公開鍵&秘密鍵から電子証明書まで

ボクらをひそかに守ってくれてる「SSLの暗号化」の仕組みって?

2008.04.11 FRI


最近では、ブラウザーによって自動的に電子証明書の内容が確認される「EV SSL」を採用しているサイトも増えている。セキュリティが強化された「IE7」でアクセスすると、信頼できるサイトではアドレスバーが緑色に、危険なサイトでは黄色や赤に変化する
街中ではめったに見かけない商品も、ネットで検索すれば簡単に手に入っちゃう今のご時世。もともと出不精な筆者などは、ここ数年ですっかりネットショッピング依存症に。ネットだとつい気が大きくなって、いろいろ買っちゃうんだよね。

それでも、初めて利用するショップでは、クレジットカード番号を送信するのがちょっと怖い。「当サイトはSSLによってお客様の個人情報を保護しています」って表示をよく見るけど、実際どこまで信頼できるんだろう? 電子認証の大手、日本ベリサインにSSLの仕組みについて聞いてみた。

「現在、ネットショップや金融機関のサイトなどで広く使われているSSL(Secure Socket Layer)は、ネットを通じてやり取りされる大切な情報を暗号化する通信方式です。通信の途中で盗聴されたとしても、第三者には意味不明なデータにしか見えないため、情報の安全性が確保されています」

うーん、でも暗号だって解読される可能性もあるのでは?

「SSLの暗号化には、『公開鍵』と『秘密鍵』と呼ばれる2種類のペアになった『鍵』が使われます。まずブラウザーとサイトの間で暗号のルールがランダムに決定され、ショップ側がサイトで公開している『公開鍵』を使って暗号化されて送信されます。これを元通り復元するには、ショップの管理者だけが知っている『秘密鍵』が必要となり、2つの鍵のペアがそろわない限り、暗号のルールを解読することはできません。この厳重な暗号を無理やり解読するには、最新のコンピュータを24時間フル稼働させても、何年間もかかると言われています」

それはすごい。でも、そもそも通信するサイト自体が信頼できるかどうかも心配なんですが。

「SSL のもうひとつの役割が、偽サイトによる詐欺の防止です。ネット上では、通信先のショップなどが本当に実在するかどうかを確認できません。そこで我々のような認証機関が、サイト運営者の素性を調査したうえで、実在を保証する『電子証明書』を発行しています。証明書に記載されているURLと実際のURLが一致していて、かつ発行元が信頼できる機関であれば、そのサイトでフィッシング詐欺などにあう危険性は低いといえます」

電子証明書の内容は、SSL通信を行う際にブラウザーに表示される「鍵」のマークをクリックすれば誰でも読める。今まで無防備に個人情報を送信していた人は、上記の2点だけでも確認する習慣をつけた方がいいかもね。

関連キーワード

注目記事ピックアップ

 

編集部ピックアップPR

ブレイクフォト