ホーム > データベーススペシャリスト試験 > 2010年
データベーススペシャリスト試験 2010年 午前2 問21
A 社の Web サーバは, 認証局で生成した Web サーバ用のディジタル証明書を使って SSL/TLS 通信を行っている。PCがA社の Web サーバに SSL/TLS を用いてアクセスしたとき, サーバのディジタル証明書を入手した後に, 認証局の公開鍵を利用し PC が行う処理はどれか。
ア:暗号化通信に利用する共通鍵を生成し, 認証局の公開鍵を使って暗号化する。
イ:暗号化通信に利用する共通鍵を認証局の公開鍵を使って復号する。
ウ:ディジタル証明書の正当性を認証局の公開鍵を使って検証する。(正解)
エ:利用者が入力, 送付する秘匿データを認証局の公開鍵を使って暗号化する。
解説
A社のWebサーバのディジタル証明書検証処理【午前2 解説】
要点まとめ
- 結論:PCは認証局の公開鍵を使ってサーバのディジタル証明書の正当性を検証します。
- 根拠:ディジタル証明書は認証局が秘密鍵で署名し、公開鍵で検証することで改ざんや偽装を防止します。
- 差がつくポイント:公開鍵は暗号化だけでなく、署名検証にも使うことを理解し、証明書検証の流れを正確に押さえることが重要です。
正解の理由
ディジタル証明書は認証局(CA)がサーバの公開鍵情報などを秘密鍵で電子署名したものです。PCは認証局の公開鍵を使い、この署名を検証することで証明書の正当性(真正性と改ざんされていないこと)を確認します。これにより、サーバが本物であることを保証し、安全なSSL/TLS通信を開始できます。したがって、正解はウ: ディジタル証明書の正当性を認証局の公開鍵を使って検証する。です。
よくある誤解
認証局の公開鍵は通信の暗号化に直接使うのではなく、証明書の署名検証に使います。共通鍵の生成や暗号化は別の手順で行われます。
解法ステップ
- PCはサーバからディジタル証明書を受け取る。
- 証明書に含まれる認証局の電子署名を抽出する。
- 認証局の公開鍵を用いて署名を検証し、証明書の改ざんがないか確認する。
- 証明書が有効なら、サーバの公開鍵を信頼してSSL/TLSの共通鍵交換に進む。
選択肢別の誤答解説
- ア: 共通鍵はPCとサーバ間で生成し、認証局の公開鍵で暗号化することはありません。認証局の公開鍵は署名検証用です。
- イ: 共通鍵を認証局の公開鍵で復号するのは誤りです。公開鍵は暗号化に使い、復号は秘密鍵で行います。
- ウ: 正解。証明書の署名検証に認証局の公開鍵を使います。
- エ: 利用者の秘匿データを暗号化する際はサーバの公開鍵を使い、認証局の公開鍵は使いません。
補足コラム
SSL/TLS通信では、まずサーバの証明書の正当性を検証し、その後に共通鍵を安全に交換します。証明書の検証は公開鍵暗号の署名検証機能を利用し、信頼できる認証局の公開鍵があらかじめPCにインストールされていることが前提です。
FAQ
Q: なぜ認証局の公開鍵で証明書の署名を検証するのですか?
A: 証明書は認証局の秘密鍵で署名されているため、対応する公開鍵で検証することで改ざんや偽装を検出できます。
A: 証明書は認証局の秘密鍵で署名されているため、対応する公開鍵で検証することで改ざんや偽装を検出できます。
Q: 共通鍵はどのようにして安全に交換されますか?
A: 共通鍵はサーバの公開鍵で暗号化して送信されるか、Diffie-Hellman鍵共有などの方式で安全に交換されます。
A: 共通鍵はサーバの公開鍵で暗号化して送信されるか、Diffie-Hellman鍵共有などの方式で安全に交換されます。
関連キーワード: SSL, TLS, ディジタル証明書, 認証局, 公開鍵暗号, 電子署名, 共通鍵交換, 証明書検証