平成22年春期試験問題 午前Ⅱ 問4

S/KEYワンタイムパスワードに関する記述のうち,適切なものはどれか。

  • クライアントは認証要求のたびに,サーバへシーケンス番号と種(Seed)からなるチャレンジデータを送信する。
  • サーバはクライアントから送られた使い捨てパスワードを演算し,サーバで記憶している前回の使い捨てパスワードと比較することによって,クライアントを認証する。
  • 時刻情報を基にパスワードを生成し,クライアント,サーバ間でパスワードを時刻で同期させる。
  • 利用者が設定したパスフレーズは1回ごとに使い捨てる。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
解説
S/KEYは、ワンタイムパスワードにより認証を行う方式の1つで、フリーウェアとして公開されています。

S/KEYの認証手順は次の通りです。
  1. クライアントは、サーバにユーザーIDを送り認証要求をする
  2. サーバはユーザーごとに記録しているシーケンス番号(n)から1を減じた値(n-1)と種(Seed)をクライアントに送信する
  3. クライアントは、パスワードと種(Seed)を連結したデータにハッシュ関数を(n-1)回繰り返してパスフレーズPn-1を生成する
  4. クライアントは、3.で生成したパスフレーズをサーバに送信する
  5. サーバは、受け取ったパスフレーズにもう1回だけハッシュ関数を適用して得たPnと、前回の認証時にユーザーから受け取ったパスフレーズ(ハッシュ関数がn回繰り返されたもの=P'n)を比較する
  6. サーバは、PnとP'nが一致すれば正当な利用者であると判断する
  7. サーバは、P'nと破棄し、代わりにPn-1を保存、さらに記録されているシーケンス番号(n)を1だけ減じておく
04.png
  • 送信方向が逆で、ログイン要求を受け取ったサーバがシーケンス番号と種(Seed)をクライアントに送信します。
  • 正しい。
  • 時刻同期方式の説明です。S/KEYでは時刻情報を利用しません。
  • クライアントが設定したパスフレーズは、次回のログイン要求の際に必要な情報なのでサーバ内に保存されます。

Pagetop