1. PKI Overall Structure
┌─────────────────────────────────────────────────────────────┐
│ Root CA (認証局) │
│ [最上位認証局] │
│ - 自己署名証明書を発行 │
│ - 下位CAの証明書に署名 │
└──────────────────┬──────────────────────────────────────────┘
│
├─────────────────┬─────────────────┐
▼ ▼ ▼
┌────────────────┐ ┌────────────────┐ ┌────────────────┐
│ 中間CA │ │ 中間CA │ │ 中間CA │
│ (Intermediate) │ │ (Intermediate) │ │ (Intermediate) │
└────────┬───────┘ └────────┬───────┘ └────────┬───────┘
│ │ │
▼ ▼ ▼
┌────────────────┐ ┌────────────────┐ ┌────────────────┐
│ 発行CA │ │ 発行CA │ │ 発行CA │
│ (Issuing) │ │ (Issuing) │ │ (Issuing) │
└────────┬───────┘ └────────┬───────┘ └────────┬───────┘
│ │ │
└──────────┬───────┴──────────────────┘
▼
┌────────────────────┐
│ エンドエンティティ │
│ (End Entity) │
│ - ユーザー │
│ - サーバー │
│ - デバイス │
└────────────────────┘
2. Certificate Issuance Process (証明書発行フロー)
【申請者】 【RA】 【CA】 【リポジトリ】
│ │ │ │
│ ①鍵ペア生成 │ │ │
│ (公開鍵/秘密鍵) │ │ │
│ │ │ │
│ ②証明書申請(CSR) │ │ │
│ + 本人確認書類 │ │ │
├────────────────────>│ │ │
│ │ │ │
│ │ ③本人確認 │ │
│ │ 申請内容審査 │ │
│ │ │ │
│ │ ④証明書発行要求 │ │
│ ├──────────────────>│ │
│ │ │ │
│ │ │ ⑤証明書生成 │
│ │ │ - CAの秘密鍵で署名│
│ │ │ │
│ │ ⑥証明書発行 │ │
│ │<──────────────────┤ │
│ ⑦証明書交付 │ │ │
│<────────────────────┤ │ │
│ │ │ │
│ │ │ ⑧証明書公開 │
│ │ ├───────────────────>│
│ │ │ │
│ ⑨秘密鍵保管 │ │ │
│ (厳重管理) │ │ │
│ │ │ │
3. Digital Signature & Verification (デジタル署名・検証フロー)
【送信者】 【受信者】
┌──────────────┐ ┌──────────────┐
│ ①メッセージ │ │ │
└──────┬───────┘ │ │
│ │ │
▼ │ │
┌──────────────┐ │ │
│ ②ハッシュ計算 │ │ │
│ (SHA-256等) │ │ │
└──────┬───────┘ │ │
│ │ │
▼ │ │
┌──────────────┐ │ │
│③送信者の秘密鍵│ │ │
│ で暗号化 │ │ │
│ =デジタル署名 │ │ │
└──────┬───────┘ │ │
│ │ │
▼ │ │
┌──────────────────────┐ │ │
│④メッセージ+デジタル署名│ │ │
│ +証明書を送信 │ │ │
└──────┬───────────────┘ │ │
│ │ │
└──────────────────────────────────>│ │
│ │
▼ │
┌──────────────┐ │
│⑤証明書検証 │ │
│ - CA署名確認 │ │
│ - 有効期限確認│ │
│ - CRL確認 │ │
└──────┬───────┘ │
▼ │
┌──────────────┐ │
│⑥証明書から │ │
│ 公開鍵取得 │ │
└──────┬───────┘ │
▼ │
┌──────────────┐ │
│⑦デジタル署名 │ │
│ を公開鍵で復号│ │
└──────┬───────┘ │
▼ │
┌──────────────┐ │
│⑧メッセージの │ │
│ ハッシュ計算 │ │
└──────┬───────┘ │
▼ │
┌──────────────┐ │
│⑨ハッシュ値 │ │
│ 比較 │ │
│ 一致→検証OK │ │
└──────────────┘ │
│
4. Certificate Revocation Process (証明書失効フロー)
