ITパスポート 過去問
令和7年度
問87 (テクノロジ系 問32)

本問は、PKI（公開鍵基盤）におけるCRL（証明書失効リスト）の役割について、正しく理解できているかを問う問題です。

PKIとは、公開鍵暗号を使ってインターネット上で安全にデータのやり取りをするための仕組み全体のことです。

認証局(CA)が発行するデジタル証明書を利用します。

CRLとは、デジタル証明書の中で有効期限内ではあっても無効となっているデジタル証明書の一覧のことです。

選択肢には「満了」「失効」といった似たような言葉が並んでいますが、これらの意味の違いをしっかり区別することがポイントです。

各選択肢をそれぞれみていきます。

問題文に登場する

PKI

CRL

これらを理解するために、まず公開鍵暗号方式について復習しましょう。

インターネット上で機密情報をやり取りするためには、その内容を暗号化して送受信する必要があります。

情報セキュリティの分野では、その「暗号化」「複合化」をするための特殊なデータを鍵と呼び、そのメカニズムのことを鍵暗号アルゴリズムといいます。

公開鍵暗号方式はその鍵暗号アルゴリズムの一つで、

公開鍵・・・暗号化専用

秘密鍵・・・複合化専用

暗号化と複合化に別々の鍵を用いること、また両者の鍵は受信者のものとペアでないと複合できないことが特徴です。

つまりは、「公開鍵・秘密鍵ともに受信者のもの」ということについても、送信者は身元確認をとっておかなくてはなりません。

この身元が確かであることを保証してくれるのがKPI（Public Key Infrastructure：公開鍵認証基盤）というインフラです。

PKIは送信者に公開鍵を付与する際、一緒に受信者の身元確認となるデジタル証明書も付与します。

このデジタル証明書には、受信者しか保有しない秘密鍵を用いて記録されたデジタル署名が含まれているので、確実に受信者本人であることが確認できるのです。

このデジタル証明書ですが、実は有効期限があります。有効期限が切れたデジタル証明書は無効となるので、新たなデジタル証明書を発行する必要があります。

（「有効期間が無期限である。」「有効期間を延長している。」は誤り）

では、有効期限内であれば公開鍵暗号方式を用いての通信の安全性は確保されるのかというと、そうではありません。

受信者側が何かしらの情報セキュリティ事故に遭遇し、秘密鍵が盗まれるという可能性もあるからです。

そうした万一の際には例えデジタル証明書の有効期限内であっても、そのデジタル証明書は破棄し、新たな公開鍵と秘密鍵のペアを作成する必要があります。

このようなイレギュラーが発生した際のデジタル証明書が何であるかを控えておくのがCRL（Certificate Revocation List：証明書失効リスト）です。

（「有効期間が満了している。」は誤り、「有効期間内に失効している。」が正解）

CRL（Certificate Revocation List）とは、証明書失効リストのことです。有効期限内にもかかわらず様々な理由で失効したデジタル証明書が列挙されたリストのことです。