Public Key Infrastructure (PKI)
PKIは、オンライン通信およびトランザクションにおける信頼を確立するために、デジタル証明書およびキーの発行、管理、検証を行うためのフレームワークです。
[Public Key Infrastructure](/ja/terms/public-key-infrastructure) (PKI)は、公開鍵暗号方式を使用して、IDを暗号鍵および証明書にバインドすることにより、安全な電子通信を可能にする包括的なシステムです。PKIは、デジタル証明書の発行、管理、廃止、および組織的および技術的な境界を越えた信頼チェーンの検証に必要なプロセス、人員、およびテクノロジーを提供します。
主なコンポーネントは次のとおりです。
- Certificate Authority (CA): 被験者とその公開鍵との間のバインドをアサートするデジタル証明書を発行および維持する権限。
- Registration Authority (RA): 証明書が発行される前に申請者のIDを確認します。
- Public and private keys: 暗号化、署名、およびID検証に使用される非対称鍵ペア。
- Certificate repository and Directory Services: 証明書および証明書ステータスの保存と検索。
- Validation protocols: 証明書チェーンを検証するためのメカニズム(パス検証)。
- Certificate policies and CPS: 証明書の発行、使用、およびライフサイクルを管理するルール。
- Trust anchors: PKI階層の信頼の基盤を形成するルートCA。
ライフサイクルと運用:
- Enrollment and issuance: ID検証、鍵生成、証明書作成、および被験者への証明書の配信。
- Renewal and rekey: 鍵漏洩リスクを軽減するための定期的な更新と鍵ローテーション。
- Revocation: もはや信頼されるべきではない証明書を検出して公開すること(CRLまたはOCSP経由)。
- Validation: クライアントは、信頼されたルートおよびポリシー制約に対して証明書チェーンを検証します。
- Archival and recovery: 回復のための鍵アーカイブ(ポリシーで許可されている場合)および災害復旧計画。
一般的なデプロイメントモデルとエッジケース:
- Hierarchical PKI: スケーラブルな信頼モデルを提供するルートCAおよび中間CA。クロス認証により、PKI間の相互運用性が可能になります。
- Offline root CA with online intermediates: 露出リスクを低減するためにオフラインのルートCAとオンラインの中間CA。
- IoT and device identity PKIs: 軽量プロファイルとスケーラブルな登録を必要とするIoTおよびデバイスIDPKI。
- Cross-certification and bridge CAs: マルチPKI環境をサポートするためのクロス認証およびブリッジCA。
重要なセキュリティコントロール:
- Private key protection: プライベートキーを保護するためのHSMまたはセキュアキーデバイスの使用。強力なアクセス制御。ハードウェアベースのストレージ。
- Key management: ライフエンドでのローテーション、バックアップ、および安全な破棄。
- Revocation and status checking: 侵害された証明書を失効させ、タイムリーなステータスを提供するCRLおよびOCSP/OCSP stapling。
- Certificate pinning and DANE: 特定のコンテキストにおけるサードパーティの信頼への依存を減らすための技術。
- Audit and governance: CPS/CPポリシー、定期的な監査、およびインシデント対応計画。
制限と課題:
- PKI complexity: 運用オーバーヘッド、ポリシーの整合性、およびクロスドメインの信頼管理。
- Revocation latency: 失効伝播の遅延とOCSPレスポンダーは、リアルタイムの意思決定に影響を与える可能性があります。
- Scalability: 大規模なCRLと高い証明書発行率は、堅牢なインフラストラクチャを必要とします。
結果として得られる機能:
- Authentication: 被験者の証明書と署名を検証することにより、IDを証明します。
- Confidentiality and integrity: 受信者の公開鍵でデータを暗号化するか、送信者のプライベートキーでデータを署名します。
- Non-repudiation: デジタル署名は、送信元と整合性の証拠を提供します。
要約すると、PKIは、Web、電子メール、コード署名、およびデバイスID全体にわたる信頼されたデジタルインタラクションのバックボーンであり、法的に管理されたフレームワーク内で証明書を発行、管理、検証するための構造化されたアプローチを提供します。
graph LR
Center["Public Key Infrastructure (PKI)"]:::main
Rel_digital_certificate_management["digital-certificate-management"]:::related -.-> Center
click Rel_digital_certificate_management "/terms/digital-certificate-management"
Rel_public_key_infrastructure["public-key-infrastructure"]:::related -.-> Center
click Rel_public_key_infrastructure "/terms/public-key-infrastructure"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧠 理解度チェック
🧒 5歳でもわかるように説明
PKI is like a global passport office for the internet. If you want to prove you are a specific website, you get a passport (digital certificate) from the office (Certificate Authority). Everyone else knows to trust you because they trust the passport office.
🤓 Expert Deep Dive
PKI involves a hierarchy of CAs, starting from a 'Root CA' pre-installed in your browser. It manages Certificate Revocation Lists (CRLs) and the Online Certificate Status Protocol (OCSP) to handle keys that are no longer safe (e.g., stolen keys).