受け取った電子証明書が正しいかどうか、本物であるかの有効性確認はどうやって行うか。
3つ答えよ。
漠然として難しい問題であるが、がんばって答えて欲しい。
3
確か、証明書にはディジタル署名がつけられていて・・・
その署名をCAの公開鍵で復号して確認したはず。
でも、3つって難しくないですか?



一つは正解。あと2つある。
H18SV午後1問4設問2(1)の問題文と解答を軸に解説する。
証明書が有効かどうかは次の3つで確認する。
署名値の照合
 ディジタル署名の照合。「証明書をハッシュしたもの」と「ディジタル署名をCAの公開鍵で復号したもの」が一致するか。これにより、公開鍵が本人のものであること(真正性)と改ざんされていないこと(完全性)が確認できる。

証明書の有効期限の確認
 証明書が有効期限内であるか。

証明書の失効確認
この設問の解答例としては、「失効情報の確認」「証明書の失効確認」と記載されている。CRL(Certificate Revocation List:失効リスト)を照合し、CRLに登録されていないか。
またはOCSP(Online Certificate Status Protocol)プロトコルを使った失効確認を行う。OCSPの方が、リアルタイム性が高いが、OCSPレスポンダと呼ばれるサーバを立て、なおかつ事前にCRLを取り込んでおかなくてはいけない。仕組みが整っていない場合が多い。
pki_ocsp_情報セキュリティスペシャリスト
OCSPに関する過去問(H25SC春午前2問3)
問3 PKIを構成するOCSP (Online Certificate status Protocol)を利用する目的はどれか。
ア 誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
イ ディジタル証明書から生成した鍵情報の交換がOCSPクライアントとレスポンダの間で失敗した際,認証状態を確認する。
ウ ディジタル証明書の失効情報を問い合わせる。
工 有効期限の切れたディジタル証明書の更新処理の進捗状況を確認する。

正解はウだ。