PKI（公開鍵暗号基盤）

Public Key Infrastructure（PKI）のことで、「公開鍵暗号基盤」 もしくは、「公開鍵暗号方式を利用したセキュリティインフラ」 だと言われています。
PKIの基本は、「身分証明書」を発行することです。 ネットワーク上では相手が見えないから、身分を偽ることが 簡単にできてしまいます。
通信する際にお互いに身分証明書を確認できれば、正しい相手と 通信を行っていると信じることができます。そのために、 ネットワークの世界でも、信用できる機関が発行し、本人が 保管している身分証明書だけが有効となるシステムが必要です。
PKIでは、複数の技術を用いて、「証明書」よぶ身分証明書を、 「認証局」と呼ぶ証明書を発行する機関が発行します。この2つに、 認証局が発行した証明書を集中管理して利用者に配布する 役割を持つ「リポジトリ」を加えた3つが、PKIを構成する主要な 要素となります。
　実際の「証明書」は、ハードディスクやICカードの中に 格納されているファイルです。 そのファイル構造はX.509という規格で決まっています。 「認証局」は、サーバアプリケーションとして存在しており、 パッケージ製品として販売されてもいます。
　「リポジトリ」には幾つかの理由からディレクトリサーバが 利用されることが多いが、ファイルサーバで証明書を まとめて保存して、それをWebサーバやFTPサーバから ダウンロード可能にしてもいい。 また、FDに入れた証明書を人手で配布する、ということも 行われており、リポジトリが省略されるケースも多いです。

●　証明書

PKIが提供する「証明書」は、本人確認と通信の暗号化という、2つの機能を実現する重要な役割を果たしている。 証明書の中に入れて自由に配布する鍵を、「公開鍵」と呼んでいる。そして、本人だけが保管すべき鍵を「秘密鍵」と呼ぶ。英語ではそれぞれ「Public Key」と「Private Key」だ。
認証局用のソフトウェアさえ購入すれば、だれでも証明書を発行できる。だから技術的には、ニセの証明書の発行は簡単です。 信頼できる認証局が発行したことさえ確認できれば（、入手経路がどうであれ、その証明書は信頼できる。あとは、証明書の公開鍵を取り出して情報を 暗号化すればいい。 暗号化された情報は、本人が持つ秘密鍵以外では解読できないからです。 つまり、PKIは主に、信頼できる相手を確認し、その相手との暗号化通信を行うための仕組みを提供してくれるだけです。