┌─────────────────────────────────────────────────────────────┐
│ 証明書失効が必要な場合 │
│ - 秘密鍵の漏洩・紛失 │
│ - 証明書記載内容の変更 │
│ - CAの秘密鍵漏洩 │
└──────────────────┬──────────────────────────────────────────┘
▼
┌────────────────┐
│ ①失効申請 │
│ (証明書保有者) │
└────────┬───────┘
▼
┌────────────────┐
│ ②本人確認 │
│ 失効理由確認 │
│ (RA) │
└────────┬───────┘
▼
┌────────────────┐
│ ③失効処理 │
│ シリアル番号 │
│ 登録 (CA) │
└────────┬───────┘
│
┌─────────┴─────────┐
▼ ▼
┌─────────────────┐ ┌─────────────────┐
│ ④CRL発行 │ │ ④OCSPレスポンダ │
│ (Certificate │ │ 更新 │
│ Revocation │ │ (Online │
│ List) │ │ Certificate │
│ │ │ Status │
│ - 定期的に更新 │ │ Protocol) │
│ - 失効証明書 │ │ │
│ リスト公開 │ │ - リアルタイム │
└────────┬────────┘ │ 状態確認 │
│ └────────┬────────┘
│ │
└──────────┬──────────┘
▼
┌────────────────┐
│ ⑤リポジトリ │
│ に公開 │
└────────────────┘
5. Certificate Validation (証明書検証フロー)
開始
│
▼
┌─────────────────┐
│ 証明書の署名検証 │
│ (CAの公開鍵使用) │
└────┬────────────┘
│
▼
署名OK?──No──> 【検証失敗】
│Yes
▼
┌─────────────────┐
│ 有効期限確認 │
│ (notBefore/ │
│ notAfter) │
└────┬────────────┘
│
▼
期限内?──No──> 【検証失敗】
│Yes
▼
┌─────────────────┐
│ 証明書の用途確認 │
│ (Key Usage/ │
│ Extended Key │
│ Usage) │
└────┬────────────┘
│
▼
用途OK?──No──> 【検証失敗】
│Yes
▼
┌─────────────────┐
│ 失効状態確認 │
│ ①CRLチェック │
│ または │
│ ②OCSPクエリ │
└────┬────────────┘
│
▼
失効なし?──No──> 【検証失敗】
│Yes
▼
┌─────────────────┐
│ 証明書チェーン │
│ 検証 │
│ (Root CAまで) │
└────┬────────────┘
│
▼
チェーンOK?──No──> 【検証失敗】
│Yes
▼
【検証成功】
6. Key PKI Components (主要コンポーネント)
┌──────────────────────────────────────────────────────────┐
│ PKI構成要素 │
├──────────────────────────────────────────────────────────┤
│ │
│ ┌────────────┐ ┌────────────┐ ┌────────────┐ │
│ │ CA │ │ RA │ │リポジトリ │ │
│ │ 認証局 │ │ 登録局 │ │ │ │
│ │ │ │ │ │ - 証明書 │ │
│ │ - 証明書発行│ │ - 本人確認 │ │ - CRL │ │
│ │ - 証明書署名│ │ - 申請審査 │ │ - ARL │ │
│ │ - CRL発行 │ │ │ │ │ │
│ └────────────┘ └────────────┘ └────────────┘ │
│ │
│ ┌────────────┐ ┌────────────┐ ┌────────────┐ │
│ │ OCSP │ │タイムスタンプ│ │ VA │ │
│ │ レスポンダ │ │ 局 (TSA) │ │ 検証局 │ │
│ │ │ │ │ │ │ │
│ │ - リアル │ │ - 時刻証明 │ │ - 証明書 │ │
│ │ タイム │ │ - 長期署名 │ │ 検証 │ │
│ │ 失効確認 │ │ │ │ │ │
│ └────────────┘ └────────────┘ └────────────┘ │
│ │
└──────────────────────────────────────────────────────────┘ この図は情報セキュリティスペシャリスト/情報安全支援士試験で重要なPKIの基本的な流れを示しています。