〇：クライアントはセッション鍵を生成し、公開鍵でそれを暗号化します。

Transport Layer Security（TLS）は、公開鍵暗号を使用して、データの暗号化、サーバ認証、メッセージの整合性、またオプションでクライアント認証を提供します。クライアントが暗号保護されたページへのアクセスした場合、WebサーバはTLSを起動し、以降の通信を保護するために処理を開始します。サーバは安全なセッションが確立するため、スリーハンドシェイクを行います。その後、場合によってデジタル証明書によるクライアント認証が入ります。そして、クライアントは、セッション鍵を生成し、サーバの公開鍵でそれを暗号化し、共有します。このセッションキーは、以降に送信するデータを暗号化するための対称鍵に利用します。よって正解は、「クライアントはセッション鍵を生成し、公開鍵でそれを暗号化します。」になります。

×：サーバはセッション鍵を生成し、公開鍵でそれを暗号化します。

サーバー側は公開鍵による、暗号を行いません。

×：サーバーはセッション鍵を生成し、秘密鍵で暗号化します。

サーバー側から暗号化を行っても、公開されている鍵で復号できるため、構造上ありません。

×：クライアントはセッション鍵を生成し、秘密鍵で暗号化します。

クライアント側は秘密鍵を持っていません。

非対称アルゴリズムでは、すべてのユーザーが少なくとも一つの鍵のペア（秘密鍵と公開鍵）しておく必要があります。公開鍵システムでは、各エンティティは別の鍵を有しています。この環境で必要なキーの数を決定するための式は N ×２の数でになります（Nは配布する人数）。つまり、260×2=520となります。よって正解は、「520」になります。

〇：定型的トランザクション

クラーク・ウィルソン（Clark-Wilson）モデルでは、被験者はこのアクセスがどのように行われるかを制御する何らかのタイプのアプリケーションまたはプログラムを経由することなく、オブジェクトにアクセスすることはできません。サブジェクト（通常はユーザ）はアプリケーションに連動する形で、「定型的トランザクション」として定義されているアプリケーションソフトウェア内のアクセスルールに基づいて必要なオブジェクトにアクセスできます。

×：チャイルドウォールモデル

ユーザーの以前の行動に応じて動的に変更できるアクセスコントロールを提供するために作成されたBrewer Nashモデルの別の名前であるため、間違っています。これは、アクセス試行や利害の衝突から形作られるもので、被験者と物体との間に情報が流れることはありません。このモデルでは、サブジェクトが異なるデータセットにある別のオブジェクトを読み取れない場合にのみ、サブジェクトがオブジェクトに書き込むことができます。

×：アクセスタプル

Clark-Wilsonモデルはアクセスタプルではなくアクセストリプルを使用するため、正しくありません。アクセストリプルは、対象プログラムオブジェクトである。これは、サブジェクトが認可されたプログラムを通じてオブジェクトにのみアクセスできることを保証します。

×：Write Up及びWrite Down

Clark-WilsonモデルにはWrite Up及びWrite Downがないため、正しくありません。これらのルールはBell-LaPadulaとBibaモデルに関連しています。 Bell-LaPadulaモデルには、読み込まれていない単純なセキュリティルールと、書き留められていないスタープロパティルールが含まれています。 Bibaモデルには、読み込まれていないシンプル完全性公理と、書かれていないスター完全性公理が含まれています。

〇：プライマリの出入り口のドアは、スワイプカードなどを利用した制御アクセス権を持っている必要があります。セカンダリの出入り口のドアは、緊急時のみ内側からのみ開けられるようにしておきます。

データセンター、サーバールーム、ワイヤリングクローゼットは、侵入者からの保護のために施設の中核に配置する必要があります。ドアに対するアクセス制御メカニズムは、スマートカードリーダ、バイオメトリックリーダ、またはこれらの組み合わせをロックすることができます。サーバールームは厳密な入館制限が欠けられるため、その出入り口も原則一つに制限されます。しかし、火災などが発生したときに備えて、少なくとも2つのドアが存在しなければならない決まりがあります。つまり、プライマリーのドアは、毎日の入口と出口として扱い、セカンダリーのドアは緊急の場合のみ使用されるべきです。セカンダリーのドアは、原則利用を許しませんが緊急時に利用できないといけませんから、内側からのみ利用できるようにしておくことが求められます。よって正解は、「プライマリの出入り口のドアは、スワイプカードなどを利用した制御アクセス権を持っている必要があります。セカンダリの出入り口のドアは、緊急時のみ内側からのみ開けられるようにしておきます。」になります。

