平成21年秋期午後問4

午前試験免除制度対応!基本情報技術者試験のeラーニング【独習ゼミ】
ていへんまけいぬかすさん  
(No.1)
https://www.fe-siken.com/kakomon/21_aki/pm04.html
すいません先ほど質問する際、問題のURLを削除していました...

以下質問です。
設問2のdに方式1だけでなく方式2も入る理由がわかりません。

>>(2)社外からのリモートログインに利用する端末上で,キーボード入力を読み取って,第三者に送信するプログラムが動作していた場合,

設問にあるこの場合、盗み取れるデータは利用者IDとパスワードpであると思います。方式2ではこの後端末にチャレンジcが送られてきた後にハッシュ値h(p, c)を計算しレスポンスの値としてサーバーに送信しますが、第三者は端末に送られてきたチャレンジcについては読み取ることができないのでサーバ側のハッシュ値h(p',c)の照合を突破することはできないと考えます。

解説には
>>方式2 盗まれたデータでも端末に入力された利用者IDとパスワードが正しいものならば、
サーバのチャレンジとパスワードによって計算されるレスポンスも正しいもの
となるので不正ログインすることができます。

と書いてありますが、設問中(2)では第三者に送信するプログラムが動作していた場合しか言っていないのでサーバから送られてきたチャレンジcについてはわからないのではと考えます。それかもっとシンプルにどのPCで入力しようがそのPCにチャレンジcが送られてきてハッシュ値hを計算するのでしょうか?そうだとしたらそれはそれで方式2に何の意味があるのか意図が分かりません。おそらく私が何かを勘違いしているだけだと思いますが、どうか回答お願いします。
2022.04.08 15:01
chihiroさん 
FE プラチナマイスター
(No.2)
>設問にあるこの場合、盗み取れるデータは利用者IDとパスワードpであると思います。
はい。なので盗み取ったIDとパスワードを入力して、"正式な"ユーザとしてログインすればいいのです。チャレンジを読み取るだのまどろっこしいことは必要ありません。
2022.04.08 15:51
ていへんまけいぬかすさん  
(No.3)
回答ありがとうございます。
どちらかというとその先が知りたいのですが、質問の仕方が悪かったですかね。

ハッシュ値を読み取る必要があるのでは?ではなく、
本来のユーザーにハッシュ値を計算するチャレンジcが送られてくるのではないか?という認識です。
ですので、IDとパスワードpだけ盗み取ってもチャレンジcが分からずハッシュ値の照合ができないのではないかと考えています。
回答よろしくお願いします。
2022.04.08 17:22
chihiroさん 
FE プラチナマイスター
(No.4)
>本来のユーザーにハッシュ値を計算するチャレンジcが送られてくるのではないか?という認識です。
チャレンジはIDとパスワードを入力した端末に送られてくるので、正規の手順を踏んでログインできます。
2022.04.08 18:14
ていへんまけいぬかすさん  
(No.5)
なるほど...。chihiroさん回答ありがとうございました。
そうなるとチャレンジレスポンス方式に何の意味があるのか...。
と思ったんですが、一応チャレンジレスポンス認証では通信の傍受をされてもパスワードは漏れない利点がありますね。納得しました。
2022.04.13 13:09

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop