独自の証明書ペアを作成する方法はありますか? 電子メールの目的で信頼できる CA が必要な理由がわかりません。 GPG などを使用するよりも、証明書を使用したいです。
答え1
自己署名キー ペアですか? 証明書ペアですか? GPG よりも証明書を使用したいですか?
あなたの質問の仕方から、公開鍵/秘密鍵のペアと証明書が互いにどのように関連しているかについて、あなたが混乱した理解を持っていることがわかります。
- 通常はキーに署名するのではなく (少なくとも自己署名はしません)、証明書に署名します。
- キーはペアで提供されますが、証明書はペアではありません。
- 自己署名された証明書があると、証明書が認証されていないキー ペアに対して持つ利点が失われます。
説明させてください。電子メールで公開/秘密キーのペアを使用する場合、通常は、次の主な目的の 1 つまたは両方があることを意味します。
- 電子メールの一部または全部に秘密鍵で署名できるようにして、電子メールが本当にあなたから送信されたもので、送信中に変更されていないことを通信相手が確認できるようにします。
- 相手にあなたの公開鍵を使用して一部またはすべての電子メールを暗号化してもらい、あなただけがそれらの電子メールの内容を読めるようにしたいとします。
それはいいのですが、大きな問題が1つあります。これが機能するには、通信相手があなたの公開鍵を入手でき、それが本当にあなたの公開鍵であり、偽者のものではありません。
この問題を解決する 1 つの方法は、信頼できる媒体を介して各通信相手に公開鍵を送信し、その公開鍵を各自の電子メール セキュリティ ソフトウェアにインストールして、あなたとの送受信メッセージに使用するようにすることです。この方法はうまくいくかもしれませんが、あなたと通信相手の両方で多くの設定作業が必要になり、各通信相手が安全に電子メールを送信できるようにするには、事前に設定作業を行う必要があります。
手間を省くために、あなたの公開鍵を公開して、あなたの新しい潜在的な電子メールのやり取り相手がソフトウェアで自動的に鍵を取得し、それがあなたのものであることを信頼できるような方法があればいいでしょう。
信頼できる方法で鍵を公開するという問題に対するよく知られた解決策が 2 つあります。PGP/GPG 信頼のウェブと証明書ベースの公開鍵インフラストラクチャ (PKI) です。
GPG 信頼のウェブでは、GPG 信頼のウェブ システムに公開鍵を公開し、知り合いの人に鍵を信頼できるものとしてマークしてもらい (自分の秘密鍵で署名して)、その鍵の信頼性を保証してもらいます。その後、誰かが安全にあなたに電子メールを送信したい場合、信頼のウェブ システムから公開鍵を取得し、誰がそれを保証したかを確認し、信頼するかどうかを決定し、信頼する場合は、その鍵を使用してあなたに送信するメッセージを暗号化します。
証明書ベースの PKI では、よく知られた CA が、公開鍵を本人の識別情報とバンドルし、そのバンドルに署名することで、公開鍵の信頼性を保証します。署名された本人識別情報と公開鍵のバンドルが証明書です。その証明書を広く公開したり、電子メールに添付したりすることもできます。通信相手は、その CA を信頼していれば、この証明書が証明書に記載されている人物の実際の公開鍵を示しているという CA の言葉を受け入れることができます。
したがって、自己署名証明書を作成すると、あなた以外に誰もそれを保証しないため、裸の公開鍵よりも信頼性の低いものを作成することになります。友人 (GPG 信頼の Web) や、十分に信頼されている公的機関 (CA) は保証しません。あなたと通信相手は、自分の公開鍵が本当に自分の公開鍵であることを確認する責任を負います。
では、自己署名によって証明書の目的が無効になるのであれば、なぜわざわざそうする必要があるのでしょうか?