応用情報技術者試験 応用情報技術者試験 令和4年度春期 午前 問38: チャレンジレスポンス認証方式に該当するものはどれか。

問題本文

チャレンジレスポンス認証方式に該当するものはどれか。

選択肢

• ア.固定パスワードを，TLS による暗号通信を使い，クライアントからサーバに送信して，サーバで検証する。
• イ.端末のシリアル番号を，クライアントで秘密鍵を使って暗号化し，サーバに送信して，サーバで検証する。
• ウ.トークンという機器が自動的に表示する，認証のたびに異なる数字列をパスワードとしてサーバに送信して，サーバで検証する。
• エ.利用者が入力したパスワードと，サーバから受け取ったランダムなデータとをクライアントで演算し，その結果をサーバに送信して，サーバで検証する。

正解

エ. 利用者が入力したパスワードと，サーバから受け取ったランダムなデータとをクライアントで演算し，その結果をサーバに送信して，サーバで検証する。

解説

チャレンジレスポンス認証は、サーバが毎回異なるランダムなデータ（チャレンジ）を送り、クライアントがそのチャレンジとパスワードを演算した結果（レスポンス）を返す方式である。パスワードそのものはネットワークを流れず、チャレンジが毎回変わるためレスポンスを盗聴・再利用されにくいのが特徴である。エはサーバから受け取ったランダムデータとパスワードをクライアントで演算して結果を送るという、この手順そのものなので正しい。

選択肢ごとの解説

• ア.固定パスワードを暗号通信でそのまま送って検証する方式で、チャレンジを用いないため固定パスワード認証であり該当しない。
• イ.端末のシリアル番号を秘密鍵で暗号化して送る方式で、サーバからのチャレンジを使わないためチャレンジレスポンスではない。
• ウ.トークンが時刻などから自動生成する毎回異なる数字列を送る方式で、ワンタイムパスワード認証に該当し、サーバからのチャレンジに応答する方式ではない。
• エ.正しい。サーバから受け取ったランダムなデータ（チャレンジ）とパスワードをクライアントで演算し、その結果を返すチャレンジレスポンス認証の手順である。