電子署名の検証も!本人確認の要「電子証明書」とは?|DApps(ブロックチェーンを活用したアプリケーション)のことなら

TOP  コラム  電子署名の検証も!本人確認の要「電子証明書」とは?

電子署名の検証も!本人確認の要「電子証明書」とは?

2018.11.21

コラム

電子署名の検証も!本人確認の要「電子証明書」とは?

相手が見えないインターネットの本質的問題
今日の社会ではインターネットがインフラとして不可欠なものとなり、あらゆるシーンで活用されています。電子メールやブラウザの利用、クラウド、最先端のブロックチェーンにいたるまで、常にオープンなネットワークでのインターネット通信が基盤にあります。

インターネットはとても利便性の高いもので、時間や場所の制約をなくし、さまざまなやりとりを容易に、スムーズに実現させてくれますが、その特性としてやりとりをする相手が見えないことがあり、こちらが相手と認識している本人自身なのかを確認することが、考える以上に難しいという問題があります。

IDやパスワード、アドレスなどさまざまな個人特定の方法はありますが、電子データである以上、情報が入手できさえすれば、コピーを作成してなりすますことは容易であり、本来の持ち主のふりをして取引をしたり、情報をやりとりしたりすることが簡単に実行できてしまうのです。

一方で、やりとりする内容が重要で機密性、秘匿性の高いものも含むようになるにしたがい、情報漏洩や盗み見、なりすまし、改ざん、いわゆる“言った、言わない”のトラブルに発展する事後否認など、さまざまなリスクに対処する必要性が高まり、暗号技術やセキュリティ関連の技術も発展してきました。

相手を確認して安全なやりとりをする手法としては、暗号技術をベースに、電子署名を付けて行う方法がありますが、さらに本人確認を確実化する「電子証明書」というものもあります。今回はこの電子証明書とは何なのか、なぜ必要で、どう用いていけばよいのか、解説していきましょう。

電子署名とも混同されやすい「電子証明書」とは?
別の回では「電子署名」の仕組みを学び、それを付けた公開鍵暗号方式でのやりとりを行うことで、ハッシュ値を検証すれば、間違いなく送信者から送られたものであること、データが正しく保持され改ざんされていないことを確認できると分かりました。

しかし電子署名が正しく機能していても、そこで用いられた公開鍵が本物であると確認できなければ、なりすましを完全に防ぐことはできません。あらかじめ悪意のある第三者が送信者になり代わり、偽の公開鍵を知らせてやりとりをスタートさせている可能性があるからです。そこで電子証明書の必要性が生じます。

電子署名と電子証明書は間違えられやすく、混同されるケースもありますが、例えるなら電子署名が印鑑、電子証明書が印鑑証明や本人確認書類、身分証明書にあたるものです。印鑑は書類の真正性を示しますが、それだけでは押印した人物が間違いなく本人であると厳密に示すことはできませんね。

そのため現実世界でも、より重要な手続きなどでは、印鑑証明をとったり、本人確認書類の提出を求めたりすることがセットとなっています。インターネット世界でも同じように、本人確認ができる証明書として電子証明書があり、これによって個人や団体の特定、検証や保証が可能になっているのです。

電子証明書は、電子署名の検証で用いる公開鍵証明書のほか、属性証明書やPGP証明書などさまざまな種類があり、用途やシーンで使い分けます。

いずれも政府や自治体、認可を受けた信頼できる第三者機関など電子認証局が本人確認を行った上で発行するもので、証明書の所有者情報はもちろん、発行者や有効期限なども詳しく記されており、高度な暗号技術に基づいて作られているため、偽造することはきわめて困難であり、事実上不可能と考えられています。ですから、現実世界の身分証明書などと同じく、確かな本人確認資料として取り扱うことができるのです。

電子証明書の使われ方
では、公開鍵証明書として発行される電子証明書について、電子署名を付けた情報のやりとりでどのようにそれが用いられるか、みてみましょう。電子証明書には、公開鍵ペアとその所有者の情報が入っています。そして情報の結びつけのため、電子署名も施されています。

送信者は作成したデータをハッシュ関数にかけてハッシュ値を出し、保有する秘密鍵で暗号化します。これを電子署名として、送信データと電子署名、電子証明書をセットにして受信者側へ送ります。

受け取った受信者は、まずデータをハッシュ関数にかけ、ハッシュ値を求めます。また、電子署名をあらかじめ提示されている送信・署名者の公開鍵を用い、電子署名の復号も行います。こうして得られた2つのハッシュ値を比較して同一と確認されれば、まずその公開鍵ペアによる相手が送信者であること、データに改ざんがないことを確かめられます。

次に行うのが、電子証明書を用いた公開鍵の検証で、まず証明書の認証パスをたどり、正当な認証局が発行した本人の証明書かどうかチェックします。次に電子署名の署名時刻と、証明書の有効期間を見て、期間内に署名されているか確認します。署名時に失効した証明書となっている可能性もあるため、最後に証明書番号が署名当時の失効リストに掲載されたものでないか、保管されている失効リスト(CRL)を認証局側から取得して確かめます。

この作業を経て、電子証明書に問題がなく、やりとりで用いられた公開鍵ペアと情報がつながれば、相手が本人であることとやりとりの真正性がきちんと担保されたことになります。

電子証明書は、他の身近なシーンでも活用されています。たとえばインターネットバンキングなどは代表的な例で、銀行と利用者のそれぞれが電子証明書をもち、暗号化通信で安全かつ確実な取引や手続きが行える仕組みが構築されているのです。

一般的なSSL通信やTLS通信を行うシーンにも電子証明書が用いられており、暗号通信を開始する前の鍵交換で証明書の検証がなされています。ブラウザの表示で目にする鍵マークは、電子証明書を用いた鍵交換が正しく完了し、検証済みの電子証明書を介した暗号通信が行われていることを示すものです。仕組みを知らなかったという方も、この鍵マークには見覚えがあるのではないでしょうか。

電子証明書の活用・応用シーンはさらに広がりつつあり、S/MIME証明書による電子メールの送受信保護、企業間取引のEDI、IPアドレスの利用権を示すリソース証明書、DRMの権利証明書など、より安全なインターネット環境、情報のやりとりを実現する基礎の仕組みとして使われるようになっています。その役割と重要性は今後ますます高まっていくことでしょう。

▼DApps総研
https://dapps-info.com/

(画像は写真素材 足成より)