<p>style_prompt
本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト(未検証)</strong>です。</p>
<h1 class="wp-block-heading">令和5年度 春期 ネットワークスペシャリスト 午前Ⅱ 問10 公開鍵認証基盤(PKI)における証明書の失効確認</h1>
<p>本問は、公開鍵認証基盤(PKI)において不可欠な、証明書の有効性を確認する仕組み(CRLとOCSP)の役割と特徴を問う、セキュリティの基礎知識問題です。即時性に着目して比較することが解法の核です。</p>
<h1 class="wp-block-heading">【問題】</h1>
<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p>公開鍵認証基盤(PKI)において、ディジタル証明書の有効性を確認する仕組みに関する記述として、最も適切なものはどれか。</p>
<p>ア. OCSPは、CRLよりも即時性の高い方法で証明書の失効情報を取得できる。
イ. CRLは、認証局が証明書の発行要求の際に要求者に提示するリストである。
ウ. OCSPは、認証局に保存されている秘密鍵を検証するために利用される。
エ. OCSPの応答には、タイムスタンプが必須ではない。</p>
</blockquote>
<h1 class="wp-block-heading">【解説】</h1>
<h2 class="wp-block-heading">PKIにおける証明書の失効確認</h2>
<p>公開鍵認証基盤(PKI)では、証明書が期限切れになる前に利用者の公開鍵が漏洩したり、利用者が退職したりした場合に、その証明書を無効化(失効)する必要があります。この失効情報を検証者が確認するための主要な手段が、CRLとOCSPです。</p>
<h3 class="wp-block-heading">1. CRL (Certificate Revocation List: 証明書失効リスト)</h3>
<p>認証局(CA)が、失効した証明書のシリアル番号を定期的に(例:1日1回)まとめてリスト化したものです。</p>
<ul class="wp-block-list">
<li><strong>特徴</strong>: 検証者はリスト全体をダウンロードして照合します。リストの更新頻度によっては、最新の失効情報が反映されるまでにタイムラグが発生するため、<strong>即時性に欠けます</strong>。</li>
</ul>
<h3 class="wp-block-heading">2. OCSP (Online Certificate Status Protocol)</h3>
<p>特定の証明書の失効状態を、オンラインでリアルタイムに問い合わせるためのプロトコルです。</p>
<ul class="wp-block-list">
<li><strong>特徴</strong>: クライアントはOCSPレスポンダに対し、特定の証明書が「有効 (Good)」「失効 (Revoked)」「不明 (Unknown)」のいずれであるかをピンポイントで問い合わせます。リアルタイムの情報に基づき応答が得られるため、<strong>即時性に優れています</strong>。</li>
</ul>
<p>この両者の比較から、選択肢ア(OCSPはCRLよりも即時性が高い)が正しいことが導かれます。</p>
<h2 class="wp-block-heading">Mermaid図解 (OCSPの処理フロー)</h2>
<div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid">
sequenceDiagram
participant C as クライアント(検証者)
participant R as OCSPレスポンダ
participant CA as 認証局(CA)
Note over C: 特定の証明書の失効確認
C ->> R: OCSPリクエスト (証明書のシリアル番号)
R ->> CA: 最新の失効情報照会
CA -->> R: 失効ステータス (Good/Revoked/Unknown)
R ->> C: OCSP応答 (署名・タイムスタンプ付きステータス)
Note over C: ステータス確認完了
</pre></div>
<h1 class="wp-block-heading">【選択肢の吟味】</h1>
<figure class="wp-block-table"><table>
<thead>
<tr>
<th>選択肢</th>
<th>判定</th>
<th>解説</th>
</tr>
</thead>
<tbody>
<tr>
<td>ア. OCSPは、CRLよりも即時性の高い方法で証明書の失効情報を取得できる。</td>
<td><strong>正</strong></td>
<td>OCSPはリアルタイム照会であり、リストを定期更新するCRLよりも即時性に優れます。</td>
</tr>
<tr>
<td>イ. CRLは、認証局が証明書の発行要求の際に要求者に提示するリストである。</td>
<td><strong>誤</strong></td>
<td>CRLは<strong>失効した</strong>証明書のリストです。発行要求時に提示されるリストではありません。</td>
</tr>
<tr>
<td>ウ. OCSPは、認証局に保存されている秘密鍵を検証するために利用される。</td>
<td><strong>誤</strong></td>
<td>OCSPの目的は<strong>証明書の有効性</strong>の検証です。秘密鍵は認証局や利用者が厳重に管理する対象であり、外部から検証されるものではありません。</td>
