FUJITSU Software Systemwalker PKI Manager V12 紹介資料

FUJITSU Software Systemwalker PKI Manager V12.0 ご紹介 2018 年 12 月富士通株式会社

PKI 概要ネットワークにおける脅威 PKI により実現されるセキュリティ認証局とは認証局構成モデル 1

ネットワークにおける脅威ネットワーク上を使用した情報のやり取りには以下の 4 つの脅威がある商談があります盗聴そうか契約が成立しました改ざんだめだったか横取りしてやろう NG にしてやろう書類は後で作ろうなりすまし早いなそんな報告はしていないよ否認おかしいな頼まれた書類です 2

PKI により実現されるセキュリティ盗聴改ざんなりすまし否認の脅威を防止する盗聴防止通信内容文書内容の秘匿の仕組み暗号化改ざん防止なりすまし防止文書作成者の明示と改ざん検出の仕組み電子署名 PKI 否認防止通信相手の本人確認の仕組み証明書 PKI(Public Key Infrastructure) 証明書 / 公開鍵暗号の技術によって実現される暗号化や認証本人確認を行うセキュリティ基盤 3

認証局とは PKI システムの中心公開鍵 ( 証明書 ) が確かにその人のものであることを証明する機関認証局は個人の情報と公開鍵に署名し証明書を発行公開鍵を登録鍵ペアを生成認証局暗号ファイル証明書を発行 (PKCS#10/7 方式 ) イントラネット / インターネット証明書を発行 (PKCS#12 方式 ) 鍵ペアを生成暗号通信 4

認証局構成モデル EE (End Entity) 利用者 1. 証明書発行要求 (PKCS#10) 7. 証明書配付 (PKCS#7) RA(Registration Authority) 2. 鍵ペア生成 RAO(RA Operator) 3. 証明書発行審査登録局 4. 証明書発行依頼 (CMP) 5. 証明書発行 IA (Issuing Authority) 認証サーバ (VPN,SSL,Web-SSO) 8. 認証局証明書と CRL を取得して EE 証明書の有効性を確認 Repository ディレクトリサーバ認証局 CA (Certification Authority) 6. 証明書 /CRLを格納 / 公開 (LDAP) 発行局 PKCS: Public Key Cryptography Standard CMP: Certificate Management Protocol LDAP: Lightweight Directory Access Protocol CRL: Certificate Revocation List 5

ご紹介製品紹介 Systemwalker PKI Manager 製品体系構成例証明書発行処理フロー対応アルゴリズム認証局構築での主な検討事項 6

このイメージは現在表示できませんこのイメージは現在表示できませんこのイメージは現在表示できませんこのイメージは現在表示できません製品紹介 Systemwalker PKI Manager ~ 公開鍵基盤 (PKI) を担う IA RA 機能 ~ IA( 発行局 ) 機能証明書 CRL( 証明書失効リスト ) を発行 X.509 V3 準拠の証明書 /X.509 V2 準拠の CRL を発行ディレクトリサーバ連携による証明書 CRL の配付階層型 IA 組織別用途別の柔軟な導入 IA 間の相互認証 (CSR の SHA2 署名にも対応 ) 複数 IA 1 サーバ内に複数 IA の構築することによるコストダウン証明書管理部門 RA/KR オペレータ運用管理部門 FUJITSU Software Systemwalker Centric Manager イベント / 監視認証局 RA( 登録局 ) 機能証明書発行 / 失効申請 RA 操作員からの発行申請 (GUI) 発行 / 失効コマンドを使用したアプリ連携による自動申請 IA への証明書の発行 / 失効依頼証明書データの作成 PKCS#12 形式データとして作成スマートカードとして作成スマートカード工場向け発行データを作成信頼性一括発行申請者と承認者との RA オペレータの役割分離 KR(Key Recovery) オペレータによる鍵破損等からの回復共通機能イベント監視 Systemwalker Centric Manager メッセージ連携による監視監査機能監査ログを採取し不正運用がされていないことを検証カード工場申請の審査証明書データ作成信頼性運用認証局管理者カード工場発行での証明書秘密鍵の大量発行証明書発行申請 IA/RA Systemwalker PKI Manager 証明書 /CRL 公開 PKCS#12 格納 LDAPティレクトリサーハ PKCS#12 形式の証明書と秘密鍵をディレクトリから取得エントユーサ 7

