DBSに必要な「認証技術」の基礎「データベーススペシャリスト試験」戦略的学習のススメ(33)

あの“津崎さん”も保有する難関資格「データベーススペシャリスト」。本企画では、データベーススペシャリスト試験 午前/午後試験対策のための「基礎知識」を抜粋してお届けします。今回はデータベースシステムに必要な「認証技術の基礎」を解説します。

» 2017年12月05日 05時00分 公開

連載目次

ポケットスタディ データベーススペシャリスト [第2版]

書籍の中から有用な技術情報をピックアップして紹介する本シリーズ。今回は、秀和システム発行の書籍ポケットスタディ データベーススペシャリスト [第2版](2015年12月22日発行)』からの抜粋です。

ご注意:本稿は、著者及び出版社の許可を得て、そのまま転載したものです。このため用字用語の統一ルールなどは@ITのそれとは一致しません。あらかじめご了承ください。


※編集部注:前回記事「DBSに必要な「暗号技術」の基礎」はこちら

認証技術

出題頻度 午前II:●●- 午後I:--- 午後II:---


 ●--:過去14年間での過去問出題数が1〜9回
 ●●-:過去14年間での過去問出題数が10〜19回
 ●●●:過去14年間での過去問出題数が20回以上


Key Word

ディジタル署名、XMLディジタル証明書、メッセージ認証、時刻認証、利用者確認、公開鍵基盤、政府認証基盤


 本分野では認証技術について説明します。暗号化では「内容の流出を防ぐ」のに対し、認証では「なりすましや改ざんを検出する」ことができます。

ディジタル署名

 送信者はハッシュ関数で送信内容のハッシュ値(ダイジェスト)を作成し、これを送信者の秘密鍵で暗号化し送信します。受信者も同じく送信内容からハッシュ関数でハッシュ値を作成し、これと、暗号化ダイジェストを送信者の公開鍵で復号した値とを比較し、同じ値であれば、間違いなく本人からの送信であり、改ざんも行われていないことがわかります。

ディジタル署名の運用イメージ

XMLディジタル署名

 XMLに施すディジタル署名として、XMLディジタル署名があります。SOAPやSAMLといった様々なWeb技術で利用されており、その構造により以下の通り分類されます。

XML署名のイメージ
detached 署名 署名を行うデータに対して、そのファイルとは別にXML証明書を用意して署名
enveloped 署名 署名を行うデータの中に、XML証明書を含める形で署名
enveloping 署名 XML証明書の中に、署名を行うデータを含める形で署名

 尚、XMLディジタル署名以外の署名については、ASN.1やCMSといった複雑な書式を用いるのに対し、XMLディジタル署名ではその全てがXMLのタグ付き言語で統一されています。

メッセージ認証

 送信内容(メッセージ)に改ざんが無いことを確認する方法をメッセージ認証と呼びます。左ページのディジタル署名の例では公開鍵暗号方式によるメッセージ認証を行っていますが、MAC(Message Authentication Code)という方式では以下のように共通鍵暗号化方式を利用します。

MAC方式

時刻認証

 電子データとして登録されている時刻(タイムスタンプ)が正しいことを確認するための技術を時刻認証と呼びます。ある情報とタイムスタンプに対するディジタル署名で、「ある時刻にその情報が存在していたこと」、「ある時刻以降にその情報が改ざんされていないこと」を保証します。

利用者確認

 利用者の真正性を確認する技術として、以下があります。

コールバック 利用者からのアクセス要求を受けた後、あらかじめ登録してある利用者の電話番号に逆にアクセスすることで、利用者が間違いなく登録された相手であることを確認する。
ID・パスワード認証 利用者にID・パスワードを割り当て、「パスワードを知っている」ということを基に、真正な利用者であることを確認する。
生体認証
(バイオメトリクス認証)
利用者の生体情報から本人を特定する。指紋・光彩・静脈などの特徴を数値化し、その値を利用する。

公開鍵基盤(PKI)

 公開鍵暗号方式による認証を運用するため、以下のような正しい公開鍵を安全に配布するための仕組みが必要となります。

認証局(CA)
(Certificate Authority)
公開鍵をとりまとめて管理する組織。認証局は公開鍵に「その鍵が正当である」旨のディジタル署名を付与する。
登録局(RA)
(Registration Authority)
公開鍵の登録者が間違いなく本人である事を審査する組織。
EV証明書
(EV:Extended Validation)
信頼できる認証局が、認証先のWebサイト等の実在性を厳密に認定して発行する電子証明書。
失効リスト(CRL)
(Certificate Revocation List)
鍵の漏洩や、期限切れなどで失効した電子証明書の一覧。認証局で管理されるデータベースであり、証明書を利用する際には必ず確認される。

政府認証基盤(GPKI)

 インターネットを利用して行政機関に様々な申請を行い、またその結果通知を受け取る際、その名義人(申請者や行政機関)が間違いないこと、内容が正しいことを担保する行政機関の仕組みを政府認証基盤(GPKI)と呼びます。政府認証基盤は以下の機関で構成されています。

ブリッジ認証局 行政機関の認証局と民間の認証局の仲介を行う認証局であり、行政機関側の公開鍵暗号及びその失効リストを一元的に提供する。
政府共用認証局 申請者に対する結果の通知を、然るべき権限者が行っていること、また結果の内容が正しいことを証明する証明書を発行する。
本試験過去問題による類題演習
□H17 午前問47 正規の受信者だけが内容を確認でき、送信者の認証ができる暗号化方式
□H18 午前問47 ディジタル署名を利用する目的
□H18 午前問49 メッセージ認証で使用される鍵の組合せ
□H19 午前問47 XMLディジタル署名の特徴
□H22 午前II問21 認証局で生成したディジタル証明書を使ってSSL通信を行う処理手順
(Chance問題)
□H20 午前問48 時刻認証(ディジタル署名された文書を公開する場合の認証の効果)

Point check 2

ディジタル証明書をもつA氏が、B商店に対して電子メールを使って商品の注文を行うときに、A氏は自分の秘密鍵を用いてディジタル署名を行い、B商店はA氏の公開鍵を用いて署名を確認する。この手法によって実現できることはどれか。ここで、A氏の秘密鍵はA氏だけが使用できるものとする。

(H21春DB午前II問16)


 A氏からB商店に送られた注文の内容は、第三者に漏れないようにできる。

 A氏から発信された注文は、B商店に届くようにできる。

 B商店に届いた注文は、A氏からの注文であることを確認できる。

 B商店は、A氏に商品を売ることが許可されていることを確認できる。


解答 Point check 2 

 *囲み内をクリックすると解答を表示します(表示後ページをリロードすると、再び非表示になります)

書籍紹介

ポケットスタディ データベーススペシャリスト [第2版]

ポケットスタディ データベーススペシャリスト [第2版]

具志堅融、河科湊著
秀和システム 1,500円

データベーススペシャリスト試験は同じパターンの出題が多いため、過去問をたくさん解くことが合格の早道です。しかし、難易度の高い過去問を解くには、勉強が必要であり、多くの時間と労力を必要とします。本書は、プロの講師が推奨する、テキストを少し読み→該当する過去問を解き→理解を深めるというアジャイル的学習法で、驚くほど短時間で合格するツボとコツを解説します。"すき間時間"を活用して効果的な学習ができます!


注文ページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。