公開鍵基盤 とは？

PKIはインターネットの信頼の骨格です。ブラウザがHTTPS接続に鍵マークを表示するたびに、PKIが機能しています。このシステムは、公開鍵をドメイン名、組織、または個人などのアイデンティティに結びつけるデジタル証明書を発行する認証局（CA）に依存しています。これらの証明書により、クライアントは正規のサーバーと通信していることを確認でき、なりすましを防ぎます。

PKIの信頼モデルは階層的です。ルートCAが頂点に位置し、その証明書はOSとブラウザに事前インストールされています。ルートCAは中間CAの証明書に署名し、中間CAはさらに個々のサーバーやサービスのエンドエンティティ証明書に署名します。この信頼の連鎖により、任意のクライアントが署名を信頼できるルートまで遡ることで証明書を検証できます。チェーンの一部が侵害または失効されると、それが署名した証明書は信頼されなくなります。

PKIはWeb TLSを超えて広がっています。コード署名（ソフトウェアの真正性の確認）、メール暗号化（S/MIME）、VPN認証、マイクロサービス間の相互TLS、スマートカード認証を支えています。大規模なPKI管理には、証明書の有効期限追跡、更新の自動化、失効リスト（CRL）またはOCSPレスポンダーの処理、およびCAの秘密鍵のセキュリティ確保が含まれます。ルートCAの秘密鍵が侵害されると、階層全体の信頼が損なわれます。

Vaulted における 公開鍵基盤 の使われ方

VaultedはHTTPS経由でPKIに間接的に依存しています。信頼できる認証局によって発行されたvaulted.fyiのTLS証明書により、ブラウザは実際のVaultedサーバーと通信していることを確認でき、中間者攻撃を防ぎます。これにより、転送中の暗号文とメタデータが保護されます。ただし、Vaultedのコアの暗号化モデルはPKIに依存していません。シークレットはネットワークを経由しない対称AES-256-GCMキーでクライアントサイドで暗号化されるため、PKIの障害があっても平文のシークレットが露出することはありません。