製品体系 Systemwalker PKI Manager メディアパック 12.X Systemwalker PKI Manager 12.x( 基本 ) サーバライセンス (1 年間 24 時間サポート付 ) 100ユーザ付 Systemwalker PKI Manager 12.x( オプション ) ユーザ追加ライセンス (1 年間 24 時間サポート付 ) 500, 1000, 2000, 5000, 10000, 20000, 50000, 100000の8パターン PKI Manager 12.x オプション PKI Manager 12.x 基本メディアパック 8

証明書発行処理フロー ( 小規模 ) ~ 個別申請の場合 ~ RA オペレータ 1/2 2. 証明書発行依頼 (PKCS#10) 1. アプリケーションにて鍵ペアと申請書作成 (PKCS#10) RA Web サーバ等管理者 IA 3. 発行申請 (RAO2) 5. 証明書 4. 発行承認 (RAO1) 発行要求 6.. 証明書発行 8. 証明書取得 (RAO2) (PKCS#7 ダウンロード ) 9. 証明書 (PKCS#7) を受け取る登録局管理者 10. 証明書 (PKCS#7) をアプリケーションへインポート DB 7. 証明書取得 DB 1. 証明書利用者はアプリケーションにて鍵ペアと申請書 (PKCS#10) を作成 2. 証明書利用者は作成した申請書 (PKCS#10) を RA オペレータ 2 に提供し証明書発行を依頼 ( オフライン ) 3. RA オペレータ 2 が RA に発行申請する 4. RA オペレータ 1 が証明書発行申請を承認すると承認情報が RA サーバに通達される 5. RA サーバは IA サーバに対して証明書発行を要求する 6. IA サーバは証明書を発行する 7. RA サーバは IA サーバから証明書を取得 8. RA オペレータ 2 が RA から証明書 (PKCS#7) を取得 9. 証明書利用者は RA オペレータ 2 から証明書 (PKCS#7) を受取る ( オフライン ) 10. 証明書利用者は証明書をアプリケーションにインポート 9

証明書発行処理フロー ( 大規模審査有 ) ~ 管理者による一括発行 ~ 12.PKCS#12 送信 PKCS#12 Downloader 12.PKCS#12 取得証明書利用者 11.PIN 通知 (RAO2) 13. 証明書をアプリケーションへインポート発行公開 PKCS#12 配付用 Directory 10. 証明書と秘密鍵を格納 (PKCS#12) (RAO1) 2. 発行申請 (RAO2) 3. 発行承認 (RAO1) RA オペレータ 1/2 RA 4. 鍵ペア作成 8.PKCS#12 入手 (RAO1) 9.PIN 入手 (RAO2) 1. 申請者一覧情報の抽出 LDIF 人事情報 DB 5.. 証明書発行要求 7. 証明書取得 Directory 10 IA 6. 証明書発行 DB 1. Directory サーバまたは人事データベースから抽出した LDIF 情報を元に申請者一覧を作成 2. RA オペレータ 2 が一度に複数の証明書発行申請を一括で申請 3. RA オペレータ 1 が証明書発行申請を承認 4. RA サーバにて鍵ペアが作成される 5. RA サーバは IA サーバに対して証明書発行を要求 6. IA サーバは証明書を発行 7. RA サーバは IA サーバより証明書を取得 8. RA オペレータ 1 の要求で PKCS#12 ( 証明書と秘密鍵 ) が RA オペレータ 1 に渡される 9. RA オペレータ 2 は RA サーバより自動生成された PIN を取得 10. RA オペレータ 1 は作成された PKCS#12( 証明書と秘密鍵 ) を Directory サーバに格納 11. RA オペレータ 2 は PIN を証明書利用者に通知 12. 証明書利用者は PIN を利用して PKCS#12Downloader 経由でディレクトリサーバから PKCS#12 をダウンロード 13. 証明書利用者は証明書 (PKCS#12) をアプリケーションにインポート

