HOME»情報処理安全確保支援士掲示板»R2年 午後1問2
投稿する
[1266] R2年 午後1問2
ケンさん(No.1)
設問3 d、eに入れる字句
「デジタル署名を検証することができない。」
そのあと、(ア)で「R社CAのルート証明書をPCに登録しなくてもいいことが分かった」となっていますが、d、eは間違いとなるので矛盾しているかと思います。
そもそも、S/MIMEはプライベート認証局で登録するものではないかと思います。
解説いただければ幸いです。
「デジタル署名を検証することができない。」
そのあと、(ア)で「R社CAのルート証明書をPCに登録しなくてもいいことが分かった」となっていますが、d、eは間違いとなるので矛盾しているかと思います。
そもそも、S/MIMEはプライベート認証局で登録するものではないかと思います。
解説いただければ幸いです。
2023.10.05 20:47
pixさん(No.2)
★SC ダイヤモンドマイスター
S/MIMEはクライアント証明書を利用して
・メール暗号化
・デジタル署名
を行います。
その際のクライアント証明書の発行元としては
・プライベート認証局
・外部の認証局サービス事業者
などです。
大手の外部の認証局サービス事業者であれば、そのルート証明書がPCに登録されて
います。
設問3 d、eに入れる字句「デジタル署名を検証することができない。」の段階では
プライベート認証局から発行されたクライアント証明書を利用しています。
プライベート認証局なのでPCには事前にルート証明書を登録しておく必要が
あります。
これが課題(ア)となります。
課題(ア)をまとめると、
「プライベート認証局のルート証明書をPCに登録できない。」
になります。
『(ア)については』という文言は、『課題(ア)を解決する方法は』という意味の
日本語です。
課題(ア)の解決方法は文中にあるとおり、外部の認証局サービス事業者が発行する
クライアント証明書を利用するというものです。
これについては、絶対にプライベート認証局からクライアント証明書を発行しては
いけないという決まりはないです。
S/MIMEの利用が閉じた環境と限定されるのであれば、プライベート認証局から
クライアント証明書を発行しても問題ありません。
プライベート認証局から発行するメリットとしては
・費用がタダ(外部のものは1枚ごとに購入する必要がある)
・発行が速い(外部のものは発行に時間がかかる)
・失効なども自社でできる(これはデメリットになるかもしれません)
など、クライアント証明書の取り扱いでのメリットがあります。
・メール暗号化
・デジタル署名
を行います。
その際のクライアント証明書の発行元としては
・プライベート認証局
・外部の認証局サービス事業者
などです。
大手の外部の認証局サービス事業者であれば、そのルート証明書がPCに登録されて
います。
設問3 d、eに入れる字句「デジタル署名を検証することができない。」の段階では
プライベート認証局から発行されたクライアント証明書を利用しています。
プライベート認証局なのでPCには事前にルート証明書を登録しておく必要が
あります。
これが課題(ア)となります。
課題(ア)をまとめると、
「プライベート認証局のルート証明書をPCに登録できない。」
になります。
『(ア)については』という文言は、『課題(ア)を解決する方法は』という意味の
日本語です。
課題(ア)の解決方法は文中にあるとおり、外部の認証局サービス事業者が発行する
クライアント証明書を利用するというものです。
>そもそも、S/MIMEはプライベート認証局で登録するものではないかと思います。
これについては、絶対にプライベート認証局からクライアント証明書を発行しては
いけないという決まりはないです。
S/MIMEの利用が閉じた環境と限定されるのであれば、プライベート認証局から
クライアント証明書を発行しても問題ありません。
プライベート認証局から発行するメリットとしては
・費用がタダ(外部のものは1枚ごとに購入する必要がある)
・発行が速い(外部のものは発行に時間がかかる)
・失効なども自社でできる(これはデメリットになるかもしれません)
など、クライアント証明書の取り扱いでのメリットがあります。
2023.10.05 21:20
ケンさん(No.3)
返信ありがとうございます。
設問3 d、eに入れる字句
「デジタル署名を検証することができない。」
この時点でS/MIME利用に向けているので、課題(ア)の解決方法と言うのが矛盾しているのではないか、という質問です。
即ち、S/MIMIを利用するなら、最初からプライベート認証局のルート証明書をPCに登録する必要がないと思います。
設問3 d、eに入れる字句
「デジタル署名を検証することができない。」
この時点でS/MIME利用に向けているので、課題(ア)の解決方法と言うのが矛盾しているのではないか、という質問です。
即ち、S/MIMIを利用するなら、最初からプライベート認証局のルート証明書をPCに登録する必要がないと思います。
2023.10.05 21:31
pixさん(No.4)
★SC ダイヤモンドマイスター
流れを意識してみます。
1.当初はS/MIMEを利用するために、プライベート認証局から発行したクライアント
証明書を利用することを計画した。その前提としてプライベート認証局のルート
証明書をPCに登録する必要がある。
2.しかし、とある委託先ではPCにプライベート認証局のルート証明書をPCに登録
することがPCの運用ルールで禁止されていた。
そのため、1.の案が破綻してしまった。
3.解決策として、プライベート認証局から発行したクライアント証明書の利用を
やめ、大手の外部の認証局サービス事業者からクライアント証明書を発行し、
利用することにした。
という流れになると思われます。
申し訳ありませんが、この疑問の意図をくみ取れませんでした。
想像になりますが、S/MIMEとクライアント証明書の関係について誤解があるのでは
ないでしょうか?
S/MIMEの利用にはS/MIME証明書が必要になります。
S/MIME証明書とは、クライアント証明書をS/MIME専用に利用するというものです。
すなわち
「S/MIME証明書 = クライアント証明書」ということになります。
1.当初はS/MIMEを利用するために、プライベート認証局から発行したクライアント
証明書を利用することを計画した。その前提としてプライベート認証局のルート
証明書をPCに登録する必要がある。
2.しかし、とある委託先ではPCにプライベート認証局のルート証明書をPCに登録
することがPCの運用ルールで禁止されていた。
そのため、1.の案が破綻してしまった。
3.解決策として、プライベート認証局から発行したクライアント証明書の利用を
やめ、大手の外部の認証局サービス事業者からクライアント証明書を発行し、
利用することにした。
という流れになると思われます。
>設問3 d、eに入れる字句
>「デジタル署名を検証することができない。」
>この時点でS/MIME利用に向けているので、課題(ア)の解決方法と言うのが
>矛盾しているのではないか、という質問です。
>即ち、S/MIMIを利用するなら、最初からプライベート認証局のルート証明書を
>PCに登録する必要がないと思います。
申し訳ありませんが、この疑問の意図をくみ取れませんでした。
想像になりますが、S/MIMEとクライアント証明書の関係について誤解があるのでは
ないでしょうか?
S/MIMEの利用にはS/MIME証明書が必要になります。
S/MIME証明書とは、クライアント証明書をS/MIME専用に利用するというものです。
すなわち
「S/MIME証明書 = クライアント証明書」ということになります。
2023.10.05 21:49