応用情報技術者試験 応用情報技術者試験 平成28年度秋期 午前 問38: チャレンジレスポンス認証方式の特徴はどれか。

問題本文

チャレンジレスポンス認証方式の特徴はどれか。

選択肢

• ア.TLS によって，クライアント側で固定パスワードを暗号化して送信する。
• イ.端末のシリアル番号を，クライアント側で秘密鍵を使って暗号化して送信する。
• ウ.トークンという装置が自動的に表示する，認証のたびに異なるデータをパスワードとして送信する。
• エ.利用者が入力したパスワードと，サーバから送られたランダムなデータとをクライアント側で演算し，その結果を送信する。

正解

エ. 利用者が入力したパスワードと，サーバから送られたランダムなデータとをクライアント側で演算し，その結果を送信する。

解説

認証方式の仕組みを識別する問題。チャレンジレスポンス認証は、パスワードそのものをネットワークに流さずに本人確認を行う方式である。サーバが毎回異なるランダムなデータ(チャレンジ)を送り、クライアントはそれと利用者のパスワードを組み合わせて演算(ハッシュ計算など)した結果(レスポンス)を返す。サーバ側も同じ演算をして照合する。パスワード自体は送らず、毎回チャレンジが変わるため盗聴・再送攻撃に強い。「パスワードとサーバから送られたランダムデータをクライアントで演算して結果を送る」エが正しい。

選択肢ごとの解説

• ア.TLSで固定パスワードを暗号化して送る方式は通信路の暗号化に依存するもので、サーバ側からのチャレンジを用いて演算結果を返すチャレンジレスポンス認証とは異なるため誤り。
• イ.端末のシリアル番号を秘密鍵で暗号化して送るのはデジタル署名的な機器認証の説明であり、サーバから送られるチャレンジを使う方式ではないため誤り。
• ウ.トークンが認証のたびに異なる値を表示しそれを送るのはワンタイムパスワード(時刻同期方式など)の説明であり、サーバからのチャレンジに応答するチャレンジレスポンス方式とは異なるため誤り。
• エ.サーバが送ったランダムデータ(チャレンジ)と利用者のパスワードをクライアント側で演算し、その結果(レスポンス)を返すのはチャレンジレスポンス認証の核心であり、正しい。