応用情報技術者 2017年 秋期 午前2 問36
問題文
認証局が発行する CRL に関する記述のうち、適切なものはどれか。
選択肢
ア:CRLには、 失効したディジタル証明書に対応する秘密鍵が登録される。
イ:CRLには、有効期限内のディジタル証明書のうち失効したディジタル証明書と失効した日時の対応が提示される。(正解)
ウ:CRLは、鍵の漏えい、 失効申請の状況をリアルタイムに反映するプロトコルである。
エ:有効期限切れで失効したディジタル証明書は、所有者が新たなディジタル証明書を取得するまでの間、 CRL に登録される。
認証局が発行する CRL に関する記述【午前2 解説】
要点まとめ
- 結論:CRL(証明書失効リスト)には失効した証明書とその失効日時が記載されているため、イが正解です。
- 根拠:CRLは認証局が発行し、失効した証明書の一覧を提供して証明書の有効性を確認するためのリストです。
- 差がつくポイント:秘密鍵はCRLに登録されず、リアルタイム更新ではなく定期的に発行される点を理解することが重要です。
正解の理由
イは「CRLには、有効期限内のディジタル証明書のうち失効した証明書と失効日時の対応が提示される」と述べています。これはCRLの本質的な役割であり、失効した証明書の識別と失効日時を示すことで、利用者が証明書の有効性を検証できます。
よくある誤解
- 秘密鍵がCRLに登録されると誤解されがちですが、秘密鍵は厳重に管理され公開されません。
- CRLはリアルタイムに更新されるわけではなく、定期的に発行されるリストです。
解法ステップ
- CRLの定義を確認する(証明書失効リストであること)。
- 各選択肢の内容がCRLの役割と合致しているか検証する。
- 秘密鍵の扱いや更新頻度などの誤りを見抜く。
- 失効日時の記載があるかどうかを確認する。
- 最も正確にCRLの機能を説明している選択肢を選ぶ。
選択肢別の誤答解説
- ア:秘密鍵はCRLに登録されません。秘密鍵は証明書の所有者が管理し、公開されることはありません。
- イ:正解。失効した証明書と失効日時が記載されているため、CRLの役割を正確に表しています。
- ウ:CRLはプロトコルではなく、失効証明書のリストであり、リアルタイム更新ではありません。
- エ:有効期限切れの証明書は失効とは異なり、CRLに登録されません。失効は証明書の有効期限内に取り消された場合を指します。
補足コラム
CRLはPKI(公開鍵基盤)における重要な要素で、証明書の失効情報を提供することで安全な通信を支えています。近年はOCSP(オンライン証明書状態プロトコル)によるリアルタイム検証も普及していますが、CRLは依然として基本的な失効管理手段です。
FAQ
Q: CRLはどのくらいの頻度で更新されますか?
A: CRLは認証局によって定期的に発行され、数時間から数日単位で更新されます。リアルタイムではありません。
A: CRLは認証局によって定期的に発行され、数時間から数日単位で更新されます。リアルタイムではありません。
Q: 失効した証明書はなぜCRLに登録されるのですか?
A: 失効した証明書を利用者が検出し、信頼できない証明書を排除するためです。
A: 失効した証明書を利用者が検出し、信頼できない証明書を排除するためです。
関連キーワード: CRL, 証明書失効リスト、PKI, ディジタル証明書、失効日時、認証局、OCSP
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!