基本情報技術者試験「PKIと電子証明書」の問題
PKI(公開鍵基盤)において、利用者の公開鍵が本人のものであることを保証する電子証明書を発行する機関はどれか。
アプロキシサーバ
イDNSサーバ
ウ認証局CA
エ利用者端末
正解
ウ.認証局CA
認証局(CA)はPKIの信頼の起点で、申請者の本人確認後にその公開鍵を含む電子証明書をCAの秘密鍵で署名して発行する。これにより公開鍵の正当性が保証されるため正しい。
?選択肢ごとの解説
ア ×プロキシサーバは通信を中継・代理する機器であり、公開鍵の正当性を保証する証明書を発行する役割は持たない。
イ ×DNSサーバはドメイン名とIPアドレスの対応を解決する仕組みであり、電子証明書の発行機関ではない。
ウ ○認証局(CA)はPKIの信頼の起点で、申請者の本人確認後にその公開鍵を含む電子証明書をCAの秘密鍵で署名して発行する。これにより公開鍵の正当性が保証されるため正しい。
エ ×利用者端末は鍵ペアを生成できるが、第三者として本人性を保証することはできず、自己署名では信頼の起点にならない。
✎くわしく
PKIはCAを頂点とする信頼の連鎖で成り立つ。CAは本人確認の上で証明書に署名し、検証者はCAの公開鍵で署名を確認して公開鍵の正当性を信頼する。CAがなければ受け取った公開鍵が本物か判断できない。
✓本番での押さえどころ
試験のコツ
『公開鍵の正当性を保証する第三者=認証局(CA)』『証明書はCAが署名して発行』と役割を固定して覚える。
覚え方
CAは『公的な印鑑証明の役所』。あなたの鍵が本物だと役所(CA)がお墨付き(署名)を出す、とイメージする。
よくある誤り
証明書を『暗号化するもの』と誤解したり、発行主体を利用者やサーバ機器と取り違える誤りがある。発行はCAである。
セキュリティの他の問題
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-a3-0070