Entrust-製品情報

PKIおよびセキュリティ専門用語

Access Control アクセス･コントロールアクセス制御	データへのアクセスについて、閲覧が許可されている人に限りアクセスできるように物理的、電子的な手法で制御すること。
Address Book アドレス帳	ユーザーの鍵ファイルが入っているファイル。相互証認が可能な認証機関ドメインに属する相手と保護されたファイルの交換ができる。
AES (Advanced Encryption Standard) エー・イーエス	米国政府がDESに代わる次世代の標準暗号として採用した「Rijndeal」アルゴリズムを使用する暗号方式
ARL(Authority Revocation List) CA失効リスト	CRLが認証機関(CA)が発行する利用者の証明書失効リストであるのに対して、ARLは認証機関(CA)の証明書の失効リストである。認証機関(CA)のリンクがある場合(階層型の認証機関(CA)や相互認証型の認証機関(CA)構成の場合)、認証機関(CA)の証明書の発行認証機関(CA)が、対象の認証機関(CA)の信頼パスを切断するために発行する認証機関(CA)の失効リストをいう。
Asymmetric Cryptography 非対称暗号	情報の暗号化と復号化に異なる鍵を用いる暗号技術。公開鍵、秘密鍵と呼ばれる一組の鍵ペアを用いるため公開鍵暗号ともいう。公開鍵で暗号化した情報は秘密鍵でのみでしか復号化できない、秘密鍵で暗号化した情報は、公開鍵でしか復号化できないという特徴をもっている。
Authentication 認証	ある対象が別の対象に対して、本物であることを証明する方法
Authorization Code 承認コード	新しいプロファイルの作成や既存プロファイルのリカバーの際に参照番号(Reference number)と共に必要となるもの。管理者から取得できる。
Bridge CA (or Hub CA) ブリッジ型認証機関	Peer-to-Peer型の煩雑な相互認証(接続)を解決するための橋渡し認証機関(CA)。別名、ハブ型CA(Hub CA)ともいう。米国FPKI、ANX、GOC PKIがこの形をとる。
CA (Certification Authority) CA（認証機関 / 認証局）	企業内対象、もしくは、個人に対して、Entrust CAシステムなどで、信頼される第三者(Trusted Third Party)が、ディジタル証明書の発行、署名、失効、管理を行なう機関。認証機関は「電子証明書」を発行する機関となることから、英語では、認証機関のことをCertification Authority (CA: 証明機関)と呼ぶことが多い。認証機関は、検証鍵の証明書発行に加え、秘匿用の暗号化鍵の証明書や署名用･秘匿用兼用の証明書を発行することもある。
CA domain CAドメイン	企業やワーク・グループに属する人の集まり、および同一の認証機関により証明されたライセンスを使用する教育機関、政府機関
CAST (Carlisle Adams & Stafford Tavares) キャスト	強力、かつ高速な対称鍵暗号アルゴリズム。使用に関しては無償商用、非商用向けがある。Entrust社の暗号アルゴリズム。CASTアルゴリズムの鍵長は、40ビットから256ビットまでの可変鍵長で、64ビット長のブロック・サイズ。発明者の名前に由来する。
Common Criteria v2 ISO IS 15408 セキュリティ共通評価基準	Common Criteria ｖ2(CC2)は、セキュリティ製品の共通の評価基準として、1999年6月にISO 15408 国際標準に採用された。これは、1998年10月アメリカ、イギリス、カナダ、ドイツ、フランスで共通の評価基準として、CC2を採用したものをベースとしている。以前は各国で独自の評価基準を設けていたが(ヨーロッパのITSEC、米国のTCSEC-Orange Book、カナダのCTCPEC)、これを統一化して、CC2にまとめた。CC2はセキュリティ製品の機能について、11の機能要件を定義している。セキュリティ監査、通信、暗号、ユーザー・データ保護、本人識別と認証、セキュリティ管理、プライバシーの保護、リソース管理、アクセス制御、信頼できるデータパス/チャンネルなどである。また、CC2は運用、システム管理、開発手法、ドキュメント、サポート、テスト、侵入可能性、保証の維持とアセスメントなども評価対象になる。
Certificate 公開鍵証明書	通常、Public Key Certificateの略語であり、公開鍵証明書を意味する。検証鍵が本人の所有する署名鍵に対応していることを証明する保証書
Confidentiality 秘匿性	データが完全に秘匿であること
