R2秋・午後II 問2 設問6 ディスク暗号化

ボートさん  
(No.1)
ディスク暗号化についての設問です。

模範解答では「g、パスワードの推測によってログイン」となっていて、
私はこの問題を解くときに毎回「g、ディスク暗号化の秘密鍵を解読」と答えてしまします。

私の解答が間違っている理由は、
【ディスク暗号化の秘密鍵を解読するよりも、OSのパスワードの推測の方が計算量が少ない】
からなのでしょうか?

また、私の解答は、
問題文に以下のような文章が記載されていて初めて正解となり得るのでしょうか?

「ノートPCはログインに連続して5回失敗したらアカウントロックが発動する。
そのため、パスワードの推測によるノートPCへの不正ログインは困難となっている。
(省略)
ディスク暗号化と復号に用いる鍵ペアはTPM内に保存され、不正に取り出すことはできない仕様となっている。」



以上、よろしくお願いいたします。
2023.09.23 10:26
pixさん 
SC ダイヤモンドマイスター
(No.2)
>私の解答が間違っている理由は、
>【ディスク暗号化の秘密鍵を解読するよりも、OSのパスワードの推測の方が
>計算量が少ない】からなのでしょうか?
この種の問題を考える際に以下の2点を考慮する必要があります。
・技術的実現性
・攻撃者の行動原理・人間心理

スレ主様の解答は「技術的実現性」の面のみで解答しています。
「攻撃者の行動原理・人間心理」からも考慮することによって、解答の根拠が
強化されます。

・「技術的実現性」からの考察
正答:「パスワードの推測によってログイン」
      ログインできる可能性が数パーセントあると考えらえる
スレ主様の解答:「ディスク暗号化の秘密鍵を解読」
      秘密鍵を解読することは技術的に不可能という認識でよいと考えられる
ゆえに、[ g ]は「パスワードの推測によってログイン」がマッチすると考えられます。

・「攻撃者の行動原理・人間心理」からの考察
P22 Gさんの発言:「ノートPCの盗難・紛失時の情報漏えい対策としては、・・・」
とあります。キーワードとして、『盗難』と『紛失』があります。このキーワードは
重要です。
『紛失』であれば、ノートPCは不特定の第三者が拾うので、OSのパスワードを推測
される可能性は低いです。
しかし『盗難』でれば、悪意ある者が機密情報の入手のためにノートPCを窃盗した
可能性があります。その場合、ノートPCの所有者の個人情報からOSのパスワードを
推測されてしまう危険性があります。
ゆえに、[ g ]は「パスワードの推測によってログイン」がマッチすると考えられます。

SCの問題の傾向として、解答についてうまく根拠を持てないという方が多数います。
そのような方の傾向として、解答に技術的実現性のみを求めているケースが多いです。
しかしIPAの解答例から判断するに、IPAは技術的実現性に合わせて、ソーシャル
ハッキング的な人間の行動・心理を含めた解答を期待しているように読み取れます。
今後は解答に人間の行動・心理も加味して考慮してみるのが良いと思います。
2023.09.23 10:53

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop