基本情報技術者試験「公開鍵基盤」の問題
X社は取引先から暗号化通信用の公開鍵を電子メールで受け取った。この公開鍵を使う前に、それが本物の取引先のものであり、第三者がすり替えたものでないことを確認する必要がある。確認方法として、最も適切なものはどれか。
ア受け取った公開鍵の鍵の長さが、現在推奨される基準値以上であるかを調べる。
イ受け取った公開鍵で試しに暗号化と復号を行い、処理が一通り正常に通るかを試す。
ウ公開鍵は誰に見られてもよい性質なので、出所の確認は省いてそのまま暗号化に用いる。
エ信頼できる認証局がその鍵と所有者の対応へ与えた電子証明書を、署名をたどって検証する。
正解
エ.信頼できる認証局がその鍵と所有者の対応へ与えた電子証明書を、署名をたどって検証する。
公開鍵は秘匿不要だが、『その鍵が確かに取引先のものか』という正当性は別に検証しなければならない。攻撃者が自分の公開鍵にすり替えれば中間者攻撃が成立する。信頼できる認証局がその鍵と所有者の対応へ与えた電子証明書を署名をたどって検証すれば、結び付きが認証局の署名で保証され、すり替えを見抜いて正当性を確認できる。
?選択肢ごとの解説
ア ×鍵長の確認は暗号強度の評価であり、その鍵が正当な相手のものかという所有者の確認とは無関係である。
イ ×暗号化と復号が成立することはすり替えられた攻撃者の鍵でも起こり得るため、正当な相手の鍵である証明にならない。
ウ ×公開鍵が秘密でないことと、すり替えを許してよいことは別問題で、確認せず使うと中間者攻撃を許してしまう。
エ ○公開鍵は秘匿不要だが、『その鍵が確かに取引先のものか』という正当性は別に検証しなければならない。攻撃者が自分の公開鍵にすり替えれば中間者攻撃が成立する。信頼できる認証局がその鍵と所有者の対応へ与えた電子証明書を署名をたどって検証すれば、結び付きが認証局の署名で保証され、すり替えを見抜いて正当性を確認できる。
✎くわしく
公開鍵暗号では公開鍵の配布時に『誰の鍵か』を保証する仕組みが不可欠で、これを担うのが公開鍵基盤(PKI)と電子証明書である。認証局が公開鍵と所有者を結び付けて署名することで、鍵のすり替え(中間者攻撃)を防ぐ。鍵長や動作確認では所有者の正当性は保証できない。
✓本番での押さえどころ
試験のコツ
公開鍵のすり替え・正当性確認が論点なら、認証局発行の電子証明書(PKI)が正解。鍵長や動作確認では証明できない。
覚え方
公開鍵は『誰でも見てよい』が『誰の鍵か』は要保証。第三者(認証局)のお墨付き(証明書)で確認。
よくある誤り
『公開鍵は公開してよいから確認不要』と誤解する。秘匿性と正当性(誰の鍵か)は別の論点である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0048