| 用語 |
内容 |
AC (Attribute Certificate)
属性証明書 |
X.509標準に準拠して、属性認証局(AA: Attribute Authority)により発行される属性を証明する証明書(公開鍵は含まない)。 |
| ASN.1 (Abstract Syntax Notation.1) |
OSIの7階層プロトコル モデルの最上位であるアプリケーション層においてデータを明示するために定義された構文(シンタックス)、単純な形式のデータから複雑な構造を持つデータまで表現することができる。構造化データは、通信路に流すために一定の符号化規則にもとづいてビット列に変換される。証明書やCRLは、ASN.1を用いて表現される。 |
| CAO (CA Officers) |
認証局(CA)の管理、運用を実行する人 |
CPS (Certification Practice Statement)
認証実践規定 |
認証局(CA)が証明書を発行するときに採用する実践に関する声明文。そのフレームワークが、RFC2527に記載されている。 |
CRL (Certificate Revocation List)
証明書失効リスト |
失効したX.509証明書を告知するためのリスト。リストには失効した証明書のシリアル番号と失効日時などが列挙されている。 |
| DES (Data Encryption Standard) |
共通鍵暗号方式の一方式であり、IBM社により開発された。 |
デュアルコントロール(Dual Control)
合議制操作 |
重要な操作を複数人を要するようにして、単一人では操作することが出来ないようにするセキュリティを維持するための管理手法。認証局の秘密鍵の生成、バックアップ、破棄などのときにこの手法が採用される。 |
ECOM (Electronic COMmerce promotion council of Japan)
次世代電子商取引推進協議会 |
電子商取引(EC)推進団体。2000年4月より、電子商取引実証推進協議会(旧ECOM)、企業間電子商取引推進機構、および産業情報化推進センターの3組織が統合され、「電子商取引推進協議会」となる。
 ECOMのホームページ |
FIPS 140-1/140-2
暗号モジュール用セキュリティ認定基準 |
NIST(米国標準技術研究所)が策定した暗号モジュール用セキュリティ要件を規定したもの。暗号モジュールは、セキュリティ・レベルという段階基準があり、どの要件に適合するかで、最低レベル1から最高レベル4のいずれかに当てはめられる。
NISTのホームページ |
| IA (Issuing Authority)発行局 |
発行者(issuer)から委託されて(証明書署名鍵を預かり)発行者名義の証明書およびCRLを発行する機関。発行局は、登録局から証明書発行要求を受領して個々の証明書を発行する。PaymentSign(当社の提供するサービスの一つ)では、本機能を作成局(CP)と呼称している。 |
| IETF (Internet Engineering Task Force) |
インターネット上で開発されるさまざまな新しい技術の標準化を促進するために設立されたコンソーシアム。
IETFのホームページ |
| IPsec |
IP層で通信のセキュリティを確保する技術 |
| KRO (Key Recovery Officer) |
鍵回復サーバー(KRS)の管理と運用を実行する人。 |
| LDAP (Lightweight Directory Access Protocol) |
X.500ベースのディレクトリ管理データベースにアクセスするためのプロトコル。 |
| LDIF (LDAP Data Interchange Format) |
LDAPサーバのデータをテキストで表現するための形式。 |
| MD5 (Message Digest) |
メッセージダイジェスト関数アルゴリズムのうちの一つ。RFC1321で公開されている。RSA暗号系の開発者の一人、Rivest氏らによって開発された。任意の長さのデータから128ビットのハッシュ値を生成する。 |
| PGP (Pretty Good Privacy) |
公開鍵暗号方式のプログラムで、メールを暗号化する際にも広く利用されている。階層的な構造や信頼できる認証機関を持っていない点が特徴である。 |
| PIN (Personal Identifier Number) |
銀行カードの番号や社員番号あるいはシステムに対し加入者確認のために使用する識別子(暗証番号等) |
PKI (Public Key Infrastructure)
公開鍵基盤 |
公開鍵暗号方式を安全性の技術的根拠にした、安全な電子商取引を実現するために必要となる社会的インフラであり、電子証明書を発行する認証局、取引に当たって発行された証明書を使用して自身を証明する加入者、提示された証明書に依存して取引に応じる依存者、証明書の有効性などを規定する法律などから構成される。 |
| PKIX (Public Key Infrastructure working group) |
X.509に基づくPKI標準を策定しているIETF内の作業部会
PKIX WGのページ |
| QC (Qualified Certificate) |
人に発行される資格証明書。 |
| RAO (RA Officers) |
登録局(RA)の管理と運用を実行する人。 |
| RAO操作 (RAO operation) |
