ここまでは、通信する相手のことがわかっていて互いに信頼できるものと想定して説明してきました。実際には、そのような状況はまずありません。インターネットや大規模な組織のイントラネットにおいては、大勢の中の 1 人であり、互いに通信を行う可能性はすべての人にあり、個人的に互いを知っているということはまずありません。
前の章では、エンティティのパブリック キーを誰でも利用できるようにするための方法として証明書を紹介しました。
エンティティが信頼できることを証明するために、エンティティを個人的に知っているか少なくとも確認できる人がエンティティの証明書を作成してデジタル署名し、それに基づいて他の人も信頼するというものです。このようにして、証明書は、従来の紙の証明書と同じように、エンティティの信頼性を証明する役割を果たします。SSL ソフトウェアには、ユーザーが所有者や署名者の詳細を確認できるように証明書を画面に表示する機能があります。
また、証明書に署名した人は 3 番目の人に署名された証明書を受け、3 番目の人は 4 番目の人に署名された証明書を受けるというように順に処理できます。この場合、各証明書に一連の証明書のレコードが含まれます。
これは「信頼の輪モデル」と呼ばれ、小規模な組織では証明書の確認者が証明書の一連の署名者の中に既知の信頼する対象を見つけることが一般に容易なため、これで十分な場合があります。しかし、これには拡張性がなく、互いにほとんど知らない何千人もから成る大規模な組織では機能しませんし、もちろんインターネットも対象になりません。
これに対する解決策に PKI があります。本章の後半では PKI について説明します。