平成29年秋期午後問1

午前試験免除制度対応!基本情報技術者試験のeラーニング【独習ゼミ】
トマさん  
(No.1)
https://www.fe-siken.com/kakomon/29_aki/pm01.html
設問4についての質問なのですが、問題文最初の方にSSHは~通信データの盗聴対策や通信相手のなりすましを防ぐ仕組みを備えている。とあります。
設問4のアではサーバが攻撃者に乗っ取られていた場合~とありますがこれは先程の問題文でなりすましを防ぐという記述から、乗っ取られることはないと思ったのですが違うのでしょうか。
なぜ正解がアになるのか詳しく教えてもらえると嬉しいです
2022.10.02 17:28
wrinklyさん 
(No.2)
この投稿は投稿者により削除されました。(2022.10.04 07:08)
2022.10.04 07:08
wrinklyさん 
(No.3)
>設問4のアではサーバが攻撃者に乗っ取られていた場合~とありますがこれは先程の
>問題文でなりすましを防ぐという記述から、乗っ取られることはないと思ったのですが
>違うのでしょうか。
SSHセッションを確立する前に、既にサーバが攻撃者に乗っ取られていることが前提です。
利用者認証に「公開鍵認証」を使用していれば、クライアントの秘密鍵が漏洩しない限り、
サーバが乗っ取られていても正当なクライアントになりすまして不正ログインされる恐れは
ありません。(送信されたクライアントのデジタル署名からクライアントの秘密鍵の解読は
困難なため) これが、「通信相手のなりすましを防ぐ仕組みを備えている。」の意味です。
一方、利用者認証に「パスワード認証」を使用した場合、正しい利用者IDとパスワードを
サーバに送信してしまうので、認証情報を攻撃者に取得され、それを用いたなりすまし
によるリプレイ攻撃を受ける可能性があります。
2022.10.04 07:06
トマさん  
(No.4)
説明を聞いてようやく府に落ちました。
丁寧な解説ありがとうございます!
2022.10.06 10:21

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop