HOME»情報処理安全確保支援士掲示板»令和4年春 午後Ⅰ問3 設問2(4)
投稿する
たしかにうどんさんのおっしゃることも気になる点ですね。
私も証明書チェーンの検証が暗黙に行われていると仮定してしまいました。
厳密には確認すべきことが3点あります
・署名用電子証明書の真正性(正当性)の確認
・デジタル署名の真正性(正当性)の確認
・署名用電子証明書の有効性(期限・失効)の確認
問の文章は以上の3をすべてきっちり記述したのではなく、必要な事項のみ
記述したと思われます。
そうなると空欄[ f ]は前後の文脈から判断して、国語的に適切な内容を解答する
ことになります。
空欄[ f ]は「地方公共団体情報システム機構に」にマッチする解答をします。
以上を踏まえると
[f:署名用電子証明書の有効性]または[f:署名用電子証明書の失効の有無]が
解答になると考えられます。
また非常に細かい話になりますが、地方公共団体情報システム機構にOSCPで
証明書の有効性を確認した場合、OCSPの機能で署名用電子証明書の真正性確認も
兼ねるのかもしれません。
この点については解釈の余地が広がってしまうので、これ以上の詮索はしないこと
とします。
»[1218] IPアドレスの詐称が起き得ない理由を教えてください 投稿数:3
»[1217] 午後問の解くときに意識していること 投稿数:13
令和4年春 午後Ⅰ問3 設問2(4) [1220]
合格したい男さん(No.1)
令和4年春 午後Ⅰ問3 設問2(4)の答えは「署名用電子証明書の有効性」とありますが、「署名用電子証明書の正当性」ではだめでしょうか?
2023.09.22 11:28
pixさん(No.2)
★SC ダイヤモンドマイスター
デジタル証明書で確認すべき項目は2点あります
・本物かどうか(証明書チェーンの検証)
・有効期限内か(期限切れや失効ではないかの検証 OCSPやCRLで確認)
正答である「署名用電子証明書の有効性」は有効期限内かどうかの確認を明示的に
表しています。
「署名用電子証明書の正当性」ですと、本物かどうかの確認と捉えられてしまいます。
P17「改ざんされていないことを[e 公開鍵]を用いて確認した後、」とあり、
この段階で署名用電子証明書の正当性の確認は完了していると読み取れます。
その後に、地方公共団体情報システム機構に[ f ]を確認するとあります。
地方公共団体情報システム機構(J-LIS)はOCSPやCRLを提供しています。
ゆえに[f 署名用電子証明書の有効性]が適切と考えられます。
・本物かどうか(証明書チェーンの検証)
・有効期限内か(期限切れや失効ではないかの検証 OCSPやCRLで確認)
正答である「署名用電子証明書の有効性」は有効期限内かどうかの確認を明示的に
表しています。
「署名用電子証明書の正当性」ですと、本物かどうかの確認と捉えられてしまいます。
P17「改ざんされていないことを[e 公開鍵]を用いて確認した後、」とあり、
この段階で署名用電子証明書の正当性の確認は完了していると読み取れます。
その後に、地方公共団体情報システム機構に[ f ]を確認するとあります。
地方公共団体情報システム機構(J-LIS)はOCSPやCRLを提供しています。
ゆえに[f 署名用電子証明書の有効性]が適切と考えられます。
2023.09.22 11:54
orangekameさん(No.3)
私も勉強中なのですが、理解する上で整理した内容です。
「Qサービス側で、デジタル署名が利用者本人のものであり、改竄されていないことをQサービスの利用者の公開鍵を用いて確認した後」と記述があるため、秘密鍵で行われたデジタル署名を公開鍵(署名用電子証明書)を用いて確認(検証)する事で、「署名用電子証明書が正しい事を確認する(正しい事=正当性)」と理解します。
残る署名用電子証明書について確認すべきことは、証明書チェーンの確認、有効期限の確認、失効状態の確認が残ることになると思います。
この中でわざわざ外部システムに確認する必要があるものはと考えると・・・
「失効状態を確認するために、CRLやOCSPを用いて地方公共団体情報システム機構にアクセスする必要があるのでは!」となりました。
これは署名用電子証明書が正当であるが有効なものか?についての確認です。
故に回答としては「署名用電子証明書の有効性」になるのだと思います。
しかし広義で解釈すると、正当性という表現の中に有効性が含まれるのではないかといった疑問が湧きますが、ここでは「失効状態を確認することが必要」的な部分については理解できている事をアピールするため、やはり「有効性」と答えるのがしっくりくるのだろうなと思います。
ご参考になれば幸いです。
「Qサービス側で、デジタル署名が利用者本人のものであり、改竄されていないことをQサービスの利用者の公開鍵を用いて確認した後」と記述があるため、秘密鍵で行われたデジタル署名を公開鍵(署名用電子証明書)を用いて確認(検証)する事で、「署名用電子証明書が正しい事を確認する(正しい事=正当性)」と理解します。
残る署名用電子証明書について確認すべきことは、証明書チェーンの確認、有効期限の確認、失効状態の確認が残ることになると思います。
この中でわざわざ外部システムに確認する必要があるものはと考えると・・・
「失効状態を確認するために、CRLやOCSPを用いて地方公共団体情報システム機構にアクセスする必要があるのでは!」となりました。
これは署名用電子証明書が正当であるが有効なものか?についての確認です。
故に回答としては「署名用電子証明書の有効性」になるのだと思います。
しかし広義で解釈すると、正当性という表現の中に有効性が含まれるのではないかといった疑問が湧きますが、ここでは「失効状態を確認することが必要」的な部分については理解できている事をアピールするため、やはり「有効性」と答えるのがしっくりくるのだろうなと思います。
ご参考になれば幸いです。
2023.09.23 13:34
うどんさん(No.4)
横から失礼いたします。私もこの問題の回答を正当性で答えてしまいました。
お二方の解説を読んでもまだ理解できない部分があります。。。
利用者から送られてきた署名用電子証明書自体が本物かどうかの確認には、
TLSでいうところの"サーバ証明書をCAの公開鍵で検証"と同じように、
地方公共団体情報システム機構の公開鍵を使って検証する必要があると感じるのですが、違うのでしょうか?