CP (Certificate Policy) 証明書ポリシー	認証機関(CA)が証明書を発行時のポリシー。 X.509 v3の拡張フィールドで規定するもので、OIDで特定する。X.509は以下の用に定義している。証明書ポリシーとは証明書を特定のコミュニティやアプリケーションに共通のセキュリティ要件に沿って、適用する名前付けられた規則である。例えば、ある証明書ポリシーはEDIポリシーと名前付け、これは一定の価格範囲で取引するためのEDIトランザクションの認証を行なうために、適用する証明書のタイプと定めるなど、である。CPが何を(What)ポリシーとするかを決めるのに対して、CPSはどのように(How)ポリシーを適用するのかの手順を示すものとなる。
CPS (Certification Practice Statement) CPS (認証実施規定)	信頼される第三者機関が認証を利用する者に対して、信頼性、安全性および経済性などを評価できるように認証機関(CA)のセキュリティ・ポリシー、約款および外部との信頼関係などに関する詳細を規定した文書。信頼される第三者機関は、このCPS(認証実施規定)を公開する必要がある。一般的に企業内で運営される認証サービスは、証明書発行部門と呼び、セキュリティ・ポリシーで定義され、運用される。
CRL (Certificate Revocation List) CRL (証明書失効リスト)	証明書失効リストと呼び、各々の理由をもち失効した(取消された)公開鍵証明書のシリアル番号リスト。有効期限中に何らかの理由により、失効(取消し)証明書を告知するためのリスト。認証機関が作成して、公開する。失効した(取消された)証明書のシリアル番号、タイムスタンプが付加され、認証機関が署名する。
CRL DP (CRL Distribution Point) CRL配布点	X.509 v1では、全てのCRL(証明書失効リスト)をまとめて発行する仕組みになっていたが、大規模な証明書を発行する認証機関では、CRLも大量になるため、特定の証明書が失効されていないかどうかを検索するのに効率が悪い。X.509 v3では、この検索を効率化するためにCRLを分割して(例えば、1000以下に)、リポジトリに登録する仕組みを決めた。ディジタル証明書の拡張フィールドに、この証明書が取消し(失効)したときにCRLが、登録されるディレクトリのエントリ・ポイント(CRL1、CRL2、…)が記載される。利用者はCRL全体を検索することなく、証明書に記載されたCRL DPのディレクトリ・エントリのみを調べることで、効率的にCRLのチェックができる。
Cross-certification 相互認証	2つの認証機関(CA)が他方の信頼を証明し、安全に鍵情報を交換できるプロセス
Cryptographic 暗号	情報の意味を当事者以外には解らせないようにするための手段。セキュリティにおける暗号技術は数学的手法を用いることにより行なわれる。Cipherとも呼ぶ。
Cryptography 暗号学	科学として暗号化と復号化を探求する学問
CSP (Certificate Service Provider) 証明書発行サービス提供者	Entrust CAシステムなどで、信頼される第三者(Trusted Third Party)が、ディジタル証明書の発行、署名、失効、管理を行なうサービス提供者
Data Integrity データ完全性	データが作成された時点以来、改変されていないことを確実にすること
Decryption 復号化	不可読な暗号文を可読な平文へ転換するプロセス
DES (Data Encryption Standard) DES （データ暗号標準） Triple-DES トリプルDES	対称暗号鍵を使用する米国政府が開発したブロック暗号 DESに代わり、DESを使って三重に暗号化する方式。DESが普及している米国を中心に金融機関などに使用されている。
DESX (DES eXtension) DES拡張	DESXはDES(Data Encryption Standard)を拡張した強化版である。DESとDESXの違いは、DESの暗号演算入力の前処理として、付加的な64ビットの鍵を用いて、XOR(論理和)のビット演算を行ない、さらに、出力の後処理でも別の64ビットの鍵を用いてXOR演算を行なう点である。DESXの強度は、差分攻撃や線形攻撃に対しては、DESと同等で、これらの攻撃に対しては、さほど耐性が向上しているわけではない。しかし、DESXの主な改善点は鍵の総当たり検索攻撃に対する耐性が、この単純な方法で劇的に向上する点にある。その改善効果に関しては、Killian and Rogaway(1996)やRogaway(1996)などの文献で示されている。DESXはRivest氏によるものである。