対応アルゴリズム下記のアルゴリズムで証明書と CRL を発行できます鍵長公開鍵アルゴリズム署名アルゴリズムスペック従来製品 PKI Manager RSA512bit RSA1024bit RSA2048bit RSA4096bit RSAEncryption RSASSA-PSS md5withrsaencryption sha1withrsaencryption sha256withrsaencryption sha384withrsaencryption sha512withrsaencryption RSASSA-PSS - - - - - - - - 11

認証局構築での主な検討事項 1. 証明書の用途何のサービスに PKI を利用したいのか (VPN/Web /TLS 通信 / 暗号メール / 電子署名 ) 証明書に記載する発行者所有者有効期間鍵用途等を検討暗号アルゴリズム ( 鍵長 / 署名 ) は証明書利用アプリや機器の対応スケジュールを踏まえて検討 2. 証明書の発行配付の運用証明書の秘密鍵はどこで管理するのか (PC(HDD/TPM)/IC カード /USB トークン ) 誰が誰にどのように証明書を配付するのか ( オンライン / 外部媒体 (CDR/IC カード /USB トークン )) 発行申請データの作成方法の検討 (CSV/LDIF) 発行申請方法の検討 ( 個別発行方式 / 一括発行方式 ) 3. 証明書の失効の運用証明書の失効管理を行うかを検討失効情報 (CRL) をアプリや機器にどのように反映させるか ( 更新時刻やサイクル配付方法 ) 4. 認証局の設備認証局を構成するサーバや端末ネットワーク構成認証局機器を設置するラック / 部屋とその入退出管理の検討 5. CP/CPS( 証明書ポリシ / 運用管理規定 ) の作成 CP/CPS は RFC で規定された形式に従い認証局の運用方針についてドキュメント化したもの記述例 : 運用管理体制発行する証明書の内容証明書発行失効時の手順等を規定認証局は CP/CPS を公開することで証明書の利用者にその認証局の信頼性を明示する特に GtoG GtoC BtoB BtoC 等の社外取引等で証明書を利用する場合は必須の規定となる 12

導入事例 IC カードを使用した PKI 認証基盤 Web システムの認証用証明書の配付高セキュアな認証ソリューション SafetyMAM による IC カード発行の自動運用 FUJITSU Software Systemwalker Operation Manager と業務アプリによる自動運用 13

事例紹介 IC カードを使用した PKI 認証基盤職員証 (IC カード ) を使った職員ポータル及び SSO システムの構築 IC カード発行運用管理システム (SafetyMAM) との自動連携にて IC カードを発行 14

事例紹介 Web システムの認証用証明書の配付利用者登録時に証明書発行を行い利用者 PC(Windows) の証明書管理領域に自動インポート証明書更新時にも証明書を再配付するとともに旧証明書を自動失効利用者削除時には証明書を自動失効ポータル利用者の登録削除利用者管理利用者の登録更新削除利用者登録利用者削除証明書更新証明書発行証明書失効証明書の即時配付証明書管理 (URP) 発行 / 失効要求利用者証明書の自動格納ですぐに使用可能 (Java アフレット ) 利用者 (PKCS#12) 発行 / 更新証明書配付失効証明書取得認証局 (Systemwalker PKI Manager CA/RA) URP:User Request Program( 有償のカスタマイズサービス ) 15

事例紹介高セキュアな認証ソリューション生体認証 + IC カード + PKI を使った最高レベルのセキュリティシステムが実現できます生体情報にて IC カードへのアクセスを認証できます IC カード内に証明書ペアを格納しておくことで 2 要素認証を実現できます IC カードを紛失しても生体情報から自動算出された強固な PIN が設定されており不正利用は不可能です Windows ログオン用プロファイルを証明書に設定しておくことでスマートカードログオンも実現できます SSO サーバ等の Web 認証サーバに対しても証明書認証が行えます 1 個人認証 ( 生体認証 /IC カード認証 ) 2Windows スマートカードログオン認証 3 業務認証 (SSL v3 クライアント認証 ) 手のひら静脈センサ利用者 PC <Windows8> Windows ドメインコントローラ Web 認証サーバ SafetyCLIC ( 生体情報から一意の PIN に変換 ) PIN 認証認証情報認証情報生体情報にて IC カードへのアクセスを認証ユーサ用秘密鍵ユーサ用証明書 Windows ログオンは以下の Microsoft 情報にて実現しますサードパーティの CA を用いてスマートカードログオンを有効にするガイドライン https://support.microsoft.com/ja-jp/help/281245/guidelines-for-enabling-smart-card-logon-with-third-party-certificatio サードパーティの証明書を NTAuth ストアにインポートする方法 https://support.microsoft.com/ja-jp/help/295663/how-to-import-third-party-certification-authority-ca-certificates-into 16