RAOが責任を持って行う(行わなければならない)操作。自動化されている場合もある。また、他の管理者などとの、合議によって行うことができるものもある。 |
| RFC (Request For Comments) |
IETFが公式に発行するインターネット環境におけるさまざまな技術(ネットワークプロトコルなど)に関する文書。 |
RSA公開鍵暗号方式
(RSA public-key cryptography) |
素因数分解を利用した最も有名な公開鍵暗号方式。Rivest、Shamir、Adlemanらによって提唱され、公開鍵で暗号化/秘密鍵で復号、また逆に、秘密鍵で暗号化/公開鍵で復号できる仕組みになっている。後者が電子署名を行う上で利用される。 |
| S/MIME (Secure MIME) |
MIME形式のメッセージをメールサーバ間で安全にやり取りするために暗号化や署名の方法を定めた仕様。RSA Data Security社などにより開発されたPKCS(Public-Key Cryptographic Standards) #7/#10 標準を用いる。メッセージ仕様は、Version2がRFC2311およびRFC2312に、Version3がRFC2632およびRFC2633で定められている。 |
| シークレットシェア(secret share) |
秘密鍵を保管する場合など、必要に応じそのデータを暗号化した後、複数個に分割し、複数人で保管を行うこと。分割したデータのうち、特定の複数個(m out of n)が集まった場合にはじめて、完全なデータが復元できる。 |
| SHA-1 (Secure Hash Algorithm) |
米国NSAで考案されたハッシュアルゴリズムの標準のひとつで、広く一般に使用されている。任意長のメッセージから160ビットのハッシュ値を生成する。 |
| SSL (Secure Sockets Layer) |
インターネットで安全に通信をするための技術の一つである。Netscape社が提唱するトランスポート層でTCP/IP通信のセキュリティを確保するためのプロトコルである。 |
| TLS (Transport Layer Security ) |
SSLのIETFによる標準化版。バージョン1.0はRFC2246で規定され、SSL2.0/3.0に対して下位互換性を持つ。SSLとの違いはほとんどないが、メッセージ認証コードを作成する際は、RFC2104[原文]で規定されたHMACを使用する。 |
UPS (Uninterruptible Power Supply)
無停電電源装置 |
バックアップ用の電池(または発電機)を内部に持ち、停電時でもシステムをそのまま稼働できるようにする装置。 |
| アーカイブ(archive) |
バックアップ、監査などの目的のため、情報を保管すること。 |
| 暗号化(encryption) |
決まった規則にしたがって、データ(平文)を第三者が見ても解らない文字の羅列に組み立てること。【⇔復号】 |
| 暗号メール(crypt mail) |
S/MIME、PGPなどの方法により、暗号化して送受信される電子メール。 |
| 依存者(relying party) |
加入者の証明書に依存して加入者のディジタル署名を検証する人、組織またはオブジェクト。 |
| 依存者同意書(Relying Party Agreement) |
依存者が、取引にあたり、加入者の証明書に依存する際に認証局と取り交わす同意書。 |
| エスクロウ (escrow) |
預託すること。秘密鍵を特定機関に預け、一定条件が成立した場合に証拠として提出を義務付けられる制度。 |
| エンティティ (entity) |
PKIに登場する人、装置、組織、機関、その他のオブジェクト。 |
| エンドエンティティ (end entity) |
加入者と 依存者。略してEEと呼ぶことがある。 |
| オブジェクト(object) |
対象、物体のこと。PKIではOIDでオブジェクトを一意に定める。 |
| オブジェクト識別子(OID)(Object IDentifier) |
国際的に登録し、標準化機関によって承認されたオブジェクトを一意に識別できる値。ツリー状の形式を持っており、異なるオブジェクトに同一の識別子が割り当てられることがない。 |
| 下位認証局(SCA)(Subordinate CA) |
直上の認証局(中間認証局が存在しない場合にはRCA)により署名された認証局階層上、下位に位置する認証局であり、加入者証明書への署名を行う。 |
| 鍵回復(key recovery) |
加入者の秘密鍵の紛失ないし破壊があった場合に、その回復を行うこと。 |
| 鍵回復サーバ(KRS)(Key Recovery Server) |
加入者の秘密鍵の紛失ないし破壊に備えて、秘密鍵を安全に保管し必要なときに回復を行うサーバ。 |
| 鍵断片 (key fragment) |
シークレットシェア(SecretShare) によって分割された鍵の一部。 |
| 活性化(activate) |
鍵を署名や暗号化/復号などの運用に供することができる状態にすること。 |
| 加入者(subscriber) |
証明書の発行を受けた対象(人、組織、またはオブジェクト)。証明書の中で加入者の公開鍵と加入者が結合される。 |
| 監査(audit) |
CPS、事務取扱要領などの定められた規定に準拠して運用がなされていることを検査すること。 |
| 監査証跡(audit trails) |
