【セキスペ6問】公開鍵基盤PKIの構成要素(情報安全確保支援士)
このNoteでは、デジタル証明書を発行する認証局に関する問題をまとめました。
認証局(CA)には、更に各役割を担う構成要素があります。登録局(RA)や検証局(VA)。
さらに、デジタル証明書の有効性を管理するCRL(証明書失効リスト)。リアルタイムに執行状況を問い合わせをするOCSPプロトコル。
SC-AMIIでは、これらのが個別に問われたり、選択肢に表れます。
それぞれの特徴をキーワードとして知っておきましょう。段階的に問題演習をすればすんなり習得できますよ。
私は情報安全確保支援士(登録セキスペ)の午後II97点で独学合格しました。IP, FE, AP, NW, DB, ESも全て独学。
このNoteは、独学経験とIT専門学校で教えた実績を基に作成しています。私の対策授業もこんな感じ。
それでは始めましょう!
\私がお世話になったテキスト/
\私の3ヶ月の学習履歴/
CRL | 一番よく出る用語
デジタル証明書には有効期限がありますが、有効期限内に失効させる場合もあります。
例えば、デジタル証明書に関する秘密鍵が漏えいしたり、本人証明する組織に変更や不正があったりなど。デジタル証明書の効果が発揮できない、悪用されてしまうリスクがある場合です。
失効されたデジタル証明書の情報(シリアル番号など)は、CRL(証明書失効リスト)に登録されます。
受信者がデータ・デジタル署名・デジタル証明書を受け取った時は、CRLを見て「失効していないか」確認します(あとで扱いますがOCSPでも確認できます)。
なお、セキュリティ的に危なくなることを「危殆化(きたいか)」と云います。午後問題の筆記で使うので、漢字は書けるようになってください。
CRLに掲載されるものはどれか。
ア:有効期限切れになったデジタル証明書の公開鍵
イ:有効期限切れになったデジタル証明書のシリアル番号
ウ:有効期限内に失効したデジタル証明書の公開鍵
エ:有効期限内に失効したデジタル証明書のシリアル番号
正答はエ。
CRL(証明書失効リスト) = 有効期限内に失効したデジタル証明書のシリアル番号
完璧な文言です。
CRLの記述はどれか。
ア:認証局は発行したデジタル証明書のうち失効したもののシリアル番号を、失効後1年間CRLに記載する
イ:利用者のWebブラウザは、訪問したWebサイトのサーバ証明書を発行した認証局の公開鍵が、Webブラウザに組み込まれていればCRLを参照しなくて良い
ウ:認証局は、発行した全てのデジタル署名書の有効期限をCRLに記載する
エ:認証局は、有効期限内のデジタル証明書が失効されたとき、そのシリアル番号をCRLに記載する
令和03年秋AMII問08より改変
令和元年秋AMII問06より改変
正答はエ。
ア:「1年間」ではなく、有効期限が切れるまで。1年後に有効期限が生きてる使っちゃダメなデジタル証明書になってしまいます。
イ:公開鍵の対の秘密鍵が危殆化したら、失効しないといけません。いつ失効する事態になるか分かりませんからね。
ウ:「全て」ではなく「失効させた」、「有効期限」ではなく「シリアル番号」などです。
エ:正しい。
OCSP | CRLと一緒に知っておく
OCSPはリアルタイムで失効情報を確認できるプロトコルです。
CRLと同じ働きと思って大丈夫です。
PKIを構成するOCSPの目的はどれか。
ア:誤って破棄した秘密鍵の再発行の進捗状況を問い合わせるため
イ:デジタル証明書から生成した鍵情報が、OCSPクライアントとOCSPレスポンダの間で交換失敗した際、認証状態を確認するため
ウ:デジタル証明書の失効情報を問い合わせるため
エ:有効期限が切れたデジタル証明書の更新処理の進捗状況を確認する
平成31年春AMII問02より改変
正答はウ。
他の選択肢に意味はありません。
RA, VA | 認証局の構成要素
ここでは認証局の構成要素を学んでいきます。
今までのCRLとOCSPは応用情報技術者の範疇。他にもRAもCAも知っているはずです。
SCでは更にVA(できればAAも)知っていきます。
RA(登録局):デジタル証明書の発行の是非を判断
CA(認証局):デジタル証明書を発行。CRLを発行
VA(証明書有効性検証局):デジタル証明書の失効情報を管理
AA(属性認証局):属性証明書(AC)を発行
デジタル証明書が所有者本人であることを証明するのに対し、属性証明書は所有者の役割・権限を証明します。
AAはちょっとマイナーなので、RA, CA, VAを優先してください。
PKI(公開鍵基盤)のRAの役割はどれか。
ア:デジタル証明書にデジタル署名を付与する
イ:デジタル証明書に紐づいた属性証明書を発行する
ウ:デジタル証明書の執行リスト(CRL)を管理する
エ:デジタル証明書の発行申請の承認や却下を行う
令和04年秋AMII問02より改変
正答はエ。
ア:CA(認証局)
イ:AA(属性認証局)
ウ:VA(検証局)
エ:正しい。
VAの役割はどれか。
ア:属性発行書の発行を代行する
イ:デジタル証明書にデジタル署名を付与する
ウ:デジタル証明書の失効状態の問い合わせに応答する
エ:デジタル証明書の発行を指示する
令和元年秋AMII問03より改変
正答はウ。
ア:AA(属性認証局)
イ:CA(認証局)
ウ:正しい。VA(証明書有効性検証局)
エ:RA(登録局)
英語が少しできる方は、英単語を知っておくと良いです。
RA:Registration Authority:登録 レジストレーション
CA:Certification Authority:認証 サーティフィケーション
VA:Validation Authority:検証 ヴァリデーション
AA:Attribute Authority:属性 アトリビュート
IT資格やプログラムでも良く使うので、知っておいて損はないです。>「英単語を知っておく意味」の解説Note
CPS | 新しい用語かも
PKI(公開鍵基盤)におけるCPSはどれか。
ア:認証局が発行するデジタル証明書の所有者が策定したセキュリティ宣言
イ:認証局でのデジタル証明書発行を代行する事業者が策定したセキュリティ宣言
ウ:認証局の認証業務について詳細に規定した文書
エ:認証局を監査する第三者機関について詳細に規定した文書
正答はウ。
R06年春には出ていないので、今後も出てくるか様子見ですね。
上原本に載っているので、出てくる可能性は高いです。
とはいえ、CRL, OCSP, RA, CA, VA, (AA) とかなりの数になったので、私は「消去法で解けば良いや」とCP(とAA)は覚えないですね。
まとめ
お疲れ様でした!
以下のようなイメージができていればOKです。
CRL(証明書失効リスト):有効期限内に失効されたデジタル証明書のシリアル番号などが記載されている
OCSP:リアルタイムで失効情報を確認できるプロトコル
RA(登録局):デジタル証明書の発行の是非を判断
CA(認証局):デジタル証明書を発行。CRLを発行
VA(証明書有効性検証局):デジタル証明書の失効情報を管理
これで5用語もありますから、4択問題には充分ですね。
AA(属性証明書の発行)やCPS(認証局の業務規程)などは、とりあえず放置しましょう。出題されませんし、出題されても消去法で対応できます。
\私がお世話になったテキストのレビュー/
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
この記事が参加している募集
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