札幌は雪が減りましたよー。
情報安全確保支援士試験の平成31年春 午前2問
題(全25問)を解いていきます。問題の解き方や
考え方をわかりやすく、解説してみる連載です。
※問題の引用についてはIPAのルールを遵守しています。
問7
サイドチャネル攻撃に該当するものはどれか。
ア 暗号化装置における暗号化処理時の消費電力などの測定や統
計処理によって、当該装置内部の秘密情報を推定する攻撃
イ 攻撃者が任意に選択した平文とその平文に対応した暗号文か
ら数学的手法を用いて暗号鍵を推測し、同じ暗号鍵を用いて
作成された暗号文を解読する攻撃
ウ 操作中の人の横から、入力操作の内容を観察することによっ
て、利用者IDとパスワードを盗み取る攻撃
エ 無線LANのアクセスポイントを不正に設置し、チャネル間
の干渉を発生させることによって、通信を妨害する攻撃
問8
インターネットバンキングサービスを提供するWebサイトを利
用する際に、トランザクション署名の機能をもつハードウェアト
ークンを利用する。次の処理を行うとき、(4)によってできる
ことはどれか。ここで、ハードウェアトークンは利用者ごとに異
なり、本人だけが利用する。
[処理〕
(1)ハードウェアトークンに振込先口座番号と振込金額を入力
し、メッセージ認証符号(MAC)を生成する。
(2)Webサイトの振込処理画面に振込先口座番号、振込金額
及び(1)で生成されたMACを入力し、Webサイトに
送信する。
(3)Webサイトでは、本人に発行したハードウェアトークン
と同じ処理手順によって振込先口座番号と振込金額からM
ACを生成する。
(4)Webサイトでは、(2)で入力されたMACと、(3)
で生成したMACを比較する。
ア 通信経路において盗聴されていないことを確認できる。
イ 通信経路における盗聴者を特定できる。
ウ 振込先口座番号と振込金額が改ざんされていないことを確認
できる。
エ 振込先口座番号と振込金額の改ざんされた箇所を訂正できる。
問9
総務省及び経済産業省が策定した”電子政府における調達のために
参照すべき暗号のリスト(CRYPTREC暗号リスト)”に関す
る記述のうち、適切なものはどれか。
ア CRYPTREC暗号リストにある運用監視暗号リストとは、
運用監視システムにおける利用実績が十分であると判断され、
電子政府において利用を推奨する暗号技術のリストである。
イ CRYPTREC暗号リストにある証明書失効リストとは、
政府共用認証局が公開している、危殆化した暗号技術のリス
トである。
ウ CRYPTREC暗号リストにある推奨候補暗号リストとは、
安全性及び実装性能が確認され、今後、電子政府推奨暗号リ
ストに掲載される可能性がある暗号技術のリストである。
エ CRYPTREC暗号リストにある電子政府推奨暗号リスト
とは、互換性維持目的に限った継続利用を推奨する暗号技術
のリストである。
(解答と解説)
問7
グッと重い処理をしてるときは、重要なんだろうな・・・なんて
当たりをつけるわけです。
ア 暗号化装置における暗号化処理時の消費電力などの測定や統
計処理によって、当該装置内部の秘密情報を推定する攻撃
問8
このやり方だと、直接データなどをやりとりしなくてもデータが
正しいことを証明することができます。
ウ 振込先口座番号と振込金額が改ざんされていないことを確認
できる。
問9
ア CRYPTREC暗号リストにある運用監視暗号リストとは、
運用監視システムにおける利用実績が十分であると判断され、
電子政府において利用を推奨する暗号技術のリストである。
推奨リストですね。
イ CRYPTREC暗号リストにある証明書失効リストとは、
政府共用認証局が公開している、危殆化した暗号技術のリス
トである。
証明書?
ウ CRYPTREC暗号リストにある推奨候補暗号リストとは、
安全性及び実装性能が確認され、今後、電子政府推奨暗号リ
ストに掲載される可能性がある暗号技術のリストである。
これが正解です。
エ CRYPTREC暗号リストにある電子政府推奨暗号リスト
とは、互換性維持目的に限った継続利用を推奨する暗号技術
のリストである。
互換性目的のみなのに、推奨暗号ですか?