認証とは、ある情報が本物であるかどうかを確かめるための手段です。この認証には、通信相辛が実在するか、だれかが他人に「なりすまし」ていないかを確認する「本人認証」と、通信メッセージが第三者に改ざんされていないかを確認する「メッセージ認証」の2つがあります。
デジタル許証技術
本人認証の方法としては、
- 指紋、虹彩、網膜、筆跡、声紋の確認などの生物学的な特徴による方法。本人以外を本人と認識する確率は非常に小さい。しかし、測定機器が高額で、体調による入力値の差が本人を本人でないと誤認識する場合があり、接触型装置の場合は利用者が抵抗感を持つことなどの問題がある。
- 印鑑などの本人の持ち物による方法
- パスワード、秘密鍵(公開鍵暗号方式)などの本人のみが記憶している情報による方法
の3つに大きく分けられます。
ここでは、インターネット上のサービスサーバーがユーザーを認証するためによく利用される③ について説明します。パスワードによる本人認証のしくみとしては、古典的なパスワードによる認証を思い浮かべる方が多いかもしれません。これはCHAPと呼ばれるもので、サーバーにユーザーID とパスワードをある関数で変換した値(ハッシュ値)を登録しておき、ログイン時にユーザーが入力するパスワードをハッシュ化して登録データと比較することで認証します。しかしこの方式は、ユーザーのパスワードをあらかじめサーバーに登録することになるので、登録したパスワードファイルが盗まれたり、総当り攻撃や辞書攻撃によってパスワードが解読される可能性があります。
古典的なパスワードを利用する場合、パスワードの解読を防ぐには、簡単に連想できるものを避ける必要があります。ユーザーID や社員番号、誕生日などは使うべきではありません。また辞書攻撃からパスワードを守るためには、辞書に載っているような単語や名前、地名などの固有名詞を使ってはいけません。パスワードは自分が覚えられる7文字以上で構成し、アルファベットのほかに数字や記号を含めるとよいでしょう。パスワードをメモパッドに書き付けたり、他人に教えるのはもってのほかです。
CA局の運営が公開鍵を旺明する
公開鍵暗号方式による本人認証では、通信相手の秘密鍵で暗号化されたデータを相手の公開鍵で復号できれば、原則として相手を特定することができます。ただ、その通信相手が本人に「なりすまし」ている可能性がないとはいえません。商業登記簿謄本や戸籍謄本のような身元確認の手段がどうしても必要です。
そこで、公開鍵の信頼性を保証するために、信頼のおける第三者が公開鍵の正当性を証明する必要があります。これを一般に「CAセンター」または「認証機関」と呼びます。CAセンターとしては、日本ペリサインや日本認証サービスなどがすでにサービスを始めています。
SSL、SETとは
インターネット上でのクレジットカード決済を行う方式として、SSLとSETの2つがあります。インターネット上の決済では、カード番号をSSLで暗号化して販売店に送る方法が主流ですが、クレジットカード各社はより安全なSETを普及させようとしています。
SSLとは、米ネットスケープ社が提唱した通信データを暗号化するプロトコルで、ネットスケープナビゲ一夕ーやインターネットエクスプローラーに実装されています。通信データの暗号化の業界標準ですが、クレジットカード決済のために作られたプロトコルではありませんので(単にカード番号を暗号化してショップに送っているだけ)、安全性が低いというデメリットがあります。
そこで、2大クレジットカード会社の米visa社と米MASTER社は、クレジットカード決済専用プロトコル「SET」を発表しました。一般にクレジットカード会社がCAセンターとなり、そのカードブランド名のもとに証明書を発行します。この電子証明書は、カード会員と加盟店の双方に対して発行されます。カード会員証明書はバーチャルなクレジットカード、加盟店証明書は店頭に貼られているクレジットカード会社のステッカーに相当するものです。
インターネット上のバーチャルショップでカード会員がSETを利用した買物をするには、発注書としてCAセンターが発行した電子証明書とカード番号、注文情報をセットにして暗号処理を行い、加盟店に送ります。加盟店では、受け取った注文情報からは、クレジットカード会社に送るカード番号が完全に分離され暗号化ているため、カード会員のカード番号を盗み取ることや注文情報を改ざんすることができません。
これがSETの優れた特長です。SETが規定するのは、カード番号などの情報を暗号化してショップに送信し、ショップが決済金額を添えてカード会社に決済承認を行う過程までで、通常のカード決済でみると、クレジットカード端末でカード番号などを読み込み、決済金額を入力してクレジットカード会社から承認を得てサインをするところまでに相当します。なおSETには、ユーザーが専用ソフトをインストールしなければならないというデメリットがあります。