ディジタル署名
ディジタル証明書
証明対象となる公開が気に認証局(CA)のディジタル署名をふよしたもの。 これを問われる場合は、ディジタル署名で用いられる、公開鍵や秘密鍵の文言が出てくる。
用途・目的
- サーバ認証
- クライアント認証(オプション)
- クライアント側からサーバ側への共有秘密鍵(暗号化鍵)の送付
CRL(証明書失効リスト)
有効期限内であるにも関わらず、秘密鍵の漏えい、紛失、証明書の被発行者の規則違反などの理由により執行したディジタル証明書が列挙されたリスト。 CRLには執行した証明書の ・シリアル番号 ・失効日時 が登録されている。
CRLに登録されている証明書は、有効期限の満了時点でCRLから抹消される。 有効期限内なんだけど、使われたら困るリストなので、有効期限が過ぎたらどうでも良いため。
OCSP(Online Certificate Status Protocol)
鍵の漏えい、破棄申請の状況をリアルタイムに反映するプロトコル。 リアルタイムでディジタル証明書の失効情報を研掃し、有効性を確認するプロトコル。 クライアントは、確認対象となるディジタル証明書のシリアル番号をOCSPレスポンスヘッダに送信し、有効性検証の結果を受け取る。
VA(Validation Authority)
証明書有効性検証局。 PKIを構成する機関で、公開鍵証明書の有効性を検証し、クライアントからの証明書の有効性に関する問い合わせに応答する役割を担っている。 クライアントからのリアルタイム問い合わせには、OCSPやSCVPが用いられ、VAにはレスポンダ(サーバ)機能が実装される。
XMLディジタル署名
方式
Detached Signature(デタッチ署名)
署名対象要素と署名要素が独立した署名形式(sibling elements)である。 Detached署名は、署名対象データに任意の電子ファイル(Word、Excel、MPEG画像データ、XML文書など)を指定して、署名対象データをXML署名部分とは独立させ外部ネットワークやローカルファイルに置くことができる。またXML文書内にXML署名要素とXML署名対象要素を並列に配置させることもできる。
Enveloped Signature(エンベロープ署名)
署名要素が署名対象要素の子要素となる署名形式である。 Enveloped署名は同じ文書に複数人の署名を付けるなどの用途に適している。
Enveloping Signature(エンベローピング署名)
署名要素が署名対象要素の親要素となる署名形式である。 Enveloping署名は署名対象要素を包含した形式で、医療のカルテのように初めの医師が署名したカルテに、次の医師が新しく書き添えた部分のみに署名を加えていくような用途に適している。
リソースの指定方法
参考
https://www.ipa.go.jp/security/pki/074.html
https://www.atmarkit.co.jp/ait/articles/0207/24/news001.html