情報セキュリティ

基本情報技術者試験コードサイニング証明書」の問題

情報セキュリティ情報セキュリティ難易度:normal
I社は、自社開発のソフトウェアをインターネットで配布している。利用者から『ダウンロードしたファイルが本物か、改ざんされていないか確かめたい』との要望がある。配布物の発行元と完全性を利用者が検証できるようにする手段として、最も適切なものはどれか。
発行元の秘密鍵で署名し、対応する証明書で利用者が検証できるようにする。
配布ページに『改ざんしていません』との運営者による文章での宣言を掲載する。
配布ファイルをパスワード付きの圧縮形式にまとめて提供する。
配布ファイルのハッシュ値を同じ配布ページに併記しておく。
正解
発行元の秘密鍵で署名し、対応する証明書で利用者が検証できるようにする。

利用者が『誰が作った本物か』と『改ざんされていないか』を検証したい要望には、コードサイニング証明書を用いた電子署名が適する。発行元の秘密鍵で署名し、対応する証明書で検証することで、発行元の正当性(真正性)と配布後に改ざんされていないこと(完全性)を利用者が同時に確認できる。

?選択肢ごとの解説

ア ○利用者が『誰が作った本物か』と『改ざんされていないか』を検証したい要望には、コードサイニング証明書を用いた電子署名が適する。発行元の秘密鍵で署名し、対応する証明書で検証することで、発行元の正当性(真正性)と配布後に改ざんされていないこと(完全性)を利用者が同時に確認できる。
イ ×運営者の宣言は作り手の主張に過ぎず、利用者が技術的に発行元や改ざんの有無を検証する手段を提供しないため要望に応えられない。
ウ ×パスワード付き圧縮は閲覧制限が目的で、発行元の特定や配布後の改ざん検知の機能はなく、真正性を保証しない。
エ ×ハッシュ値を同じページに併記しても、攻撃者がファイルとハッシュを共に差し替えられるため、発行元を保証できず真正性検証にならない。

くわしく

コードサイニングは電子署名をソフトウェア配布に応用したもので、署名鍵の正当性を認証局発行の証明書が裏付ける。利用者環境は署名を自動検証し、発行元不明や改ざん検知時に警告を出す。配布物の信頼の起点となる仕組みである。

本番での押さえどころ

試験のコツ

配布ソフトの発行元保証+改ざん検知には『コードサイニング証明書による電子署名』が正解。主張や圧縮では不可。

覚え方

コードサイニングは『作品に作者のサインと封印』。サインで作者、封印で未開封(未改ざん)を証明。

よくある誤り

宣言や圧縮、ハッシュ併記で安心させようとする。発行元を第三者が保証する署名でなければ真正性は保証できない。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0152

【基本情報技術者試験】コードサイニング証明書の問題 — 解答・解説|ukamiru 過去問