鍵(秘密鍵)は他人に盗まれてしまうと どういった事に利用されてしまう可能性があるのでしょうか?(※)
またCSRは他人に盗まれても問題ないと考えて良いのでしょうか?
※Verisignから証明書(サーバID)を受領してしまえば、あとは秘密鍵は盗まれても大丈夫だったりするのでしょうか?
秘密鍵は盗まれると駄目です。
秘密鍵と公開鍵はペアです。
公開鍵は公開されるのが前提で、公開されたものが例えばVerisignによって署名されていて第三者の後ろ盾のある情報になります。
情報を暗号化して通信する時に、外部の人は公開鍵を使って暗号化します。その情報は秘密鍵でなければ解読できません。つまりあなたにしか情報は伝わらないということになります。
逆にあなたは秘密鍵を使って情報を暗号化します。これは公開鍵を使って解読することができます。これは何を意味するのかと言うと公開鍵の元の秘密鍵を持ったひとからの情報であり、かつそれが第三者によって保証されているこということになります。
つまりあなたからの情報であるということの証明になります。
もし、秘密鍵が他の人に渡ってしまうとあなた以外の人があなたと偽って情報を流すことができてしまいます。つまり別にサイトを立ててあなたの偽サイトを作ることができてしまいます。
秘密鍵は盗まれると駄目です。
秘密鍵と公開鍵はペアです。
公開鍵は公開されるのが前提で、公開されたものが例えばVerisignによって署名されていて第三者の後ろ盾のある情報になります。
情報を暗号化して通信する時に、外部の人は公開鍵を使って暗号化します。その情報は秘密鍵でなければ解読できません。つまりあなたにしか情報は伝わらないということになります。
逆にあなたは秘密鍵を使って情報を暗号化します。これは公開鍵を使って解読することができます。これは何を意味するのかと言うと公開鍵の元の秘密鍵を持ったひとからの情報であり、かつそれが第三者によって保証されているこということになります。
つまりあなたからの情報であるということの証明になります。
もし、秘密鍵が他の人に渡ってしまうとあなた以外の人があなたと偽って情報を流すことができてしまいます。つまり別にサイトを立ててあなたの偽サイトを作ることができてしまいます。
SSL通信では、秘密鍵が非常に重要な役割を果たします。「SSLの仕組み」をご覧ください。
ここで、CSRと対になる秘密鍵が漏洩すると、当該SSLサイトと同じ証明能力を持つ偽サイトを立ち上げることができます。
日本ベリサインでも「お客様の秘密鍵情報について」で注意喚起しています。
万が一漏えいしてしまった場合は、ただちにCA局に申請し、当該証明書を失効しなければなりません。
コメント(1件)
秘密鍵のことだけ書いてしまいました。
CSRは第三者署名前の公開鍵なので盗まれても実害はないでしょうね。