公開鍵基盤(PKI)?

公開鍵基盤(PKI) とは何か、その主要コンポーネント、そしてデジタル証明書やキー ペアなどの暗号化メカニズムを使用して電子通信を保護し、機密性、整合性、認証、否認不可性を確保する方法について説明します。

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

記事のリンクをコピーする

公開鍵インフラストラクチャ(Public Key Infrastructure)、一般的には PKIは、オンライン通信と取引のセキュリティを確保するための中核的な要素となっています。しかし、この重要なセキュリティ フレームワークは、具体的には何によって構成されているのでしょうか。

本質的に、公開鍵インフラストラクチャとは、個人、デバイス、システムなどのエンティティ間での情報、トランザクション、通信の安全な電子転送を容易にするポリシー、手順、テクノロジ、コンポーネントを指します。これは、機密性、整合性、認証、否認防止を保証する暗号化メカニズムを通じて実現することを目的としています。

中心的な前提は 非対称暗号、特に公開鍵暗号は数学的にリンクされた暗号鍵ペア(秘密鍵と公開鍵)に基づいています。これらの鍵は、対応するもう一方の鍵だけがコンテンツにアクセスできるようにデータを暗号化および復号化します。これについては後で詳しく説明します。まず、完全な暗号化を構成するコアコンポーネントを調べてみましょう。 PKI システム。

主な構成要素 PKI 生態系

機能的 PKI 技術的、組織的、手続き的な要素が組み合わされています。

認証局 (CA)

CAは、 PKI. CA はデジタル ID 証明書を発行、取り消し、更新します。デジタル証明書には、エンティティに関する情報とその公開キーが含まれています。基本的に、デジタル証明書は、通信を暗号化するために使用される暗号化キー ペアを、キー ペアが属する検証済みの ID に結び付けます。SSL.com などの CA は、配布用にこれらの証明書にデジタル署名する前に、詳細を徹底的に検証します。

証明書とそれを発行する CA は、安全な通信のために証明書に依存するユーザーとシステムによって信頼されます。これにより、受信者は信頼できる CA が証明書の所有者を検証したことを認識するため、信頼が生まれます。

認証局と証明書の信頼

証明機関における「信頼」の概念は、特定のデジタル証明書が正当であり、証明書を提示する主体が本人であるという保証を中心に展開されます。この信頼フレームワークは、インターネット上の安全な通信、特に Web サイトやサービスの信頼性の検証が不可欠なオンライン バンキング、ショッピング、機密通信などのアクティビティにとって重要です。

パブリックトラスト

公的信頼には、主要なブラウザ企業、ソフトウェア開発者、およびオペレーティング システムによって広く認識され、自動的に信頼される CA によって発行された証明書が含まれます。この信頼が確立されるのは、CA が証明書を発行する前に厳格なポリシーと手順に従い、証明書を要求するエンティティが正当であり、問​​題のドメインを使用する権利、特定の名前でデジタル署名を適用する権利、または暗号化機能に付随する ID を表す権利を持っていることを確認するためです。

公衆の信頼は、Certificate Authority Browser Forumと呼ばれる標準化団体によって設定されたガイドラインと要件から生まれます。 CA /ブラウザフォーラムCA/ブラウザ フォーラムは、証明機関、インターネット ブラウザ ベンダー、およびその他の関係者の自主的なコンソーシアムで、公的に信頼されている証明書の発行と管理を規定するガイドラインを策定しています。主要なブラウザ会社とオペレーティング システムは、どの CA を信頼するかを決定し、それらを信頼されたルート証明書ストアに含めます。CA がこの信頼ストアに含まれていない場合、証明書が信頼されていないという警告がユーザーに表示されることがあります。

私的信託

プライベートトラストは、企業のイントラネットや、関係するエンティティが互いに直接的な関係または信頼関係を持つ管理された環境など、閉じたエコシステム内で発行された証明書を伴います。これらのシナリオでは、組織が独自の CA として機能する場合があります (プライベート CA) を構築し、ユーザー、デバイス、またはサービスに証明書を発行します。これらの証明書は、必ずしも外部で認識されるわけではありませんが、組織のエコシステム内では完全に有効です。

公的信頼と私的信頼の区別

パブリック信頼とプライベート信頼の主な違いは、発行された証明書の範囲と認識にあります。パブリックに信頼された CA のルート証明書は、主要なブラウザとオペレーティング システムの信頼されたストアに含まれており、追加の構成を行わなくても、発行された証明書が幅広いユーザーから自動的に信頼されるようになります。

対照的に、プライベート CA によって発行された証明書は、それらの証明書を信頼したいプライベート ネットワーク外のすべてのシステムで手動で信頼を構成する必要があります。これらは、インターネット全体で自動的に信頼されるわけではなく、主に組織が信頼する当事者を制御できる内部目的で使用されます。

パブリック信頼モデルとプライベート信頼モデルはどちらも、インターネット セキュリティと組織の内部セキュリティにおいて重要な役割を果たしており、それぞれ必要な信頼と認識の範囲に基づいて異なるニーズに応えます。

