アクセス制限でも、盗聴や改ざんには対応できません。
通信経路をセキュアにしなければなりません。
今回は、SSLを用いてより信頼性の高いWebサイトを構築する方法を紹介していきます。
SSLによる暗号化には、公開鍵(PublicKey)と秘密鍵(PrivateKey)、それに共通鍵が欠かせません。
共通鍵は、いわゆる「扉の鍵」をイメージしてください。
つまり、暗号化と復号化に共通の鍵を使ます。
ところが、公開鍵と秘密鍵には、このイメージが通用しません。
なぜなら、暗号化用の鍵と復号化用の鍵が異なるためです。
公開鍵で暗号化されたものは秘密鍵でしか復号できず、秘密鍵で暗号化されたものは公開鍵でしか復号できません。
これが公開鍵と秘密鍵のポイントです。
公開鍵と秘密鍵はセットで作成されていて、その組み合わせでないと暗号化/復号化できません。
また、公開鍵がその名のとおりだれでも入手できるのに対し、秘密鍵は自分だけが持っておく秘密の鍵となります。
以上をまとめると、*公開鍵はだれでも入手できる
*公開鍵は秘密鍵で暗号化されたものしか復号化できない
*秘密鍵は自分だけが持っている
*秘密鍵は公開鍵で暗号化されたものしか復号化できない
となります。
最初は戸惑うかもしれないが、これを押さえることが現代の暗号化技術を理解する第一歩となります。
一つ目の問題点としては、個人用の秘密鍵を一般ユーザーに作成させることの難しさです。
例えば、個人情報を送受信する商用サイトの場合、サーバから送信する情報には問題ありません。
サーバ側は、唯一の秘密鍵で暗号化し、信頼できる相手であることを証明する手段があるお陰です。
しかし、サーバに情報を送信する個人の側はそうもいきません。
公開鍵で暗号化することはできるが、それはだれにでもできることではありません。
通信の途中で、悪意のある第三者が割り込んで公開鍵で暗号化した情報をサーバに送信る可能性は十分にあります。
こうなると、サーバは自分の通信相手を特定できないことになります。
公開鍵と秘密鍵を使った暗号化は、通信する双方が秘密鍵を持っている必要性があるのです。
個人にも秘密鍵を作成してもらえばいいのだが、それはだれにでもできることではありません。
もうひとつの問題としては、暗号化と復号化に要する負荷の問題です。
公開鍵と秘密鍵を使った暗号化は、コンピュータに負荷が掛かります。
大多数のアクセスを受けるサイトともなれば相当な負担となります。
こうした負荷を軽減するために、「SSLアクセラレータ」と呼ばれる専用のハードウェアが作られ販売されているほどです。