- - PR -
PKIは いつ どう 普及するか
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2005-01-12 15:25
とある展示会場に出展していたので見ていたのですが、忘れていました。 SSLクライアント認証ですから、PKIライクというかPKIそのものですね。 DoCoMoのWebページを見ていますと、IEからFirstPass対応サイトへ見るとFOMA内の秘密鍵を使うようですから、インストールされたFOMA用のCSP(Cryptographic Service Provider)を経由していると思います。(間違っていたら申し訳ないです) ですので、IE以外のアプリケーションでもCSPを使えれば、電子署名や暗号処理等に使えるのでは? 後はFOMAカードにPKIとして許される耐タンパ性能と、FirstPassの証明書以外(ベリサインの証明書等々)の証明書を格納できることが確認できれば、セキュリティートークンとして利用できるかもしれませんね。 (ついでにPKCS#11対応も必要ですね。FireFox等でも使用したいですから) | ||||
|
投稿日時: 2005-01-13 10:17
こちら初めておじゃまいたします。どうぞよろしく。
DoCoMoさんの件ですが、聞いた話によると証明書の失効検証あたりの 実装について、かなり悩まれていたようです。 結論としては、携帯の契約手続き(解約)などの手段も証明書の失効手段の 一つとして運用されているため、端末を単なるセキュリティトークン として利用する際の課題にもなってるようです。 PKIが普及しない(?)原因として、技術的な要因をあげるとしたら 証明書の失効について現実的な方式が存在しない点があるのかと思います。 CRLは、証明書を認証に用いる場合だと、失効情報が伝播するまでの タイムラグが課題になります。OCSPと言う手段もありますが、トランス ポートレイヤの規定が曖昧なのと、OCSPレスポンダまでの失効情報 伝播が結局CRLなどによると、問題の本質的な解決になっていません。 結局、証明書失効検証の方式が、実装システムによりまちまちになって しまい、その部分のコストが結構バカにならないのも、普及阻害の一要因の ような気がします。 S/MIMEを実装したメールクライアントは、証明書の失効検証について 殆どの製品でかなりサボっているのが現状です。 「認証」「署名」「暗号」などニーズに応じた現実的な失効の方式を 考案し標準化をするのも、普及のためになるのかと思います。 | ||||
|
投稿日時: 2005-01-14 01:06
本質的ですよね。インターネットだとリアルタイムで効力が発生するので、 あとからつぶすのが大変です。印鑑ベースだとなにかにつけて、ラグがあるので なんとかなります。 属性認証で、逃げるのも手ではあると思いますがどうなんでしょうか? CRLの発行をほぼリアルタイムでAAに伝えるなら、属性ごとの失効チェックは まあまあできるのではないでしょうか? たんなるデータベースの分散のような ものですが。。。。 もしくはクレジットのように、サインレスとそうでないのでは扱いを変えるとか ですね。 クレジットのサインレスの仕組みが一番近い解決策のような気がします。 | ||||
|
投稿日時: 2005-01-14 20:34
私のPKIについての感想なのですが、PKIというのは、署名検証者のために システムがあるのに、なぜかシステムを導入するのが署名付与者だったりします。 だから、失効の処理を省くことが多いのかなと。 また、顧客によって失効の用件が異なるのですが、たいていの顧客は気にしない のも面白いところです。自分らが提供する失効方法で十分と思っている。 また、実際十分であることが多いです。 PKIの枠組みではそもそも実装が規定されてないのは、その幅広ささは いいところ?あるいは悪いところ? どちらかはわかりませんが、少なくともPKIのお勉強をする人は 混乱するようです。 | ||||
|
投稿日時: 2005-01-15 01:19
プライベートなPKI運用だからではないでしょうか? そのレベルでも便利なものなんですが、 身分証明書的に利用できる場合には、署名検証あって当たり前になります。 公的個人認証が普及する日はまだ遠いですね。 |