ITパスポート過去問 令和8年度(2026年)問90
PKI(公開鍵基盤)の特徴として,適切なものはどれか。
選択肢
- ア:共通鍵の所有者を確認する方法が提供されている。
- イ:知人が署名した鍵は信頼するという“信頼の輪”によって,公開鍵が正当であることを確認する。
- ウ:電子証明書の正当性を認証局が保証する。
- エ:秘密鍵を安全に公開する方法が提供されている。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
PKI(公開鍵基盤)は、認証局(CA)が利用者の公開鍵と本人情報の対応関係を電子証明書として発行し、CAの署名によってその正当性を確認できるようにする仕組みです。したがって、電子証明書の正当性を認証局が保証するという説明が適切です。
Point
この問題は、PKIにおいて公開鍵が本物であることをどのように確認するかを理解しているかを確認します。特に、認証局(CA)が電子証明書を発行し、利用者がその証明書を検証することで公開鍵の正当性を判断する点がポイントです。
解くために必要な知識
この問題を解くには、PKI(公開鍵基盤)と電子証明書・認証局の役割の理解が必要です。
用語の整理
| 用語名 | 意味 |
|---|---|
| PKI(公開鍵基盤) | 公開鍵暗号を安全に使うために、公開鍵の正当性確認(本人と公開鍵の対応付け)を電子証明書と認証局で実現する仕組みです。 |
| 電子証明書 | 公開鍵とその所有者(主体)情報などをまとめ、認証局が電子署名して正当性を示すデータです。 |
| 認証局(CA) | 利用者の本人確認などを行い、電子証明書を発行・署名して、公開鍵と主体の対応を保証する機関です。 |
PKIで「何を保証しているか」
保証の対象
- 公開鍵が、証明書に記載された主体(個人、組織、サーバなど)のものであること
保証の方法
-
認証局(CA)が電子証明書を発行し、証明書にCAの電子署名を付けます。
-
利用者はCAの署名を検証し、証明書が改ざんされていないこと、発行元がCAであることを確認します。
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| 共通鍵 | 暗号化と復号に同じ鍵を使う方式の鍵です。公開鍵暗号の公開鍵・秘密鍵とは別概念です。 |
| 信頼の輪(Web of Trust) | 利用者同士の署名関係で鍵の正当性を広げる考え方です(PGPなど)。認証局による集中型の方式ではありません。 |
| 秘密鍵 | 公開鍵暗号で、所有者だけが保持する鍵です。署名作成や復号に使い、第三者に公開しません。 |
| 公開鍵 | 暗号化や署名検証に使う鍵で、他者に公開して利用させる鍵です。 |
問題の解法手順
各選択肢の整理
| 選択肢 | その選択肢が指す方式・用語 | PKI(公開鍵基盤)としての適否 | 理由 |
|---|---|---|---|
| ア | 共通鍵暗号の鍵配布・所有者確認 | × | PKIは公開鍵暗号を前提とし、共通鍵の所有者確認を提供する仕組みではありません。 |
| イ | 信頼の輪(Web of Trust, PGP型) | × | PKIは基本的に認証局(CA)を起点とする階層構造(証明書チェーン)の検証で成り立ちます。 |
| ウ | 認証局(CA)が電子証明書の正当性を保証 | ○ | 認証局(CA)が本人確認などを行い、公開鍵と主体の対応を電子証明書にまとめ、CAの署名で正当性確認を可能にします。 |
| エ | 秘密鍵の公開 | × | 秘密鍵は公開しません。漏えいさせない管理が前提です。 |
選択肢ごとの解説
- ア:不正解
共通鍵暗号では同じ鍵を当事者間で安全に共有することが課題になります。一方、PKIは公開鍵暗号を前提としており、公開鍵が本当にその人のものかを電子証明書で確認する仕組みなので、共通鍵の所有者確認を提供する説明は適切ではありません。
- イ:不正解
信頼の輪(Web of Trust)は、利用者同士が鍵に署名し、その署名のつながりで鍵の正当性を判断する考え方です(PGPなど)。PKIは認証局(CA)が発行する電子証明書を証明書チェーンで検証する方式が基本なので、説明が異なります。
- ウ:正解
PKIでは認証局(CA)が本人確認などを行い、公開鍵と主体情報をまとめた電子証明書を発行します。電子証明書にはCAの電子署名が付くため、利用者は署名検証によって証明書(ひいては公開鍵)の正当性を確認できます。
- エ:不正解
公開鍵暗号は、公開鍵は配布してよいが、秘密鍵は公開しないという前提で成り立ちます。PKIが提供するのは公開鍵の正当性確認であり、秘密鍵を安全に公開する方法ではありません。
まとめ
PKI(公開鍵基盤)は、認証局(CA)が利用者の公開鍵と本人情報の対応関係を電子証明書として発行し、CAの署名によってその正当性を確認できるようにする仕組みです。したがって、電子証明書の正当性を認証局が保証するという説明が適切です。
テクノロジ系 > 技術要素 > セキュリティ
共通鍵暗号では同じ鍵を当事者間で安全に共有することが課題になります。一方、PKIは公開鍵暗号を前提としており、公開鍵が本当にその人のものかを電子証明書で確認する仕組みなので、共通鍵の所有者確認を提供する説明は適切ではありません。
信頼の輪(Web of Trust)は、利用者同士が鍵に署名し、その署名のつながりで鍵の正当性を判断する考え方です(PGPなど)。PKIは認証局(CA)が発行する電子証明書を証明書チェーンで検証する方式が基本なので、説明が異なります。
PKIでは認証局(CA)が本人確認などを行い、公開鍵と主体情報をまとめた電子証明書を発行します。電子証明書にはCAの電子署名が付くため、利用者は署名検証によって証明書(ひいては公開鍵)の正当性を確認できます。
公開鍵暗号は、公開鍵は配布してよいが、秘密鍵は公開しないという前提で成り立ちます。PKIが提供するのは公開鍵の正当性確認であり、秘密鍵を安全に公開する方法ではありません。