定義Public Key Infrastructure (PKI) は、公開鍵と秘密鍵のペアを管理するための一連のコンポーネントと手順を中心に構築される。PKI は、以下を含むさまざまなコンポーネントで構成される:PKIは、認証局、電子証明書、登録局、検証局、公開鍵、秘密鍵公開鍵暗号、安全な保管など、さまざまなコンポーネントで構成される。これらについて以下に説明する。
公開鍵基盤の主な構成要素
認証局 (CA)
一般に、認証局は、証明書のライフサイクル管理の段階を含め、PKI 証明書管理のすべての側面を管理する。CA は、証明書に刻印されたサブジェクトが公開鍵の所有者であることを検証するために使用される証明書を発行する。PKI システムでは、クライアントが公開鍵と秘密鍵のペアを生成する。公開鍵と証明書に記載される情報は、CA に送信される。次に CA は、ユーザの公開鍵と証明書の属性から成るデジタル証明書を作成する。証明書は、認証局によってその秘密鍵で署名される。
認証局はデジタル証明書を発行することで、組織、人、デバイスを検証し、トランザクションを暗号化し、情報を保護し、安全な通信を可能にするためにこれらの証明書を使用します。
デジタル証明書
デジタル証明書は、PKI の機能を実現する。デジタル証明書は、オンライン・トランザクションの際にユーザー間の身元確認を容易にする電子的な身分証明書として機能する。PKIは、証明書を使用して両当事者の身元を検証できるため、2つの通信マシン間の安全な接続を可能にする。
登録局
認証局(CA)は、登録局(RA)に対し、ケース・バイ・ケースで利用者に電子証明書を提供する権限を与える。暗号化された証明書データベースには、認証局と登録局の双方によって要求、受領、失効されたすべての証明書が保存される。
証明書の履歴と情報は、証明書ストアと呼ばれるものに保存される。証明書ストアは、通常、特定のコン ピュータ上にあり、発行された証明書とプライベート暗号鍵を含む、証明書の履歴に関連するすべてのメ モリの保存場所として機能する。証明書ストアは、複数のCAからの証明書を含む可能性がある。
検証機関(VA)
VA は、企業が証明書が失効していないことを確認することを可能にする。VA 機能は、PKI を管理する組織がホストするオンライン施設によって実行される。失効した証明書を公表するため、検証局はOCSPまたはCRL を頻繁に使用する。
公開鍵
公開鍵は、公に利用可能であり、安全な保管を必要としない暗号数学的鍵である。公開鍵によって暗号化されたメッセージは、対応する秘密鍵によってのみ復号化できる。
秘密鍵
受信者は 秘密鍵を使って公開鍵で暗号化されたメッセージを復号する。メッセージは特定の公開鍵で暗号化されているので、対応する秘密鍵でしか復号できない。これにより、秘密鍵と公開鍵の所有権が確立され、許可された者のみがメッセージを読むことができるようになる。
安全な保管
鍵を漏洩から守るには、認証局(CA)とエンド・エンティティの双方が秘密鍵を安全に保管する方法を持たなければなりません。
ハードウェア・セキュリティ・モジュールは、PKI 全体のセキュリティを向上させる。このデバイスは、デジタル鍵の保護と管理を行い、安全なエンタープライズ PKI インフラの基礎を築く。HSM は、鍵の作成、ローテーション、削除、監査、さまざまなアプリケーションとの API 統合など、暗号鍵のライフサイクル全体の管理に貢献する。HSMの唯一の目的は、暗号データの隠蔽と保護である。