ポイント●「認証」という用語は情報セキュリティ上二つの意味を持っている。ひとつはAuthentication(2者間認証),もうひとつはCertification(3者間認証)である●「Captcha」とはアクセスしてくるのが「人間」であることを確認する仕組みである |
今回から,セキュリティの基盤技術に関しての章に入ります。具体的には「認証」に関する技術と「暗号」に関する技術,そしてこれらを組み合わせて出来ている技術に関して解説していきます。最初のお題は「認証」です。
認証とは
日本語で言うところの「認証」という用語を,手持ちの辞書を引いてみると以下のように書かれています。
にんしょう【認証】 一定の行為または文書が正当な手続・方式でなされたことを公の機関が証明すること。(後略) |
でも,例えばサーバーにログインする時をイメージしてみてください。ユーザーIDとパスワードを入力すると認証されますが,ここに公の機関は存在しません。
クレジットカードのように,カード会社が発行したカードを店舗に提示することによって所持者の正当性を認めさせるような場合においては,辞書の意味がしっくりときます。これはいったいどういうことなのでしょうか。
2者間認証と3者間認証
情報セキュリティにおける「認証」には次の二つがあり,それぞれ別の意味を持っています。
Authentication(2者間認証):認証する側とされる側が事前に共有している情報を確認すること Certification(3者間認証):信頼できる機関(認証局)が発行した証明書を基に『持ち主』の正当性を確認すること |
図1のように,ユーザーがサーバーにログインする例がAuthentication(2者間認証),クレジットカードの例がCertification(3者間認証)です。
図1 2者間認証と3者間認証
ちなみに英和辞典を引くと,AuthenticationもCertificationも「証明」というような感じで,ほぼ同義の訳が書かれている場合があります。しかし,情報セキュリティを学ぶ上では違った意味を持ちますので注意しておきましょう。