</tr>
<tr>
<td>エ. OCSPの応答には、タイムスタンプが必須ではない。</td>
<td><strong>誤</strong></td>
<td>OCSPの応答には、情報の鮮度と信頼性を保証するために、<strong>タイムスタンプとデジタル署名</strong>が必須とされています。</td>
</tr>
</tbody>
</table></figure>
<h1 class="wp-block-heading">【ポイント】</h1>
<ol class="wp-block-list">
<li><p><strong>PKIの失効確認手段</strong>:証明書の有効期限前に失効させる必要がある場合、CRL(リスト形式、定期更新)とOCSP(リアルタイム照会)が用いられます。</p></li>
<li><p><strong>即時性の比較</strong>:リアルタイムに問い合わせるOCSPの方が、リスト全体をダウンロードするCRLよりも即時性に優れています。</p></li>
<li><p><strong>OCSPの信頼性</strong>:OCSPの応答には、応答の鮮度と真偽を保証するために、応答者のデジタル署名とタイムスタンプが付与されています。</p></li>
</ol>
style_prompt
本記事はGeminiの出力をプロンプト工学で整理した業務ドラフト(未検証) です。
令和5年度 春期 ネットワークスペシャリスト 午前Ⅱ 問10 公開鍵認証基盤(PKI)における証明書の失効確認
本問は、公開鍵認証基盤(PKI)において不可欠な、証明書の有効性を確認する仕組み(CRLとOCSP)の役割と特徴を問う、セキュリティの基礎知識問題です。即時性に着目して比較することが解法の核です。
【問題】
公開鍵認証基盤(PKI)において、ディジタル証明書の有効性を確認する仕組みに関する記述として、最も適切なものはどれか。
ア. OCSPは、CRLよりも即時性の高い方法で証明書の失効情報を取得できる。
イ. CRLは、認証局が証明書の発行要求の際に要求者に提示するリストである。
ウ. OCSPは、認証局に保存されている秘密鍵を検証するために利用される。
エ. OCSPの応答には、タイムスタンプが必須ではない。
【解説】
PKIにおける証明書の失効確認 公開鍵認証基盤(PKI)では、証明書が期限切れになる前に利用者の公開鍵が漏洩したり、利用者が退職したりした場合に、その証明書を無効化(失効)する必要があります。この失効情報を検証者が確認するための主要な手段が、CRLとOCSPです。
1. CRL (Certificate Revocation List: 証明書失効リスト) 認証局(CA)が、失効した証明書のシリアル番号を定期的に(例:1日1回)まとめてリスト化したものです。
特徴 : 検証者はリスト全体をダウンロードして照合します。リストの更新頻度によっては、最新の失効情報が反映されるまでにタイムラグが発生するため、即時性に欠けます 。
2. OCSP (Online Certificate Status Protocol) 特定の証明書の失効状態を、オンラインでリアルタイムに問い合わせるためのプロトコルです。
特徴 : クライアントはOCSPレスポンダに対し、特定の証明書が「有効 (Good)」「失効 (Revoked)」「不明 (Unknown)」のいずれであるかをピンポイントで問い合わせます。リアルタイムの情報に基づき応答が得られるため、即時性に優れています 。
この両者の比較から、選択肢ア(OCSPはCRLよりも即時性が高い)が正しいことが導かれます。
Mermaid図解 (OCSPの処理フロー)
sequenceDiagram
participant C as クライアント(検証者)
participant R as OCSPレスポンダ
participant CA as 認証局(CA)
Note over C: 特定の証明書の失効確認
C ->> R: OCSPリクエスト (証明書のシリアル番号)
R ->> CA: 最新の失効情報照会
CA -->> R: 失効ステータス (Good/Revoked/Unknown)
R ->> C: OCSP応答 (署名・タイムスタンプ付きステータス)
Note over C: ステータス確認完了
【選択肢の吟味】
選択肢
判定
解説
ア. OCSPは、CRLよりも即時性の高い方法で証明書の失効情報を取得できる。
正 OCSPはリアルタイム照会であり、リストを定期更新するCRLよりも即時性に優れます。
イ. CRLは、認証局が証明書の発行要求の際に要求者に提示するリストである。
誤 CRLは失効した 証明書のリストです。発行要求時に提示されるリストではありません。
ウ. OCSPは、認証局に保存されている秘密鍵を検証するために利用される。
誤 OCSPの目的は証明書の有効性 の検証です。秘密鍵は認証局や利用者が厳重に管理する対象であり、外部から検証されるものではありません。
エ. OCSPの応答には、タイムスタンプが必須ではない。
誤 OCSPの応答には、情報の鮮度と信頼性を保証するために、タイムスタンプとデジタル署名 が必須とされています。
【ポイント】
PKIの失効確認手段 :証明書の有効期限前に失効させる必要がある場合、CRL(リスト形式、定期更新)とOCSP(リアルタイム照会)が用いられます。
即時性の比較 :リアルタイムに問い合わせるOCSPの方が、リスト全体をダウンロードするCRLよりも即時性に優れています。
OCSPの信頼性 :OCSPの応答には、応答の鮮度と真偽を保証するために、応答者のデジタル署名とタイムスタンプが付与されています。
ライセンス :本記事のテキスト/コードは特記なき限り
CC BY 4.0 です。引用の際は出典URL(本ページ)を明記してください。
利用ポリシー もご参照ください。
コメント