X.509
RFC 5280 X.509 公開鍵基盤 PKI証明書と証明書失効リスト (CRL)のプロファイル X.509v3 Certificate のプロファイル定義?
ISO/IEC 9594-8, ANSI X9.55
ITU-T X.500 シリーズ(LDAP的なもの?)のひとつ
PKIのルールなどを決めたもの
PKCS #6 の拡張は X.509v3 に取り込まれたとか X.509 全体は RFC より広めか?
認証局(CA)と証明書で公開鍵と身元保証的なものをいろいろする仕組み
標準的なデータ構造にASN.1 (最近はDER)を利用する。 CA certification authority 認証局
RA registration authority 登録局 (option)
CRL issuer CRL発行者 CRLを生成、署名するシステム
repository リポジトリ
RFC 2560 Online Certificate Status Protocol (OCSP)
CA証明書
相互証明書
自己発行証明書 ポリシーなどを決める
自己署名証明書 CAを検証できる、認証パスの開始点
エンドエンティティ証明書 (別の証明書が発行できない)
証明書失効リスト(CRL) 有効期限内で無効な証明書の番号一覧 v2
公開鍵と身元確認を認証局で行い、公開鍵と身元を結びつける証明書を発行する。
証明書を(データといっしょに)配ることで身元証明しながら暗号化、署名・検証ができるようになるよ。
身元
メールアドレス、Webサイトのサーバ名のみ確認して発行されるものもある
有償のものは個人、企業の存在証明を含むものもある (公的証明書などを確認して発行する)
"安全"という意味ではなく"存在する"という意味で発行される → 安全でないものは存在証明から法的期間などへ繋げる手段になる
無効化
証明書が期限切れ以外の理由で無効化されたという情報を共有する仕組みがいくつかある
RFC 1422 PEM では X.509v1 でいろいろ (旧) RFC 5912 X.509を利用した公開鍵暗号基盤の新しいASN.1モジュール RFC 5756 Updates for RSAES-OAEP and RSASSA-PSS Algorithm Parameters RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
国際化ドメイン名(IDN), IRI
RFC 4491 Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile
RFC 4325
RFC 4210
RFC 4055 Additional Algorithms and Identifiers for RSA Cryptography for use in the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
RFC 3280 (旧) → 5280
RFC 3279 Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
RFC 2459 (旧)
RFC 5912 New ASN.1 Modules for the Public Key Infrastructure Using X.509 (PKIX)