この問題を、施設の設備がどうであるべきかという知識ベースで解くことが困難です。そのため、問題のポイントを押さえて、より良い回答に絞っていく必要があります。一般的には、ドアにはカードキーを使った制御を入れればよいですが、そのような問題であれば、プライマリーやセカンダリーというような表現はしません。つまりは、1つ目は常時使うようで、2つ目はその予備である構成です。予備が必要となるケースを考えれば、求められている回答に近づくことができます。

×：プライマリとセカンダリの出入り口のドアは、スワイプカードなどを利用した制御アクセス権を持たせる。

このような利用方法も現実的には考えられます。しかし、プライバリーとセカンダリーの構成の体をなしておらず、質問の意図とは異なります。

×：プライマリの出入り口のドアには、警備員を配置します。セカンダリの出入り口のドアは、絶対に入館できないようにしておきます。

警備員の配置もカードキーと同じような効力を持つ場合もありますが、セカンダリーを利用できないことにすることを望んではいません。

×：プライマリの出入り口のドアは、スワイプカードなどを利用した制御アクセス権を持っている必要があります。セカンダリの出入り口のドアには、警備員を配置します。

警備員を配置する構成も取りうる構成ですが、普段利用しない出入り口に警備員を配置する構成は少々過剰です。

〇：利用される最も一般的な方法として、最上位ビットを変更します。

ステガノグラフィーは、他のメディアタイプのデータに隠蔽する方法です。媒体のいくつかの種類にメッセージを埋め込む最も一般的な方法の一つは、最下位ビット（LSB）を使用しています。ファイルの多くの種類が変更され、機密データが見えるようにしてファイルを変更せずに非表示にすることができる場所であるためです。LSBのアプローチでは、高解像度や音を多く含むオーディオファイル（高ビットレート）のグラフィックス内に情報を隠すことに成功しています。

×：抽象化による隠蔽です。

ステガノグラフィは、抽象化による隠蔽であるため、正しくありません。あいまいさによるセキュリティは、実際に対策を使って何かを確保するのではなく、誰かが資産を保護する方法として、秘密を使用することを意味します。

×：暗号化がそうであるように、ステガノグラフィも機密データ自体の存在性を表に示しているわけではない。

暗号化を行うようにステガノグラフィが自分自身に注意を引くしないことは事実です。つまりは、抽象化による隠蔽です。

×：メディアファイルは、サイズが大きいステガノグラフィ伝送に最適です。

誰もが気づくことは低い可能性と操作するための複数のビットを私用する必要があるため、より大きなメディアファイルはステガノグラフィ伝送のために理想的であることは事実であるため、正しくありません。

〇：公開鍵インフラストラクチャは公開鍵暗号配布のメカニズム構成であり、公開鍵暗号方式は非対称暗号化の別名です。

公開鍵暗号方式は、非対称暗号です。用語は互換的に使用されます。公開鍵暗号は、証明機関、登録機関、証明書、キー、プログラム、およびユーザーなど、さまざまな部分とから構成されている公開鍵基盤（PKI）の中の一つの概念です。公開鍵基盤は、ユーザを識別作成し、証明書を配布し、維持し、証明書を失効、配布し、暗号化キーを維持し、暗号化通信と認証の目的のために利用されます。

×：公開鍵基盤が対称アルゴリズムを使用し、公開鍵暗号方式は非対称アルゴリズムを使用します。

公開鍵基盤は、対称および非対称鍵アルゴリズムおよび方法のハイブリッドシステムを使用しているため、正しくありません。公開鍵暗号方式は、非対称アルゴリズムを使用することです。したがって、非対称暗号と公開鍵暗号方式は、交換可能であり、同じことを意味します。非対称アルゴリズムの例としては、RSA、楕円曲線暗号（ECC）、ディフィー・ヘルマン、エル・ガマルです。