事例紹介 SafetyMAM による IC カード発行の自動運用 SafetyMAM 等の IC カード発行管理システムに証明書発行 / 失効コマンドを登録することでカード発行や廃棄のイベントと連動して証明書の発行 / 失効を自動化できます認証局連携サーバ < Windows Server > IC カード管理者管理操作券面情報の入力 ( 氏名,ID, 写真等 ) SafetyMAM カード発行発行カード更新発行 / 失効紛失 / 廃棄失効申請情報 / 実行結果証明書 (PKCS#12) Systemwalker PKI Manager RAO ( 証明書発行 / 失効コマント ) 発行 / 失効申請証明書取得認証局 Systemwalker PKI Manager CA/RA ファイル渡し券面印刷され証明書も格納された IC カードが自動発行される IC カード発行機 SafetyMAM は富士通の IC カード運用管理システムです https://www.fujitsu.com/jp/solutions/business-technology/security/secure/physical-security/iccard/safetymam/ 17

事例紹介 Systemwalker Operation Manager と業務アプリによる自動運用 Systemwalker Operation Manager 等のジョブ管理システムに証明書発行 / 失効コマンドを登録しておくことで証明書の発行 / 失効を自動化できます業務アプリにて申請情報の生成機能とコマンド実行結果の解析機能を実装することで自動運用が実現できます認証局連携サーバ < Windows Server > 利用者会員登録 / 削除申請証明書 (PKCS#12) タウンロート業務アプリ ( 会員管理 / ワークフロー ) ID 追加発行 ID 削除失効申請情報 (CSV), 実行結果証明書 (PKCS#12) ファイル渡し Systemwalker Operation Manager Systemwalker PKI Manager RAO ( 証明書発行 / 失効コマント ) 承認された証明書だけバッチジョブとして一括申請する発行 / 失効申請証明書取得認証局 Systemwalker PKI Manager CA/RA 審査 / 承認 18

付録公開鍵暗号に関する標準公開鍵暗号に関する標準 PKCS#12 とは 19

公開鍵暗号に関する標準旧 RSA Security 社は PKCS(Public-Key Cryptography Standards) と呼ばれる公開鍵暗号に関する標準を策定したため赤字の規格が現在もよく使われます #1 :RSA 暗号に関する標準 (RFC3447) #5 : パスワードベース暗号に関する標準 (RFC2898) #7 : 暗号メッセージ構文に関する標準 (RFC2315) #8 : 秘密鍵の形式に関する標準 (RFC5208) #10: 証明書の申請構文に関する標準 (RFC2986) #11: 暗号インターフェースに関する標準 #12: 個人情報交換構文に関する標準 #13: 楕円曲線暗号に関する標準 #15: スマートカードに関する標準 (ISO/IEC 7816-15) 証明書の申請 / 配付とPKCSの関係 PKCS#10/7 方式 PKCS#12 方式証明書発行申請書 (PKCS#10) CA 証明書 (PKCS#7) 鍵ペア生成 CA PKCS#12 鍵ペア生成利用者管理者 IC カート PKCS#11 CSR(Certificate Signing Request: 署名リクエスト ) ともいう 20

公開鍵暗号に関する標準 PKCS#12 とは利用者が使用する証明書 ( 公開鍵 ) と秘密鍵が格納されているファイルトラストポイント ( 信頼点 ) までの認証局証明書も格納できるファイルパスワード (PIN:Personal Identification Number) にて暗号化 PKCS#12 形式のファイルルート認証局証明書 ( 公開鍵 ) 中間認証局証明書 ( 公開鍵 ) パスワードにて暗号化利用者証明書 ( 公開鍵 ) 利用者証明書の秘密鍵鍵ペア 21