情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅰ 問13: チャレンジレスポンス認証方式の特徴はどれか。
←情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅰ
方式の特徴はどれか。
選択肢
- ア.TLS によって,クライアント側で固定パスワードを暗号化して送信する。
- イ.端末のシリアル番号を,クライアント側で秘密鍵を使って暗号化して送信する。
- ウ.トークンという装置が自動的に表示する,認証のたびに異なるデータをパスワードとして送信する。
- エ.利用者が入力したパスワードと,サーバから送られたランダムなデータとをクライアント側で演算し,その結果を送信する。
正解
エ. 利用者が入力したパスワードと,サーバから送られたランダムなデータとをクライアント側で演算し,その結果を送信する。
解説
チャレンジレスポンス認証の仕組みを問う問題。サーバが毎回異なるランダム値(チャレンジ)を送り,クライアントはそれと利用者のパスワード等を演算してレスポンスを生成し送信する。パスワード自体はネットワークに流れず,毎回値が変わるため盗聴・リプレイ攻撃に強い。よってエが正解。アは固定パスワードの暗号化送信,ウはワンタイムパスワードトークンの説明であり,チャレンジ依存の演算という核を取り違えている。
選択肢ごとの解説
- ア.TLSで固定パスワードを暗号化送信するだけで,チャレンジに基づく演算がなく誤り。
- イ.シリアル番号を秘密鍵で暗号化する説明で,サーバからのチャレンジを用いておらず誤り。
- ウ.トークンが時刻同期等で生成する値を送るワンタイムパスワードで,チャレンジ応答とは別方式。
- エ.サーバのランダム値とパスワードをクライアントで演算し結果を返す点がチャレンジレスポンスで正しい。
情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅰ の過去問一覧へ戻る・問13