PKCS #11 の公開キー基盤 (PKI)

Infineon Security Platform

Infineon Security Platform ソリューション

PKCS #11 の公開キー基盤 (PKI)

PKCS #11 : Public Key Cryptography Standards (公開キー暗号化標準) #11 では、証明書と暗号化キーの生成、使用、管理に関する共通のインターフェイスが定義されています。ただし、PKCS #11 では、基本的なセキュリティ機能を実現する暗号トークンが明確に定義されていないため、この共通インターフェイスを実装するたびに、基本的なセキュリティ技術に対して独自のアプローチを採用する必要があります。現在、ソフトウェアに基づくセキュリティ ソリューションの他に、特殊なデバイス (IC カード、ハードウェア暗号化モジュールなど) を使用したセキュリティ ソリューションが数多く市販されています。PKCS #11 に準拠する各ライブラリでは、独自の方法でこれらの特殊デバイスに対応し、各デバイスを使用して暗号化関連データの作成や管理を行えるようにしています。

PKCS #11 ではプラットフォームに依存しないインターフェイスが定義されているため、ユーザーは数多くのベンダーが提供する様々なセキュリティ ソリューションを利用でき、広範なプラットフォームとオペレーティング システムで PKCS #11 に準拠する暗号化技術がサポートされます。

PKCS #11 に準拠するライブラリでは、明確に定義されたインターフェイスを通じて各種機能が提供されます。各ライブラリの主要な目的に応じて、PKCS #11 の一部のインターフェイスのみがサポートされる場合があります。 公開キー基盤 (PKI : Public Key Infrastructure) を構築するには、PKCS #11 モジュールを使用するアプリケーションと、ユーザーの証明書や秘密キーを安全に保存する信頼性の高いデータ ストレージ機構との間でセキュリティ情報を交換する必要があります。PKCS #11 では、このようなストレージ機構の仕様が明確に定義されていません。幅広く使用されているストレージ機構のうち、PKCS #11 の要件を満たす機能を提供できるのはディレクトリ サービスです。通常、このようなディレクトリ サービスにアクセスするには、LDAP (Lightweight Directory Access Protocol) を使用します。

Windows 2000 / XP には独自の PKCS #11 ライブラリが存在しないため、サードパーティ製品を通じて同等の機能を追加する必要があります。たとえば、Security Platform ソリューション ソフトウェアは PKCS #11 インターフェイスを実装するライブラリから構成されますが、重要な暗号化処理 (キーの生成など) は Trusted Platform Module を使用して実行されます。

PKCS #11 に準拠する複数の独立したアプリケーションは、同じシステムにインストールすることができます。通常、PKCS #11 ライブラリを使用するアプリケーションについては、関連するモジュールに正しくアクセスできるように特別なセットアップが必要になります。

また、PKCS #11 に準拠するアプリケーションには、PKCS #11 の各種機能の操作で使用されるデータを提供するのに必要なすべての管理タスクを組み込む必要があります。

アプリケーション開発者は、基盤のプラットフォームやソフトウェア システムに変更を加えなくても、複数の異なる PKCS #11 実装モジュールを使用すれば、公開キーに基づくセキュリティ メカニズムの完全な機能を利用することができます。さらに、企業全体で同一のツールやポリシーを使用して、システム環境とアプリケーションを管理することができます。

暗号化されたメッセージを他のユーザーが読めるようにするか、署名付きの電子メールを他のユーザーが確認できるようにするには、ユーザー証明書を公開ディレクトリに保存する必要があります。通常、この公開ディレクトリは、関係組織の内部からアクセスできるサーバ上に配置されます。

 

公開キー基盤 (PKI) の基本コンポーネントには、デジタル証明書、証明書失効リスト (CRL)、認証局 (CA) などがあります。ネットワーク内で公開キーによる暗号化機能を使用する場合は、システム管理者が事前に公開キー基盤 (PKI) をセットアップしておく必要があります。

組織内部で公開キー基盤 (PKI) をセットアップするには、次の手順を実行します。

  • 証明書サーバをインストールする。
  • サードパーティの証明書サービス プロバイダ (CSP) を定義する。
  • Infineon Security Platform の PKCS #11 ライブラリを使用できるように、Mozilla Firefox を設定する。
  • クライアント認証用の証明書を認証局 (CA) から取得する。

このガイドでは、公開キー基盤 (PKI) の概要を説明するほか、PKI に関連する詳細情報へのリンクを示します。

Security Platform ソリューション ソフトウェアをアップグレードすると、PKCS#11 DLL ファイル (ifxtpmck.dll) が Security Platform ソリューション ソフトウェアがインストールされたディレクトリに置かれるため、PKCS#11 インターフェイス経由で Security Platform ソリューションを使用するアプリケーションは、期待した通りに動作しない可能性があります。当該ファイルは、以前のバージョンの製品では、system32 ディレクトリに置かれていました。新しい場所から ifxtpmck.dll をロードするためには、アプリケーションを再設定する必要があります。

©Infineon Technologies AG