検証。

Public Key

公開鍵

(1) 署名鍵ペアの内でデジタル署名の有効性を検証するために用いられる鍵。
(2) 暗号鍵ペアの内で機密情報の暗号化に用いる鍵。どちらの場合も、この鍵は通常、デジタル証明書の形で公に利用できるようになっている。

Public Key Certificate

公開鍵証明書

ITU/IOS X.509 標準に準拠する公開鍵証明書を意味する。検証鍵が本人の所有する署名鍵に対応していることを証明する証明書。証明書は主体者の名前および公開鍵を含む。CA は CA 署名用秘密鍵で署名することによって、証明書を保証する。情報の電子的な表現で、少なくとも、
(1) それを発行する CA を識別できる。
(2) 名前または利用者を識別できる。
(3) 利用者の公開鍵を含む。
(4) 有効期間を特定する。
(5) それを発行した CA によってデジタル署名されている。
使用されるポリシーでは、「証明書」という用語は、X.509 v3 証明書の「証明書ポリシー」領域にポリシーの OID が記述され明白に言及している証明書のことを指す。

Public Key Cryptography

公開鍵暗号技術

暗号化および復号に際して、それぞれの暗号化鍵と復号鍵という異なる一対の鍵ペアを用いる技術。公開鍵暗号方式では、秘密にしておく(復号や署名に使う)個人的な 1つ目の秘密鍵と、公に配布できる(署名検証あるいは暗号のための) 2つめの鍵がある。

Public Key Infrastructure (PKI)

公開鍵基盤

公開鍵をベースに秘匿性、アクセスコントロール、データの完全性、認証、否認防止を確実にするための公開鍵暗号とデジタル署名サービスを提供する包括的なシステム。

Q

Qualified Certificate (QC)

適格証明書
クオリファイド証明書

クオリファイド証明書 (QC) プロファイルについての初版は、RFC 3039 (Proposed Standard) として発行された。(現行版は、RFC 3739)この RFC は欧州委員会が策定した電子署名法(EU Directive)の沿うものとして、EESSI の電子署名標準化の Final Report に沿って、ETSI が標準化したものである。QC は、各国の法制度に従い自然人に対して、発行することを定めている。この RFC は PKI の相互運用性を図る上で大きな成功を見せたインターネットの X.509v3 証明書プロファイル(RFC 2459) をベースとしている。法制度は各国の事情により、それぞれ基盤が異なるが、この RFC は欧州だけを対象にしたものではなく、汎用的な形態をとっている。

R

RA Policy Management

RA ポリシー管理

RA の操作員にどのような操作をどのユーザに許可するかなどをRA の管理者毎に柔軟に管理すること

Referral

参照
リフェラル

LDAPv3 で実装された機能。端末に参照先の LDAP アドレスを教えるもの。

Registration Authority (RA)

登録機関
アール・エー
登録局

電子証明書発行の申請者の本人を確認し、主として登録業務を行う機関。証明書の所有者の本人確認と認証に責任をもつエンティティ。ただし、証明書の発行や証明書への署名は行わない。(すなわち、RA は特定の作業に関して、CA に代わって行う権限を委譲されている。)

Relying Party

信頼者
証明書利用者
署名検証者

ユーザ(RFC 3647 において定義しているように、証明書の「ユーザ」)。認証ドメインに所属するユーザ。

Repository

リポジトリ
格納庫

CP で指定されている証明書のデータと情報の格納されたデータベース。ディレクトリ差すこともある。

Revocation

失効

証明書の有効期限切れや、鍵の危殆化などの理由により CA による措置(操作)で使用できないようにする(有効ではない)こと。

Revoke A Certificate

証明書の失効

特定の日付および時刻に、まだ、有効期限内の証明書の有効性を取り消すこと。

Root CA

ルートCA

CA の体系における階層型モデルにおいて、最上位の CA。自己署名した証明書をもち信頼パスの出発点となる CA のこと。Root CA は階層型の頂点の CA を必ずしも示さない。Root CA は、利用者にとって「信頼のアンカー」となるもので、利用者は Root CA の証明書を信頼できる方法で入手しておかなければならない。

S

Secure hash function

セキュアハッシュ関数

ハッシュ関数の中で、一方向関数 (One-way function) かつ衝突性がない関数。メッセージ・ダイジェスト(MD) を生成するハッシュ関数は元の平文に 1-bit の変化があると平均して、メッセージダイジェスト中の半分のビットが変化するような特殊な関数。また、メッセージダイジェストから元の平文を生成することはできない。

Secure Hash Algorithm (SHA-1)

 

NIST により開発されたアルゴリズム。264-bit 長以下のメッセージを 160-bit 長のメッセージダイジェストに変換する。

Secure Sockets Layer (SSL)

