情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度秋期 午前Ⅱ 問1: PKI を構成する OCSP を利用する目的はどれか。

問題本文

PKI を構成する OCSP を利用する目的はどれか。

選択肢

• ア.誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
• イ.ディジタル証明書から生成した鍵情報の交換が OCSP クライアントとレスポンダの間で失敗した際，認証状態を確認する。
• ウ.ディジタル証明書の失効情報を問い合わせる。
• エ.有効期限の切れたディジタル証明書の更新処理の進捗状況を確認する。

正解

ウ. ディジタル証明書の失効情報を問い合わせる。

解説

OCSP(オンライン証明書状態プロトコル)は、ディジタル証明書が失効していないかをレスポンダにリアルタイムで問い合わせる仕組み。従来のCRL(失効リスト)を都度ダウンロードする方式に比べ、即時性が高く配布負荷も小さい。よって失効情報を問い合わせるウが正解。実務ではTLSサーバ証明書の失効確認やOCSPステープリングで利用される。

選択肢ごとの解説

• ア.秘密鍵の再発行進捗の照会はOCSPの目的ではなく、運用・申請手続きの話で誤り。
• イ.OCSPは鍵交換を行わず、その失敗時の認証状態確認という機能も持たないので誤り。
• ウ.証明書が失効していないかをレスポンダへ即時に問い合わせる用途で正しい。
• エ.有効期限切れ証明書の更新進捗確認はOCSPの役割ではなく誤り。