テクノロジ系

デジタル署名と電子証明書 — 「本物」を証明する技術

導入

メールの送信者が「本当に本人か」「内容が途中で改ざんされていないか」をどうやって確かめるのでしょうか。その仕組みを支えているのがデジタル署名と電子証明書です。公開鍵暗号の応用として、試験でも重要なテーマです。

なぜ重要か

デジタル署名と電子証明書は、ITパスポートのセキュリティ分野で毎回出題される最重要テーマのひとつです。「署名に使う鍵はどれか」「認証局の役割はどれか」という問題は、暗号化と署名の鍵の向きを混同すると正解できないため、理解の深さが得点に直結します。

実社会でもこの仕組みは至るところで使われています。確定申告のe-Tax、行政手続きのマイナンバーカード認証、テレワーク時のVPN接続、ネットショッピングのHTTPS通信――これらはすべて電子証明書とPKIが支えています。この単元の内容を正確に理解することで、情報セキュリティの根幹をなす仕組みを説明できるようになり、試験での得点源としても活用できます。

くわしく知ろう

デジタル署名とは、電子データの送信者が「本物であること(本人性)」と「データが改ざんされていないこと(完全性)」を証明する仕組みを指します。署名には送信者の秘密鍵を使い、受信者は送信者の公開鍵で検証します。「暗号化は受信者の公開鍵を使う」のに対し、「署名は送信者の秘密鍵を使う」という対比が試験での頻出ポイントになっています。

具体的な手順としては、まず送信者が文書のハッシュ値(文書内容を要約した固定長の数値)を自分の秘密鍵で暗号化したものが「署名」になります。受信者は受け取った文書から同じ方法でハッシュ値を計算し、署名を送信者の公開鍵で復号したハッシュ値と一致するかを確認します。一致すれば「送信者本人が作成した改ざんのない文書」であると確認できます。

電子証明書とは、「この公開鍵は確かにAさんのもの」であることを第三者機関が保証した証明書で、認証局(CA:Certificate Authority)が発行します。認証局はデジタル世界における「印鑑登録証明書を発行する役所」のような役割を担っています。

この仕組み全体を公開鍵基盤(PKI:Public Key Infrastructure)と呼び、インターネット上の安全な通信を支える基盤として機能しています。ハッシュ関数には一方向性(ハッシュ値から元のデータを復元できない)と衝突耐性(異なるデータから同じハッシュ値が生まれにくい)という特性があり、改ざん検出に不可欠な性質となっています。

具体例で理解する

ブラウザのアドレスバーに表示される「鍵マーク」は、そのWebサイトが認証局から電子証明書を取得していることを示しています。ネットショッピングで注文フォームに個人情報を入力できるのも、PKIによって通信の安全性が保証されているからです。また、e-Taxで確定申告を行う際にマイナンバーカードを使うのは、カードに内蔵された電子証明書によって申告者本人であることをデジタル署名で証明しているためです。

試験での出題パターン

【パターン1:署名と暗号化で使う鍵の向きを問う問題】

「デジタル署名において送信者が使う鍵はどれか」という設問で、「送信者の秘密鍵・送信者の公開鍵・受信者の秘密鍵・受信者の公開鍵」の4択から選ばせる問題が頻出です。暗号化(盗聴防止)と署名(本人性・完全性確認)で鍵の向きが逆になる点が最大のポイントです。「署名=秘密鍵で行い公開鍵で検証、暗号化=公開鍵で行い秘密鍵で復号」と声に出して覚えておくと効果的です。

【パターン2:認証局(CA)の役割を問う問題】

「認証局の説明として正しいものはどれか」という問題では、「公開鍵の持ち主を保証する電子証明書を発行する機関」という定義を押さえておく必要があります。「データを暗号化する機関」「ハッシュ値を生成する機関」などの誤答選択肢と混同しないように注意しましょう。

【パターン3:ハッシュ値の性質を問う問題】

「ハッシュ値から元のデータを復元できる(×)」「同じデータからは常に同じハッシュ値が生成される(○)」という正誤を問う形式でも出題されます。一方向性と固定長という2つの特性を確認しておきましょう。

よくある間違い・紛らわしいポイント

【暗号化と署名の鍵の向きの混同】

最も多い誤りが、「署名も暗号化も同じ鍵を使う」という思い込みです。暗号化は「受信者の公開鍵で暗号化→受信者の秘密鍵で復号」、署名は「送信者の秘密鍵で署名→送信者の公開鍵で検証」と、主体と方向が完全に逆になります。この2つを表として並べて整理することをおすすめします。

【ハッシュ関数と暗号化の混同】

ハッシュ関数は一方向の変換で、ハッシュ値から元のデータには戻せません。暗号化は対応する鍵があれば元のデータに復元できます。「改ざん検出にはハッシュ、盗聴防止には暗号化」という使い分けを押さえておきましょう。

【CAと認証サーバーの混同】

認証局(CA)は電子証明書を発行する第三者機関です。ユーザーのIDとパスワードを確認して本人性を検証するサーバー(認証サーバー)とは役割が異なります。CAは「公開鍵がその人のものであることを保証する」機関であり、ログイン認証の仕組みとは別物です。

まとめ・試験ポイント

  • デジタル署名=送信者の秘密鍵で署名し、公開鍵で検証する(本人性・完全性の確認)
  • 暗号化=受信者の公開鍵を使用 / 署名=送信者の秘密鍵を使用(対比を覚える)
  • ハッシュ値=文書内容を要約した固定長の値(一方向性:元に戻せない)
  • 電子証明書=公開鍵の持ち主を認証局(CA)が保証した証明書
  • PKI(公開鍵基盤)=デジタル証明書を管理してネット通信の安全を支える仕組み
  • 試験では「署名に使う鍵はどれか」や「CAの役割」を問う問題が頻出

学習した内容を試験形式で確認しよう。ITパスポート入門試験100問に挑戦できます。

入門試験100問に挑戦する