ネットワークセキュリティ
公開鍵基盤(PKI)
別称: PKI
定義
ポリシー・ソフトウェア・ハードウェア・信頼された機関の総体で、身元と公開鍵を結びつけるデジタル証明書を発行・配布・検証・失効させる。
PKI は公開鍵暗号を大規模に運用するための仕組みで、通常はルート CA、1 つ以上の中間 CA、登録局、証明書リポジトリ、秘密鍵保護のための HSM、そして失効インフラ(CRL・OCSP)から構成されます。加入者は鍵を生成し、CSR で身元を証明したうえで X.509 証明書を受け取り、検証者は証明書チェーンをたどってルートまで信頼性を確認します。TLS/HTTPS、S/MIME メール、コード署名、文書署名、サービス間 mTLS、スマートカードなど多岐にわたる用途を支える基盤です。堅牢な PKI には厳密な鍵セレモニー、ライフサイクル自動化、Certificate Transparency の監視、明文化されたポリシー(CP/CPS)が欠かせません。
例
- オフラインのルート CA から全社員にスマートカードログイン用証明書を発行する企業 PKI。
- ACME プロトコルにより TLS 証明書を自動発行する公開 PKI である Let's Encrypt。
関連用語
認証局(CA)
公開鍵をドメイン名や組織などの検証済みの身元と結びつけ、デジタル証明書を発行・署名する信頼された機関。
X.509 証明書
信頼された CA の署名によって公開鍵と身元を結びつける、標準化されたデジタル証明書の構造。
公開鍵暗号方式
公開鍵と秘密鍵のペアを用い、事前共有の秘密なしに暗号化・鍵交換・電子署名・認証を実現する暗号学の分野。
デジタル署名
メッセージや文書の真正性・完全性・否認防止を証明する公開鍵暗号方式のメカニズム。
証明書失効リスト(CRL)
CA が定期的に署名・公開する、本来の有効期限前に失効させた証明書の一覧で、依存当事者が失効済み証明書の検出に用いる。
OCSP(オンライン証明書ステータスプロトコル)
クライアントが CA のレスポンダに対し、特定の X.509 証明書が有効・失効・不明のいずれであるかを HTTP 上でリアルタイムに問い合わせるプロトコル。