平成30年春期午後問1

午前試験免除制度対応!基本情報技術者試験のeラーニング【独習ゼミ】
食パンさん  
(No.1)
タイトルの問題(https://www.fe-siken.com/kakomon/30_haru/pm01.html)について質問させてください。

この設問3において、ウが不正解になる理由を理解することができませんでした。
私の考えは、以下の通りです。

1.前提として、攻撃者はオフライン総当たりを実施するため、ソルトは獲得済みである。
2.一つのパスワード候補と獲得済みのソルトを用いて、十分な回数だけハッシュ化したハッシュ値を作成する。
(このとき作成したハッシュ値は、1回だけハッシュ化したもの、2回だけハッシュ化したもの…とそれぞれ保持する。)
3.パスワードファイルのハッシュ値と、2で作成したハッシュ値を比較する。
4.以上の手順で攻撃を実行すると、「一つのパスワードの候補から求めた(複数の)ハッシュ値を、パスワードファイルのハッシュ値と比較する回数が増える」から、答えはウである。

以上の考えで、どこが誤っているか教えていただけないでしょうか。

また、エの選択肢は
  一つのパスワードの候補から(正しい)ハッシュ値を求める時間が増加する
と、理解したのでよろしいでしょうか。

よろしくお願いいたします。
2021.06.16 22:12
関数従属さん 
FE・シルバーエキスパート
(No.2)
1.2.の部分が違うように思います。

1.前提としてパスワードファイル入手済であり、
  パスワードの照合に用いるハッシュ値、ソルト、[ストレッチング後は]繰返し回数
  が入手済となる

2.全てのパスワードの候補を逐次生成し以下を繰り返す

  2-1.パスワードの候補をハッシュ化する
    [ストレッチング前]パスワードの候補+ソルトをハッシュ化(1回)
    [ストレッチング後]パスワードの候補+ソルトをハッシュ化→・・・・(繰返し回数分)

  2-2.パスワードファイルのパスワードの照合に用いるハッシュ値と2-1を比較する

2-1.にかかる時間がストレッチング前後で変わり、これがエの選択肢の意味合いとなります。
2021.06.16 23:11
食パンさん  
(No.3)
ご返信ありがとうございます。
攻撃者がパスワードファイルを入手済みということは、ハッシュ化する回数も把握しているので、私の記述した
> このとき作成したハッシュ値は、1回だけハッシュ化したもの、2回だけハッシュ化したもの…とそれぞれ保持する。
の、「それぞれ保持する」は不要で、パスワードファイルに記録されている回数だけハッシュ化した(一つの)文字列を、パスワードファイルのハッシュ値と比較すればよいのですね。
それなら確かに「パスワードファイルのハッシュ値と比較する回数が増える」は適切ではないことを納得できました。

おかげさまで理解を深めることができました。
ありがとうございます。
2021.06.17 06:18

返信投稿用フォーム

スパム防止のためにスレッド作成から30日以上経過したスレッドへの書き込みは禁止しています。

その他のスレッド


Pagetop