HOME»情報処理安全確保支援士掲示板»平成27年度春期午後U  問2  設問4に関する質問

情報処理安全確保支援士掲示板

掲示板検索:

平成27年度春期午後U  問2  設問4に関する質問[0531]

カズオさん(No.1)

平成27年度  春期  情報処理安全確保支援士スペシャリスト試験  午後U  問2  設問4に関する質問

はじめまして、カズオと申します
表題に関して答えを見てもよくわからなかったので投稿させていただきました。
もしよろしければご回答いただければ幸いでございます。

表8の穴埋め問題となるのですが、(j)の解答が
J社本社(IA)となる理由がわからずにいます。
「証明書の発行者としてディジタル署名の付与」とありますが、
ディジタル署名に必要な秘密鍵はK工場が持っていると存じますため
答えはK工場(RA)となるような気が致します。(表8鍵ペアの作成の項目を参照)

この場合、どのように考えるのが正しいのでしょうか。
ご教示いただけますと幸いでございます。

宜しくお願い致します。

2020.09.14 09:47
こりんさん(No.2)

IA(発行局)はRA(登録局)からの指示に従い、利用者のクライアント証明書を発行します。
このとき、IAがプライベートCAの秘密鍵でもってディジタル署名します。
このプライベートCAの秘密鍵を持っているのはIAだと、問題文から推測できます。
  「CA機能の内、IAについてはJ社本社のプライベートCAを利用し、」
RAがプライベートCAの秘密鍵を持っているとは推測できません。

カズオさんの言う
<ディジタル署名に必要な秘密鍵はK工場が持っていると存じますため> 
の秘密鍵は利用者の秘密鍵です。
設問4(3)にあるように、本来利用者のみが持つもので、CA(IAもRAも)は知らなくて良い情報です。

2020.09.14 11:40
カズオさん(No.3)

こりん様

ご回答ありがとうございました。

>プライベートCAの秘密鍵を持っているのはIAだと、問題文から推測できます。
表8で「鍵ペアの作成」を行っているのはK工場(RA)とあります。
この鍵ペアとは「認証局」の公開鍵、秘密鍵を指すことと存じます。
K工場(RA)で鍵ペアを作成後にJ社本社(IA)に秘密鍵を渡した、
という認識でよろしかったでしょうか。

2020.09.14 12:46
グルタミンさん(No.4)

先にご指摘となりますが、
デジタル署名に必要なのはCA(またはIA)の秘密鍵と、利用者の公開鍵です。
K工場はCA(またはIA)では無いので、デジタル署名を行うための秘密鍵は持っていません。

以下、長いですが、解説となります。

本来の流れとしては
@証明書を利用したい本人(以下、利用者)が鍵ペアを作成します
A利用者は先ほど作った鍵ペアのうち、"公開鍵"と各種証明書をCAに送信します
BCAは先ほど受け取った証明書が正しいか、送られた公開鍵に対応する秘密鍵を利用者が所持しているかどうか等をチェックします
CCAは利用者から受け取った"利用者の公開鍵"と利用者の各種証明書のハッシュ値を計算して、その値を"CAの秘密鍵"を使った暗号化して、サーバ証明書を作成・発行します

次にRAとIAの仕事ですが、これらはCAの仕事を作業分担させているだけです。
具体的にはRAはBのみを担当して、残りの作業はIAが担当します。
ざっくり言えば、RAの仕事は"証明書の不備チェック"と"本人確認"くらいで、証明書の発行はしません。

そのうえで、今回の設問の話に移ります。

h.Subjectの名前がかぶらないようにするのは証明書の必須要件なので、これは証明書の不備チェックです。つまりRAの仕事なのでK工場です
i.証明書を発行していいかどうかというのは、証明書に問題が無いかどうかという話です。なので、これも証明書の不備チェックで、RAの仕事なのでK工場です。
j.証明書の発行者は分担していなければCA、分担しているならIAです。証明書の発行ではなくディジタル署名の付与というのが、ちょっと紛らわしい表現ですが、証明書の発行者と断言しているのでIAであるj社本社以外はあてはまりません。
k.ここが一番の曲者で、RAとかIAは関係無いです。証明書を利用する側の話になります。Kサーバにアクセスしてきた端末のクライアント証明書が正しいかどうかは、Kサーバがチェックしなければいけません。これはあらかじめCAから受け取っていた公開鍵を使って証明書の情報を復号することで証明書の中身をチェックします。Kサーバの所有者はK工場なので、K工場が正解になります
l.CRLの発行は"発行作業"ですので、RAにはできません。これはCA、分担しているならIAの仕事です。

まとめると、
CA=IA+RA(分担する場合だけ。分担しない場合はCAが単独で全ての作業を行う)
RAはチェックだけ。実際に発行するのはCAまたはIA

長々の説明になってしまいましたが、私もこのあたりの知識はあいまいな部分が多いので、良ければ、他の方の意見も聞きたいです

2020.09.14 13:08
カズオさん(No.5)

グルタミンさん

ご回答ありがとうございます。

>RAの仕事は"証明書の不備チェック"と"本人確認"くらいで、証明書の発行はしません。
とご教示いただきました。
表8で、K工場は「鍵ペアの作成」を行っているとありますので、
認証局の公開鍵秘密鍵の作成はK工場(RA)が行っていると考えたのですが、
そういうわけではないのでしょうか。
表8の「鍵ペアの作成」というのが具体的に何を言っているのかがあまり理解できずにいます。

No3の質問と重複する部分となると存じますが、宜しくお願い致します。

2020.09.14 13:33
グルタミンさん(No.6)

デジタル証明書の話では、鍵ペアが二種類登場します。
・利用者間で交換する鍵ペア
・認証局がデジタル署名を作るときに用いる鍵ペア
この辺りは別の解説サイト等で図を見ながらの方が理解できると思いますので、お手持ちの書籍や「PKI CA」「デジタル証明書」等の検索で引っかかったサイトをご覧ください。

今回、k工場が作ったのは前者であり、デジタル署名に必要な鍵ペアを持っているのはCA(またはIA)です。

今回、直接の利用者ではなく、RAとしての側面を持つK工場が鍵ペアを作っているというので話がややこしくなっていますが、設問4の(3)を読むと、「鍵ペアを利用する主体が鍵ペアを作成するのが原則」という言葉が出てきており、この原則を崩して、主体(利用者)の代わりに、K工場がそれを作成しているという事が読み取れます。
この事から、K工場で作成しているのは、利用者間で交換するときに使う鍵ペアであり、認証局がデジタル署名に使う際の鍵ペアではないという事が推測できます。

2020.09.14 14:06
カズオさん(No.7)

グルタミンさん

ご教示いただいた内容をもとに、もういちど教科書等を見直して理解を深めていきたいと存じます。
ご回答ありがとうございました。

2020.09.14 17:13

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

記事削除用パスワード(20文字以内)

プレビュー

※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2020 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop