公開鍵暗号基盤(PKI)とは?
公開鍵暗号基盤(PKI)とは?
公開鍵暗号基盤(PKI)とはPublic Key Infrastructureの略で、公開鍵と秘密鍵のキーペアからなる公開鍵暗号方式という技術を利用したセキュリティのインフラ(基盤)のことです。
公開鍵暗号基盤(PKI)を構成する重要な要素は以下の3つです。
公開鍵暗号方式とは?
公開鍵暗号方式とは、古くから存在している共通鍵暗号方式の欠点を解消するものとして考案されたものであるため、共通鍵暗号方式についてまず解説しましょう。
共通鍵暗号方式とは、暗号化するための鍵とそれを復号化するための鍵に同じものを使用する方式のことを言います。
共通鍵暗号方式の場合、暗号化した際に使用した鍵は、復号化する際にも必要になります。例えば、ある文書をインターネットを介してAさんがBさんに送付する場合を考えてみてください。AさんはBさんに対して、暗号化の際に使用した鍵を、他人に知られないような方法を使ってBさんに渡さなければなりません。さらに、AさんがBさん以外に、Cさん、Dさんとも暗号文のやりとりをしようと思った場合には、Cさん用、Dさん用にも鍵を用意し、それぞれの相手と共有しなければなりません。
つまり、Aさんは暗号文のやりとりをする相手の数だけ鍵を保管し、しかも厳重に管理しなければなりません。こういった問題点があっては、インターネットというインフラを十分に活用することが難しくなってしまいます。
これに対して公開鍵暗号方式は暗号化と復号化でペアとなる2つの異なる鍵を使用します。片方の鍵を使って暗号化したものは、それとペアになっているもう一方の鍵を使用しなければ復号化できない仕様になっています。この一対の鍵を「秘密鍵」と「公開鍵」と呼びます。
先ほどのAさんとBさんの例を公開鍵暗号方式で考えてみましょう。今度はBさんがAさんに暗号文を送付する場合ですが、まずBさんはAさんの公開鍵を入手します。基本的に公開鍵は誰が手に入れてもよいものなので、Aさんは公開鍵を電子メールで送ってもよいし、自分のウェブサイト上に公開しても問題ありません。BさんはAさんの公開鍵を入手しその鍵を使ってAさんに送付したい文書を暗号化します。暗号化された文章を受け取ったAさんは、自分の秘密鍵を使用して文章を復号化することで暗号文を読むことができます。
Aさんの公開鍵で暗号化したものは、Aさんの秘密鍵でしか復号化できないため、仮に悪意の第三者がAさんの公開鍵を入手したとしても、暗号化された文書の内容が漏れてしまうことはありません。逆にAさんの公開鍵を持っていれば、誰もがAさんに暗号文を送ることができます。また、暗号文をやりとりする相手が何人になろうと、Aさんが厳重に保管しなければならないのは、Aさんの秘密鍵だけです。
このように公開鍵暗号方式は共通鍵暗号方式に比べて、オープンなネットワークであるインターネットに非常に有効性が高い方法です。
但し、公開鍵暗号方式には共通鍵暗号方式に比べて、暗号化/復号化に時間がかかるという欠点があります。そのため、実際の通信においては互いの欠点を補う形で2つの暗号方式を併用しています。詳しくはSSL暗号化通信の流れをご確認ください。
鍵長とは?
公開鍵暗号方式では、鍵と呼ばれるデータを利用して暗号化と復号化を行います。鍵長とは、この鍵のデータ量のことを指します。鍵長は一般的に、1024bit、2048bitなどビット数で表されており、鍵長が長いほど暗号文は解読しにくくなり安全になりますが、計算手順は増えるため暗号化・復号化に時間がかかるようになります。また、極端に短い鍵長の鍵を使用することはセキュリティ上好ましくなく、第三者に解読されてしまう恐れもあります。
暗号アルゴリズムの2010年問題とは?
「2000年問題」と呼ばれた、コンピュータの異常な動作が懸念された問題を覚えている方もいると思いますが、暗号化の世界にも「暗号アルゴリズムの2010年問題」と呼ばれている懸念が指摘されています。
そもそも暗号化とは、アルゴリズムを用いて平文を当事者以外には意味のない文字列に変えることをいいますが、暗号化に使われるアルゴリズムは、ある規則性に従ったり、数学的な不可逆性を利用したりして成り立っています。アルゴリズムの解析は、コンピュータを利用して、総当たり的に行うことで解読されてしまう可能性がありますが、それでも解析に天文学的な時間を要すると想定されることが、暗号技術の安全性の根拠になっています。しかしながら、日進月歩で性能が向上していくコンピュータをもってすれば、その時間もやがて短くなっていきます。
暗号化は複数の要素によって実現されていますが、公開鍵もその一つです。暗号化に用いられる鍵の強度は鍵長によって決定されますが、2010年末を境に2048bit以上の鍵長の鍵を使用することが、NIST(アメリカ国立標準技術研究所)やその他各国政府に推奨されており、これを「暗号アルゴリズムの2010年問題」と呼んでいます。
