問題本文
電子証明書を発行するときに生成した秘密鍵と公開鍵の鍵ペアのうち,秘密鍵が漏えいした場合の対処として,適切なものはどれか。
選択肢
- ア.使用していた鍵ペアによる電子証明書を再発行する。
- イ.認証局に電子証明書の失効を申請する。
- ウ.有効期限切れによる再発行時に,新しく生成した鍵ペアを使用する。
- エ.漏えいしたのは秘密鍵だけなので,電子証明書をそのまま使用する。
解説
電子証明書で使用する秘密鍵が漏洩した場合、第三者がその秘密鍵を使ってなりすましや不正な電子署名を行える重大なリスクがある。そのため直ちに認証局(CA:Certification Authority)に電子証明書の失効申請を行うことが必要。認証局はCRL(Certificate Revocation List=証明書失効リスト)に登録し当該証明書が無効であることを公表する。有効期限が残っていても漏洩した秘密鍵に対応する証明書はすべて無効化しなければならず、新しい鍵ペアで証明書を再発行することが必要となる。
選択肢ごとの解説
- ア.誤り。漏洩した秘密鍵と同じ鍵ペアで証明書を再発行しても、秘密鍵は依然として第三者の手に渡ったまま。漏洩リスクは全く解消されず不正利用の危険性は継続する。秘密鍵が漏洩した場合は必ず新しい鍵ペア(公開鍵・秘密鍵のセット)を新規生成して証明書を再発行する必要がある。
- イ.正解。秘密鍵漏洩時は直ちに認証局(CA)に電子証明書の失効申請を行い、CRL(証明書失効リスト)またはOCSP(Online Certificate Status Protocol)に登録して証明書を無効化する。これにより漏洩した秘密鍵に対応する証明書が第三者によって悪用される危険を排除できる。
- ウ.誤り。有効期限切れまで待ってから再発行することは、有効期限内の期間中に不正利用され続けるリスクを放置することになる。秘密鍵漏洩は証明書の有効期限に関係なく即座に失効申請が必要で、有効期限まで使い続けることは許容されない。
- エ.誤り。秘密鍵の漏洩だけでも電子証明書全体の信頼性が失われる。秘密鍵と公開鍵は数学的に対応したペアであり、秘密鍵が漏洩した証明書を使い続けることはなりすまし・署名偽造リスクを継続的に存在させることになるため、証明書全体を失効させる必要がある。
ITパスポート 2018年 (平成30年 秋期) の過去問一覧へ戻る・問62