ホーム > 情報処理安全確保支援士試験 > 2009年 秋期
情報処理安全確保支援士試験 2009年 秋期 午前2 問01
チャレンジレスポンス方式として,適切なものはどれか。
ア:SSLによって,クライアント側で固定パスワードを暗号化して送信する。
イ:トークンという装置が表示する毎回異なったデータをパスワードとして送信する。
ウ:任意長のデータを入力として固定長のハッシュ値を出力する。
エ:利用者が入力したパスワードと,サーバから送られたランダムなデータとをクライアント側で演算し、その結果を認証用データに用いる。(正解)
解説
チャレンジレスポンス方式として適切なものはどれか【午前2 解説】
要点まとめ
- 結論:チャレンジレスポンス方式は、サーバからのランダムな「チャレンジ」と利用者の秘密情報を組み合わせて認証を行う方式です。
- 根拠:これによりパスワードの使い回しや盗聴による不正利用を防止し、安全性が高まります。
- 差がつくポイント:単にパスワードを送信するのではなく、毎回異なるチャレンジに基づく応答を生成する点が重要です。
正解の理由
選択肢エは「利用者が入力したパスワードとサーバから送られたランダムなデータ(チャレンジ)をクライアント側で演算し、その結果を認証用データに用いる」と説明しています。これはチャレンジレスポンス方式の本質であり、毎回異なるチャレンジに対して応答を返すことでリプレイ攻撃を防止します。したがって、エが正解です。
よくある誤解
チャレンジレスポンス方式は単にパスワードを暗号化して送る方法ではありません。固定パスワードの送信や単純なトークンの利用は誤解されやすいポイントです。
解法ステップ
- チャレンジレスポンス方式の定義を確認する。
- 「チャレンジ(ランダムデータ)」と「レスポンス(応答)」の関係を理解する。
- 各選択肢がチャレンジレスポンスの特徴を満たしているか検証する。
- ランダムなチャレンジを用いず固定パスワードを送る選択肢は除外する。
- チャレンジとパスワードを組み合わせて応答を生成する選択肢を正解とする。
選択肢別の誤答解説
- ア: SSLは通信の暗号化を行うが、固定パスワードを暗号化して送信するだけでチャレンジレスポンス方式ではない。
- イ: トークンが毎回異なるデータを生成するのはワンタイムパスワード方式であり、チャレンジレスポンスとは異なる。
- ウ: ハッシュ関数の説明であり、チャレンジレスポンス方式の具体的な認証手順とは異なる。
- エ: チャレンジとパスワードを組み合わせて応答を生成し、認証に用いる正しいチャレンジレスポンス方式。
補足コラム
チャレンジレスポンス方式はリプレイ攻撃対策として広く使われています。サーバが送るチャレンジは毎回異なるため、盗聴された応答を再利用できません。また、ワンタイムパスワードやSSLとは異なる認証の仕組みであることを理解しておくとよいでしょう。
FAQ
Q: チャレンジレスポンス方式はなぜ安全なのですか?
A: 毎回異なるチャレンジに対して応答を生成するため、盗聴された応答を再利用できずリプレイ攻撃を防止できるからです。
A: 毎回異なるチャレンジに対して応答を生成するため、盗聴された応答を再利用できずリプレイ攻撃を防止できるからです。
Q: トークン方式とチャレンジレスポンス方式はどう違いますか?
A: トークン方式はトークンが生成するワンタイムパスワードを使うのに対し、チャレンジレスポンス方式はサーバのチャレンジに対して応答を計算して返します。
A: トークン方式はトークンが生成するワンタイムパスワードを使うのに対し、チャレンジレスポンス方式はサーバのチャレンジに対して応答を計算して返します。
関連キーワード: チャレンジレスポンス方式, リプレイ攻撃防止, 認証方式, ワンタイムパスワード, SSL, ハッシュ関数