 

米国 Netscape Communications 社が提唱し、開発したトランスポート層用技術。Web サーバーと Web ブラウザ間の双方向認証とデータ暗号を行う。 RFC に定義されていないが、事実上の業界標準のプロトコル。これは接続ベースのプロトコルであり、暗号化を使用して認証、整合性および否認の防止を提供する。SSL はソケット通信の一種でアプリケーション・レイヤの変更を必要とせずに、TCP/IP と上位レイヤ・アプリケーション間に介在する。SSLv3 をベースに若干機能を追加した TLS が RFC 2246 (English) となっている。

Security Architecture For Internet Protocol (IPsec)

 

TCP/IP での通信を安全に行うために強化された技術の総称で、ESP (Encapsulation Security Payload: データを IP カプセル化して、トンネリング方法)や AH (Authentication Header: ユーザ認証用のデータを IP パケットに組み込む)などがある。現在、IETF で標準化作業が進められている。IPsec については、RFC 2411、「IP Security Document Roadmap」として、関連文書がでている。

Subject (X.509 Field)

主体者
所有者

証明書所有者を表す識別名(DN)。

Subordinate CA

下位CA

階層型 CA である CA の下位に置かれる CA のこと。階層的な PKI で、その CA の証明書署名鍵が別の CA によって証明される CA。その活動は他の CA によって制御される。(上位の CA の項を参照)

Subscriber

加入者
署名者
被認証者

CA から証明書の発行を受けた者。

Superior CA

上位 CA

階層型 PKI で、他の CA の証明書署名鍵を証明し、その CA の活動を制限する役割をもつ CA。

Symmetric Cryptography

共通鍵暗号(方式)
対称暗号

情報の暗号化と復号に共通のデータを鍵として用いる暗号技術。対象鍵暗号方式は公開鍵暗号方式とは異なる。

Symmetric Key

対称鍵
共通鍵

同一のデータで暗号化と復号が可能な 1つの鍵。対称鍵暗号方式で用いる。

T

Time Stamp Authority (TSA)

タイムスタンプ機関

デジタルデータ(電子文書)に正確な時刻印を付ける機能を提供する機関のことである。利用者は文書のハッシュ値を TSA に送り、TSA は、それにデジタル署名を付けて返す。この Time Stamp Protocol は、RFC 3161に 規定されている。

Token

トークン

デジタル署名や証明書、又は暗号鍵などを包んだデータの塊。また、それらを格納した暗号モジュールの総称。

Top CA (TCA)

トップ CA

階層型の頂点の CA を指す場合に使う。Top CA はもちろん Root CA ではあるが Root CA はその他の構成の CAでも存在するので誤解を避けるために使い分けることにする。

Transport Layer Security (TLS)

トランスポート・レイヤー・セキュリティ

1999年 1月に SSL (Secure Sockets Layer) に代わる新たなセキュリティ・プロトコルとして、TLS (Transport Layer Security) が RFC 2246 として文書化された。カテゴリは Standards Track。TLS はSSL と同様に HTTP や FTP などの TCP/IP の通信を認証や暗号化で保護するセキュアなプロトコル。基本的には SSL v3 と枠組みは同じである。

Triple-DES

トリプル DES

DES に代わり、DES を使って 3重に暗号化する方式。DES が普及している米国を中心に金融機関などに使用されている。

Trusted Third Party (TTP)

信頼組織

電子証明書の発行を行う電子認証サービス事業体。厳重なセキュリティ施設と電子決済に利用できる証明書を発行する場合が多い。また、証明書を発行するために利用者に信頼される機関でなければならない。

V

Validation

十分性検証
検証
有効性検証

一定の条件に照らして十分であるかを確かめること。
証明書については、有効期限切れや失効といった状態でないか確認すること。

Validation Authority (VA)

検証機関

ValiCert 社の用語。CA とは別に設置される電子証明書失効リスト証明機関。OCSP レスポンダを指す。OCSP を参照。

Validity (X.509 Field)

有効期間

発行日時と失効日時から構成され、証明書の有効な期間を示すもの。

Verification

正確性検証
検証

デジタル署名等の正確性を確認すること。

Vulnerability

脆弱性

暗号アルゴリズムやシステムに対する安全性が十分では無く、攻撃にさらされた場合、情報を守れない危険性がある状態。

X

X.509

ITU (International Telecommunications Union) 国際電気通信連合電気通信標準化部門が定めたデジタル証明書の標準仕様。
証明書は、X.509v3 というフォーマットに従う。v3 においては、拡張フィールドを設け、証明書発行者が独自の決められた情報を追加できるようにしている。


前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.