ITパスポート 2014年 秋期 問55
問題文
PKI(公開鍵基盤)における電子証明書に関する記述のうち、適切なものはどれか。
選択肢
ア:通信内容の改ざんがあった場合、電子証明書を発行した認証局で検知する。
イ:電子メールに電子証明書を付与した場合、送信者が電子メールの送達記録を認証局に問い合わせることができる。
ウ:電子メールの送信者が公開鍵の所有者であることを、電子証明書を発行した認証局が保証することによって、なりすましを検出可能とする。(正解)
エ:認証局から電子証明書の発行を受けた送信者が、電子メールにディジタル署名を付与すると、認証局がその電子メールの控えを保持する。
🔒 解説は解答すると表示されます
PKI(公開鍵基盤)における電子証明書に関する記述【ITパスポート 解説】
正解の理由
電子証明書は「ある人物(や組織)の公開鍵(公開して使う鍵)とその身元を結びつける情報」です。発行するのは認証局(CA:Certification Authority、証明書を発行する組織)で、CA がその結びつきを確認し、自分の署名で証明します。これにより、受信者は「この公開鍵は確かにこの送信者のものだ」と信頼できるようになります。
選択肢のうち、ウは「電子メールの送信者が公開鍵の所有者であることを、電子証明書を発行した認証局が保証することによって、なりすましを検出可能とする。」と述べています。これは電子証明書と認証局の本来の役割を正しく表しています。受信者は証明書で公開鍵の持ち主を確認し、その公開鍵で送信メールのディジタル署名を検証すれば、署名できる秘密鍵を持っている本人から送られたか(=なりすましかどうか)を判定できます。
解法ステップ
- 「電子証明書の役割は何か?」を考える。→ 公開鍵と身元の結びつけ。
- 「認証局(CA)は何をするか?」を確認する。→ 身元確認を行い、証明書に署名して発行する。
- 各選択肢が CA や証明書の役割と合致するかを照らし合わせる。
- CA が通信内容の改ざんを検知する、や送達記録を保持する、メールの控えを保存するといった記述は、CA の通常の役割に合わない。
- 以上より、証明書で公開鍵と送信者の結びつきが保証される点を述べた ウ が正しいと判断する。
選択肢別の誤答解説
-
ア: 「通信内容の改ざんがあった場合、電子証明書を発行した認証局で検知する。」
- 誤り。通信内容の改ざんは、受信者がディジタル署名(送信者の秘密鍵で作る署名)やメッセージ認証コードで検出します。認証局は個々の通信の監視や検知を行いません。
-
イ: 「電子メールに電子証明書を付与した場合、送信者が電子メールの送達記録を認証局に問い合わせることができる。」
- 誤り。送達記録(配達確認やログ)はメールサーバーやメールサービスプロバイダが管理します。認証局は証明書の発行や失効管理が主な業務で、メール配達記録の提供は行いません。
-
ウ: 「電子メールの送信者が公開鍵の所有者であることを、電子証明書を発行した認証局が保証することによって、なりすましを検出可能とする。」
- 正しい。証明書で公開鍵と送信者の関係を CA が保証し、受信者はその公開鍵で署名を検証することで、なりすましかどうかを判断できます。
-
エ: 「認証局から電子証明書の発行を受けた送信者が、電子メールにディジタル署名を付与すると、認証局がその電子メールの控えを保持する。」
- 誤り。ディジタル署名は送信者が秘密鍵で作成します。認証局はそのメールの控えを保持しません(CA は証明書の発行と失効管理が役割)。
よくある誤解
-
「認証局は全ての通信を監視している」
- 実際は違います。CA は証明書を発行・署名・失効(取り消し)する組織で、個別のメッセージの中身や配達を監視・保存する役割はありません。
-
「証明書があれば絶対に安心」
- 証明書は発行時の身元確認を示すものですが、秘密鍵が盗まれると第三者が署名できるため危険です。盗難時は証明書の失効(CRL や OCSP)を行う必要があります。
-
「ディジタル署名」と「証明書」を混同する
- 証明書は「公開鍵と身元の証明」。ディジタル署名は「その公開鍵に対応する秘密鍵で作った、メッセージの改ざん検出と送信者認証手段」です。CA は証明書を発行しますが、署名は送信者自身が作ります。
補足コラム
-
PKI(公開鍵基盤:Public Key Infrastructure)とは?
- 公開鍵暗号(公開鍵と秘密鍵というペアを使う暗号技術)を安全に運用するための仕組み全体です。主要な要素は認証局(CA)、登録機関(RA:Registration Authority、身元確認を代行する場合がある)、証明書失効情報(CRL:Certificate Revocation List、または OCSP:Online Certificate Status Protocol)などです。
-
検証の流れ(簡潔)
- 受信者は送られてきた電子メールのディジタル署名を取得する。
- 署名を検証するために、メールに添付されている(または別途渡された)送信者の電子証明書を確認する。
- 証明書自体が信頼できる CA の公開鍵で署名されているか、証明書の有効期限・失効状況を確認する。
- 証明書が有効なら、その中の公開鍵で署名を検証して送信者性と改ざんの有無を判断する。
-
覚え方の例え:
- 電子証明書は「運転免許証」のようなもの。免許証が本人の顔写真と名前を結びつけるのと同じく、証明書は公開鍵と身元を結びつけます。認証局は免許を発行する役所です。
FAQ
Q1: 認証局(CA)はメールの中身を見られますか?
A1: いいえ。CA は証明書の発行や失効管理を行いますが、個々のメールの内容を保存・閲覧する役割はありません。
A1: いいえ。CA は証明書の発行や失効管理を行いますが、個々のメールの内容を保存・閲覧する役割はありません。
Q2: 証明書があれば第三者になりすますことは完全に防げますか?
A2: 完全ではありません。証明書は公開鍵と身元の結びつきを示しますが、秘密鍵が流出すると第三者が署名できてしまいます。鍵の管理と失効手続き(CRL/OCSP)が重要です。
A2: 完全ではありません。証明書は公開鍵と身元の結びつきを示しますが、秘密鍵が流出すると第三者が署名できてしまいます。鍵の管理と失効手続き(CRL/OCSP)が重要です。
Q3: 証明書とディジタル署名はどちらが「保証」しているのですか?
A3: 証明書は CA が「この公開鍵はこの人物のものだ」と保証します。ディジタル署名は送信者自身が作り、署名の検証で「その秘密鍵を持つ者がメッセージを作った」ことを示します。
A3: 証明書は CA が「この公開鍵はこの人物のものだ」と保証します。ディジタル署名は送信者自身が作り、署名の検証で「その秘密鍵を持つ者がメッセージを作った」ことを示します。
関連キーワード: PKI、公開鍵、秘密鍵、電子証明書、認証局、ディジタル署名、証明書失効、CRL、OCSP、公開鍵暗号、認証機構

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