「送られてきた証明書が、利用者の自作(偽物)ではなく、確かに地方公共団体情報システム機構が発行したものだな」という確認をQサービスは行う必要はないのでしょうか?
お二方の解説を読んでもまだ理解できない部分があります。。。
利用者から送られてきた署名用電子証明書自体が本物かどうかの確認には、
TLSでいうところの"サーバ証明書をCAの公開鍵で検証"と同じように、
地方公共団体情報システム機構の公開鍵を使って検証する必要があると感じるのですが、違うのでしょうか?
「送られてきた証明書が、利用者の自作(偽物)ではなく、確かに地方公共団体情報システム機構が発行したものだな」という確認をQサービスは行う必要はないのでしょうか?
2023.09.26 12:20
pixさん(No.5)
★SC ダイヤモンドマイスター
>利用者から送られてきた署名用電子証明書自体が本物かどうかの確認には、
>TLSでいうところの"サーバ証明書をCAの公開鍵で検証"と同じように、
>地方公共団体情報システム機構の公開鍵を使って検証する必要があると
>感じるのですが、違うのでしょうか?
たしかにうどんさんのおっしゃることも気になる点ですね。
私も証明書チェーンの検証が暗黙に行われていると仮定してしまいました。
厳密には確認すべきことが3点あります
・署名用電子証明書の真正性(正当性)の確認
・デジタル署名の真正性(正当性)の確認
・署名用電子証明書の有効性(期限・失効)の確認
問の文章は以上の3をすべてきっちり記述したのではなく、必要な事項のみ
記述したと思われます。
そうなると空欄[ f ]は前後の文脈から判断して、国語的に適切な内容を解答する
ことになります。
空欄[ f ]は「地方公共団体情報システム機構に」にマッチする解答をします。
以上を踏まえると
[f:署名用電子証明書の有効性]または[f:署名用電子証明書の失効の有無]が
解答になると考えられます。
また非常に細かい話になりますが、地方公共団体情報システム機構にOSCPで
証明書の有効性を確認した場合、OCSPの機能で署名用電子証明書の真正性確認も
兼ねるのかもしれません。
この点については解釈の余地が広がってしまうので、これ以上の詮索はしないこと
とします。
2023.09.26 15:37
うどんさん(No.6)
pixさん回答ありがとうございます!
なるほど!
証明書を検証するのは地方公共団体情報システム機構ではなく受信者側なので、
「地方公共団体情報システム機構に」の文に合うのはもう有効性確認しかありませんね…
技術的な部分ばかりに考えが行って、文脈から考えることをしてませんでした…
文脈から考えたら解答がスッと入ってきて、めちゃくちゃ腑に落ちました。
ありがとうございました!
>そうなると空欄[ f ]は前後の文脈から判断して、国語的に適切な内容を解答する
>ことになります。
>空欄[ f ]は「地方公共団体情報システム機構に」にマッチする解答をします。
>以上を踏まえると
>[f:署名用電子証明書の有効性]または[f:署名用電子証明書の失効の有無]が
>解答になると考えられます。
なるほど!
証明書を検証するのは地方公共団体情報システム機構ではなく受信者側なので、
「地方公共団体情報システム機構に」の文に合うのはもう有効性確認しかありませんね…
技術的な部分ばかりに考えが行って、文脈から考えることをしてませんでした…
文脈から考えたら解答がスッと入ってきて、めちゃくちゃ腑に落ちました。
ありがとうございました!
2023.09.26 16:34
その他のスレッド
»[1219] 令和4年春 午後Ⅱ問2 設問3(4) 投稿数:8»[1218] IPアドレスの詐称が起き得ない理由を教えてください 投稿数:3
»[1217] 午後問の解くときに意識していること 投稿数:13