ホーム > 情報処理安全確保支援士試験 > 2011年 秋期
情報処理安全確保支援士試験 2011年 秋期 午前2 問03
A 社の Web サーバは,認証局で生成した Web サーバ用のディジタル証明書を使ってSSL/TLS 通信を行っている。 PC が A 社の Web サーバに SSL/TLS を用いてアクセスしたときに PC が行う処理のうち, サーバのディジタル証明書を入手した後に,認証局の公開鍵を利用して行うものはどれか。
ア:暗号化通信に利用する共通鍵を生成し, 認証局の公開鍵を使って暗号化する。
イ:暗号化通信に利用する共通鍵を認証局の公開鍵を使って復号する。
ウ:ディジタル証明書の正当性を認証局の公開鍵を使って検証する。(正解)
エ:利用者が入力して送付する秘匿データを認証局の公開鍵を使って暗号化する。
解説
A社のWebサーバのディジタル証明書検証処理【午前2 解説】
要点まとめ
- 結論:PCはサーバのディジタル証明書の正当性を認証局の公開鍵で検証する。
- 根拠:証明書は認証局の秘密鍵で署名されており、公開鍵で署名検証を行うことで真正性を確認できる。
- 差がつくポイント:認証局の公開鍵は証明書の検証に使い、共通鍵の暗号化や復号には使わない点を理解すること。
正解の理由
サーバのディジタル証明書は認証局(CA)が秘密鍵で署名したデータです。PCは認証局の公開鍵を使い、その署名を検証することで証明書が改ざんされていないか、正当な発行元かを確認します。これにより、信頼できるサーバかどうかを判断し、安全なSSL/TLS通信を開始できます。したがって、認証局の公開鍵を使うのは「証明書の正当性検証」であり、選択肢ウが正解です。
よくある誤解
認証局の公開鍵は共通鍵の暗号化や復号には使いません。共通鍵は通信当事者間で安全に共有するためのもので、公開鍵は証明書の署名検証専用です。
解法ステップ
- PCはサーバからディジタル証明書を受け取る。
- 証明書には認証局の署名(秘密鍵で生成)が含まれている。
- PCは認証局の公開鍵を使い、証明書の署名を検証する。
- 署名が正しければ証明書の内容(サーバの公開鍵など)が正当と判断。
- その後、SSL/TLSの共通鍵生成や暗号通信が安全に行われる。
選択肢別の誤答解説
- ア: 共通鍵を認証局の公開鍵で暗号化することはない。共通鍵はサーバとクライアント間で安全に共有される。
- イ: 認証局の公開鍵で共通鍵を復号することは誤り。公開鍵暗号は暗号化と復号で鍵が対になっているが、共通鍵は別の方法で共有される。
- ウ: 正解。認証局の公開鍵で証明書の署名検証を行い正当性を確認する。
- エ: 秘匿データの暗号化に認証局の公開鍵を使うことはない。通常はサーバの公開鍵や共通鍵を使う。
補足コラム
SSL/TLS通信では、公開鍵暗号と共通鍵暗号を組み合わせて高速かつ安全な通信を実現しています。公開鍵暗号は主に認証と共通鍵の安全な共有に使われ、実際のデータ通信は共通鍵暗号で行われます。認証局の公開鍵は信頼の根幹であり、証明書の検証に不可欠です。
FAQ
Q: なぜ認証局の公開鍵で証明書の署名を検証するのですか?
A: 証明書は認証局の秘密鍵で署名されており、対応する公開鍵で署名の正当性を検証することで改ざんや偽造を防止できます。
A: 証明書は認証局の秘密鍵で署名されており、対応する公開鍵で署名の正当性を検証することで改ざんや偽造を防止できます。
Q: 共通鍵はどのようにして安全に共有されますか?
A: 通常、公開鍵暗号を使って共通鍵を暗号化し、安全に交換します。共通鍵は通信の高速化のために使われます。
A: 通常、公開鍵暗号を使って共通鍵を暗号化し、安全に交換します。共通鍵は通信の高速化のために使われます。
関連キーワード: SSL, TLS, ディジタル証明書, 認証局, 公開鍵暗号, 共通鍵暗号, 署名検証, セキュリティ