PKIの認証局

ルート証明機関は、信頼の源泉です。どんな信頼？ PKIの要点は、公開キーをidentitiesにバインドすることです。ここで重要な点は、私たちが話しているアイデンティティの種類と、誰が信頼する部分を行うかです。

したがって、ルートCAは以下のエンティティによって運用されます。

• 検証者は信頼できる
• 証明書を発行する前に身元を確認するための適切な手順がある

シナリオ1：インターネット経由で年次税務申告を提出し、国の財政管理機関が証明書を通じて納税者を認証することを望んでいることを想像してください（フランスでの仕組みです）。アイデンティティの概念は、名前、生年月日など、重要な記録についての概念です。重要な記録の維持と税の回収はどちらも州の特権です。したがって、その設定では、州がルートCAを管理することは非常に理にかなっています。州には、物理​​的なアイデンティティを追跡するための手順およびもそのシナリオでの証明書の消費者です。州（税控除サービス）は証明書を検証するエンティティです。 CAを外部のプライベートエンティティにオフロードすることは、ここでは不必要な複雑さのように見えます。

シナリオ2：あなたは、従業員に証明書を発行して、電子メールを暗号化および署名できるようにする大企業です。 IDは正式な名前ではありませんが、キーホルダーのfunction：暗号化された電子メールをボブ（営業担当副社長）に送信しません。暗号化された電子メールを営業担当副社長（現在はボブ）に送信します。ボブが（いつ）利用できなくなった（解雇された）場合、過去のメールはデイブ（新しい営業担当副社長）が読めるはずです。そのシナリオで使用されるIDの概念は、完全に会社の管理下にあり（会社は独自の階層構造を定義しています）、物理的なキーホルダーとのリンクも定義されています会社によって。ここに政府を巻き込む理由はまったくありません。そのシナリオにおける自然なルートCAは、会社自体が運営しているものです。

シナリオ3：シナリオ2のバリエーション。現在、いくつかの大企業があり、それぞれに独自のCAがあります。彼らは互いに暗号化された電子メールをやりたいと思っています。これを実現するにはいくつかの方法があります。それらの1つはブリッジング（各CAが他社のルートCAの中間証明書を発行する）であり、シナリオ2と同じモデルの下に全体を保持します。または、外部ルートが、中間CA証明書を発行することを想像できます。会社CA。その外部ルートは、すべての人から信頼されます。政府運営（公共サービスとして）または私営（「信頼サービス」のプロバイダー、各参加企業との契約による）である可能性があります。これにより、科学的な違いは生じません（状況に応じて、どちらか一方を優先します）民主党と共和党のどちらに投票するかについて）。

シナリオ4：インターネット、HTTPS Webサイト、一連のデフォルトルートCAが埋め込まれたWebブラウザ。これは物事がトリッキーになるところです。技術的には、WebuserはCAを信頼の基礎として使用しています。ただし、ルートCAは、ブラウザーベンダーとCAオペレーターの間の契約に基づいてブラウザー（またはオペレーティングシステム）に含まれていました。どちらも主な目的として顧客の利益を擁護するものではなく、CAが発行する「認証ポリシーステートメント」によって具体化される契約の詳細は、通常「次のようになります。弁護士対応の専門用語200ページ）。 HTTPS Webサイトに対して誰が証明書を発行する必要があるかは明確ではありません。多くの場合、Webサイトの所有者のidentityは会社名であり、会社が登録されている州によって定義されます。 193のUN加盟国があり、他にも国に似た団体が12か所ほどあります。いくつかの団体として見られることを望む連邦州は含まれません。そこには潜在的なCAがかなりたくさんあります。これは不十分です。しかし、警察が悪用者を追跡および処罰できるようにしたいため、企業を特定したいと考えています。また、法執行機関も州の特権です。

したがって、現時点では、Microsoftが適切と判断したルートCAを使用してHTTPSを実行しており、偽の証明書による攻撃が依然として珍しい迷惑にならないことを願っています。

つまり、要約すると、whoがルートCAになる問題は、実際に使用するIDの概念に依存します。通常、だれでもそのIDを定義して、ルートCAになるのに適した位置にいます。これは、定義上、既に信頼されているためです。