情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ 問3: PKI を構成する OCSP を利用する目的はどれか。

問題本文

PKI を構成する OCSP を利用する目的はどれか。

選択肢

• ア.誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
• イ.ディジタル証明書から生成した鍵情報の交換が OCSP クライアントとレスポンダの間で失敗した際，認証状態を確認する。
• ウ.ディジタル証明書の失効情報を問い合わせる。
• エ.有効期限が切れたディジタル証明書の更新処理の進捗状況を確認する。

正解

ウ. ディジタル証明書の失効情報を問い合わせる。

解説

OCSPはCRLに代わり、検証側が証明書の失効状態をオンラインでリアルタイムに問い合わせるプロトコル。クライアントが対象証明書のシリアル番号を含む要求をOCSPレスポンダに送り、good/revoked/unknownの応答を得る。鍵の再発行や更新の進捗管理とは無関係で、目的はあくまで失効確認。実務ではCRLの肥大化やタイムラグを避けて即時に失効を判定でき、TLS通信の信頼性確保に役立つ。

選択肢ごとの解説

• ア.破棄した秘密鍵の再発行処理の進捗照会はOCSPの機能ではなく無関係なため誤り。
• イ.鍵交換の失敗時の認証状態確認といった用途はOCSPの目的ではなく誤り。
• ウ.証明書の失効情報をオンラインで問い合わせるというOCSP本来の目的で正しい。
• エ.期限切れ証明書の更新進捗確認はOCSPの役割ではないため誤り。