×：公開鍵基盤は鍵交換を実行するために使用され、公開鍵暗号方式は公開鍵/秘密鍵のペアを作成するために使用されます。

公開鍵暗号は、公開鍵/秘密鍵のペアを作成鍵交換を実行し、デジタル署名を生成し、検証するために使用されている非対称アルゴリズムの使用であるため、正しくありません。

×：公開鍵基盤は機密性と完全性を提供し、公開鍵暗号は認証と否認防止を提供します。

公開鍵基盤自体は、認証、否認防止、機密性、完全性を提供しているわけではないので、間違っています。

〇：データの暗号化

AES（Advanced Encryption Standard）は、以前のデファクトスタンダードであるデータ暗号化規格（DES）を改善するために開発されたデータ暗号化規格です。対称アルゴリズムとしては、AESはデータを暗号化するために使用されます。よって正解は、「データの暗号化」になります。

ほかの選択肢でもAESを利用するシーンはありますが、データの暗号化が最も焦点のあっている、もしくはマシな回答です。このように、すべて正しいと思われる中から選択するケースもあります。

×：データの整合性

デジタル署名の特性です。

×：キーリカバリ

復号やキーエスクローの特性です。

×：対称鍵の配布

AESの配布のために対称鍵を用いることは鍵配送問題に低触します。

〇：キー自体を安全に配信することが必要

対称鍵アルゴリズムで暗号化されたメッセージを交換する2人のユーザーのために、彼らは最初の鍵を配布する方法を見つけ出す必要があります。鍵が危険にさらされた場合、その鍵で暗号化されたすべてのメッセージを復号し、侵入者に読み取られてしまいます。鍵が保護されておらず、容易に攻撃者が傍受して使用することができるので、単に電子メールメッセージで鍵を送信することは安全ではありません。したがってレガシーな方法では、USBドライブに鍵を保管し渡すなどのアウトオブバンド方式を使用して鍵を送信しなければなりません。よって正解は、「キー自体を安全に配信することが必要」になります。

×：非対称システムよりも計算が遅い

一般的には非対称システムより対称システムのほうが計算速度は早いです。

×：非対称システムよりも計算が早い

一般的には非対称システムより対称システムのほうが計算速度は早いです。しかし、欠点ではありません。

×：数学的にタスクを実行する傾向がある

コンピュータによるすべての暗号化アルゴリズムが数学的計算になります。しかし、欠点ではありません。

〇：オペレーティングシステムのパッチ適用が簡単になる。

誤っているものを選択する問題です。仮想化は、オペレーティングシステムのパッチ適用を簡素化しません。実際、少なくとも1つのオペレーティングシステムが追加されているため、複雑になっています。各オペレーティングシステムは一般的なバージョン構成と異なり、パッチ適用の複雑さが増します。サーバー自体のオペレーティングシステムは、ホスト環境内でゲストとして実行されます。従来のサーバーオペレーティングシステムをパッチして維持するだけでなく、仮想化ソフトウェア自体をパッチして維持する必要があります。よって正解は、「オペレーティングシステムのパッチ適用が簡単になる。」になります。

この問題に関しては、仮想化のすべての技術体系を理解していることを求めてはいません。ここで要求されるのは、消去法による回答の選定です。

×：安全なコンピューティングプラットフォームを構築できる。

安全なコンピューティングプラットフォームを構築すること自体は仮想化の特徴ではないかもしれません。しかし、安全な環境を構築できないか？ということを否定できないため、誤っている選択肢から外れます。

×：障害およびエラーの封じ込めを提供できる。

仮想化は、ホストの独立を行うことができます。封じ込めという意味では、物理サーバからの独立による障害およびエラーの封じ込めを提供できる解釈も可能です。よって否定できないため、誤っている選択肢から外れます。

×：強力なデバッグ機能を提供できる。

仮想化は、クリーンな仮想ホストを立てるだけではなく、固有の環境を再現することができます。よって否定できないため、誤っている選択肢から外れます。

〇：ザックマンフレームワーク

ザックマンフレームワークとは、各職権に対して、何を、どのように、どこで、誰が、いつ、なぜを決めるエンタープライズアーキテクチャです。エンタープライズアーキテクチャとは、事業目標を達成するために経営体制を整えることです。事業目標を達成するために組織を作るわけですが、基本的には事業目標が大きくなるほど組織も大きくなります。組織の構造を整備しておかないと、しなければならない仕事が残留したり、他と被っている権限があるために職務間で軋轢を生む可能性があり、組織は効率的に動かないのです。そこで、組織を整えるためには、各職権のスコープを明確にすることが必要です。ここでいう職権というのは、人事や営業といった観点とは違います。ビジネス目標を達成するために階層的に分離されていると考えるとわかりやすいでしょう。エグゼクティブ、ビジネス管理、アーキテクチャー、エンジニア、下請け業者、利害関係者でそれぞれスコープを明確化します。よって正解は、「ザックマンフレームワーク」になります。

