PKI ぴーけーあい
PKI公開鍵基盤証明書認証局信頼チェーンX.509
PKIについて教えて
簡単に言うとこんな感じ!
「この公開鍵は本当に信頼できる会社のものか」を保証する仕組み全体のことだよ。パスポートのような「証明書」を発行・管理するインフラで、インターネットのHTTPSやVPNが安全に動くのはPKIのおかげなんだ!
PKIとは
PKI(Public Key Infrastructure:公開鍵基盤) とは、公開鍵暗号を安全に使うために必要な仕組み・役割・プロセスの総体です。「誰の公開鍵か」を信頼できる形で確認するための社会的・技術的インフラです。
公開鍵暗号の問題点は「この公開鍵は本当に目的の相手のものか?」です。悪意のある第三者が偽の公開鍵を配布する「なりすまし」を防ぐために、認証局(CA:Certificate Authority) という信頼できる第三者機関がデジタル証明書を発行します。
PKIは以下のような幅広い場面で使われています。
- HTTPS:WebサーバーのSSL/TLS証明書
- VPN:クライアント・サーバー間の相互認証
- 電子メール(S/MIME):メールの暗号化と署名
- コードサイニング:ソフトウェアの配布元の証明
- ICカード・マイナンバー:個人認証
PKIの構成要素
| 要素 | 役割 |
|---|---|
| CA(認証局) | デジタル証明書を発行・署名・失効させる機関 |
| RA(登録局) | 証明書申請者の身元確認を行う機関(CAと別設置の場合) |
| 証明書(X.509) | 公開鍵と所有者情報をCAが署名したもの |
| CRL / OCSP | 失効した証明書のリスト・リアルタイム確認の仕組み |
| 証明書ストア | OS/ブラウザが信頼するルートCAの証明書を保管する場所 |
信頼チェーン(Chain of Trust)
PKIでは証明書が階層構造になっており、上位CAが下位CAを信頼するという「信頼の連鎖」で成立しています。
歴史と背景
- 1988年:ITU-TがX.509証明書フォーマットを策定
- 1994年:NetscapeがSSLを開発し、Webでの公開鍵暗号利用が始まる
- 1995年頃:VeriSign等の商用CAが登場し、PKIのビジネスが確立
- 2012年頃:CA/Browserフォーラムが業界標準のベースラインを策定
- 2016年:Let’s Encryptが無償証明書の自動発行を開始し、HTTPS普及を加速
- 現在:TLS 1.3、ACME protocol等でPKI運用の自動化・効率化が進む
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 5280 | X.509証明書とCRL(PKIのコア仕様) |
| RFC 8555 | ACME(証明書自動発行プロトコル) |
| ITU-T X.509 | デジタル証明書のフォーマット標準 |
関連用語
- 認証局(CA) — PKIの中核となる証明書発行機関
- サーバー証明書・中間証明書・ルート証明書 — PKIの証明書階層の詳細
- デジタル署名 — PKIで証明書の正当性を担保する技術
- OCSP・CRL — 証明書失効確認の仕組み
- Let’s Encrypt — 無償PKIサービスの代表例