- ベストアンサー
ファイルへの電子署名とSSL用の証明書の違いとは?
- 質問者は、ファイルへの電子署名とSSL用の証明書の違いについて教えてほしいと述べています。
- 具体的な質問は、実行ファイルやPDF文書に電子署名を行いたいこと、Webサイトの一部ページをSSLで運用したいことです。
- 質問者は、安価なSSLサーバ用の電子証明書「rapid-SSL」を検討しており、それがファイルの電子署名にも利用できるかどうかを知りたいとしています。また、将来的に自社で署名できるようにするための方法についてもアドバイスを求めています。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
>はじめは「一つの会社の実印のようなもの」をファイルにもSSL証明書にも「押印する」というようなイメージでした。 「会社の実印」に当たるものが「秘密鍵」で、「役所への実印登録」に当たるものがベリサインなどが行っている「認証サービス」に当たるのかと思っていました。つまり、実印さえ登録してしまえば、後はどのサーバーでもどのファイル文書でも自分で押印できる、という発想になったのですが、根本的に間違っているのでしょうか。 間違っていません。ですが、商品ラインナップを見てみればわかるように コードサイニングとサーバ用証明書がわざわざ分かれて販売されているこ とと、現実の実印と比べてライセンスの問題がどうなっているのか調べて もよくわからなかったのです。ここもベリサインに質問した方がいいですね。 http://www.verisign.co.jp/codesign/help/contact/index.html >サーバーの証明書というのは「あなたが接続しているのはXXXX.comのサーバーに間違いありません」という意味であって、「あなたが接続しているXXXX.comは○○会社がセキュリティを保証しています」という意味ではない、と理解していいですか? 正解です。あくまでもサーバが本当にその会社のものであるかを証明する のが主な仕事です。語弊を生んでしまいますが、電子証明単体では高度な セキュリティを実現するわけではありません。それはまた保守分野になり ます。ただ、SSL暗号通信を実装しているので、全くセキュリティを 保証していないわけではないのでこの辺の定義付けが専門家でないと難し いですね。 >これに対して、ファイルの電子署名というのは、「このファイル文書の製作者は○○会社に間違いありません(かつ改竄されていません)」という理解でよいのでしょうか。 これもほぼ正解です。PDFの場合電子証明書が付いた電子署名をされる と、AdobeReaderの左に青いリボン付き勲章のマークがあります。実装して あるサイトのURLを紹介しようとしたのですが見つかりませんでした。 ちなみに、一番解決したいアプリケーションのコードサイニング 用の電子署名ですが、おそらくサーバ用の電子署名と併用はでき ないと思います。 念のため「未だに決めかねていますが…」というさわりで、販売 店にメール等で質問してみてください。 ベリサインは非常に高価なので、他にも安いコードサイニング商 品があるかこちらでも探してみます。あまり見掛けたこともない ので期待はしないでください。
その他の回答 (2)
それから、ファイルやパッケージへの電子署名は、公開鍵暗号方式を用い て文書の作成者を証明し、そのドキュメント等が改ざんされていないかを確 認する技術のことです。 一方、サーバ用証明書はそのサーバがどこの組織のもので、どこの認証局 を利用しているものなのかその実在性を保証し、かつクライアント端末へ のセキュアな暗号通信を確保します。 どちらも信頼性と完全性(非改竄)を求めてつくられたものですが、機密性 (暗号化)に関してはサーバ証明書の役割です。
注意:間違っているかもしれません。 正直パートナー代理店に問い合わせた方が早いです。 Q1.ダウンロード販売する実行ファイルや、見積書・注文書・納品書などのPDF文書に電子署名したい A1.自分の考えとしてはお役所の実印と同じものですから、文章の作成 者の印を押すのは現実と一緒なのかもというところが本音です。 サーバと兼用するのはどうかと。 出荷したパッケージの証明書ととサーバの証明書が一緒なのも ちょっと怖いです。 Q2.Webサイト一部ページをSSLで運用したい。 A2.すいません。詳しい事情も知らないので各社取扱いパートナーの 営業に聞いてください。ただ、認証画面や注文・問い合わせフォ ームのみ使われることを意味していると思いますので、それ自体 は技術的には可能だと思います。 また、SSLを使用しているページの中にSSLが施されてい ないページが存在すると、クライアントがアクセスした際にそ の部分を表示するかどうかのウィンドウが出ます。この下のURL をIEでクリックして下の「IACCEPT」という青いボタンを押して みてください。たぶん上よりこちらのことですかね。こちらも 問題なくできていますね。 http://www.f-secure.com/blacklight/try_blacklight.html このうち、自分が文書等の電子署名を取り扱っているのを知っている会社は セコムや http://www.secomtrust.net/service/service.html http://www.secomtrust.net/service/ninsyo/e_write.html#03 ベリサインパートナーです。 http://www.verisign.co.jp/personal/partner.html#class1
補足
回答ありがとうございます。質問に補足させていただきます。 どうも私がまだコンセプトをよく理解しておらずに混乱しています。 はじめは「一つの会社の実印のようなもの」をファイルにもSSL証明書にも「押印する」というようなイメージでした。 「会社の実印」に当たるものが「秘密鍵」で、「役所への実印登録」に当たるものがベリサインなどが行っている「認証サービス」に当たるのかと思っていました。つまり、実印さえ登録してしまえば、後はどのサーバーでもどのファイル文書でも自分で押印できる、という発想になったのですが、根本的に間違っているのでしょうか。 サーバーの証明書というのは「あなたが接続しているのはXXXX.comのサーバーに間違いありません」という意味であって、「あなたが接続しているXXXX.comは○○会社がセキュリティを保証しています」という意味ではない、と理解していいですか? これに対して、ファイルの電子署名というのは、「このファイル文書の製作者は○○会社に間違いありません(かつ改竄されていません)」という理解でよいのでしょうか。 重ねての質問で申し訳ございません。よろしくお願い致します。
お礼
回答、どうもありがとうございました。 仰るように業者に質問した方が正確なのでしょうが、質問の前提となるコンセプトを十分理解できておりませんでした。 おかげさまでファイルの電子署名とSSL証明書コンセプトが整理でき、ベリサイン等に問合せする準備ができたと思います。 どうもありがとうございました。