HOME»情報セキュリティスペシャリスト平成21年秋期»午前Ⅱ 問1
情報セキュリティスペシャリスト平成21年秋期 午前Ⅱ 問1
問1
チャレンジレスポンス方式として,適切なものはどれか。
- SSLによって,クライアント側で固定パスワードを暗号化して送信する。
- トークンという装置が表示する毎回異なったデータをパスワードとして送信する。
- 任意長のデータを入力として固定長のハッシュ値を出力する。
- 利用者が入力したパスワードと,サーバから送られてきたランダムなデータとをクライアント側で演算し,その結果を確認用データに用いる。
- [出題歴]
- 情報セキュリティ H20春期 問42
分類
テクノロジ系 » セキュリティ » 情報セキュリティ
正解
エ
解説
チャレンジレスポンス方式は、通信経路上に固定パスワードを流さないようにすることで盗聴によるパスワードの漏えいを防ぐことができる認証方式です。
チャレンジレスポンス方式では以下の手順で認証を行います。
チャレンジレスポンス方式では以下の手順で認証を行います。
- サーバはクライアントから要求があるたびに異なる予測困難な値(チャレンジ)を生成して保持するとともに、クライアントへ送る。
- クライアントは利用者が入力したパスワードのメッセージダイジェストを計算し、(1)でサーバから送られた"チャレンジ"と合わせたものから、さらに、メッセージダイジェスト(レスポンス)を計算する。
- クライアントは(2)で生成した"レスポンス"と利用者が入力した利用者IDをサーバに送る。
- サーバは、クライアントから受け取った利用者IDで利用者情報を検索して、取り出したパスワードのメッセージダイジェストと(1)で保持していた"チャレンジ"を合わせたものから、メッセージダイジェストを計算する(レスポンス照合データ)。
- サーバは"レスポンス照合データ"とクライアントから受け取った"レスポンス"とを比較する。
- チャレンジレスポンス方式では、固定パスワードとサーバから送信された乱数(チャレンジ)を組合わせたものをハッシュ化してサーバに返信します。
- 時刻同期式ワンタイムパスワードの説明です。
- ハッシュ関数の説明です。
- 正しい。