💻 ITパスポート｜テクノロジ系（セキュリティ）

PKI・公開鍵基盤とは？

「この相手は本物か？」を証明する仕組み。公開鍵暗号＋認証局の信頼の連鎖でインターネットの安全を支える。

🎬 こんなシーンを想像

ネットショッピングで決済しようとしたら、URLに「🔒 https://」が表示されている。この鍵マークの裏には、「このサイトは本物の会社です」と第三者機関が証明したデジタル証明書がある。

…この仕組み全体がPKI（公開鍵基盤）！

🔑 公開鍵と秘密鍵の仕組み

誰でも入手できる。相手に送ってもOK。この鍵で暗号化したデータは、対になる秘密鍵でしか復号できない。

絶対に外に出さない。本人だけが持つ。公開鍵で暗号化されたデータを復号できる唯一の鍵。

🗺️ PKIの仕組み（証明書取得〜使用まで）

① 鍵ペアの生成

通信したい側が「公開鍵・秘密鍵」のペアを生成する。秘密鍵は手元に保管。

▼

② 認証局（CA）に申請

公開鍵と本人情報を認証局に提出し、「この公開鍵は本物の〇〇のものです」というデジタル証明書を発行してもらう。

▼

③ 証明書を配布・通信開始

デジタル証明書を相手に渡す。相手はCAの署名を検証し、公開鍵の正当性を確認してから暗号通信を開始。

▼

④ 失効管理（CRL・OCSP）

証明書が盗まれたり期限切れになったりした場合は、失効リスト（CRL）やOCSPで無効化する。

⚠️ ひっかけ注意ポイント

「公開鍵で復号できる」は×

暗号化は公開鍵・復号は秘密鍵（通常の暗号化通信）。逆にデジタル署名では、署名は秘密鍵・検証は公開鍵。「何のために使うか」で鍵の使い方が逆になる。

共通鍵暗号との違い

共通鍵暗号は送受信者が同じ鍵を使う。鍵の受け渡しが問題。PKIはその問題を解決するために公開鍵暗号を使う。速度は共通鍵の方が速い。

CAを偽装された場合

PKIはCAの信頼が前提。CAが偽物なら証明書も偽物になる。「ルート証明書」の信頼が全体の土台。

判断のコツ

「認証局・デジタル証明書・公開鍵・秘密鍵・信頼の連鎖」が並んだら → PKI。

🧠 覚え方（無理やりゴロ）

PKI＝「ポストに鍵・秘密の鍵・いつでも信頼」
P（公開鍵）＝ポストに入れてOK ／ K（秘密鍵）＝金庫に鍵／ I（基盤）＝いつでも信頼できる仕組み

南京錠（公開鍵）は誰にでも渡せる。
その鍵（秘密鍵）は自分だけが持つ。
鍵が本物かはCA（認証局）が保証する。