「オレオレ証明書」にご用心？ あなたのPCを守る認証システムを考える：クライアントセキュリティ大作戦（1/4 ページ）

インターネットはもはや生活に密着しているといっても過言ではなく、当然、名前やカード番号など、個人情報を入力する機会も多くなっている。そこで安全なデータのやりとりに欠かせない、各種認証システムを紹介する。

[小林哲雄，ITmedia]

このコンテンツは、オンライン・ムック「内部統制時代のクライアントセキュリティ大作戦！」のコンテンツです。関連する記事はこちらでご覧になれます。

安全な通信のために

　使い古された言葉だが、インターネットは誰でも使えるため、安全な取引のためには秘密を守るための手段「暗号化」が必要になる。Webの世界ではネットスケープがSSL（Secure Socket Layer）を提唱し、これが現在の標準方式となっている。このSSLで重要になるのがサーバ証明書だ。

　サーバ証明書について解説する前に、まず暗号化について軽く説明しておこう。暗号化はあるアルゴリズムとキーを用いて行うコード変換の1つだ。

　暗号化には大きく2つの考え方がある。1つは同じ鍵で暗号化も復号も行える共通鍵暗号方式で、これは古くから用いられている。共通鍵暗号は暗号化／復号の負荷が比較的少ないという特徴もある。しかし、インターネット上では「鍵が同じ」という点がネックとなる。

　共通鍵通信を行う場合、通信前にお互いが同じ共通鍵を持っている必要がある。ところが安全でない可能性のあるインターネット上で安全に共通鍵を受け渡す手段が問題になる。鍵のやり取りを傍受されてしまえば、その後の通信も傍受されてしまう。これでは安全性を強化する暗号化の意味がなくなってしまう。傍受ならばまだしも、なりすましによって偽の秘密鍵を受け取るということも考えられる。

　そこで登場したのが公開鍵暗号だ。公開鍵暗号は当人だけが持つ「秘密鍵」と第三者に自由に配布できる「公開鍵」がペアになっており、秘密鍵で暗号化したものは公開鍵でしか復号できず、逆に公開鍵で暗号化したものは秘密鍵でしか復号できないというものだ。ただし、公開鍵暗号は共通鍵暗号よりも演算が複雑なため負荷が掛かるので、すべての情報を公開鍵暗号を利用して暗号化するのは実用的ではない。

　SSLでは、まずセッションの共通鍵を作成するための素材となるデータを、公開鍵で暗号化してサーバに渡す。サーバは自身の秘密鍵で復号することにより、共通鍵の素材を安全に受け取る。セッション中の通信は負荷の比較的少ない共通鍵暗号で行われる。

　だが、ここまでの考えでは「なりすまし」が防げない。これを解決するのがサーバ証明書の存在だ。