ホーム > 情報処理安全確保支援士試験 > 2016年 春期
情報処理安全確保支援士試験 2016年 春期 午前2 問03
PKI を構成する OCSP を利用する目的はどれか。
ア:誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
イ:ディジタル証明書から生成した鍵情報の交換がOCSPクライアントとレスポンダの間で失敗した際,認証状態を確認する。
ウ:ディジタル証明書の失効情報を問い合わせる。(正解)
エ:有効期限が切れたディジタル証明書の更新処理の進捗状況を確認する。
解説
PKI を構成する OCSP を利用する目的はどれか【午前2 解説】
要点まとめ
- 結論:OCSPはディジタル証明書の失効情報をリアルタイムで問い合わせるために利用されます。
- 根拠:PKIにおける証明書の有効性確認手段として、CRLよりも迅速かつ効率的に失効状態を確認できる仕組みだからです。
- 差がつくポイント:OCSPは失効情報の問い合わせに特化しており、鍵の再発行や更新進捗の確認には使わない点を理解することが重要です。
正解の理由
OCSP(Online Certificate Status Protocol)は、PKI(公開鍵基盤)においてディジタル証明書の失効状態を即座に確認するためのプロトコルです。証明書が失効しているかどうかを問い合わせることで、信頼できる通信を維持します。選択肢ウは「ディジタル証明書の失効情報を問い合わせる」とあり、OCSPの本質的な役割を正確に表しています。
よくある誤解
OCSPは証明書の有効期限や鍵の再発行状況を管理するものではありません。失効情報の確認に特化しているため、更新や再発行の進捗確認には使いません。
解法ステップ
- PKIの基本構成要素と役割を理解する。
- OCSPの目的が証明書の失効状態のリアルタイム確認であることを確認する。
- 選択肢の内容をOCSPの役割と照らし合わせる。
- 鍵の再発行や更新進捗はOCSPの機能外であることを認識する。
- 失効情報の問い合わせに該当する選択肢を選ぶ。
選択肢別の誤答解説
- ア: 秘密鍵の再発行進捗はPKIの管理者やCAの業務範囲であり、OCSPは関与しません。
- イ: 鍵情報の交換失敗時の認証状態確認はOCSPの役割ではなく、通信プロトコルや鍵交換の仕組みで対応します。
- ウ: 正解。OCSPは証明書の失効情報を問い合わせるためのプロトコルです。
- エ: 証明書の有効期限切れや更新進捗はOCSPの対象外で、証明書の更新は別の手続きで行います。
補足コラム
OCSPはCRL(Certificate Revocation List)に代わる失効確認手段として普及しました。CRLは失効証明書の一覧を定期的に配布しますが、更新頻度が低くリアルタイム性に欠けます。一方、OCSPはクライアントが証明書の状態を即座に問い合わせるため、より安全で効率的な運用が可能です。
FAQ
Q: OCSPとCRLの違いは何ですか?
A: CRLは失効証明書のリストをまとめて配布する方式で、OCSPは個別に証明書の失効状態をリアルタイムで問い合わせる方式です。
A: CRLは失効証明書のリストをまとめて配布する方式で、OCSPは個別に証明書の失効状態をリアルタイムで問い合わせる方式です。
Q: OCSPレスポンダとは何ですか?
A: OCSPレスポンダはOCSPリクエストに対して証明書の失効状態を返答するサーバーのことです。
A: OCSPレスポンダはOCSPリクエストに対して証明書の失効状態を返答するサーバーのことです。
関連キーワード: PKI, OCSP, ディジタル証明書, 失効情報, 公開鍵基盤, CRL, 証明書失効確認