ホーム > 情報処理安全確保支援士試験 > 2014年 春期
情報処理安全確保支援士試験 2014年 春期 午前2 問01
特定の認証局が発行した CRL (Certificate Revocation List)に関する記述のうち、適切なものはどれか。
ア:CRLには、失効したディジタル証明書に対応する秘密鍵が登録される。
イ:CRLには、有効期限内のディジタル証明書のうち破棄されているディジタル証明書と破棄された日時の対応が提示される。
ウ:CRLは、鍵の漏えい・破棄申請の状況をリアルタイムに反映するプロトコルである。
エ:有効期限切れで失効したディジタル証明書は、所有者が新たなディジタル証明書を取得するまでの間、CRLに登録される。(正解)
解説
特定の認証局が発行した CRL (Certificate Revocation List)に関する記述のうち、適切なものはどれか。【午前2 解説】
要点まとめ
- 結論:CRLには有効期限切れで失効した証明書も登録され、所有者が新証明書を取得するまで管理される。
- 根拠:CRLは失効証明書の一覧を提供し、証明書の信頼性を維持するために必要な情報を含む。
- 差がつくポイント:CRLに秘密鍵やリアルタイム情報は含まれず、失効日時や理由が正確に記録される点を理解すること。
正解の理由
選択肢エは「有効期限切れで失効したディジタル証明書は、所有者が新たなディジタル証明書を取得するまでの間、CRLに登録される」と述べています。これは正しいです。CRLは失効した証明書の一覧を示し、証明書の有効性を検証する際に参照されます。有効期限切れや鍵漏洩などの理由で失効した証明書は、一定期間CRLに登録され続け、信頼性の担保に役立ちます。
よくある誤解
CRLに秘密鍵が登録されると誤解されがちですが、秘密鍵は証明書の管理外であり、CRLには含まれません。
また、CRLはリアルタイム更新されるプロトコルではなく、定期的に発行されるリストです。
また、CRLはリアルタイム更新されるプロトコルではなく、定期的に発行されるリストです。
解法ステップ
- CRLの役割を理解する(失効証明書の一覧提供)。
- 各選択肢の内容をCRLの定義と照らし合わせる。
- 秘密鍵やリアルタイム性の有無を確認する。
- 有効期限切れ証明書の扱いを検討する。
- 最も正確な記述を選択肢から選ぶ。
選択肢別の誤答解説
- ア: CRLに秘密鍵が登録されるのは誤り。秘密鍵は厳重に管理され、公開されない。
- イ: CRLは破棄された証明書と日時を示すが、有効期限内の証明書は通常登録されない。
- ウ: CRLはリアルタイムに更新されるプロトコルではなく、定期的に発行されるリストである。
- エ: 有効期限切れで失効した証明書もCRLに登録され、所有者が新証明書を取得するまで管理されるため正解。
補足コラム
CRLはPKI(公開鍵基盤)における重要な要素で、証明書の失効情報を提供します。失効情報は証明書の信頼性を判断する際に不可欠であり、OCSP(Online Certificate Status Protocol)と並んで利用されます。CRLは定期的に認証局から配布され、証明書の有効性確認に用いられます。
FAQ
Q: CRLに秘密鍵が含まれることはありますか?
A: いいえ。秘密鍵は証明書の発行者や所有者が厳重に管理し、CRLには含まれません。
A: いいえ。秘密鍵は証明書の発行者や所有者が厳重に管理し、CRLには含まれません。
Q: CRLはどのくらいの頻度で更新されますか?
A: 認証局によって異なりますが、数時間から数日単位で定期的に発行されます。
A: 認証局によって異なりますが、数時間から数日単位で定期的に発行されます。
Q: OCSPとCRLの違いは何ですか?
A: CRLは失効証明書の一覧をまとめて提供するのに対し、OCSPはリアルタイムで証明書の状態を問い合わせるプロトコルです。
A: CRLは失効証明書の一覧をまとめて提供するのに対し、OCSPはリアルタイムで証明書の状態を問い合わせるプロトコルです。
関連キーワード: CRL, 証明書失効, 公開鍵基盤, PKI, OCSP, ディジタル証明書