ノウハウ 公開鍵証明書とは?仕組みや発行の流れなど認証局などわかりやすく解説
公開鍵証明書とは?仕組みや発行の流れなど認証局などわかりやすく解説
電子契約について調べる中で、「公開鍵証明書」という言葉を目にする場面は少なからずあるかと思います。
本記事では、どのような意味の言葉なのか、どのような仕組みか、発行の流れなど初めて「公開鍵証明書」という言葉を目にする方にも分かりやすく解説いたします。
公開鍵証明書とは
公開鍵証明書とは、一般的に「公開鍵」とその所有者の情報を結びつける「証明書」という、暗号技術を指す名称です。
ネットワーク上におけるユーザー同士の通信では、第三者が当事者になりすますリスクを伴います。
そのため身元が証明されたユーザーのみで通信ができるよう、物理的な鍵をかけるようにデータを暗号化する必要があります。
しかしよほど小さなネットワークでない限り、暗号化されたデータを復号(開錠)するための暗号鍵をユーザー同士が直接やりとりすることは望ましくありません。
万が一第三者が当事者になりすまして偽の公開鍵を作り配布した場合、それを受け取ったもう片方の当事者が送信したメッセージは偽者に復号されてしまうからです。
そのリスクを回避するための暗号技術が、公開鍵証明書です。
信頼性のある第三者機関がユーザーの間に入り、公開鍵と当事者本人のものであるという証明書を発行します。
あとはその証明書の署名を確認すれば通信ができるようになり、悪意のあるユーザーが介入する余地もなくなるということです。
電子証明書(デジタル証明書)とは
ネットワーク上のやりとりにおいては、「電子証明書(デジタル証明書)」という用語もよく使われます。
公開鍵証明書と似た名称の電子証明書との間に、違いはあるのでしょうか。
公開鍵証明書と電子証明書(デジタル証明書)の違い
先述の通り「公開鍵+証明書」をまとめた呼称が公開鍵証明書であり、電子証明書はそのうちの証明書を指す言葉です。
電子証明書とは、書面での手続きに例えると「印鑑証明書」の役割を持つ技術です。
ネットワーク上でのやりとりにおいて間違いなく当事者本人であることを第三者機関が証明したもので、デジタル証明書とも呼ばれます。
電子証明書は電子契約時の電子署名を本人が作成したことを証明するときや、法人が登記申請・納税などをオンライン申請する際の認証で利用されます。
また、前者は民間企業の証明発行サービス、後者は法務局が電子証明書を発行しています。
▶関連記事:電子証明書とは?発行方法・費用などをわかりやすく解説
公開鍵と電子証明書の関係性
「公開鍵証明書」とも呼ばれる通り、公開鍵と電子証明書は1つの存在としてまとめられる場合もあります。
つまり、公開鍵と電子証明書は切っても切り離せない関係性があるということです。
公開鍵の正当性を電子証明書が証明する
先にも公開鍵証明書の概要として触れたポイントですが、公開鍵の正当性を保証するために欠かせない存在が電子証明書です。
電子証明書は当事者が信頼する「認証局」という第三者機関が発行するもので、認証局の秘密鍵による電子署名を付与して公開鍵の正当性を保証します。
通信に鍵をかける、つまり暗号化するための鍵となる公開鍵と、それが当事者本人のものであると証明するための証明書が電子証明書です。
これらは別物とはいえ、ほとんど同じデータ構造となっています。
電子証明書には公開鍵の情報に加え、発行者の情報や証明書の有効期限なども含まれています。
そのため公開鍵と電子証明書はしばしば一体の存在と認識されており、それが「公開鍵証明書」という呼び方で表現されているのです。
公開鍵証明書の仕組み
公開鍵証明書では、「公開暗号方式」という暗号技術が使われています。
公開餡方法式とはどんな仕組みなのか、以下より詳しく解説します。
公開暗号方式とは
公開暗号方式とは、データの受信者が作成する「公開鍵」と「秘密鍵」という2つの鍵を使って通信を暗号化するシステムのことです。
これまでにも鍵という言葉は出てきましたが、実際は数十~数百もの数値から形成されるパスワードのような情報を指します。
公開暗号方式で暗号化しながら通信を行う大まかな流れとしては、以下の通りです。