Digital Certificate ディジタル証明書	公開鍵の所有者であることを証明する電子的な文書。認証機関(CA)が証明書を発行する。証明書の内容は、ユーザー情報、ユーザー公開鍵、証明書シリアル番号、証明書の発行日、失効日などとその内容を認証機関の秘密鍵で暗号化したディジタル署名が格納される。
Digital Signature ディジタル署名	メッセージ送信者を認証し、メッセージの完全性を保証する偽造不可能な電子的署名。公開鍵暗号方式に基づく電子的署名は、｢ディジタル署名｣と定義されるのが一般的で、ディジタル署名において、秘密鍵を「署名鍵」、公開鍵を「検証鍵」として、匿名暗号の場合と区別する。(→ Electronic Signature )
Directory ディレクトリ	DirectoryはLDAP互換のディレクトリ・サービス。ディレクトリには所属別に人の名前があり、ユーザーの暗号化公開鍵証明書、証明書失効(取消しリスト)の保管庫となる。
DN (Distinguished Name) DN （識別名）	ディレクトリ情報ツリー(DIT)内のエントリー。X.500ディレクトリにあるオブジェクトをユニークに識別する。
DSA (Digital Signature Algorithm) 米国政府のディジタル署名標準	NIST(米国標準技術研究所)の定義した電子署名アルゴリズム。公開鍵暗号を用いた電子署名であるEl Gamal署名を発展改良したもの。提案されている標準は、DSS(Digital Signature Standard)と呼ばれる。通常、PKIでは、セキュリティの信頼性を上げるために、2つの鍵ペアー(デュアル・キー・ペアー)定義している。1つは、暗号用の鍵ペアーでRSA公開鍵を使用、もう1つは、署名用の鍵ペアーで、DSAを使用する。
Dual-Use Goods 軍事・民生両用製品	暗号技術は情報秘匿のための武器として利用可能であることから、ワッセナー･アレンジメントの中で軍事用、民生用両用の製品として、原則として、輸出規制の対象に指定されている。
Electronic Signature 電子署名	電子署名とは、公開鍵暗号方式に限らず、様々な暗号技術に基づいた電子的に作成された固有の識別子(署名)の総称である。(→ Digital signature )
Elliptic Curve Cryptography 楕円暗号方式	楕円離散対数問題を解くことの難しさを利用した公開鍵暗号方式のひとつ。楕円離散対数問題が離散対数問題よりも難しいとされていることから、鍵長を(RSA公開鍵暗号と比べて)大幅に短く、高速に演算ができることが特徴
Encryption 暗号化	可読な平文を不可読な暗号文へ転換するプロセス
Encryption Algorithm 暗号化アルゴリズム	テキストを暗号化もしくは復号化する数学公式
Encryption Key Pair 暗号化鍵ペア	暗号化公開鍵と復号化秘密鍵からなる。
Encryption Public Key 暗号化公開鍵	復号化秘密鍵との照合により復号化されたデータを暗号化する暗号化鍵ペアの一部
FIPS PUB 140-1 暗号モジュール用セキュリティ認定基準	FIPS PUBは米国商務省連邦情報処理規格の刊行物を指し、140-1は暗号モジュール用セキュリティ要件を規定している。これらは、NIST(米国標準技術研究所)が策定したもので、コンピュータと通信システムにおける暗号モジュールの汎用要件を網羅している。暗号モジュールとは、暗号化、復号化、ディジタル署名、認証技術、乱数生成などの暗号化機能を実装したハードウェア、ファームウェア、ソフトウェアおよびその組み合わせ製品とで定義される。FIPS PUB 140-1セキュリティ要件は、暗号モジュールの設計と実装に関わる11分野を網羅している。この分野では暗号モジュールは、セキュリティ・レベルという段階基準があり、どの要件に適合するかで、最低レベル1から最高レベル4のいずれかにあて当てはめられる。
GPKI (Government PKI) 政府認証基盤	行政情報化推進基本計画閣議決定を踏まえて、政府が2001年の電子署名法で施行運用を目標に、民間が政府に対する許認可の申請、登録および届出などに電子署名を付加し、提出するための政府認証基盤。GPKIの相互認証構成としては、ブリッジ型CA(Bridge CA)を配置し、政府ルート認証機関および民間認証機関(資格認定を受けた)をPeer-to-Peer型の煩雑な相互認証(接続)を解決している。日本以外では、下記のWebを参照。 http://www.gpki.go.jp/ ・カナダ政府PKI (GOC PKI) http://www.tbs-sct.gc.ca/pki-icp/gocpki/gocpki_e.asp ・英国政府PKI (Cloud Cover) http://www.cesg.gov.uk/site/ast/ ・米国連邦PKI (Federal PKI) http://csrc.nist.gov/pki/twg/welcome.html
