ホーム > 情報処理安全確保支援士試験 > 2014年 秋期
情報処理安全確保支援士試験 2014年 秋期 午前2 問01
PKIを構成するOCSPを利用する目的はどれか。
ア:誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
イ:ディジタル証明書から生成した鍵情報の交換がOCSPクライアントとレスポンダの間で失敗した際,認証状態を確認する。
ウ:ディジタル証明書の失効情報を問い合わせる。(正解)
エ:有効期限の切れたディジタル証明書の更新処理の進捗状況を確認する。
解説
PKIを構成するOCSPを利用する目的はどれか【午前2 解説】
要点まとめ
- 結論:OCSPはディジタル証明書の失効情報をリアルタイムで問い合わせるために利用されます。
- 根拠:PKIでは証明書の有効性を保証するために失効情報の確認が不可欠であり、OCSPはその効率的な手段です。
- 差がつくポイント:失効情報の確認方法としてCRLとOCSPの違いを理解し、OCSPが即時応答を提供する点を押さえることが重要です。
正解の理由
OCSP(Online Certificate Status Protocol)は、PKIにおいてディジタル証明書が失効していないかをリアルタイムで確認するためのプロトコルです。証明書の失効は秘密鍵の漏洩や不正利用を防ぐために重要であり、OCSPは証明書失効リスト(CRL)を待つことなく即座に失効状態を問い合わせることができます。したがって、「ディジタル証明書の失効情報を問い合わせる」ウが正解です。
よくある誤解
OCSPは秘密鍵の再発行や証明書の更新進捗を確認するものではありません。失効情報の問い合わせに特化したプロトコルである点を誤解しやすいです。
解法ステップ
- PKIの基本構成要素と役割を理解する。
- OCSPの目的が証明書の有効性確認であることを確認する。
- 選択肢の内容を「失効情報の問い合わせ」と比較する。
- 秘密鍵の再発行や更新進捗はOCSPの役割外と判断する。
- 「ディジタル証明書の失効情報を問い合わせる」選択肢を正解とする。
選択肢別の誤答解説
- ア: 秘密鍵の再発行はPKIの管理者やCAの役割であり、OCSPは関与しません。
- イ: 鍵情報の交換失敗時の認証状態確認はOCSPの機能ではなく、通信プロトコルのエラー処理に該当します。
- ウ: ディジタル証明書の失効情報を問い合わせるためのプロトコルであり、正解です。
- エ: 証明書の更新進捗はOCSPの対象外で、証明書の発行・更新はCAの管理下にあります。
補足コラム
OCSPはCRL(Certificate Revocation List)に代わる失効情報確認手段として普及しました。CRLは定期的に配布されるリストであるため最新情報の反映に遅延がありますが、OCSPはリアルタイムで失効状態を問い合わせ可能です。これにより、セキュリティリスクを低減し、効率的な証明書管理が実現します。
FAQ
Q: OCSPとCRLの違いは何ですか?
A: CRLは失効証明書の一覧をまとめて配布する方式で、更新に時間がかかるのに対し、OCSPはリアルタイムで特定証明書の失効状態を問い合わせる方式です。
A: CRLは失効証明書の一覧をまとめて配布する方式で、更新に時間がかかるのに対し、OCSPはリアルタイムで特定証明書の失効状態を問い合わせる方式です。
Q: OCSPはどのように動作しますか?
A: クライアントがOCSPリクエストをOCSPレスポンダに送信し、レスポンダが証明書の有効・失効状態を返答します。
A: クライアントがOCSPリクエストをOCSPレスポンダに送信し、レスポンダが証明書の有効・失効状態を返答します。
関連キーワード: PKI, OCSP, ディジタル証明書, 失効情報, 証明書失効リスト, CRL, 証明書有効性確認