“Googleが中国の認証局WoSignの証明書を拒否”とは?
先日アメリカのIT分野に特化したメディアのCNETが「グーグル、中国の認証局WoSignの証明書を拒否へ」という内容のニュースを報じました。実は、昨年に中国のWoSignとその子会社でイスラエルのStartComという2つの認証局が、業界の規定に反する電子証明書を不正に発行していた問題で、両社の経営陣が交代し監査を受けることになっていました。これは“PKI”に関する事なのですが、と言っても日頃Web関連に携わっている方でも何のことかピンと来ない方や詳しくない方も多いのではないでしょうか、そのような方のためにお節介を焼かせていただきます。
PKIとは
PKIとは公開鍵暗号基盤(Public Key Infrastructure)の略称で、公開鍵と秘密鍵のペアからなる「公開鍵暗号方式」という技術を利用してインターネット上で安全に情報のやりとりを行うセキュリティ基盤のことです。公開鍵暗号方式で通信の暗号化を行い、情報を暗号化する鍵を含んだ「電子証明書」で身元を保証してセキュリティを確保するのです。PKIを構成する重要な要素は以下の3つです。
・電子証明書
電子データの世界における身分証明書のようなもので、情報を暗号化する鍵を含んでいます。
・認証局(CA:Certification Authority)
申請者の身元を確認し、電子証明書の発行と失効を行う機関。
・リポジトリ
CP(証明書ポリシー)やCPS(認証局運用規定)などのデータベースです。
メールソフトの設定等で「SSL」という言葉を目にした方は多いと思いますが、これも同じようなもの若しくはPKIを応用した通信手順と解釈していただければ分かりやすいかも知れません。
公開鍵暗号方式と共通鍵暗号方式の仕組み
現在、2者間の通信を暗号化する場合に使われる最も一般的な方式として「公開鍵暗号方式」と「共通鍵暗号方式」が挙げられます。両者の違いは「暗号化」や暗号を元に戻す「復号」に「公開鍵」と「共通鍵」のどちらを使うかにあります。
公開鍵暗号方式とは
公開鍵暗号方式は、暗号化と復号するときに「公開鍵」と「秘密鍵」という別々の鍵を使うのが特徴です。「公開鍵」は公開されていて誰でも取得できる鍵ですが、「秘密鍵」は受信側だけが保持している鍵です。
暗号化から復号までを、花子さんが太郎さんに暗号文を送付する場合を例にして説明します。
花子さんは、太郎さんが公開している「公開鍵」を入手してこれを使って太郎さんに送りたい文書を暗号化して送信します。太郎さんは、花子さんが送信した文書を太郎さんが持っている「秘密鍵」で復号して文書の暗号化を解除します。太郎さんの公開鍵で暗号化したものは、太郎さんの秘密鍵でしか復号できないため、仮に悪意の第三者が太郎さんの公開鍵を入手したとしても、暗号化された文書の内容が漏れてしまうことはありません。暗号文をやりとりする相手が何人になろうと、太郎さんが厳重に保管しなければならないのは、太郎さんの秘密鍵だけです。
共通鍵暗号方式とは
共通鍵暗号方式とは、暗号化するための鍵とそれを復号するための鍵に同じものを使用する方式で、公開鍵暗号方式とは違い暗号化する際と復号する際の鍵は「共通鍵」を使います。「共通鍵」情報は公開されず、太郎さんと花子さんの二人のみで共有することになるのでそこには絶対の信頼関係が必要です。
パブリック認証局とプライベート認証局
認証局には2種類の形があります。1つは”グローバルサイン”(電子証明書販売を行う国際企業グループ)などの「パブリック認証局」です。パブリック認証局が発行する電子証明書のルート証明書(自己署名証明書や自己発行証明書の一種)は、一般的なウェブブラウザやメールソフトにあらかじめ組み込まれており、ルート証明書の配布やインストールが不要なため、取引先など外部とのやり取りに電子証明書を利用する場合に煩雑な設定が必要なく便利です、ですからこのことに気付いてない人も多いのではないでしょうか。冒頭のWoSignはパブリック認証局です。2つ目は、事業会社などが独自の運用基準を設けて設立する「プライベート認証局」で、ルート証明書の配布や設定などに手間が掛かりますが、運用規程を自由に設定できるため社内イントラネットなど限られたネットワークで電子証明書を利用する場合には、プライベート認証局を設立して電子証明書を発行する方が便利です。
冒頭のニュースより
以上の説明でネット世界での情報のやり取りにおいてはどの様にしてセキュリティが保たれているのか、一部ではありますがご理解いただけたと思います。冒頭のニュースに戻りますと、米Mozillaが実施した調査では、先のパブリック認証局2社がさまざまな問題を含む証明書を発行していた事例が複数種類見つかっており、検出を逃れるために意図的に日付を古く偽装していた証拠も見つかったとのこと。WoSignは日付が古い証明書を64件発行し、そのうち42件が意図的な偽装だったことを認め最高経営責任者は解任されることになりました。 WoSignの説明によると、古い日付の証明書を発行したのは、困り果てていた中国国内の顧客を助けるための決断だったとのことで、中国国内では依然として数百万台のWindows XP SP2搭載パソコンが稼働しており、SHA-1証明書を入手できなくなった顧客がそうしたパソコンへの対応に苦慮していたといいます。しかし、「WoSignとStartComは証拠を突き付けられると、買収および両社の関係についてブラウザコミュニティをあざむこうと画策した」と批判され、「両社が認証局に要求される高い水準を満たしておらず、ポリシーに違反している」と判断して、MozillaやGoogle、AppleがそれぞれのWebブラウザで両社の証明書を「信頼できない証明書」として扱うと表明したのです。ネットの世界ではこうしたセキュリティ対策が行われていますが、「コンピュータウィルス」「ハッカー」といった言葉を耳にするようにWebの脆弱性を狙った悪意ある第三者も存在しています。
ここで取り上げたPKIはネットの通信上のセキュリティですがWebサイトにおいては「不正アクセスによる個人情報の流出・情報の改竄」などと言った問題も有ります、特にECサイトは狙われやすくWebマーケティングにおいてはしっかりとしたセキュリティ対策が必要になります、そのためにも越境EC・ECサイト構築には経験豊富なソリューションパートナーが必要です。
[newspicks url=”https://newspicks.com/news/2431289″]
