認証局
出典: フリー百科事典『ウィキペディア(Wikipedia)』
暗号において、公開鍵証明書認証局または認証局 (CA) は、他の当事者にデジタル 公開鍵証明書 を発行する実体である。これは、信頼された第三者 の例である。
サービスに課金する商用CAは多い。政府などではCAを独自に立てていることがあるし、それ以外に無料のCAもある。
目次 |
[編集] 証明書発行
CAは、公開鍵証明書を発行する。公開鍵証明書には公開鍵と持ち主の記載があり、記載の個人、組織、サーバーその他の実体がこの公開鍵の持ち主だと証言する。このスキームにおけるCAの義務は、CAの発行した証明書にある情報を利用者が信頼できるよう、申請者の身分を確認することだ。この基本にある概念は、もし利用者がCAを信じ、かつ、CAの署名が検証できたならば、その利用者はその証明書で特定される者がその証明書の公開鍵を所有していると検証できたことになる、ということだ。
CAがパクられた場合、システム全体のセキュリティーは失われてしまう。 たとえば (AliceとBobの用法でいう) Malloryが、ニセの証明書を発行する認証局を手に入れ、Malloryの所有している秘密鍵に対応した公開鍵をAliceとひもづけると仮定してみよう。 Bobはこのインチキ証明書からAliceのインチキ公開鍵を入手することになり、彼から彼女への意思疎通の安全性は、Malloryにパクられてしまう。 つまり、メッセージの復号や、署名のでっち上げができるわけだ。
[編集] セキュリティー
データや、データと同様に人・組織・プログラムの身元を (たぶん電子ネットワーク越しで) CAに示すとき、データと実体の関係が正しいことを保証するということは困難なため、CAは往々にして複数の認証技術、たとえば、政府官公庁、支払い基盤、第三者データベースやサービス、発見的な方法を組み合わせて使う。 一部の企業システムでは、外部の当事者にも使うことのできるようなKerberosといった局所的認証形式が、証明書の入手に使われる。 ときには、署名が公証された当事者を個人的に知るために、公証の必要なこともある。 これは多くのCAが到達しうる範囲よりも高い標準だ。
[編集] 大きなプロバイダ
2005年のNetcraft調べでは、VeriSignとそこが取得したThawteらが、CA市場のシェアの53%を占め、以下GeoTrust (25%)、Comodo (12%)、Go Daddy (4%)、Entrust (2%) と続く。[1]