×：SABSA

SABSA（Sherwood Applied Business Security Architecture）とは、ビジネス目標を達成するにあたり、セキュリティ策がちゃんと機能していることを保証するためのフレームワークです。整理する対象のタスクはザックマンフレームワークと異なり階層的な要素になります。ビジネス要件＞概念アーキテクチャ＞論理サービスアーキテクチャ＞物理インフラストラクチャアーキテクチャ＞テクノロジと製品で、それぞれ５W１Hを実践します。

×：Five-W法

このような言葉はありません。あったとしても解釈しやすいように作られた造語です。

×：Bibaモデル

Bibaモデルとは、データが勝手に変更されないことを示すセキュリティモデルの一つです。

〇：複数のプロセスが同じリソースを使用している

システムは、RAMメモリ空間を拡張するために予約されているハードドライブスペース（スワップスペースと呼ばれる）を使用します。システムが揮発性メモリ空間をいっぱいになると、メモリからハードドライブにデータが書き込まれます。プログラムがこのデータへのアクセスを要求すると、ハードドライブからページフレームと呼ばれる特定の単位でメモリに戻されます。ハードディスクのページに保存されているデータにアクセスすると、物理ディスクの読み書きアクセスが必要になるため、メモリに保存されているデータにアクセスするより時間がかかります。仮想スワップ領域を使用するセキュリティ上の問題は、2つ以上のプロセスが同じリソースを使用し、データが破損または破損する可能性があることです。

×：クッキーがメモリ内に永続的に残ることを可能にする

仮想記憶域はCookieに関連していないため、正しくありません。仮想ストレージは、ハードドライブスペースを使用してRAMメモリスペースを拡張します。 Cookieは、主にWebブラウザで使用される小さなテキストファイルです。クッキーには、Webサイト、サイト設定、ショッピング履歴の資格情報を含めることができます。 Cookieは、Webサーバーベースのセッションを維持するためにも一般的に使用されます。

×：サイドチャネル攻撃が可能になる

サイドチャネル攻撃は物理的な攻撃であるため、正しくありません。この種の攻撃では、放棄された放射線、処理に要した時間、タスクを実行するために消費された電力などからメカニズム（スマートカードや暗号化プロセッサなど）がどのように機能するかに関する情報を収集します。情報を使用して、そのメカニズムをリバースエンジニアリングして、セキュリティタスクの実行方法を明らかにします。これは仮想ストレージに関連していません。

×：2つのプロセスがサービス拒否攻撃を実行できる

オペレーティングシステムがすべてのリソース間でメモリを共有する必要があるため、プロセス間でリソースを共有しているシステム内で最大の脅威は、あるプロセスが他のプロセスのリソースに悪影響を及ぼすことです。これはメモリの場合には、特に当てはまります。なぜならすべてのそれらが機密であるかどうかに関係なく、そこに命令が格納されるからです。2つのプロセスが連携してサービス拒否攻撃を行うことは可能ですが、これは仮想ストレージの使用の有無にかかわらず実行できる攻撃の1つに過ぎません。

啓発は、組織の構成員がすでに持っている情報に対して、再度警戒を強めてもらうため周知することです。教育は、組織の構成員が知らない情報をインプットすることです。そのため、啓発と教育違いは、対象者がすでにその情報を知っているかどうかが差異になります。

〇：ワンタイムパッド

ストリーム暗号は、ワンタイムパッドの技術を参照しています。

×：AES

AESは対称ブロック暗号であるため、正しくありません。ブロック暗号は、暗号化および復号の目的で使用される場合、メッセージはビットのブロックに分割されます。

×：ブロック暗号

ブロック暗号は、暗号化および復号化目的のために使用されます。メッセージは、ビットのブロックに分割されているため、間違っています。

×：RSA

RSAは、非対称アルゴリズムであるため、正しくありません。

〇：オペレーティングシステムの仮想インスタンス

仮想マシンは、オペレーティングシステムの仮想インスタンスです。仮想マシンはゲストとも呼ばれ、ホスト環境で動作します。ホスト環境では、複数のゲストを同時に実行できます。仮想マシンは、RAM、プロセッサー、ストレージなどのリソースをホスト環境からプールします。これには、処理効率の向上など、多くのメリットがあります。その他の利点には、レガシーアプリケーションを実行する機能があります。たとえば、組織はWindows 7をロールアウトした後、Windows 7のインスタンス（仮想マシン）でレガシーアプリケーションを実行することを選択することがあげられます。