1 受信者が秘密鍵を用いて公開鍵を作成する 2 送信者が受信者の公開鍵を受け取る 3 送信者がその公開鍵を使ってデータを暗号化する 4 3で暗号化したデータを受信者へ送付する 5 受信者が暗号化されたデータを受け取る 6 受信者が暗号化されたデータを秘密鍵で復号(開錠)する |
上記の通り、公開暗号方式を利用すれば秘密鍵の所有者だけが暗号化されたデータの暗号を解ける仕組みになっています。
公開鍵と秘密鍵とは
公開暗号方式に使われている公開鍵と秘密鍵は、アルゴリズムで同時に生成される一対の鍵です。
公開鍵は第三者に対して公開可能かつ誰でも入手できる鍵です。
一方で秘密鍵は第三者に公開されない鍵のことで、秘密鍵で暗号化されたデータはペアとして生成された公開鍵でしか復号化できません。
そして秘密鍵を第三者が知ることは、数学的に不可能とされています。
そのうえで先述した公開暗号方式における通信の仕組みも踏まえると、通信の中で公開鍵を使ってデータを複合化できた場合、そのデータは確かに当事者本人のものであると証明できます。
公開暗号方式は、当事者が秘密鍵を適切に保管する限りは迅速かつ確実にデータの本人証明が可能となる技術なのです。
PKI(公開鍵基盤)とは
公開暗号方式の公開鍵・秘密鍵と併せて知っておきたい要素が、PKI(公開鍵基盤)です。
これは電子署名の際に公開暗号方式と併せて利用される、秘密鍵が当事者本人のものかどうかをより確実に保証するための仕組みを差します。
公開鍵基盤ではデータの送信者と受信者の間に認証局が介入し、電子署名が本人のものであることを証明する電子証明書を発行します。
公開鍵基盤における認証局は、大きく分けて「登録局(RA)」「発行局(IA)」「リポジトリ」の3機関があります。
各機関の役割は、以下の通りです。
・登録局:電子証明書の申請者が本人かどうかを審査する ・発行局:登録局の審査をもとに電子証明書の発行・失効手続きを行う ・リポジトリ:認証局や電子証明書に関する情報公開 |
PKI(公開鍵基盤)が安全性を証明する仕組み
例えば企業Aが企業Bへ電子契約書を送るとき、送信に伴い企業AはPKIの認証局へ電子証明書の発行を申請することになります。
認証局は在席確認などを通して企業Aが申請者なのかどうかを審査し、本人確認が取れたら公開鍵と秘密鍵を生成します。
そのうえで、第三者にも公開可能な公開鍵を電子証明書という形で発行するという仕組みです。
受信者である企業Bは、その電子証明書を通して電子署名の有効性をいつでも確認できます。
公開鍵証明書作成の流れ
公開鍵証明書は、当事者が通信を行おうとしたときにサーバーや認証局を通して作成されます。
作成の流れは以下の通りです。
1 サーバーが公開鍵と秘密鍵のペアを生成する 2 サーバーが公開鍵や組織情報などを認証局へ登録する 3 同じく公開鍵と秘密鍵を生成した認証局が、認証局側の秘密鍵とサーバーから受け取った公開鍵や諸々の情報に基づきデジタル署名を作成する 4 デジタル署名を公開鍵に組み込んでサーバー証明書が完成 5 当事者が完成した証明書をサーバーから取得する 6 証明書にあるデジタル署名を認証局の公開鍵で復号のうえ検証する 7 公開鍵で通信を開始する |
公開鍵証明書に含まれている情報
通常、公開鍵証明書には以下の情報が含まれています。
・証明書の同定情報 ・末尾の署名のアルゴリズム ・発行者の識別情報 ・有効期間の開始と満了 ・主体者(人・コンピュータ・組織など)の識別情報 ・主体者の公開鍵の情報(公開鍵のアルゴリズム・公開鍵自体の情報) ・その他 ・以上に対する署名 |
なお、公開鍵証明書において現在主流となっている規格がX.509です。
X.509は国際標準化機構(ISO)と国際電気通信連合(ITU)が共同で策定した公開鍵証明書の規格で、証明書のフォーマットに関する標準が定められています。
認証局について
公開鍵証明書を発行する認証局は、「パブリック認証局」と「プライベート認証局」の2種類があります。
どちらもデジタル署名の正当性を証明する第三者機関であることには変わりませんが、やや異なる性質を持ちます。
パブリック認証局とは
