ホーム > 情報処理安全確保支援士試験 > 2013年 春期
情報処理安全確保支援士試験 2013年 春期 午前2 問03
PKI を構成する OCSP (Online Certificate Status Protocol) を利用する目的はどれか。
ア:誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
イ:ディジタル証明書から生成した鍵情報の交換が OCSP クライアントとレスポンダの間で失敗した際, 認証状態を確認する。
ウ:ディジタル証明書の失効情報を問い合わせる。(正解)
エ:有効期限の切れたディジタル証明書の更新処理の進捗状況を確認する。
解説
PKI を構成する OCSP (Online Certificate Status Protocol) を利用する目的はどれか。【午前2 解説】
要点まとめ
- 結論:OCSPはディジタル証明書の失効情報をリアルタイムで問い合わせるために利用されます。
- 根拠:証明書の有効性を確認する際、失効リスト(CRL)よりも迅速かつ効率的に状態を取得できるためです。
- 差がつくポイント:OCSPは証明書の「失効状態」を問い合わせるプロトコルであり、鍵の再発行や更新進捗の確認には使いません。
正解の理由
OCSPはPKIにおいて、証明書の有効性を確認するためのプロトコルです。特に、証明書が失効していないかをリアルタイムで問い合わせることができ、失効リスト(CRL)の代替手段として利用されます。したがって、「ディジタル証明書の失効情報を問い合わせる」選択肢が正解です。
よくある誤解
OCSPは鍵の再発行や証明書の更新進捗を確認するためのものではありません。証明書の状態確認に特化したプロトコルである点を誤解しやすいです。
解法ステップ
- PKIの基本構成要素と役割を理解する。
- OCSPの目的が証明書の失効状態の問い合わせであることを確認する。
- 選択肢の内容を「失効情報の問い合わせ」と「その他の処理」に分類する。
- 鍵の再発行や更新進捗はOCSPの役割外と判断する。
- 「ディジタル証明書の失効情報を問い合わせる」選択肢を正解とする。
選択肢別の誤答解説
- ア: 秘密鍵の再発行進捗はPKIの管理者やCAの内部処理であり、OCSPは関与しません。
- イ: 鍵情報の交換失敗時の認証状態確認はOCSPの役割ではなく、証明書の失効状態確認に限定されます。
- ウ: ディジタル証明書の失効情報を問い合わせるためのプロトコルであり、正解です。
- エ: 証明書の有効期限切れや更新進捗はOCSPの対象外で、証明書の状態確認は失効情報に限られます。
補足コラム
OCSPはCRL(Certificate Revocation List)に代わる方式として開発されました。CRLは失効証明書の一覧を定期的に配布する方式ですが、更新頻度が低くリアルタイム性に欠けます。一方、OCSPはクライアントが証明書の状態を即座に問い合わせるため、より効率的で安全な運用が可能です。
FAQ
Q: OCSPは証明書の有効期限も確認できますか?
A: いいえ。OCSPは証明書の失効状態のみを問い合わせるプロトコルで、有効期限の確認は証明書自体の情報から行います。
A: いいえ。OCSPは証明書の失効状態のみを問い合わせるプロトコルで、有効期限の確認は証明書自体の情報から行います。
Q: CRLとOCSPの違いは何ですか?
A: CRLは失効証明書の一覧をまとめて配布する方式、OCSPは個別に証明書の失効状態を問い合わせる方式で、OCSPの方がリアルタイム性に優れています。
A: CRLは失効証明書の一覧をまとめて配布する方式、OCSPは個別に証明書の失効状態を問い合わせる方式で、OCSPの方がリアルタイム性に優れています。
関連キーワード: PKI, OCSP, ディジタル証明書, 失効情報, 証明書失効リスト, CRL, 公開鍵基盤