★電子メールのセキュリティOpenPGPとS/MIME
インターネット上では電子メールは平文で流れてしまうため、古くから盗聴や改ざんなどの危険性が指摘されている。現在、企業の多くが電話と同等、あるいはそれ以上に重要なメッセージ手段として電子メールを使っているが、メッセージは封筒に入っていないはがきの状態で世界を駆け巡っているわけだ。
現在、電子メールに必要なセキュリティの要件としては、@送信相手にだけ内容が分かり、第三者に内容を知られないようにすること、A本人が書いたことを証明すること、B送信者が書いた内容が途中で改ざんされていないことを保証すること、C偽の注文などを出すいたずらへの対策として、送信した事実と通信の内容を後から否定できないようにすること、などが挙げられる。こうした要件を満たすため、過去にはいくつもメールのセキュリティ対策が考案されてきた。
実用技術では、IETFが標準化を手がけたPEM(Privacy Enanced Mail)が挙げられるが、テキストデータしか扱えなかった点もあって、普及には至らなかったのが実状であった。そこで様々なデータを扱えるMIMEとPEMの統合の動きが始まった。この流れの延長にあるのが、現在、電子メールセキュリティの標準技術となっているS/MIMEとOpenPGPの二つである。
これらはいずれ共通鍵や公開鍵を用いて、メッセージの暗号化による盗聴防止や送信者の本人確認など前述した四つの要件を満たすよう設計されたテクノロジーである。両者の根本的な違いは暗号化アルゴリズムより信頼性確率の手法の違いである。S/MIMEが第三者の認証局によって発行された証明書の利用を前提とするのに対して、OpenPGPでは個人と個人がそれぞれ認証を行い、その「信用の輪」を広げるという相互認証のモデルが採用されている。
★PKIとは何か?
PKI(Public Key Infrastructure)とは、公開鍵暗号方式を用いて「認証」を行うためのインフラのことである。この場合の「認証」とは、インターネット上において、通信をする相手が本当にその「本人」であることを証明する「個人認証」を指す。PKIでは、X.509で規定されたデジタル証明書を本人であることの証明に用いる。このデジタル証明書は、認証局(CA:Certificate Authority)と呼ばれる機関が発行する。また、CAに対して、デジタル証明書の登録を受け付ける局をRA(RA:Registration Authority)と呼ぶ。PKIではこのCAとRAの機能をサーバ側で提供する。
CAは、例えば、デジタル証明書と同時に公開鍵を発行する。A氏がB氏に当てて通信を行う場合、A氏はCAから発行されたデジタル証明書と伝えたいメッセージをB氏の公開鍵で暗号化する。B氏は、デジタル証明書でA氏であることを確認し、A氏からのメッセージを自分の秘密鍵で復号(元のメッセージに戻すこと)する。こうして、@送信者がメッセージを作成したことを証明する「認証」と同時に、Aメッセージの内容の外部への漏洩や改ざんを防ぐ「信頼性」と、B送信者がメッセージの作成に関わったことを否定できなくする「認否防止」、C意図した受信者のみが確実にメッセージを復号化して読むことができる「機密通信」の四つの要素を提供し、安全で信頼性の高い通信を提供するのがPKIの役割だ。
PKIには幅広い用途が考えられる。主要な用途として、最近はやってきている電子商取引のインフラ構築で、安全な電子商取引を行うためには、企業間あるいは事業者内で専用線を使ってセキュリティを保つケースが考えられるが、将来の本格的なBtoBの場面では、インターネットを介したセキュアな取引が必須となる。また、オンライン販売のようなBtoCの場面では、例えばインターネットでクレジットカードを使ったオンライン決済が必要となってくるだろう。ここにPKIを適用すれば、相手が誰であるかを確実に確認でき、しかも情報が漏洩する不安のない電子商取引が円滑に行えるようになる。