HOME»基本情報技術者試験掲示板»平成30年春期午後問1
投稿する
»[3406] 10月の試験に向けて 投稿数:7
»[3405] 1日で午前・午後試験を受ける時の予約について 投稿数:1
平成30年春期午後問1 [3408]
食パンさん(No.1)
タイトルの問題(https://www.fe-siken.com/kakomon/30_haru/pm01.html)について質問させてください。
この設問3において、ウが不正解になる理由を理解することができませんでした。
私の考えは、以下の通りです。
1.前提として、攻撃者はオフライン総当たりを実施するため、ソルトは獲得済みである。
2.一つのパスワード候補と獲得済みのソルトを用いて、十分な回数だけハッシュ化したハッシュ値を作成する。
(このとき作成したハッシュ値は、1回だけハッシュ化したもの、2回だけハッシュ化したもの…とそれぞれ保持する。)
3.パスワードファイルのハッシュ値と、2で作成したハッシュ値を比較する。
4.以上の手順で攻撃を実行すると、「一つのパスワードの候補から求めた(複数の)ハッシュ値を、パスワードファイルのハッシュ値と比較する回数が増える」から、答えはウである。
以上の考えで、どこが誤っているか教えていただけないでしょうか。
また、エの選択肢は
一つのパスワードの候補から(正しい)ハッシュ値を求める時間が増加する
と、理解したのでよろしいでしょうか。
よろしくお願いいたします。
この設問3において、ウが不正解になる理由を理解することができませんでした。
私の考えは、以下の通りです。
1.前提として、攻撃者はオフライン総当たりを実施するため、ソルトは獲得済みである。
2.一つのパスワード候補と獲得済みのソルトを用いて、十分な回数だけハッシュ化したハッシュ値を作成する。
(このとき作成したハッシュ値は、1回だけハッシュ化したもの、2回だけハッシュ化したもの…とそれぞれ保持する。)
3.パスワードファイルのハッシュ値と、2で作成したハッシュ値を比較する。
4.以上の手順で攻撃を実行すると、「一つのパスワードの候補から求めた(複数の)ハッシュ値を、パスワードファイルのハッシュ値と比較する回数が増える」から、答えはウである。
以上の考えで、どこが誤っているか教えていただけないでしょうか。
また、エの選択肢は
一つのパスワードの候補から(正しい)ハッシュ値を求める時間が増加する
と、理解したのでよろしいでしょうか。
よろしくお願いいたします。
2021.06.16 22:12
関数従属さん(No.2)
★FE ゴールドマイスター
1.2.の部分が違うように思います。
1.前提としてパスワードファイル入手済であり、
パスワードの照合に用いるハッシュ値、ソルト、[ストレッチング後は]繰返し回数
が入手済となる
2.全てのパスワードの候補を逐次生成し以下を繰り返す
2-1.パスワードの候補をハッシュ化する
[ストレッチング前]パスワードの候補+ソルトをハッシュ化(1回)
[ストレッチング後]パスワードの候補+ソルトをハッシュ化→・・・・(繰返し回数分)
2-2.パスワードファイルのパスワードの照合に用いるハッシュ値と2-1を比較する
2-1.にかかる時間がストレッチング前後で変わり、これがエの選択肢の意味合いとなります。
1.前提としてパスワードファイル入手済であり、
パスワードの照合に用いるハッシュ値、ソルト、[ストレッチング後は]繰返し回数
が入手済となる
2.全てのパスワードの候補を逐次生成し以下を繰り返す
2-1.パスワードの候補をハッシュ化する
[ストレッチング前]パスワードの候補+ソルトをハッシュ化(1回)
[ストレッチング後]パスワードの候補+ソルトをハッシュ化→・・・・(繰返し回数分)
2-2.パスワードファイルのパスワードの照合に用いるハッシュ値と2-1を比較する
2-1.にかかる時間がストレッチング前後で変わり、これがエの選択肢の意味合いとなります。
2021.06.16 23:11
食パンさん(No.3)
ご返信ありがとうございます。
攻撃者がパスワードファイルを入手済みということは、ハッシュ化する回数も把握しているので、私の記述した
の、「それぞれ保持する」は不要で、パスワードファイルに記録されている回数だけハッシュ化した(一つの)文字列を、パスワードファイルのハッシュ値と比較すればよいのですね。
それなら確かに「パスワードファイルのハッシュ値と比較する回数が増える」は適切ではないことを納得できました。
おかげさまで理解を深めることができました。
ありがとうございます。
攻撃者がパスワードファイルを入手済みということは、ハッシュ化する回数も把握しているので、私の記述した
> このとき作成したハッシュ値は、1回だけハッシュ化したもの、2回だけハッシュ化したもの…とそれぞれ保持する。
の、「それぞれ保持する」は不要で、パスワードファイルに記録されている回数だけハッシュ化した(一つの)文字列を、パスワードファイルのハッシュ値と比較すればよいのですね。
それなら確かに「パスワードファイルのハッシュ値と比較する回数が増える」は適切ではないことを納得できました。
おかげさまで理解を深めることができました。
ありがとうございます。
2021.06.17 06:18
その他のスレッド
»[3407] 試験要項変更に伴う午後問題の量の変化 投稿数:4»[3406] 10月の試験に向けて 投稿数:7
»[3405] 1日で午前・午後試験を受ける時の予約について 投稿数:1