パブリック認証局とは、公的な証明書の発行が可能な認証局のことです。
厳しい監査や万全なセキュリティ対策のもとでデジタル署名の正当性を公的に証明できることから、外部の企業・組織との電子契約などオープンな場面で利用されます。
有名なパブリック認証局としては、以下のような機関や事業者が挙げられます。
・日本電子認証 ・電子認証登記所 ・公的個人認証サービス都道府県認証局 ・帝国データバンク ・セコムトラストシステムズ ・サイバートラスト ・ジャパンネット・NTTビジネスソリューションズ ・三菱電機インフォメーションネットワーク など |
なお、パブリック認証局で証明書を発行するには費用がかかります。
プライベート認証局とは
プライベート認証局とは、自社内・組織内や自分で作成した認証局のことです。
厳しい審査をクリアしたパブリック認証局とは違い、誰でも作成可能なプライベート認証局の証明書は、公的な場面でのやりとりにおいて信頼性が低いと言えます。
しかしすでに通信先の正当性が証明されている自社内などの限定的な環境であれば、プライベート認証局はパブリック認証局と同等の信頼性が認められます。
したがって、わざわざ費用をかけてパブリック認証局に証明書を発行してもらう必要はありません。
そのためプライベート認証局は、社内システム内で「電子印を押印した人物や日時を証明する」などの場面でよく利用されています。
公開鍵証明書の有効期限
公開鍵証明書(電子証明書)には有効期限があり、通常は1~3年間と定められています。
また、認定認証事業の場合は電子署名法の施行規則により5年を超える有効期限は定められません。
長期的な有効期限を定めると、公開鍵暗号方式に用いられる暗号技術のアルゴリズムが破られるリスクを伴うからです。
有効期限前に失効する場合もある
ごく稀ですが、有効期限前にも関わらず公開鍵証明書が失効するケースもあります。
例えば転職や改名を行うなどして、証明書に組み込まれた公開鍵と所有者情報が不一致になると失効となります。
気が付いた時位は証明書が失効となっていた…という自体を防ぐためにも、利用者は定期的にCRLをチェックすることが大切です。
CRLとは認証局が保有している「証明書破棄リスト」で、有効期限の間にわたり失効済みの証明書が一覧化されています。
なお、証明書を格納していた端末(USBなど)の紛失や通信盗聴により証明書が外部へ流出した場合、自主的に認証局へ証明書の失効を依頼することも可能です。
電子署名における公開鍵証明書の役割
電子署名とは、データ化した契約書などの電子文書に対して付与される署名です。
書面で契約を交わす場合、その書類の正当性は押印や直筆署名で証明できます。
しかし電子文書は紙書類のように押印や直筆サインができず、署名が改ざんされるリスクを伴います。
そこで用いるのが、公開鍵証明書です。
電子契約ではまず署名者が自分の秘密鍵で、識別情報が含まれた署名を作成します。
署名を受け取る側は署名者の公開鍵に対応した証明書を取得し、発行者の信頼性を確認します。
署名者の公開鍵が本人のものであると確認出来たら、証明書の情報をもとに公開鍵の正当性を明らかにするという流れです。
このようにして公開鍵証明書を利用し、電子署名が改ざんされていないかどうかを検証できます。
公開鍵証明書は安全な電子取引に必要不可欠!
公開鍵証明書は、第三者機関である認証局が発行した電子証明書とそれに組み込まれた公開鍵のことです。
公開鍵・秘密鍵という2種類の鍵を使い、ネットワーク上のやりとりでユーザーが当事者本人であることを証明できる暗号技術「公開鍵暗号方式」を用いています。
署名改ざんのリスクがある電子取引において、公開鍵暗号方式は必要不可欠な技術です。
暗号技術としては共通鍵暗号方式もありますが、適切に管理すれば第三者へ知られない秘密鍵を用いた公開鍵証明書の方がセキュリティは強固と言えます。
業務効率化や管理の簡易化などメリットがある電子契約システムを導入する際は、公開鍵証明書を活用したシステムをおすすめします。
Contracts CLMの電子締結サービス「ContractS SIGN」は公開鍵証明書を活用したシステムです。
