簡易公開鍵基盤
簡易公開鍵基盤(かんいこうかいかぎきばん、英: Simple public key infrastructure、SPKI:スプーキーと読む)は、コンピュータ上の権限認証方式の一つ。伝統的な X.509 公開鍵基盤の複雑さとスケーラビリティの問題への対策として、複数の異なる試みが統合されて成立した。SPKI ワーキンググループによってInternet Engineering Task Force (IETF) の Request for Comments でRFC 2692とRFC 2693として仕様が公開されている。これら二つの RFC の IETF におけるステータスは「実験的」である。SPKI はオーソライズに用いる証明書の書式を定義している。これは特権や権利などの各種属性(これらをオーソライゼーションと呼ぶ)を記述して公開鍵に結び付けるためのものである。1996年、SPKI はロン・リベストとバトラー・ランプソンらが考案したSimple Distributed Security Infrastructure(SDSI、サドシーと読む)と統合された。
歴史と概観
編集元の SPKI は、利用者を公開鍵と単に同一視していたが、オーソライゼーションをこれらの鍵に結び付けることと、ある鍵から別の鍵にオーソライゼーションを委任することが出来た。符号化には属性:値のペアを用いる方式で、RFC 822のヘッダに似ていた。
一方、元の SDSI では、(個人やグループの)ローカル名を公開鍵(や他の名前)に結び付けることが出来たが、オーソライゼーションはアクセス制御リスト (ACL) 上にのみ存在し、利用者のオーソライゼーションの一部または全部を委任することは出来なかった。符号化には標準的なS式を用いていた。
統合された SPKI/SDSI では、利用者への名前の付与、利用者をまとめたグループへの名前の付与、及び権限その他の属性をある利用者から別の利用者に委任することが出来る。またオーソライゼーションを扱う命令言語を持ち、これには複数のオーソライゼーション間の「積集合」を定義する操作が含まれる。更に「閾(しきい)項目」(threshold subject) という概念を持っており、これは予め列挙された 項目中の が(アクセス要求や権限の委任要求の際に)満たされる場合に限りオーソライゼーション(や委任)を許可するものである。SPKI/SDSI は符号化にS式を用いるが、LR(0)文法の一種であり構文解析が極めて容易な正規化されたS式 (en:Canonical S-expressions) と呼ばれるバイナリ形式を規定している。
SPKI/SDSI には認証局 (CA) が存在しない。実際、SPKI の背後には、一般に商用認証局というものには実用上の価値がないとする考え方がある[要出典]。この結果、SPKI/SDSI は主に何らかの特定用途向けや学術研究用の実証プロジェクトなどに適用されている。こうした設計がもたらしたもう一つの副作用として、SPKI/SDSI 単独では商業的に利益を生むのが難しいということがある。何か別の製品の一部として組み込むことは可能だが、SPKI/SDSI ツールやサービス単独での商業化事例はなく、別製品の一部として使われた例があるのみである。
SPKI/SDSI の実装例で有名なものとしては、ヒューレット・パッカード社のミドルウェア製品であるen:E-speakがかつて存在した。これは XML 版の SPKI/SDSI を内包しており、ウェブメソッドのアクセス制御やUPnPのセキュリティ管理、ネットワーク参加者間の権限委任などに用いていた。
脚注
編集