ニュース
2004/04/27 21:14 更新
GPKIは数少ないマルチドメインPKI実装例
JNSAのChallege PKIプロジェクトは4月27日、活動報告会を都内で開いた。GPKIは、マルチドメインPKI実装例の一つという。松本泰氏(セコム)が「Challenge PKIプロジェクトと公的個人認証サービス」という切り口で講演した。
日本ネットワーク協会(JNSA)のChallege PKIプロジェクトは4月27日、活動報告会を都内で開いた。セコムの松本泰氏が「Challenge PKIプロジェクトと公的個人認証サービス」という切り口からプレゼンテーションを行った。
Challenge PKIプロジェクトは、PKI(公開鍵基盤)の相互運用性の問題を解決することを目的にしたプロジェクト。PKIは認証局(CA)間の相互接続において課題を抱えており、2001年以来IPAの委託を受けて活動を続けてきた。松本氏によれば、「マルチドベンダー、マルチドメインによるPKIの運用が行われてこなかったため、この問題が認識されることがなかった」という。
GPKI(政府認証基盤)は、数少ないマルチドメインPKI実装例の一つ。1月29日からは、インターネットを通じて行政手続きを可能にする公的個人認証サービス(JPKI)も始まり、一般の人でもGPKIとつながるサービスを受けられるようになってきた。現状では住基カードだけだが、耐タンパ性のあるICカードに秘密鍵、利用者証明書、都道府県CAの自己署名証明書を自治体で格納してもらい、国税の申告やパスポート申請がインターネットを通じて行える。
JPKIでは、都道府県単に独立したCA局があり、相互認証されたJPKIブリッジCAがぶら下がっている。JPKIブリッジCAは、GPKIブリッジCAと相互認証され、このGPKIブリッジCAが中央省庁のCAと相互認証している関係にある。例えば、東京都港区の住民がある省の大臣の証明書を検証する場合、「住基カードに格納された都の自己証明書を信頼点として、都CAからJPKIブリッジCAへの相互認証証明書→JPKIからGPKIブリッジCAへの相互認証証明書→GPKIブリッジCAから省庁のCAへの相互認証証明書→省庁CAから大臣への公開鍵証明書→大臣の公開鍵で署名文書、という証明書パス検証を行う」仕組みだ。
だがこの仕組みは、都道府県CAとJPKIブリッジCAは同一の証明書ポリシーを利用するものの、GPKIブリッジCA、各省庁のCAでとは異なるポリシーを利用しているという。そのため、3つのPKIドメインが存在することとなり、「それぞれで証明書の発行ドメインと相手のドメインのポリシーが等価であることを宣言するポリシーマッピングを行っている」。つまり、マルチドメインで利用されている例となる。
このマルチドメインだが、PKIの相互運用を難しくする理由の一つとなっている。「公的個人認証サービスはX.509、RFC3280には逸脱していないが、相互運用可能というわけではない。相手を認めるのは難しい。なぜならマルチドメインであるためだ」と松本氏。「外国と相互運用しようとするなら、法制度の違いやビジネスの要求の整合をとらなければならない」と話し、相互運用のベストプラクティスの必要性を主張する。
「Webサービスを利用したシングルサインオン、グリッドコンピューティング、EDIにしても、閉じた世界で垂直展開するなら別だが、ビジネスに展開するには、本質的に保証レベルの信頼が求められてくる」
Challeng PKIプロジェクトでは、標準化団体IETFへのフィードバックを行っており、幅広い認証ドメインにおけるベストプラクティスを示す「Memorandum for multi-domein PKI Interoperability」を提案するしているほか、海外のPKIイニシアティブとの連携、セキュリティフレームワークやミドルウェアの整備などの活動を進めているという。
関連記事
公的個人認証サービス利用で「官」にも悩み?公的個人認証サービスがスタートJNSAが進めるPKI相互接続試験プロジェクト関連リンク
Challenge PKIプロジェクトJNSA[堀 哲也,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