Hash Function ハッシュ関数	ハッシュ関数または一方向関数(One-way function)といわれる。メッセージ・ダイジェスト(MD)を生成するハッシュ関数は、元の平文に1ビットの変化があると平均してメッセージ・ダイジェストの中の半分のビットが変化するような特殊な関数。また、メッセージ・ダイジェストから元の平文を生成することはできない。S/MIMEではMD5(RFC1321)またはSHA-1(FIPS 180-1)を用いる。
HMAC (the Hash based MAC) ハッシュベースのMAC	鍵付きハッシュ関数を利用したメッセージ認証符号(MAC: Message Authentication Code)での追伸攻撃を防ぐ手段として、メッセージを分割したプロックの先頭と後尾に鍵から生成したブロック長と同サイズのパラメータを付加する方式。鍵を知らない限り、追伸の後に付加する値が判明しないためMAC値が計算できない。この方式をベースにしたMACは、RFC 2104で定義され、HMACと呼ばれている。
IA (Issuing Authority) 発行機関	電子証明書の作成・発行を主として発行業務を行なう機関
IETF (Internet Engineering Task Force) インターネットプロトコル標準化団体	インターネットで利用されるプロトコルを決定するための民間主導の標準化団体。参加するための特別な資格は不要。誰でも参加できる年3回開催される会議やメーリング・リストにより構成されている。ISOC(Internet Society)のIAB(Internet Architecture Board)の下部組織
IPSec (Security Architecture for Internet Protocol) アイ・ピー・セック	TCP/IPでの通信を安全に行なうために強化された技術の総称で、ESP(Encapsulation Security Payload: データをIPカプセル化して、トンネリング方法)やAH(Authentication Header: ユーザー認証用のデータをIPパケットに組み込む)などがある。現在、IETFで標準化作業が進められている。IPSecについては、RFC 2411、｢IP Security Document Roadmap｣として、関連文書がでている。
Kerberos ケルベロス	米国MITのアテナ・プロジェクトで開発されたオープン・ネットワーク・システムの認証システム。認証の方式として、｢信頼のおける第三者機関(Trusted Third Party)による認証｣の概念を利用したシステム。認証で使用される暗号方式はDESを利用している。認証システムの構成は、証明書を発行する鍵発行部(KDC： Key Distribution Center)とそのKDCが管理する複数のクライアントとサーバーを含む、リールム(Realm)で構成される。
Key 鍵	メッセージを暗号化、復号化する場合に必要となる情報。通常は数字
Key Lifetime 鍵のライフタイム	鍵が有効な状態である期間。失効期限のない復号化秘密鍵以外は、すべての鍵が特定の有効期間をもつ。
Key Management 鍵管理	鍵を安全に管理するプロセス。鍵管理により、ユーザーが必要とするときに必要な場所へ提供される。
Key Pairs 鍵ペア	ユーザーは全員、暗号鍵ペアと署名鍵ペアからなる2つの鍵ペアをもつ。
Key Update 鍵の更新	ユーザー鍵ペアの更新、取り替えなどのプロセス
LDAP (Lightweight Directory Access Protocol) エル・ダップ	X.500ベースのディレクトリ管理データベースにアクセスするためのプロトコル。認証システムでは、証明書および証明書失効リスト(取消しリスト)の保管庫として使用する。LDAPはIETFで標準化され、Version 3がRFC2251として文書化されている。
MAC (Message Authentication Code) メッセージ認証符号	ある秘密の鍵がなければ、ハッシュ値を計算できないハッシュ関数(鍵付きハッシュ関数)を使用し、その鍵を保有しているものが、識別子の生成・検証が行なえるメカニズムのための符号をいう。
