情報セキュリティ

基本情報技術者試験証明書の階層と相互認証」の問題

情報セキュリティ情報セキュリティ難易度:hard
G社とH社は、それぞれ別の認証局が発行した電子証明書を社内で利用している。両社が相互に相手の証明書を信頼して安全に通信できるようにしたい。認証局の信頼構造に関する仕組みとして、最も適切なものはどれか。
両社の認証局が互いの認証局証明書に署名し合い、信頼の橋を架ける。
両社の利用者が、初回に受け取った相手の証明書を手動で受け入れる。
両社で一つの共通鍵を決め、それを証明書の代わりに用いて通信する。
両社が相手の証明書の有効期限を延長し、失効するまで信頼を続ける。
正解
両社の認証局が互いの認証局証明書に署名し合い、信頼の橋を架ける。

証明書の信頼は認証局を頂点とする階層構造で成り立つ。別々の認証局配下の証明書を相互に信頼するには、両認証局が互いの認証局証明書に署名し合う相互認証(クロス認証)を構築すればよい。これにより各社の利用者は信頼の連鎖(証明書パス)をたどって相手の証明書を検証できる。

?選択肢ごとの解説

ア ○証明書の信頼は認証局を頂点とする階層構造で成り立つ。別々の認証局配下の証明書を相互に信頼するには、両認証局が互いの認証局証明書に署名し合う相互認証(クロス認証)を構築すればよい。これにより各社の利用者は信頼の連鎖(証明書パス)をたどって相手の証明書を検証できる。
イ ×初回に受け取った証明書を手動で受け入れる方法は偽造を見抜けず、信頼の連鎖という検証可能な根拠に基づかないため安全な信頼確立とはいえない。
ウ ×共通鍵を証明書の代わりにする方法は本人性を第三者が保証する仕組みを欠き、鍵配送問題も残るため証明書の役割を果たせない。
エ ×有効期限の延長は証明書の発行主体(認証局)の信頼関係とは無関係で、相手の認証局を信頼する根拠を与えない。

くわしく

PKIでは認証局の階層と信頼関係が証明書検証の基盤となる。単一の上位認証局を共有しない別系統の証明書同士を信頼するには、相互認証で認証局間に信頼の橋を架ける必要がある。利用者は連鎖をたどって相手の正当性を機械的に検証できる。

本番での押さえどころ

試験のコツ

別の認証局配下の証明書を相互に信頼する仕組みは『相互認証(クロス認証)』。認証局同士が証明し合う点を押さえる。

覚え方

相互認証は『二つの組織が互いの身元保証人になる』。保証人の連鎖で相手を信頼できる。

よくある誤り

目視確認や鍵共有で代替できると考える。証明書の信頼が認証局の連鎖で機械検証される仕組みを理解していない。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0151

【基本情報技術者試験】証明書の階層と相互認証の問題 — 解答・解説|ukamiru 過去問