あなたのものをコントロールしましょう PKI インフラ
SSL.comの世界クラスのホスト型ソリューションでハードウェアコストと管理の複雑さを排除 PKI ソリューション。当社の WebTrust 認定施設と専門チームが、CA 運用がスムーズかつ安全に実行されることを保証します。

ホストをリクエストする PKI デモ

PKI 階層

CA には 2 つのカテゴリがあります。ルート CA は階層の頂点を形成し、中間 CA はその下で証明書を配布します。

登録機関(RA)

RAは、CAに署名付き証明書を要求する前に、身元を確認し、登録プロセスを確立します。RAは、正当なエンティティのみが証明書を受け取ることを保証します。 PKI ポリシーガイドライン。証明書生成前の徹底的な身元確認により、関係者間の信頼が強化されます。

公開鍵と秘密鍵

この数学的にリンクされたペアは、内部の暗号の仕組みを可能にします PKI公開鍵で暗号化されたデータは、対応する秘密鍵がなければ復号化できません。これにより、送信中のデータの機密性が維持されます。秘密鍵で署名されたデジタル署名は、対応する公開鍵で検証して ID 認証を行うことができます。

さまざまなタイプの PKI 導入事​​例と組織に適したものについては、当社のガイドをご覧ください。 プライベートvsパブリック PKI インフラ.

デジタル証明書

デジタル証明書には、名前、組織、場所、関連する公開キーなどの識別情報が含まれています。証明書には、バインドされた ID に関する保証として、発行元 CA のデジタル署名も含まれています。証明書は、システム間の相互運用性を可能にするために、X.509 国際標準に準拠しています。

証明書失効リスト(CRL)

CRL には、それぞれの CA によって失効された、侵害された ID を示す証明書のシリアル番号のリストが含まれています。エンティティは CRL を相互チェックして、有効期間内の証明書のみと通信するようにします。この集中化された参照リストにより、失効の配布が効率的に行われます。

証明書失効の仕組みと組織がセキュリティを維持する方法の詳細については、当社の包括的なガイドをご覧ください。 証明書失効リスト(CRL).

何ですか PKI のために使用される?

PKI 単なる理論的な枠組みではなく、いくつかの一般的なテクノロジーを可能にします。

  • セキュアウェブアクティビティ: HTTPS、SSL/TLS ブラウザとサーバー間の安全な接続を確立するプロトコルは、 PKI デジタル証明書と公開鍵暗号を利用した基盤となる暗号化。
  • 電子メールの暗号化と署名: 電子メールによる機密情報の交換は PKI 証明書の種類による標準 S/MIME (Secure/Multipurpose Internet Mail Extensions) を使用して電子メールを暗号化し、署名します。
  • コード署名証明書: ソフトウェア コードに暗号化署名を適用し、不正な変更を防止し、発行者を識別します。
  • 認証とアクセス制御: 企業VPNアクセスおよび建物入館システム用の証明書ベースの認証メカニズムは、IDパスワードプロトコルよりもはるかに強力なセキュリティを提供します。 PKI 方法論。
  • ブロックチェーントランザクション: ブロックチェーン台帳上のすべての取引は、非対称暗号鍵による署名によるデジタル通貨の転送を伴う。 PKI キー間の数学的リンクに関する原則。

デジタル接続が業界を超えて世界的に拡大するにつれ、 PKI 証明書、ID 管理、暗号化に関する既存の標準を通じてプライバシー、信頼、セキュリティを実現する基礎要素であり続けます。

どのように PKI 作業?

主要な構成要素を理解したので、 PKI、これらすべてのコンポーネントがどのように連携して動作するかについて議論することができます。

  1. キーペアの生成: 各エンティティは公開鍵と秘密鍵のペアを作成します。
  2. 証明書の発行: 信頼できる証明機関 (CA) がエンティティの ID を検証し、公開キーを含むデジタル証明書を発行します。
  3. 販売公開鍵と証明書は配布されますが、秘密鍵は秘密のままであり、証明書の所有者によって安全に保管される必要があります。
  4. Encryption: 送信者は受信者の公開鍵を使用してメッセージを暗号化します。
  5. 復号化: 受信者は秘密鍵を使用してメッセージを復号化します。
  6. デジタル署名: 送信者は自分の秘密鍵でメッセージに署名し、他のユーザーは送信者の公開鍵を使用してその署名を検証できます。
  7. 証明書の検証: エンティティは、証明書を信頼する前に、CA の公開キーを使用して証明書を検証します。

このシステムは、デジタル環境における安全な通信、認証、否認防止を可能にします。

の重要性 PKI

SSL.comでは、その莫大な価値を目の当たりにしてきました。 PKI 機密データの送信を安全に保護します。公的に信頼される主要な認証局として、私たちは進化し続けることに尽力しています。 PKI 堅牢な ID 検証、迅速な証明書発行、およびプロアクティブなインフラストラクチャ監視を通じて標準に準拠します。

連絡先 PKI 現代のサイバーセキュリティとデジタルアイデンティティに深く統合された要素として、拡大するデジタル経済全体のプライバシーと整合性の将来において中心的な役割を果たすものと私たちは考えています。

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。

調査する