H31春 午後1 問2と勉強方法について
広告
まきさん
(No.1)
3年前からこの試験に挑戦し、3回連続で不合格となってしまいました。
過去問を解いても、解いても合格できません。私も、何をどうすればよいのか分からなくなってきてしまいました。
例えば、H31春 午後1 問2です。
設1-(3)図2中の下線②について、この時、サーバ証明書が信頼できない旨のエラーが表示されなかったのは、なぜか?メールサービスPにHSTSが実装されていないことを踏まえ、20字以内で答えよ。という問題ですが、
HSTSは、初回接続時は、HTTPS通信が行われず、2回目以降接続時からHTTPS矯正されるということしか頭になく、模範解答の、HTTPで接続していたから。ということは、全く思いつきもしませんでしたし、本文中からも、私は、全く読み取れませんでした。
さらに、
設問2(認証/証明書のアルゴリズム?)は、記号の選択問題も全く解けず、空白で提出した始末です。
みなさんは、この様な問題、どの様に考えて解いているのでしょう?
署名は、ハッシュ値を算出し、送信者の秘密鍵で暗号化し、受信側では、公開鍵で複合しハッシュ値を比較という原則は分かっているのですが。
この3年間、情報処理安全確保支援士のテキストを読み込んで、ポケスタも何十回とやって、過去問も6年分を10回以上やっても合格できません。
みなさんは、どういう勉強をされているのでしょう?
過去問を解いても、解いても合格できません。私も、何をどうすればよいのか分からなくなってきてしまいました。
例えば、H31春 午後1 問2です。
設1-(3)図2中の下線②について、この時、サーバ証明書が信頼できない旨のエラーが表示されなかったのは、なぜか?メールサービスPにHSTSが実装されていないことを踏まえ、20字以内で答えよ。という問題ですが、
HSTSは、初回接続時は、HTTPS通信が行われず、2回目以降接続時からHTTPS矯正されるということしか頭になく、模範解答の、HTTPで接続していたから。ということは、全く思いつきもしませんでしたし、本文中からも、私は、全く読み取れませんでした。
さらに、
設問2(認証/証明書のアルゴリズム?)は、記号の選択問題も全く解けず、空白で提出した始末です。
みなさんは、この様な問題、どの様に考えて解いているのでしょう?
署名は、ハッシュ値を算出し、送信者の秘密鍵で暗号化し、受信側では、公開鍵で複合しハッシュ値を比較という原則は分かっているのですが。
この3年間、情報処理安全確保支援士のテキストを読み込んで、ポケスタも何十回とやって、過去問も6年分を10回以上やっても合格できません。
みなさんは、どういう勉強をされているのでしょう?
2020.02.05 00:00
まきさん
(No.2)
なんで、誰も答えてくれないのかしら・・・
2020.02.05 22:39
助け人さん
(No.3)
なかなか答えてくれないのは、おそらく回答が難しいからだと思います。
スレタイ
6回目の受験も不合格 不合格原因を教えて下さい。[0444]
https://www.sc-siken.com/bbs/0444.html
のように、「どうしたら合格できるか」「どういう勉強をしたらいいか」は回答しにくいものです。
さて、まず、設問1(3)です。
HSTSは、
平成30年秋期 午前Ⅱ 問12
https://www.sc-siken.com/kakomon/30_aki/am2_12.html
に、まるでこの午後Ⅰの予告編のように出題されました。管理人様の解説に重要なことが書かれています。
また、HTTP Strict Transport SecurityのWikiに、以下の通りあります。
「(中略)その際に、Webサーバーからのレスポンスにリダイレクトする指示を入れることになるが、HTTPは改竄検知機能を持たないため、攻撃者がこれを悪意のあるサイトにリダイレクトする指示に書き換えたり、HTTPSの内容をHTTPで中継(SSL Stripping)したとしても、Webブラウザはそれを知ることができず、中間者攻撃を許してしまう。」
つまり、HSTSが実装されていないサイトにHTTPでアクセスすると、中間者攻撃などを受けやすいです。
このことから学ぶべきことは、ある用語について、午前Ⅱで出たら解けるだけでなく、ドットコムサイトの解説をじっくり読んだり、ネットで深く調べたりすることです。
次に、設問2(2)です。
これは、ディジタル署名とディジタル証明書の基本が分かっていれば解ける問題で、問題文から読み解くしかありませんが、勘違いをすると空欄c~fが全滅するように作られています。図5から、空欄cとdが鍵ペアであり、空欄cが秘密鍵、空欄dが公開鍵であることは容易に分かります。空欄eとfも同様です。
図5の空欄cの直前に、公開鍵Kと秘密鍵Kがあり、公開鍵Kが送信されていますので、空欄cを秘密鍵K、空欄dを公開鍵Kとしたくなります。ところが、署名Lは、公開鍵Kを含んだ内容に対するディジタル署名であること、証明書Aは、公開鍵Aに対するディジタル証明書であること、証明書Aを検証後に空欄dを用いて署名Lを検証していることから、空欄dは公開鍵Kどころではなく、公開鍵Aであることが判断できます。これは、PKIにおいて、ディジタル証明書を検証したら、その後はその証明書の中にある公開鍵を使うことからも分かります。