Mutual Authentication 双方向認証	双方の通信元が他方にとって本物であることを認識するプロセス。例えば、双方向認証はWebブラウザとWebサーバー間で、両方に対しての通信の安全性を認証する。双方向認証ではお互いが認証され、安全な取り引きを確認する。
MIC (Message Integrity Check) メッセージ完全性チェック	秘密鍵暗号はメッセージの固定長の暗号チェックサムを生成するのに利用でき、暗号チェックサムは、暗号メッセージの不慮の破損を防ぐために付加される。メッセージの改ざんを防止するには、暗号チェックサムのアルゴリズムを知る必要がある。メッセージ完全性チェック(Message Integrity Check)があれば、そのアルゴリズムを知り得ない攻撃者は、メッセージのチェックサムを計算し、正当なものとして受け入れさせることはできなくなる。鍵とメッセージが与えられると、そのアルゴリズムは、メッセージと固定長のメッセージ完全性符号(Message Integrity Code)を出力する。
NIST (National Institute of Standards and Technology) 米国商務省国立標準技術研究所	米国の商務省国立標準技術研究所(National Institute of Standards and Technology) http://csrc.nist.gov/
Non-repudiation 否認防止	ネットワーク・セキュリティにおける否認防止とは、電子決済における関与を否定できないことを確実にすること。
OCSP (Online Certificate Status Protocol) オンライン証明書状態チェック・プロトコル	タイムリーな証明書の状態(失効していないかどうか)をオンラインで問い合わせるプロトコル。インターネットのRFC 2560として定められた。クライアントは、OCSPのサーバー(リゾルバーという)に調べるべき証明書のシリアル番号を指定した要求を署名を付けて問い合わせる。リゾルバーは、問い合わせにあった証明書が失効しているか、いないかの状態をリゾルバーの署名を付けて返す。証明書やCRLの格納庫であるディレクトリが、信頼されないものであってもかまわないのに対して、このリゾルバーは信頼できる機関(Authority)で、しかるべき認証機関の認証を受けたものである必要がある。
Pass Phrase パスフレーズ	公開鍵暗号システムで秘密鍵にアクセスする際に必要なパスワード。秘密鍵を管理するパスワードはセキュリティ上重要な意味をもつため、簡単に類推できないフレーズをもつ、パスワードで管理される。
PGP (Pretty Good Privacy) PGP (なかなか良いプライバシー)	Pretty Good Privacyの頭文字をとって、PGPと呼ばれるソフトで、暗号ソフトの代名詞として、世界中に浸透し、電子メールの暗号化ソフトの標準になった。暗号化やディジタル署名の仕組みはS/MIMEと基本的には同様だが、信頼のモデルが異なり、PGPではユーザー同士が公開鍵を交換し、信頼し合うのに対して、S/MIMEは認証機関(CA)から証明書の発行を受け、個人の公開鍵に信用を与えてもらう。
PKI (Public-Key Infrastructure) 公開鍵インフラ / 公開鍵基盤	PKIとはEntrust Technologies社が1997年、最初に提唱した言葉で、公開鍵インフラのこと。鍵と証明書のライフサイクル管理を行なう共通鍵暗号とディジタル署名によりなり立つ。認証機関(CA)を含む下記の基本要素を含んだものをPKIという。・鍵と証明書ライフサイクル管理・認証機関機能・証明書の保管、復活用ディレクトリ・完全な証明書失効システム・鍵のバックアップとリカバリー・システム・タイムスタンプ機能・PC側機能としてサーバー連動し、暗号化とディジタル署名機能などをアプリケーション内で提供すること
Private Key 秘密鍵	鍵ペア所有者が秘密に所有する鍵ペアの一部
PSN (Processor Serial Number) PSN (プロセッサ・シリアル番号)	米国インテル社が1999年2月に発表した新マイクロプロセッサPentium IIIにネットワーク・セキュリティを強化するために仕組みを組み込んだ。PSNは96ビットの番号列で物理的なプロセッサのマシン識別子に相当する。
Public Key 公開鍵	公開鍵暗号方式における誰でも公けに入手できる鍵ペアの一部
Public key Cryptography 公開鍵暗号方式	暗号化および復号化に際して、それぞれの暗号化鍵と復号化鍵という異なる一対の鍵ペアを用いる方式
RA (Registration Authority) 登録機関	電子証明書発行の申請者の本人を確認し、主として登録業務を行なう機関
