情報処理安全確保支援士 2014年 春期 午前2 問01
問題文
特定の認証局が発行した CRL (Certificate Revocation List)に関する記述のうち、適切なものはどれか。
選択肢
ア:CRLには、失効したディジタル証明書に対応する秘密鍵が登録される。
イ:CRLには、有効期限内のディジタル証明書のうち破棄されているディジタル証明書と破棄された日時の対応が提示される。(正解)
ウ:CRLは、鍵の漏えい・破棄申請の状況をリアルタイムに反映するプロトコルである。
エ:有効期限切れで失効したディジタル証明書は、所有者が新たなディジタル証明書を取得するまでの間、CRLに登録される。
特定の認証局が発行した CRL (Certificate Revocation List) に関する記述【午前2 解説】
正解の理由
選択肢イは「CRL には、有効期限内のディジタル証明書のうち破棄されているディジタル証明書と破棄された日時の対応が提示される」と述べています。CRL(Certificate Revocation List)は認証局(CA)が発行する失効証明書の一覧であり、通常は失効した証明書のシリアル番号と失効日時、失効理由などが含まれます。したがって、証明書が有効期間中に取り消された(破棄された)場合、その情報が CRL に掲載されるという記述は正確です。
解法ステップ
- 問題文のキーワードを確認:CRL(Certificate Revocation List)とは何かを把握する。
- 各選択肢を CRL の定義と照合する:CRL に含まれる情報(証明書シリアル番号、失効日時、失効理由)を基準に評価する。
- 「有効期限切れ」「秘密鍵」「リアルタイム」などの用語の意味を整理する。
- 最も整合する記述(イ)を選ぶ。
選択肢別の誤答解説
- ア:CRL には、失効した証明書に対応する秘密鍵が登録される。
- 誤り。秘密鍵は絶対に CRL に登録されない。CRL は証明書(主にシリアル番号)とその失効情報のみを含む。秘密鍵の管理は別問題で、漏洩時は証明書を失効させることで対応する。
- イ:CRL には、有効期限内のディジタル証明書のうち破棄されているディジタル証明書と破棄された日時の対応が提示される。
- 正解。失効(取り消し)された証明書は CRL に登録され、失効日時が記載されるのが標準的な仕様である。
- ウ:CRL は、鍵の漏えい・破棄申請の状況をリアルタイムに反映するプロトコルである。
- 誤り。CRL は定期的に発行される静的リストであり、リアルタイム更新を保証しない。リアルタイム性が必要なら OCSP(Online Certificate Status Protocol)などを利用する。
- エ:有効期限切れで失効した証明書は、所有者が新たな証明書を取得するまでの間、CRL に登録される。
- 誤り。有効期限切れ(natural expiration)は失効(revocation)とは別で、通常は CRL に載せる対象ではない。CA によっては掲載する場合も稀にあるが、問題の趣旨からは不適切。
よくある誤解
- CRL は秘密鍵を保存・登録するものではない
- 誤解:失効証明書の秘密鍵が CRL に登録されると思われがちですが、秘密鍵は絶対に公開・登録されません。CRL は証明書(公開鍵証明書)の識別情報のみを記載します。
- 失効 = 有効期限切れ と混同する誤り
- 誤解:有効期限切れは証明書の期間満了であり、CRL で扱う「失効」は CA が期間内に取り消したケースです。期限切れの証明書は通常 CRL に載せない場合が多いです。
- CRL はリアルタイム更新でない
- 誤解:CRL は発行間隔がある静的リストで、即時反映を期待するなら OCSP のような仕組みが必要です。
補足コラム
- CRL と OCSP の違い:CRL は失効証明書の一覧をファイル(または LDAP で配布)として配布する仕組みで、ファイルサイズや配布遅延が課題です。OCSP は個々の証明書の失効状態を問合せて即時応答するプロトコルで、リアルタイム性に優れますが、サーバ負荷や可用性が問題になります。多くの実装は CRL を定期取得しキャッシュ、OCSP を補助的に利用するハイブリッド運用を行います。
- CRL の構成要素:主に証明書シリアル番号、失効日時、失効理由コード、発行日時(thisUpdate), 次回更新予定(nextUpdate)などを含みます。
FAQ
Q1: 有効期限切れの証明書は CRL に絶対載らないですか?
A1: 一般には期限切れは CRL の主目的(取り消し)ではないため載せないことが多いですが、CA により運用方針で載せる場合もあり得ます。試験問題では「失効(revocation)」と「有効期限切れ(expiration)」を区別することが重要です。
A1: 一般には期限切れは CRL の主目的(取り消し)ではないため載せないことが多いですが、CA により運用方針で載せる場合もあり得ます。試験問題では「失効(revocation)」と「有効期限切れ(expiration)」を区別することが重要です。
Q2: CRL の更新頻度はどのくらいですか?
A2: CA によって異なりますが、発行頻度は数時間〜数日単位が一般的です。CRL のヘッダに nextUpdate が含まれ、次回発行予定を示します。
A2: CA によって異なりますが、発行頻度は数時間〜数日単位が一般的です。CRL のヘッダに nextUpdate が含まれ、次回発行予定を示します。
Q3: 失効理由はどのように識別されますか?
A3: X.509 の規格では失効理由コード(keyCompromise, cessationOfOperation など)が定義されており、CRL の各エントリに含めることができます。
A3: X.509 の規格では失効理由コード(keyCompromise, cessationOfOperation など)が定義されており、CRL の各エントリに含めることができます。
関連キーワード: CRL、X.509、OCSP、失効リスト、公開鍵基盤(PKI)、証明書失効、認証局、証明書検証

\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

