【問277】個人情報保護士 練習問題|PKI(公開鍵基盤)
情報セキュリティ 問97/120難易度C(難しい)
問題文
PKI(Public Key Infrastructure:公開鍵基盤)に関する次の記述のうち、最も不適切なものはどれか。
- 1.認証局(CA)は、公開鍵とその所有者の対応関係を証明するデジタル証明書を発行する
- 2.CRL(Certificate Revocation List)は、有効期限内に失効させた証明書の一覧である
- 3.デジタル証明書には、公開鍵の所有者情報、有効期限、認証局の署名などが含まれる
- 4.登録局(RA)は、デジタル証明書の発行と秘密鍵の生成を同時に行う機関である
解説
正解
正解は選択肢4です。
各選択肢の解説
選択肢1 → ❌誤り(適切な記述)
認証局(CA: Certificate Authority)は、公開鍵の所有者を確認し、デジタル証明書を発行することで、公開鍵の正当性を保証します。
選択肢2 → ❌誤り(適切な記述)
CRL(証明書失効リスト)は、秘密鍵の漏えいなどの理由で有効期限内に失効させた証明書のリストです。OCSP(オンライン証明書状態プロトコル)でリアルタイムに確認する方法もあります。
選択肢3 → ❌誤り(適切な記述)
デジタル証明書(X.509証明書)には、所有者の情報、公開鍵、有効期限、シリアル番号、認証局の電子署名などが含まれます。
選択肢4 → ✅正解(不適切な記述)
登録局(RA: Registration Authority)は、証明書の申請者の本人確認や申請内容の審査を行う機関です。証明書の発行はCA(認証局)が行い、秘密鍵は通常申請者自身が生成します。RAが秘密鍵を生成するわけではありません。
背景知識
PKIはインターネット上の信頼基盤として機能し、電子商取引、電子政府、企業のセキュリティ基盤など幅広く利用されています。認証局(CA)が階層構造を形成し、ルートCA→中間CA→エンドエンティティ証明書という信頼の連鎖(トラストチェーン)を構築します。個人情報を扱うWebサイトではサーバ証明書が必須であり、PKIの理解は情報セキュリティの基本知識として重要です。
学習アドバイス
PKIの構成要素(CA、RA、CRL、OCSP)の役割を区別できるようにしましょう。特にCAとRAの役割の違いは混同しやすいポイントです。デジタル証明書の内容も押さえておきましょう。
まとめ
- CAは証明書の発行、RAは申請者の審査を担当する
- CRLは失効した証明書のリスト
- デジタル証明書は公開鍵の正当性を保証する仕組み