日本認証サービスのWebサイトを見ると、電子政府向け証明書発行サービスばかりが目につく。
『AccreditedSignパブリックサービス2』というが、この表の中に“基本型”、“ID型”、“属性型”という3つの証明書があり、なんだか難しそうな印象を受ける。
ここでちょっと“証明書”とは何かについて整理。
ITU-T RECOMMENDATION X.509によると、簡単にいうと証明書(Certificate)は次の2つに分類される。
- 公開鍵証明書(Public Key Certificate:PKC)
- CA(Certification Authority)のディジタル署名によって公開鍵とエンティティ(人や機器など)を結びつけるもの。
- 属性証明書(Attribute Certificate:AC)
- AA(Attribute Authority)のディジタル署名によって権限とエンティティを結びつけるもの。
これらは証明書という同じ名前は付いているものの、まったく異なるフォーマットのデータである。(一般的に“証明書”と呼ばれるものは前者の“公開鍵証明書”の方を指している。)
例えば、会社の社員カードは個人を識別し認証するためのものであるため、“公開鍵証明書”の性格に近い。社員カードには課長や部長といった役職・権限のようなものは通常は含まれていないだろう。
そして、任命書や委任状のような役職や権限を与えるものが、“属性証明書”にあたる。
そのため、個人を認証(Authentication)するためのものが“公開鍵証明書”であり、通常は数年程度の有効期間を与えられる。“属性証明書”は権限を許可・認可(Authorization)するためのものであり、一般的には公開鍵証明書よりも有効期間は短くなる。(例えば、権限を一時的に委譲する場合には属性証明書の有効期間が数分程度ということも考えられる。これは、課長のハンコをちょっと借ります、というような感じに似ている。)
要するに、公開鍵証明書は個人を証明(Identity)するためのものであり、属性証明書は個人に付与される権限・役職などの属性を証明するためのもの。
そういうことを知っている人にとっては、日本認証サービスの“ID型”、“属性型”証明書という名称には非常に違和感を持つことだろう。事実、私も属性型証明書と見たときには、『ついに属性証明書をやったかぁ』とちょっとうれしかった。
しかし、よくよくWebサイトを読んでみたら、なんてことはなく、どれも公開鍵証明書であった。それぞれの違いは下のとおり。
- 基本型
- 主体者の名前(Subject)の部分に、氏名、住所だけ含む。
- ID型
- 主体者の名前(Subject)の部分に、氏名、住所、性別、生年月日(基本4情報)を含むことができる。
- 属性型
- 基本4情報に加えて、組織の情報(法人名、法人代表者名、部門名、法人または部門の所在地、肩書)と氏名を日本語で含むことができる。
まだまだ属性証明書を利用したPMI(Privilege Management Infrastructure)が広がっていないので、こんなことで目くじらを立てる人間は少ないと思う。しかし、PKIがもっともっと普及したときには、PMIに繋がっていくことになって欲しいと考えている。
PKI/PMIの知識を豊富に持っているはずの日本認証サービスが将来的にでもこのような混乱を招くような名称を付けて欲しくはなかった。*1
でも、IT Proの方は完全に属性証明書(AC)と勘違いしているみたい。
どなたか本当のところをご存知の方は教えて下さい。
