情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和元年度秋期 午前Ⅰ 問13: チャレンジレスポンス認証方式に該当するものはどれか。
←情報処理安全確保支援士試験 令和元年度秋期 午前Ⅰ
方式に該当するものはどれか。
選択肢
- ア.固定パスワードを TLS によって暗号化し,クライアントからサーバに送信する。
- イ.端末のシリアル番号を,クライアントで秘密鍵を使って暗号化してサーバに送信する。
- ウ.トークンという装置が自動的に表示する,認証のたびに異なるデータをパスワードとしてサーバに送信する。
- エ.利用者が入力したパスワードと,サーバから受け取ったランダムなデータとをクライアントで演算し,その結果をサーバに送信する。
正解
エ. 利用者が入力したパスワードと,サーバから受け取ったランダムなデータとをクライアントで演算し,その結果をサーバに送信する。
解説
チャレンジレスポンス認証は、サーバが送る毎回異なる乱数(チャレンジ)とパスワードをクライアント側で演算し、その結果(レスポンス)を返す方式。パスワード自体は流れず、盗聴・リプレイ攻撃に強い。よってエが正解。アは固定パスワードの暗号送信、イは電子署名的な処理、ウはワンタイムパスワードトークンで、チャレンジ(乱数)の往復という核心を満たさない。
選択肢ごとの解説
- ア.固定パスワードをTLSで暗号化して送るだけで、チャレンジ(乱数)を用いず誤り。
- イ.シリアル番号を秘密鍵で暗号化する処理で、サーバ発のチャレンジを使わずチャレンジレスポンスではなく誤り。
- ウ.毎回異なる値を表示するトークンはワンタイムパスワード方式で、サーバとの乱数往復がなく誤り。
- エ.サーバの乱数とパスワードを演算し結果を返す点がチャレンジレスポンス認証の正しい説明で正解。
情報処理安全確保支援士試験 令和元年度秋期 午前Ⅰ の過去問一覧へ戻る・問13