Reference Number 参照番号	新規プロファイル作成や既存プロファイルのリカバーに際して、認可コードと共に使用される番号
Root CA ルートCA	認証機関の体系における階層型モデルにおいて、最上位の認証機関
RSA (Rivest、Shamir & Adleman)	暗号化とディジタル署名に用いられる公開鍵暗号アルゴリズム。発明者の名前に由来する。
Security Policy セキュリティ・ポリシー	会社または組織の情報資産を適切に保護するための会社または組織としての統一された基本安全方針
Signing Key Pair 署名鍵ペア	署名鍵ペアは署名用秘密鍵と署名用公開鍵からなる。
SHA-1 (Secure Hash Algorithm) シャーワン	NISTにより開発されたアルゴリズム。2の64乗ビット長以下のメッセージを160ビット長のメッセージ・ダイジェストに変換する。
S/MIME (Secure/Multipurpose Internet Mail Extensions) エス・マイム	電子メールの暗号化と電子署名に関する標準。公開鍵、秘密鍵暗号を使い、電子メールでの電文の暗号化やディジタル署名を可能にする方法。米国RSA Data Security社が開発した電子メール用のプロトコル
SSL (Secure Sockets Layer) エス・エス・エル	米国Netscape Communications社が提唱し、開発したトランスポート層用技術。WebサーバーとWebブラウザ間の双方向認証とデータ暗号を行なう。主にWebサーバーとWebブラウザ間の双方向の認証、暗号化通信を可能にするプロトコル。RFCに定義されていないが、事実上の業界標準のプロトコル。
Symmetric Cryptography 対称暗号	情報の暗号化と復号化に共通の鍵を用いる暗号技術。共通暗号ともいう。
TTP (Trusted Third Party) TTP (信頼される第三者)	電子証明書の発行を行なう電子認証サービス事業体。厳重なセキュリティ施設と電子決済に利用できる証明書を発行する場合が多い。また、証明書を発行するために利用者に信頼される機関でなければならない。
TLS (Transport Layer Security) ティー・エス・エル	1999年1月にSSL(Secure Sockets Layer)に代わる新たなセキュリティ・プロトコルとして、TLS(Transport Layer Security)が、RFC 2246として文書化された。カテゴリはStandards Track。TLSはSSLと同様にHTTPやFTPなどのTCP/IPの通信を認証や暗号化で保護するセキュアーなプロトコル。基本的にはSSLv3と枠組みは同じである。
v2 CRL	証明書失効リスト(CRL)のバージョン2で、CRLの拡張フィールドを定義している。この拡張フィールドには、証明書の失効した理由や証明書の一時中断などの状態を示すことができる。
VPN (Virtual Private Network) 仮想閉域網	公衆網をあたかも専用網として利用し、技術的には、IPSec(Security Architecture for Internet Protocol)やPPTP(Point to Point Tunneling Protocol)を使い、暗号通信を実現する閉域網
Wassenaar Arrangement: WA ワッセーナー・アレンジメント	1994年3月、COCOMが消滅後、1997年7月に旧COCOM加盟国にロシア、東欧諸国を加えた28カ国の合意に基づき、武器その他の製品などの輸出管理に関して、いわゆる、「ワッセナー・アレンジメント」が発足した。その後、1999年6月現在、33カ国による輸出管理に関する国際調達の枠組みとなっている。 1998年12月の輸出管理見直しで、鍵長による閾値(いきち)を共通鍵暗号について、56ビット、楕円暗号以外の公開鍵暗号については、512ビット、楕円暗号については、112ビットとし、鍵長がそれ以外の暗号については、規制対象外となった。
X.509 v3	ITU (International Telecommunications Union：國際電気通信連合電気通信標準化部門)が定めたディジタル証明書の標準仕様。多くの場合、X.509 v3という書式に従う。v3では拡張領域を設け、証明書発行者が独自の決められた情報を追加できるようにしている。
Zero-Knowledge Interactive Proof ゼロ知識証明	自分のもっているある秘密(暗号鍵関係のある何か)を実際にその秘密を相手に明かすことなく、少ない交信回数で示す証明のこと。