情報セキュリティ

基本情報技術者試験公開鍵基盤」の問題

情報セキュリティ情報セキュリティ難易度:hard
X社は取引先から暗号化通信用の公開鍵を電子メールで受け取った。この公開鍵を使う前に、それが本物の取引先のものであり、第三者がすり替えたものでないことを確認する必要がある。確認方法として、最も適切なものはどれか。
受け取った公開鍵の鍵の長さが、現在推奨される基準値以上であるかを調べる。
受け取った公開鍵で試しに暗号化と復号を行い、処理が一通り正常に通るかを試す。
公開鍵は誰に見られてもよい性質なので、出所の確認は省いてそのまま暗号化に用いる。
信頼できる認証局がその鍵と所有者の対応へ与えた電子証明書を、署名をたどって検証する。
正解
信頼できる認証局がその鍵と所有者の対応へ与えた電子証明書を、署名をたどって検証する。

公開鍵は秘匿不要だが、『その鍵が確かに取引先のものか』という正当性は別に検証しなければならない。攻撃者が自分の公開鍵にすり替えれば中間者攻撃が成立する。信頼できる認証局がその鍵と所有者の対応へ与えた電子証明書を署名をたどって検証すれば、結び付きが認証局の署名で保証され、すり替えを見抜いて正当性を確認できる。

?選択肢ごとの解説

ア ×鍵長の確認は暗号強度の評価であり、その鍵が正当な相手のものかという所有者の確認とは無関係である。
イ ×暗号化と復号が成立することはすり替えられた攻撃者の鍵でも起こり得るため、正当な相手の鍵である証明にならない。
ウ ×公開鍵が秘密でないことと、すり替えを許してよいことは別問題で、確認せず使うと中間者攻撃を許してしまう。
エ ○公開鍵は秘匿不要だが、『その鍵が確かに取引先のものか』という正当性は別に検証しなければならない。攻撃者が自分の公開鍵にすり替えれば中間者攻撃が成立する。信頼できる認証局がその鍵と所有者の対応へ与えた電子証明書を署名をたどって検証すれば、結び付きが認証局の署名で保証され、すり替えを見抜いて正当性を確認できる。

くわしく

公開鍵暗号では公開鍵の配布時に『誰の鍵か』を保証する仕組みが不可欠で、これを担うのが公開鍵基盤(PKI)と電子証明書である。認証局が公開鍵と所有者を結び付けて署名することで、鍵のすり替え(中間者攻撃)を防ぐ。鍵長や動作確認では所有者の正当性は保証できない。

本番での押さえどころ

試験のコツ

公開鍵のすり替え・正当性確認が論点なら、認証局発行の電子証明書(PKI)が正解。鍵長や動作確認では証明できない。

覚え方

公開鍵は『誰でも見てよい』が『誰の鍵か』は要保証。第三者(認証局)のお墨付き(証明書)で確認。

よくある誤り

『公開鍵は公開してよいから確認不要』と誤解する。秘匿性と正当性(誰の鍵か)は別の論点である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0048

【基本情報技術者試験】公開鍵基盤の問題 — 解答・解説|ukamiru 過去問