HOME»情報処理安全確保支援士掲示板»平成31年春午後1問2 設問2 解説書は誤り?
投稿する
平成31年春午後1問2 設問2 解説書は誤り? [0820]
原動力さん(No.1)
平成31年春午後1問2 設問2 の(3)の正答について
IPA「認証サーバXでオリジンbとオリジンsの一致を確認しているから」
解説書「攻撃者はオーセンティケータの秘密鍵Kを持たず、署名Mを再生成できないから」
IPAの方の解答がいまいち理解来ていなかったのですが、解説書の方で納得していました。
ですが、IPAの講評を見たところ、
と記載がありました。
これは解説書の解答が誤っているということなのでしょうか..?
なにぶんIPAの模範解答が腹落ち出来ていない為、、詳しい方ご教示いただけますと幸いです。
IPA「認証サーバXでオリジンbとオリジンsの一致を確認しているから」
解説書「攻撃者はオーセンティケータの秘密鍵Kを持たず、署名Mを再生成できないから」
IPAの方の解答がいまいち理解来ていなかったのですが、解説書の方で納得していました。
ですが、IPAの講評を見たところ、
>被害者が署名したデータを攻撃者がそのまま悪用することを想定していない、
>「攻撃者が入手できないオーセンティケータの秘密鍵で署名しているから」
>といった解答が見られた
と記載がありました。
これは解説書の解答が誤っているということなのでしょうか..?
なにぶんIPAの模範解答が腹落ち出来ていない為、、詳しい方ご教示いただけますと幸いです。
2022.03.19 10:10
pixさん(No.2)
★SC ダイヤモンドマイスター
私の解釈で恐縮ですが解答いたします。まちがっていたらすみません。
この問題は文章内に書いていない事を想定する必要があります。
大前提として中間者がどこにいるかです。
図6には以下3つの危機が登場します。
・オーセンティケータ
・Webブラウザ
・認証サーバX
しかし、この図内にはメールサーバPが登場していません。
この図のだけから判断すると
[Webブラウザ - 認証サーバX]間に中間者がいるように思えてしまします。
この点でミスリードとなり、[Webブラウザ - 認証サーバX]間の
通信が盗聴され、オリジンbや署名Mが改ざんされる可能性があると
思い込んでしまいます。
ですが実際には[Webブラウザ - メールサーバP]間に中間者がいると
想定されます。メールサーバPへ不正アクセスするのが中間者の目的であれば、
この位置以外には考え難いです。
[Webブラウザ -> 認証サーバX]へはURLリダイレクトでの接続になります。
[Webブラウザ - 認証サーバX]間の通信は改ざんできません。
正常時は
・オリジンb(ブラウザ):メールサーバPのオリジン
・オリジンs(サーバ):メールサーバPのオリジン
でオリジンが一致でOKになります。
中間者が存在時は
・オリジンb(ブラウザ):中間者の用意したサーバのオリジン
・オリジンs(サーバ):メールサーバPのオリジン
でオリジンが不一致でNGになります。
この問題は文章内に書いていない事を想定する必要があります。
大前提として中間者がどこにいるかです。
図6には以下3つの危機が登場します。
・オーセンティケータ
・Webブラウザ
・認証サーバX
しかし、この図内にはメールサーバPが登場していません。
この図のだけから判断すると
[Webブラウザ - 認証サーバX]間に中間者がいるように思えてしまします。
この点でミスリードとなり、[Webブラウザ - 認証サーバX]間の
通信が盗聴され、オリジンbや署名Mが改ざんされる可能性があると
思い込んでしまいます。
ですが実際には[Webブラウザ - メールサーバP]間に中間者がいると
想定されます。メールサーバPへ不正アクセスするのが中間者の目的であれば、
この位置以外には考え難いです。
[Webブラウザ -> 認証サーバX]へはURLリダイレクトでの接続になります。
[Webブラウザ - 認証サーバX]間の通信は改ざんできません。
正常時は
・オリジンb(ブラウザ):メールサーバPのオリジン
・オリジンs(サーバ):メールサーバPのオリジン
でオリジンが一致でOKになります。
中間者が存在時は
・オリジンb(ブラウザ):中間者の用意したサーバのオリジン
・オリジンs(サーバ):メールサーバPのオリジン
でオリジンが不一致でNGになります。
2022.03.19 18:54
コーブーさん(No.3)
原動力さん おはようございます
いまさら言うのもあれですけれど、あなたが使っている解説書は本試験後の予想解答をそのまま出版している解説書です。
なので出版時期は一番早いですが、IPAの正答と違っていることが平成31年以前にはもっとあります。
別な解説書を買って、この解説書は参考程度にすればよいのではないでしょうか。
ちなみに私は「絶対わかるセスぺ」と「徹底解説本試験問題」を使っております。
後1ヶ月しかありませんが、お互いに頑張りましょう。
よろしくお願いいたします。
いまさら言うのもあれですけれど、あなたが使っている解説書は本試験後の予想解答をそのまま出版している解説書です。
なので出版時期は一番早いですが、IPAの正答と違っていることが平成31年以前にはもっとあります。
別な解説書を買って、この解説書は参考程度にすればよいのではないでしょうか。
ちなみに私は「絶対わかるセスぺ」と「徹底解説本試験問題」を使っております。
後1ヶ月しかありませんが、お互いに頑張りましょう。
よろしくお願いいたします。
2022.03.20 08:34
Lemさん(No.4)
コーブーさん こんばんは
横から失礼します。
解説書というのはiから始まる会社のテキストのことでしょうか?
H30に出版されたものを使っているもので、気になります。
攻撃者はオーセンティケータの秘密鍵Kを持たず、署名Mを再生成できないから
ではバツになる可能性が高い、ということでしょうか?
横から失礼します。
解説書というのはiから始まる会社のテキストのことでしょうか?
H30に出版されたものを使っているもので、気になります。
攻撃者はオーセンティケータの秘密鍵Kを持たず、署名Mを再生成できないから
ではバツになる可能性が高い、ということでしょうか?
2022.03.20 18:44
コーブーさん(No.5)
この投稿は投稿者により削除されました。(2022.03.20 19:36)
2022.03.20 19:36
コーブーさん(No.6)
LEM様 お疲れ様です。
ご質問にお答えいたします。
パーフェクトから始まる問題集の解答です。
バツにはならないかもしれませんが、減点される可能性が高いと思われます。
PIX様がおっしゃっているように、オリジン(FQDN,スキーム(HTTPやHTTPSなど)、ポート番号がすべて同じ)が違えば、認証が成功しないというIPAの回答の方がそもそも論だと思います。
よろしくお願いいたします。
ご質問にお答えいたします。
>解説書というのはiから始まる会社のテキストのことでしょうか?
>H30に出版されたものを使っているもので、気になります。
パーフェクトから始まる問題集の解答です。
>攻撃者はオーセンティケータの秘密鍵Kを持たず、署名Mを再生成できないから
>ではバツになる可能性が高い、ということでしょうか?
バツにはならないかもしれませんが、減点される可能性が高いと思われます。
PIX様がおっしゃっているように、オリジン(FQDN,スキーム(HTTPやHTTPSなど)、ポート番号がすべて同じ)が違えば、認証が成功しないというIPAの回答の方がそもそも論だと思います。
よろしくお願いいたします。
2022.03.20 19:37
Lemさん(No.7)
コーブーさん ご丁寧にありがとうございます。
2022.03.21 00:55