監査のための証拠となるもの(アクセスログ、入退室記録など)。 |
| 危殆化(compromise) |
機密に管理されるべき情報が、情報の紛失、盗難などにより安全性を喪失すること。 |
| 検証(verify) |
電子署名を吹かされたデータが、署名後改竄されていないことを確認すること(署名検証)。また、証明書自体が有効期限切れや失効といった状態でないことを確認すること。 |
| 公開鍵(public key) |
公開鍵暗号方式において、公開される鍵。秘密鍵と対になっており、対応する秘密鍵での暗号を解読するために用いる。 |
| 公開鍵暗号方式(public-key cryptography) |
1組の鍵ペア(公開鍵/秘密鍵)を用いて、暗号化、復号を行う暗号方式。非対称暗号方式と呼ぶ場合もある。 |
| 作成局(CP)(Certificate Processor) |
発行者との証明書代行発行契約にもとづき発行者の代わりに発行者の署名付き証明書およびCRL(失効した証明書の一覧表)を作成する組織。PaymentSignでの呼称。 |
| サブジェクト識別名(subject identifier) |
加入者(所有者)を識別するための名称。 |
| 識別名(DN)(distinguished name) |
X.500プロトコルで定義されているディレクトリ情報ツリー(DIT)内のエントリ。ディレクトリツリー内のオブジェクトを一意に識別する。 |
| 失効(revocation) |
有効期間内の証明書が、鍵の危殆化などの理由によりその有効性が失われること。 |
| 秘密鍵(private key) |
証明書に記載されている公開鍵と対の鍵。この鍵の管理者が自分だけが利用できるよう厳重に管理することがPKIの前提となる。 |
| 証明書(certificate) |
加入者についての情報を含み、発行機関により電子署名されたメッセージ。この情報は加入者の公開鍵、加入者名、証明書発行機関名、有効期間とシリアルナンバーから成る。 |
| 証明書ポリシー(CP)(certificate policy) |
証明書を特定のコミュニティやアプリケーションが使用するに当たって、認証局(CA)が示す規則集のこと。一つのCPは、証明書においてユニークなOIDで表現される。 |
| 署名鍵(signing key) |
証明書などのデータに署名を付する場合に使用される鍵。公開鍵暗号方式では署名鍵として秘密鍵が使用される。 |
| 相互運用性(I14Y)(interoperability) |
異なる機関の証明書、または、別の認証階層を持つ証明書の間で互換性がとれること。 |
| 中間認証局(ICA)(Intermediate CA) |
RCAとSCAの間に存在する認証局。ICA証明書は、RCAにより署名され、ICAは、SCA証明書に署名する。 ICAの配下にSCAが存在しない場合、直接、加入者証明書に署名する。 |
| 登録局(RA)(Registration Authority) |
証明書の発行に関連するいくつかの機能を有する機関。 それら機能は、発行者より委任される。主な機能は、 証明書申請受付本人確認、CAへの証明書要求、証明書(と秘密鍵)の配布、証明書失効決定、CAへの証明書失効要求がある。 |
| トークン(token) |
加入者の証明書、秘密鍵およびPINを書き込むためのFD、ICカードなど記録媒体。 |
| 認証局(CA)(Certificate Authority) |
公開鍵証明書を発行する認証機関。認証局への信頼は、PKIシステム全体の信頼の土台である。 |
| 発行(issuance) |
申請書に従い証明書を作成して、 加入者に配布すること。 |
| 発行者(Issuer) |
証明書の発行を行う者を言う。証明書の発行に伴い、(上位認証局が存在する場合、そのポリシーに抵触することなく、)証明書ポリシーならびにCPSを作成し公開する。発行する証明書の真正性を保証する手段として、その証明書に自己の秘密鍵で署名する。 発行者は、認証局の運営主体である。 |
| 共通鍵(secret key) |
共通鍵暗号方式で使用される暗号鍵であり、暗号化と復号に使用される共通の鍵。鍵の使用者によって秘匿管理される必要がある。 |
| 秘密認証キー(secret certification key) |
個々の加入者と認証局が共有する秘密の文字列であり、センシティブな情報を伝達するために、認証コード、暗号鍵などに使用される。 |
| ファイアウォール(firewall) |
組織の内部ネットワーク(Intranet)と、その外部のインターネットとの間に、外部からの不正なアクセスを防ぐ目的で設置されるルータやホスト、またはその機能。 |
| 復号(decryption) |
符号化された情報を決まった規則にしたがってもとのデータ(平文)に変換すること。【⇔暗号化】 |
| リポジトリ(repository) |
加入者の証明書、CRLおよびこれに 関連するその他の情報を保管し、オンラインでアクセスできる情報保管庫。 |
| ルート証明書(root certificate) |
認証階層経路の頂点に位置し、自分自身(ルート認証局)により 自己署名された証明書。 |
| ルート認証局(RCA)(Root CA) |
認証階層経路の頂点に位置し、自己署名し、信頼パスの出発点となる認証局。直下にある認証局(ICAまたはSCA)の証明書に署名する。 ルート認証局の配下に認証局が存在しない場合、直接、加入者証明書に署名する。 |
PKI用語解説