×：複数のオペレーティングシステム環境を同時に実行するハードウェア

仮想マシンはハードウェアではないため、正しくありません。仮想マシンは、ハードウェア上で動作するオペレーティングシステムのインスタンスです。ホストは複数の仮想マシンを実行できます。つまり、基本的に異なるオペレーティングシステムを同時に実行する1台のコンピュータを持つことができます。仮想マシンを使用すると、未使用のいくつかのサーバーのワークロードを1つのホストに統合することができ、ハードウェアおよび管理の管理作業を節約できます。

×：複数のゲストのための物理的環境

仮想マシンがソフトウェアエミュレーション内で提供し機能するため、正しくありません。ホストは、仮想マシンのメモリ、プロセッサ、バス、RAM、ストレージなどのリソースを提供します。仮想マシンはこれらのリソースを共有しますが、それらのリソースには直接アクセスしません。システムリソースの管理を担当するホスト環境は、リソースと仮想マシン間の仲介役として機能します。

×：レガシーアプリケーションを完全に利用できる環境

多くのレガシーアプリケーションは特定のハードウェアおよび新しいオペレーティングシステムと互換性がないため、正しくありません。このため、アプリケーションは一般にサーバーソフトウェアとコンポーネントを十分に活用していません。仮想マシンは、レガシーアプリケーションや他のアプリケーションが使用可能なリソースを完全に使用できるようにする環境をエミュレートします。これが仮想マシンを使用する理由ですが、利点と定義は違います。

バーナム暗号では、暗号鍵を安全に共有する必要があります。ここで、暗号鍵と復号鍵が一緒であるため、対話相手にも共通の鍵を事前に共有しておく必要がありますが、そもそも安全に文章を共有するために暗号化したいのであって、暗号化のために安全な共有方法を用意するのはおかしな話です。また、バーナム暗号での暗号鍵は乱数を使います。当然、コンピュータ上で乱数を発生させるわけですが、コンピュータ計算によって算出した乱数というのは疑似乱数と呼ばれ、一見乱数に見えるというだけで実は規則性があります。そのため、推測できる鍵を生成しているということになり、どれほど安全な暗号化であると言えるのかは乱数の精度によって変わります。よって正解は、「疑似乱数精度と鍵配送」になります。

クリッパーチップは、米国国家安全保障局（NSA）によって開発され、組み込みのバックドアとして「音声およびデータメッセージ」を保護する暗号化デバイスとして搭載されたチップセットです。ブロック暗号であるSkipJackを使用していました。

〇：既知平文攻撃

既知平文攻撃とは、解読者は無差別に平文を取得できる状況です。暗号文単独攻撃とは、解読者は無差別に暗号文を取得できる状況です。既知平文攻撃は平文を取得するものの、それが何の暗号文と対になっているがわからない状況なので、つまりは２つとも無作為な暗号文のみで復号を試みるということです。この状況では解読することが難しいと言えます。よって正解は、「既知平文攻撃」になります。

×：選択平文攻撃

選択平文攻撃とは、解読者は、取得する平文は自由に選択して暗号文を取得できる状況です。

×：適応的選択平文攻撃

適応的選択平文攻撃とは、解読者は取得する平文は自由に選択し暗号文を取得でき、その結果を見たうえで再度取得を繰り返すことができます。

×：どれでもない

”最も”を選ぶ選択肢でどれでもないという回答は稀です。

〇：セキュリティカーネルは、参照モニターを実装し実行する

信頼できるコンピューティングベース（TCB）は、システムの保護メカニズムの完全な組み合わせです。これらは、ハードウェア、ソフトウェア、およびファームウェアの形式です。これらの同じコンポーネントは、セキュリティカーネルも構成します。参照モニターは、ハードウェア、ソフトウェア、およびファームウェアを介してセキュリティカーネルによって実装および強制されるアクセス制御の概念です。その際、セキュリティカーネル、サブジェクトが要求しているオブジェクトにアクセスするための適切な権限を持つことを保証します。プログラム、ユーザー、またはプロセスである対象は、適切なアクセス権があることが証明されるまで、要求しているファイル、プログラム、またはリソースにアクセスできません。

