情報セキュリティ

基本情報技術者試験電子証明書」の問題

情報セキュリティ情報セキュリティ難易度:hard
O社のシステムは取引先の電子証明書を検証して通信相手を確認している。ある取引先で秘密鍵が漏えいし、証明書が有効期限内のまま失効処理された。O社が失効した証明書を相手として誤って信頼しないために、検証時に確認すべきことはどれか。
証明書に記された有効期間の開始と満了の日時を見て、現在の日時がその範囲に収まっているかを照合する。
証明書に書かれた組織名や所在地が取引先の登記上の正式名称と食い違っていないかを照合する。
発行元の認証局が公開する取消情報に、当該の証明書が載っていないかを照会する。
証明書で用いられている鍵の長さが、現在推奨される強度の基準を満たしているかを照合する。
正解
発行元の認証局が公開する取消情報に、当該の証明書が載っていないかを照会する。

証明書は有効期限内であっても秘密鍵漏えい等で失効されることがある。認証局はその情報を失効リスト(CRL)やOCSPレスポンダで公開しており、検証時にこれらを照会して失効していないか確認しなければ、失効済みの証明書を有効と誤認してしまう。本件はまさに期限内失効であり、失効情報の確認が必須である。

?選択肢ごとの解説

ア ×有効期限の確認は期限切れは検出できるが、期限内に失効された証明書は有効と判断してしまい、本件を見抜けない。
イ ×組織名や所在地の一致確認は相手の同一性確認には役立つが、その証明書が失効しているか否かは判定できない。
ウ ○証明書は有効期限内であっても秘密鍵漏えい等で失効されることがある。認証局はその情報を失効リスト(CRL)やOCSPレスポンダで公開しており、検証時にこれらを照会して失効していないか確認しなければ、失効済みの証明書を有効と誤認してしまう。本件はまさに期限内失効であり、失効情報の確認が必須である。
エ ×鍵長の確認は暗号強度の評価であり、失効の有無とは無関係で、本件の漏えいによる失効を検出できない。

くわしく

証明書検証では『署名の正当性』『有効期限』『失効状態』『用途・名前の一致』を確認する。秘密鍵漏えい時は期限を待たず失効されるため、失効状態の確認(CRL/OCSP)が不可欠である。OCSPはリアルタイム照会、CRLは失効一覧の取得という違いがある。

本番での押さえどころ

試験のコツ

秘密鍵漏えい=期限内でも失効。失効確認はCRLまたはOCSP。有効期限の確認だけでは不十分。

覚え方

期限内でも『取消』はある。クレジットカードの利用停止リスト照会(CRL/OCSP)と同じ発想。

よくある誤り

『有効期限内なら有効』と考え、失効状態の確認を省く。期限内失効という仕組みの存在を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0039

【基本情報技術者試験】電子証明書の問題 — 解答・解説|ukamiru 過去問