既にタイトルの意味が取れなくなっているので IPA にお伺いを立てたところ
http://www.ipa.go.jp/security/rfc/RFC5280-02JA.html#022「受容性クライテリア」ってやっぱり分かりませんでした
「許せる基準」とか? 英辞郎だと「判定基準」って出てきました
http://eow.alc.co.jp/acceptability+criterion/RFC 5280 はインターネット上で「誰なのか」「何ができるのか」といった
色々な判定がスムースに進むように取り決めをしようということのようです
イントロでは既に出ていたのですが本文でも
"Internet Public Key Infrastructure" という単語が出てきました。
RFC 5280 はインターネットで PKI をスムースに運用する為の約束事集でしたが、
ではそのインターネット PKI の目的とは何ぞや? というと
「それに従っていれば誰でも一意に・自動的に
- identification → 本人確認
- authentication → 認証
- access control → アクセスコントロール
- authorization → 権限付与
という機能が運用できるルールを提供すること」かな?
identification, authentication, access control, authorization って何?
ちょっと怪しいと思うけど説明
identification:
これは自分が知っている人かどうかを確認することです
パスワードは「事前に知らされているパスワードを知ってる人かどうか」を
署名は「事前に知らされている公開鍵に対応する秘密鍵を持ってる人かどうか」を
確認することで「自分が知ってる人」=「本人」であることを確認します
でも、その本人がどんな人かまでは言及しません
家の鍵は「その家に入れる人かどうか」を確認するだけなので
鍵が盗まれてしまうと家の持ち主でなくても家に入れてしまいます
authentication:
これはその人が誰であるかということを確認します
SSL サーバー証明書には「サーバー名」に対応した「サーバーの運営者の住所や組織名」
免許証やパスポートには「顔写真」に対応した「氏名・住所」などが書かれており
第三者に対して自分が何者であるかを証明しようとします
サーバーの場合は FQDN を用いてアクセスすることで
免許の場合は顔と写真を照合することによって
認証の対象が記載されてるサーバー・人と対応することが確認できます
access control:
ネットワーク上には様々な対象が置かれています
ファイルや「プリンタ」だったりファイルにしても「データ」「プログラム」など
「コンピュータ」自体も置かれています
これらのものに「読む」「書き込む」「追記」「消去」「印刷命令」「実行」など
様々なアクセスが用意されていますが
誰が何にアクセスできるか? ということを管理することです
authorization:
鍵を持っていたり証明書を発行してもらっていることで
identification や authentication を通過したことによって
様々な対象にアクセスする権利を付与されるように
何かしらの権限を与えることです
X.509 という証明書の仕組みに更に仕様を重ねることで
インターネット上で上記機能の運用を円滑に進められるようにするのが
RFC 5280 の目的です
その為には、証明書で認証したい対象の情報以外にも、
その証明書の利用範囲や正当性を確認する為の情報など、
様々な事柄を決めなくてはいけないので決めていくことになります