応用情報技術者試験 応用情報技術者試験 令和元年度秋期 午前 問38: チャレンジレスポンス認証方式に該当するものはどれか。

問題本文

チャレンジレスポンス認証方式に該当するものはどれか。

選択肢

• ア.固定パスワードをTLSによって暗号化し，クライアントからサーバに送信する。
• イ.端末のシリアル番号を，クライアントで秘密鍵を使って暗号化してサーバに送信する。
• ウ.トークンという装置が自動的に表示する，認証のたびに異なるデータをパスワードとしてサーバに送信する。
• エ.利用者が入力したパスワードと，サーバから受け取ったランダムなデータとをクライアントで演算し，その結果をサーバに送信する。

正解

エ. 利用者が入力したパスワードと，サーバから受け取ったランダムなデータとをクライアントで演算し，その結果をサーバに送信する。

解説

チャレンジレスポンス認証は、サーバが毎回異なるランダムなデータ(チャレンジ)を送り、クライアントがそれと利用者のパスワードなどを組み合わせて演算した結果(レスポンス)を返す方式である。パスワードそのものをネットワークに流さず、毎回応答が変わるため盗聴・再利用攻撃に強い。エはこの動作を正しく述べているので、正解は エ である。

選択肢ごとの解説

• ア.固定パスワードを TLS で暗号化して送るのは経路の暗号化であって、チャレンジ(乱数)を使った応答計算ではないのでチャレンジレスポンス方式ではなく誤り。
• イ.端末のシリアル番号を秘密鍵で暗号化して送るのはデジタル署名に近い仕組みで、サーバからのチャレンジを使う方式ではないので誤り。
• ウ.トークンが毎回異なるデータを表示してパスワードとして送るのはワンタイムパスワード(時刻同期方式など)の説明で、サーバからのチャレンジを受け取って演算する方式ではないので誤り。
• エ.サーバから受け取ったランダムデータと入力パスワードをクライアントで演算して結果を返すのはチャレンジレスポンス方式そのものであり、正しい。