H29秋PM1問1の設3(2)(3)  狡猾な敵

こりんさん  
(No.1)
センタの解答
設3(2):復号に必要な共通鍵や秘密鍵が検体に含まれていないため。
私の解答
設3(2):対象ファイルの復号に必要な共通鍵が検体に含まれていないため。(30字)

・該当するランサムウェアXの問題文を抜き出すと、
「一方、共通鍵暗号と公開鍵暗号を組み合わせて使うタイプでは、PCのメモリ上に一時的に作成する共通鍵で対象ファイルを暗号化した後、その共通鍵をプログラム内にハードコードされた公開鍵で暗号化した上で、メモリからは共通鍵を消去するので、このタイプでは、検体を解析しても、ファイルを復号することは難しい。」

以上の文章からは、共通鍵は"暗号化前の共通鍵"と読める。そうすると、"公開鍵で暗号化された共通鍵"の復号のための"秘密鍵"は必要ない・関係ないので、この問題の設問に関しては、私の解答がOKとなるが・・・。


・もう少し深堀すると、
"公開鍵で暗号化された共通鍵"とそれを復号する"秘密鍵"は検体のどこかに必ずあるはずだ、と普通は考える。
本問はランサムウェアの問題であることを考えよう。狡猾な敵は対象ファイルを暗号化してしまえば、復号などどうでもいいのだ。初めから秘密鍵はランサムウェアX内に無く、"公開鍵で暗号化された共通鍵"も保存もしていない。
だから、"公開鍵で暗号化された共通鍵"も"秘密鍵"も検体に含まれていないのだ、と考える。
だけどこれだと、センタの解答なので、この問題では"秘密鍵"は必要ない・関係ないので、私の解答がOKとなるが・・・。


・更にそれを裏図けるのが設3(3)だ。
センタの解答
設3(3):PCで一時的に作成されたメモリ上の共通鍵が消えてしまうため。
私の解答    ほぼ同じ

該当するランサムウェアXの問題文を抜き出すと、
「ただし、ランサムウェアXの場合、暗号化に使用した共通鍵をメモリから消去しないため、PCをハイバネーション機能によって休止状態で保管しておくことによって、セキュリティベンダから復号ツールが提供されたときに、復号できる場合があるとのことだった。」

以上の文章から、前の段落の繋がりからも共通鍵はやはり"暗号化前の共通鍵"と読める。
それに、"秘密鍵"は容易には推測できないので、セキュリティベンダが"秘密鍵"を割り出し復号ツールに反映できる可能性は極めて薄い。(危殆化した公開鍵暗号を敵が使用していたら別だけど)
しかし、メモリ上の"暗号化前の共通鍵"なら暗号化された対象ファイルを容易に復号でき、復号ツールも提供できる。私の解答がOKとなるが・・・。


以上長々と、、、判定は如何に!
2020.07.21 00:12
次の試験受けますさん 
(No.2)
自分なりに考えてみました。
ランサムウェアXの動作を抜粋すると

①、メモリ上の一時的な共通鍵でファイルを暗号化
②、①の共通鍵をプログラム内の公開鍵で暗号化する
③、①の共通鍵はメモリから消去しない

②について、問題文には暗号化された共通鍵がその後削除されるのか、どこかに保存されるかは明言されていませんが、わざわざ鍵を暗号化するのは、それを保存しておいて交渉成立後、鍵を復号して暗号化ファイルを復号することを想定しているためと考えるのが自然だと思いますし、その方が攻撃者の目的が達成しやすくなると思います。

その公開鍵で暗号化された共通鍵を復号するための秘密鍵は、検体には無く攻撃者手元にあると考えられ、攻撃者は交渉が成立した場合秘密鍵を入れた復号ツールを渡す体で動いている。というところまでが出題者の意図ではないでしょうか。
2020.07.21 17:50
サンドラさん 
(No.3)
こちらの(2)に関してはハイブリッド暗号方式に関する知識を問う問題ですね。

本文下線④で「このタイプでは、検体を解析しても、ファイルを復号することは難しい。」とあります。
設問3(2)の問題文でも下線④について述べよとあるので、下線④の「このタイプ」=直前の本文「一方、共通鍵暗号と公開鍵暗号を組み合わせて使うタイプでは…」となり、ランサムウェアXについては一切問われていないです。
直後にも「ただし、ランサムウェアX…」とありますので、下線④以前の文章がランサムウェアXと関係性がない事が分かると思います。

回答としてはハイブリッド暗号方式で暗号化されたファイルは下記の鍵がないと復号できませんので、
①共通鍵(暗号化済み)
②秘密鍵
復号が困難な理由としては、この2つが無い事を書けば正答になると思います。
2020.07.21 20:31
こりんさん  
(No.4)
次の試験受けますさん、サンドラさん  レスありがとうございます。

・次の試験受けますさんの
「秘密鍵は、検体には無く攻撃者手元にあると考えられ」とし、
次に、"公開鍵で暗号化された共通鍵"が検体のどこかにあるとしても、それだと明示できるものがなければ、紛れてしまい見つからないと同じですね。攻撃者はこれを知っている(どこの位置にあるよ)のかも。とすると、2つ揃えて解答することが重要か。

・サンドラさんの
「下線④以前の文章がランサムウェアXと関係性がない事が分かると思います」
問題文を読み返すと、確かに関係ないですね。
更に出題者の意図は「ハイブリッド暗号方式で暗号化されたファイルの復号」にあるとすると、"暗号化前の共通鍵"だけでよいとする私の解答は違いますね。

後書き
この問題、1回目の時は「ふ~ん」と何も疑問を持たずでした。2回目は何故か引っかかりました。1問45分の中で1時間以上もここにあれこれ考えるのは、受験テクニックとしては不適切。でも勉強になりました。
2020.07.22 10:48

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop