デジタル署名に関して その2 ~有効性って何よ~
2008/01/11 コメントを残す
デジタル署名ネタの第二弾です。
きちんと理解されている方が少ないようで、相変わらずの問い合わせ上位ランキングです。
デジタル署名が有効であると言ったら、何を思い浮かべますか?
実際には、次の2つがあるのです。
- 使用するデジタル証明書の有効性
- 付与したデジタル署名の有効性
1) に関しては、有効期限、失効者リスト(CRL: Certificate Revocation List)というものが
大きな要因なのですが、Authenticode 対応デジタル ID の有効期限は 1 年間 (12ヶ月間) に
なっているので、期限切れになるということは避けられません。
2) に関しては、有効なデジタル証明書を用いてデジタル署名したかどうかというものです。
つまり、署名時に使用した証明書は、有効期限内の失効していないものを使ったかどうかです。
では、証明書の有効期限が切れてしまったらどうなるのでしょう。
有効期限が切れたからといって、デジタル署名が無効になってしまうのでしょうか?
もし、そうだったら、皆が不幸になりますね。
(証明書を販売しているところだけが Happy なのかな!?)
ベンダー側は、またデジタル署名し直さなければならず、ユーザー側は、またアプリ構築し直さなければならず…。
こんなことにならないようにするために、デジタル証明書を発行した会社が
タイムスタンプサービスというものを提供しています。
タイムスタンプサービスとは
「デジタル署名を付与した日時・時間を認証・証明するサービス」
です。
タイムスタンプサービスを使うことによって、証明書の有効期限が切れてしまっても、
付与したデジタル署名は有効であると保障されるわけです。
タイムスタンプサービスを使わないと、証明書の有効期限が切れてしまったら、
付与したデジタル署名も無効になるというわけです。
では、次の質問はどうなるでしょう。
Q. Windows Vista & 2008 用のアプリケーション (.exe) を作成しました。
このアプリケーションは管理者権限が必要になるため、マニフェストによる実行権限の定義と
デジタル署名を付与しました。
デジタル署名に使用した証明書の有効期限内であれば、UAC 権限昇格ダイアログは、グレーの帯になります。
では、証明書の有効期限が切れたら、どうなるでしょう?
1) と 2) を理解していれば、この回答はすぐにわかりますね。
デジタル署名を付与する際にタイムスタンプサービスを使用していれば、証明書の有効期間が過ぎても
UAC 権限昇格ダイアログは、グレーのままです。
タイムスタンプサービスを使用していなければ、証明書の有期期限が切れたら
UAC 権限昇格ダイアログは、オレンジ色の帯になります。
———————————————
デジタル署名に関して正しい理解をしてから、署名しましょうね。
証明書って、実印みたいなものですから、意味もわからず使うなんて…考えただけでもゾッとします。
今回はこの辺で。