HOME»基本情報技術者試験掲示板»セキュリティについて
投稿する
[1290] セキュリティについて
鍵さんさん(No.1)
平成29年度春の情報セキュリティ 設問4ですが、
解答が「ア」となってます。でもサーバが乗っ取られていたらクライアントの公開鍵も既に
サーバにあるわけだから取得できてしまうのではないのでしょうか?
解答が「ア」となってます。でもサーバが乗っ取られていたらクライアントの公開鍵も既に
サーバにあるわけだから取得できてしまうのではないのでしょうか?
2018.07.23 21:43
管理人(No.2)
おそらく平成29年秋期午後1設問4のことだと思いますが、基本的に公開鍵は広く公にしても構わない鍵ですのでクライアントの公開鍵が窃取されてもセキュリティ上の問題はありません。
公開鍵によるクライアント認証では、クライアントが正当な秘密鍵をもつかどうかを検証することで認証を行います。サーバが乗っ取られていたとしても、(クライアント端末に格納されている)クライアントの秘密鍵が漏えいしない限りは、正当なクライアントになりすまして不正ログインすることは困難です。
一方、パスワード認証ではサーバ内に保存されているパスワードや通信中のパケットから認証情報の窃取が可能であり、その情報を用いたリプレイ攻撃を行うことでクライアント認証を突破されてしまうおそれがあります。
公開鍵によるクライアント認証では、クライアントが正当な秘密鍵をもつかどうかを検証することで認証を行います。サーバが乗っ取られていたとしても、(クライアント端末に格納されている)クライアントの秘密鍵が漏えいしない限りは、正当なクライアントになりすまして不正ログインすることは困難です。
一方、パスワード認証ではサーバ内に保存されているパスワードや通信中のパケットから認証情報の窃取が可能であり、その情報を用いたリプレイ攻撃を行うことでクライアント認証を突破されてしまうおそれがあります。
2018.07.24 15:53
鍵さんさん(No.3)
ありがとうございます。
つまり、サーバなどの乗っ取りは乗っ取って取得したもの(パスワードなど)を
使用してログインなどをするということですね?
公開鍵認証であれば乗っ取って取得できるものは公開鍵とディジタル署名(公開鍵はあるので復号はできる)であるが、その情報からではログインはできないということですね?
つまり、サーバなどの乗っ取りは乗っ取って取得したもの(パスワードなど)を
使用してログインなどをするということですね?
公開鍵認証であれば乗っ取って取得できるものは公開鍵とディジタル署名(公開鍵はあるので復号はできる)であるが、その情報からではログインはできないということですね?
2018.07.24 23:10