ホーム > 情報処理安全確保支援士試験 > 2010年 春期
情報処理安全確保支援士試験 2010年 春期 午前2 問04
S/KEYワンタイムパスワードに関する記述のうち,適切なものはどれか。
ア:クライアントは認証要求のたびに,サーバへシーケンス番号と種(Seed)からなるチャレンジデータを送信する。
イ:サーバはクライアントから送られた使い捨てパスワードを演算し,サーバで記憶している前回の使い捨てパスワードと比較することによって,クライアントを認証する。(正解)
ウ:時刻情報を基にパスワードを生成し,クライアント,サーバ間でパスワードを時刻で同期させる。
エ:利用者が設定したパスフレーズは1回ごとに使い捨てる。
解説
S/KEYワンタイムパスワードに関する問題【午前2 解説】
要点まとめ
- 結論:S/KEY認証ではサーバがクライアントの使い捨てパスワードを演算し、前回のパスワードと比較して認証を行います。
- 根拠:S/KEYはハッシュ関数を逆方向に適用し、前回のパスワードを基に次のパスワードを検証する仕組みだからです。
- 差がつくポイント:チャレンジデータの送信や時刻同期ではなく、ハッシュ連鎖の検証方法を正確に理解しているかが重要です。
正解の理由
選択肢イは、S/KEYの認証方式の本質を正しく説明しています。S/KEYでは、クライアントが使い捨てパスワードを送信し、サーバはそのパスワードにハッシュ関数を適用して前回のパスワードと比較します。これにより、パスワードの正当性を検証し、なりすましを防止します。
よくある誤解
S/KEYは時刻同期型のワンタイムパスワードではなく、ハッシュ連鎖を利用した方式です。チャレンジデータを送信する方式とも異なります。
解法ステップ
- S/KEYの基本構造を理解する(ハッシュ連鎖を用いること)。
- クライアントは使い捨てパスワードを送信し、サーバはそれをハッシュ化して前回のパスワードと比較する。
- 時刻同期やチャレンジデータ送信の有無を確認し、該当しない選択肢を除外する。
- 正しい認証手順を説明している選択肢を選ぶ。
選択肢別の誤答解説
- ア: クライアントがチャレンジデータを送信するのは誤り。S/KEYはチャレンジレス方式で、サーバがチャレンジを出すこともありません。
- イ: 正解。サーバが受け取ったパスワードをハッシュ化し、前回のパスワードと比較して認証を行う。
- ウ: 時刻情報を使うのはTOTPなどの方式であり、S/KEYは時刻同期を必要としない。
- エ: パスフレーズは固定の秘密情報であり、1回ごとに使い捨てるわけではない。
補足コラム
S/KEYは1970年代に開発されたワンタイムパスワード方式で、パスワードの使い回しによるリスクを低減します。ハッシュ関数を逆方向に適用することで、パスワードの連鎖を作り、サーバは前回のパスワードを知っていれば次のパスワードを検証可能です。これにより、盗聴されても再利用が困難です。
FAQ
Q: S/KEYはどのようにしてなりすましを防止しますか?
A: 使い捨てパスワードを毎回変えるため、盗聴されても再利用できず、なりすましを防止します。
A: 使い捨てパスワードを毎回変えるため、盗聴されても再利用できず、なりすましを防止します。
Q: S/KEYは時刻同期が必要ですか?
A: いいえ。S/KEYは時刻同期を必要とせず、ハッシュ連鎖によって認証を行います。
A: いいえ。S/KEYは時刻同期を必要とせず、ハッシュ連鎖によって認証を行います。
関連キーワード: ワンタイムパスワード, ハッシュ連鎖, 認証方式, S/KEY, セキュリティ