図6には「利用者IDとドメインの組みに対するIDc及び空欄e」とあり、図5には「IDc、利用者ID、ドメイン、公開鍵K、秘密鍵Kの組合せを登録」とありますので、空欄eは秘密鍵Kです。
まとめると、テキストを読むことや過去問を解くことを何度も繰り返すよりも(私は過去問は1回だけ解けばいいという考え)、過去問(午前Ⅱも含め)の解答を導くための知識や技術に興味を持って深く調べることに時間を費やした方がいいと思います。
スレタイ
6回目の受験も不合格 不合格原因を教えて下さい。[0444]
https://www.sc-siken.com/bbs/0444.html
のように、「どうしたら合格できるか」「どういう勉強をしたらいいか」は回答しにくいものです。
さて、まず、設問1(3)です。
HSTSは、
平成30年秋期 午前Ⅱ 問12
https://www.sc-siken.com/kakomon/30_aki/am2_12.html
に、まるでこの午後Ⅰの予告編のように出題されました。管理人様の解説に重要なことが書かれています。
また、HTTP Strict Transport SecurityのWikiに、以下の通りあります。
「(中略)その際に、Webサーバーからのレスポンスにリダイレクトする指示を入れることになるが、HTTPは改竄検知機能を持たないため、攻撃者がこれを悪意のあるサイトにリダイレクトする指示に書き換えたり、HTTPSの内容をHTTPで中継(SSL Stripping)したとしても、Webブラウザはそれを知ることができず、中間者攻撃を許してしまう。」
つまり、HSTSが実装されていないサイトにHTTPでアクセスすると、中間者攻撃などを受けやすいです。
このことから学ぶべきことは、ある用語について、午前Ⅱで出たら解けるだけでなく、ドットコムサイトの解説をじっくり読んだり、ネットで深く調べたりすることです。
次に、設問2(2)です。
これは、ディジタル署名とディジタル証明書の基本が分かっていれば解ける問題で、問題文から読み解くしかありませんが、勘違いをすると空欄c~fが全滅するように作られています。図5から、空欄cとdが鍵ペアであり、空欄cが秘密鍵、空欄dが公開鍵であることは容易に分かります。空欄eとfも同様です。
図5の空欄cの直前に、公開鍵Kと秘密鍵Kがあり、公開鍵Kが送信されていますので、空欄cを秘密鍵K、空欄dを公開鍵Kとしたくなります。ところが、署名Lは、公開鍵Kを含んだ内容に対するディジタル署名であること、証明書Aは、公開鍵Aに対するディジタル証明書であること、証明書Aを検証後に空欄dを用いて署名Lを検証していることから、空欄dは公開鍵Kどころではなく、公開鍵Aであることが判断できます。これは、PKIにおいて、ディジタル証明書を検証したら、その後はその証明書の中にある公開鍵を使うことからも分かります。
図6には「利用者IDとドメインの組みに対するIDc及び空欄e」とあり、図5には「IDc、利用者ID、ドメイン、公開鍵K、秘密鍵Kの組合せを登録」とありますので、空欄eは秘密鍵Kです。
まとめると、テキストを読むことや過去問を解くことを何度も繰り返すよりも(私は過去問は1回だけ解けばいいという考え)、過去問(午前Ⅱも含め)の解答を導くための知識や技術に興味を持って深く調べることに時間を費やした方がいいと思います。
2020.02.06 09:02
ナナシさん
(No.4)
回答を催促し、貰っておきながらレスを放置してるなんて失礼すぎるね。
そういうところだと思う。
そういうところだと思う。
2020.02.10 18:40
助け人さん
(No.5)
ナナシさん
実は、応用情報のサイトを中心に回答をよく投稿していて、別にリアクションを求めるわけではなかったのですが、あまりにも放置状態のものが続いてイヤになって、半年くらい前に引退宣言しました。
その後は静観していましたが、やはり、誰の回答もないと気になって、いつの間にか復帰しています(基本1、応用8、安全1の割合)。今では、リアクションがないのは、もう慣れっこです。
でも、このスレッドの回答は、結構考えたのですが・・・。
今時点の応用情報のサイトを見ても、回答を放置されたものが多いです。以前に比べると、利用者層が変わってリアクションなしが多くなりました。以前は、いろいろと盛り上がったものです。
実は、応用情報のサイトを中心に回答をよく投稿していて、別にリアクションを求めるわけではなかったのですが、あまりにも放置状態のものが続いてイヤになって、半年くらい前に引退宣言しました。
その後は静観していましたが、やはり、誰の回答もないと気になって、いつの間にか復帰しています(基本1、応用8、安全1の割合)。今では、リアクションがないのは、もう慣れっこです。
でも、このスレッドの回答は、結構考えたのですが・・・。
今時点の応用情報のサイトを見ても、回答を放置されたものが多いです。以前に比べると、利用者層が変わってリアクションなしが多くなりました。以前は、いろいろと盛り上がったものです。
2020.02.10 19:12
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告