×：参照モニターは、セキュリティカーネルで構成されたTCBのコアである

参照モニターはTCBの中核ではないため、正しくありません。 TCBのコアはセキュリティカーネルであり、セキュリティカーネルは参照モニターの概念を実行します。参照モニターは、アクセス制御に関する概念です。物理的なコンポーネントではないため、「抽象的なマシン」と呼ばれることがよくあります。

×：参照モニターは、セキュリティカーネルを実装し実行する

参照モニタがセキュリティカーネルを実装して実行しているわけではない、正しくありません。逆で、セキュリティカーネルは参照モニタを実装し、実行します。参照モニタは抽象的な概念であり、セキュリティカーネルは信頼できるコンピューティングベース内のハードウェア、ソフトウェア、ファームウェアの組み合わせです。

×：セキュリティカーネルつまり抽象的なマシンは、参照モニターの概念を実装される

抽象的なマシンはセキュリティカーネルの別の名前ではないため、正しくありません。抽象的なマシンは、参照モニターの別名です。この概念は、抽象的なマシンがサブジェクトとオブジェクトとの間の仲介者として機能し、サブジェクトが要求しているオブジェクトにアクセスするのに必要な権利を有することを保証し、無許可のアクセスおよび改変から主題を保護します。セキュリティカーネルは、これらの活動を実行するために機能しています。

〇：送信者は、自分の秘密鍵でメッセージダイジェストを暗号化します。

デジタル署名は、送信者の秘密鍵で暗号化されたハッシュ値です。デジタル署名の行為は秘密鍵でメッセージのハッシュ値を暗号化することを意味します。送信者は、自分の秘密鍵を用いてそのハッシュ値を暗号化することになります。受信者がメッセージを受信すると、彼女は、メッセージにハッシュ関数を実行し、自身でハッシュ値を生成します。それから送信者のの公開鍵で送信されたハッシュ値（デジタル署名）を解読します。受信者は、2つの値を比較し、それらが同じであれば、メッセージが送信中に変更されていないことを確認することができます。

×：送信者は、自分の公開鍵でメッセージダイジェストを暗号化します。

送信者は、メッセージが自分の公開鍵でダイジェストを暗号化した場合、受信者がそれを解読することはできませんので、間違っています。受信者が発生してはならない送信者の秘密鍵へのアクセスが必要になります。秘密鍵は常に秘密にする必要があります。

×：受信者は、自分の秘密鍵でメッセージダイジェストを暗号化します。

受信機は、メッセージが送信者の公開鍵でダイジェストを解読しなければならないので、間違っています。メッセージダイジェストは、唯一の送信者の公開鍵で復号することができ、送信者の秘密鍵で暗号化されています。

×：受信者は、自分の公開鍵でメッセージダイジェストを暗号化します。

受信機は、メッセージが送信者の公開鍵でダイジェストを解読しなければならないので、間違っています。メッセージダイジェストは、唯一の送信者の公開鍵で復号することができ、送信者の秘密鍵で暗号化されています。

〇：CAは証明書に署名します。

認証局（CA）は、デジタル証明書を維持し、信頼できる機関（またはサーバ）です。証明書を要求すると、登録局（RA）は、その個人の身元を確認し、CAに証明書要求を渡します CAは、証明書を作成し、署名し、その有効期限にわたって証明書を保持しています。

×：RAは証明書を作成し、CAはそれに署名します。

RAは、証明書を作成していないため正しくありません。CAは、それを作成し、それに署名します。RAは、認証登録業務を行います。RAを確立し、証明書を要求する個人のアイデンティティを確認し、エンドユーザーに代わってCAに認証プロセスを開始し、証明書のライフサイクル管理機能を実行することができます。RAは、証明書を発行することはできませんが、ユーザーとCAの間のブローカーとして機能することができます ユーザーが新しい証明書を必要とするとき、彼らはRAに要求を行いRAはCAに行くため、要求を許可する前にすべての必要な識別情報を検証します。

×：RAは証明書に署名します。

RAは、証明書に署名していないため正しくありません。CAは、証明書に署名します。RAは、利用者の識別情報を検証してから、CAに証明書の要求を送信します。

×：ユーザーは証明書に署名します。

ユーザーが証明書に署名していないため、正しくありません。PKI環境では、ユーザーの証明書が作成され、CAによって署名されます。 CAはその公開鍵を保持するユーザー証明書を生成する信頼できる第三者機関です。