S Mime 05-04-2023

デジサート、電子証明書用の革新的な自動テストツールをリリース

Stephen Davidson
New Tool Blog Image

新しいオープンソースの証明書解析ツールが
S/MIME ベースライン要件に対するコンプライアンスチェックを実装

デジサートは、pkilint という新しい証明書解析ツールをリリースしました。これは、業界経験に基づき電子証明書のコンプライアンスチェックを自動化するツールです。この pkilint の最初のリリースでは、CA/B フォーラムが最近発表した、パブリックで信頼される S/MIME 証明書の発行と管理に関するベースライン要件(S/MIME ベースライン要件とも呼ばれます)に対するコンプライアンステストを実装します。

証明書解析ツールとは

pkilint は、証明書解析ツール、つまり電子証明書のエラーやコンプライアンスの問題を分析するためのソフトウェアの一種です。pkilint は、証明書発行プロセス中に自動化を用いて迅速に分析し、問題にフラグを立てることができます。また、過去に発行された証明書の大規模なディレクトリの適合性の監査にも使用できます。

pkilint の S/MIME 解析ツールは、オープンソースソフトウェア(OSS)として MIT ライセンスの下でデジサートからコミュニティに提供されています。MIT ライセンスでは、ソフトウェアの使用、配布、変更が広く認められています。

GitHub 上の pkilint リポジトリで詳細をご覧ください。

pkilint の特徴

新しい pkilint フレームワークは、あらゆる証明書タイプに適応できます。pkilint フレームワークには、S/MIME ベースライン要件(BR)のさまざまな仕様に対する 145 種類以上の個別テストと、電子証明書フォーマットに適用されるその他の重要な標準が最初から含まれています。

pkilint は、大規模環境での証明書静的解析ツールの使用に関するデジサートの経験に基づき開発されました。pkilint フレームワークには、既存の手作業チェックアプローチよりも有利な点が複数あります。

  • ASN.1 エンコーディングエラーを検出する際に、非常に詳細なチェックが可能な実績ある ASN.1 パーサーに基づいて構築されています。
  • さまざまな標準と信頼フレームワークに対するさまざまなタイプの PKI 構成要素(証明書、CRL、OCSP レスポンスなど)のテストをサポートするように、土台から設計されています。
  • リッチな検証ロジックは ASN.1 文書のすべてフィールドを分析し、実行するテストセットを決定します。そのため、より高速で綿密なテストが可能になり、開発時間を短縮することができます。

デジサートは、pkilint の他に、S/MIME BR で定義されたさまざまな証明書プロファイルに準拠したテスト証明書をユーザーが生成できる SMBR-Cert-Factory という OSS ツールの提供を最近開始しました。

S/MIME ベースライン要件の内容

S/MIME ベースライン要件は、E メールへの署名による改ざん防止、送信元の表示、またはプライバシー保護のための暗号化に使用される電子証明書を発行する認証局(CA)についての業界標準を初めて定めたものです。S/MIME ベースライン要件は 2023 年 9 月に施行されます。内容は次のとおりです。

  • サブジェクト ID および E メールアドレス管理に対する検証
  • 発行認証局とエンドエンティティ証明書の両方の証明書プロファイル
  • 鍵管理や証明書ライフサイクルを含む認証局運用慣行

TLS ベースライン要件として知られる、以前の CA/B フォーラム標準は、SSL/ウェブサーバ証明書の統一標準を定めていましたが、その真のメリットが確認されたのは、certLintZLint 、X509lint として知られる初の証明書リンターがリリースされて標準に対する証明書の大規模テストの自動化が可能になったときでした。デジサートは、認証局とサードパーティが S/MIME ベースライン要件への準拠のための電子証明書のテストを自動化できる点で、pkilint が同様のメリットをもたらすと考えています。

pkilint 開発の今後

pkilint フレームワークは、その他の電子証明書タイプ、および CRL と OCSP の実装などの PKI の要素を分析するために容易に拡張可能です。またデジサートは、CA/B フォーラムのバロット SC-62 で TLS 証明書プロファイルについて導入された変更を網羅するために、フレームワークを使用してリントを追加する予定です。pkilint への貢献に関心がある開発者は、プロジェクトの GitHub ページから参加できます。

デジタルトラストの業界標準におけるデジサートのリーダーシップ

デジサートの業界標準チームは、デジタルトラスト構築の取り組みの一環として、公開鍵基盤(PKI)使用の要件と仕様を作成するさまざまな組織と関わっています。例えば、webPKI、S/MIME、およびコード署名の標準化に取り組む CA/B フォーラム、E メールの信頼性に関する認証マーク証明書(VMC)耐量子コンピューター暗号を含む多種多様な技術トピックに関する Internet Engineering Task Force、Connectivity Standards Alliance の IoT セキュリティの Matter、電子証明書および eIDAS 適格トラストサービスプロバイダーのオペレーションに関する多種多様な規格を定める欧州電気通信標準化機構(ETSI)などがあります。

UP NEXT