読者です 読者をやめる 読者になる 読者になる

情報セキュリティスペシャリスト受験ノート

情報セキュリティスペシャリストの試験勉強用のノートです。

公開鍵基盤の構築に関する問題

02.PKI

【H21春SC午後2問1】

 

1.暗号化について 

2011年以降に調達できなくなる暗号アルゴリズム

共通鍵暗号
⇒ 2-key Triple DES

公開鍵暗号
⇒ 鍵長1,024ビットのRSA および DSA
  鍵長160ビットのECDSA

ハッシュ関数
⇒ SHA-1(ある条件下でハッシュ値の衝突を意図的に起こすことができる脆弱性あり)


メールの暗号化と署名、複合と署名の検証を行うために必要となる証明書
⇒ ルート証明書

 

2.ウイルス定義ファイルの最新化について

Tシステム(テレワーク環境)で使用するPC(テレワークPC)は、社内PCと同じアプリケーションプログラム、ウイルス対策ソフトが導入されたものを貸与。しかしウイルス定義ファイルは社内に設置されている配布用のサーバだけから自動的に配布されるようになっている。そのためテレワークPCについては、VPNIPsecを利用)で社内ネットワークに接続されていない時に問題が起こる可能性がある。
⇒ 問題:社内ネットワークに接続されないと、ウイルス定義ファイルが更新されない。
⇒ 対策:インターネット上のウイルス定義ファイル配布サーバからも更新できるように、PCの設定を変更する。

 

3.テレワークPCの秘密鍵の管理について

テレワーク対象者が、他人が社内ネットワークへ不正にアクセスしないようにするため自分のテレワークPCに注意する点(秘密鍵の漏えい防止の観点から)
⇒ ・テレワークPCの紛失、盗難対策を行う。
  ・テレワークPCを他人に貸与しない。
  ・テレワークPC以外に秘密鍵および証明書を導入しない。
  ・テレワークPCno利用者パスワードを堅牢なものにする。

 

4.秘密鍵の推測によるデータの改善やなりすましについて

秘密鍵が推測が成功した場合の、改ざんやなりすましの方法
⇒ 電子署名の対象のデータを改ざんした上で、そのハッシュ値から、推測した秘密鍵で署名を生成し、本来の所有者と偽って送信する。

 

5.PKI構築について

電子化された注文票を、インターネットを使って安全に送付する方法(注文票を作成したグループ販社とA者の者だけで内容を知る)
・Webシステムを利用する方法(SSLで暗号化された通信路を使って送付する)
・メールを利用する方法(S/MIMEを使用してメールの暗号化と電子署名を行う)

SSLS/MIMEも公開鍵基盤(PKI)の上で動作するため、まず認証局(CA)が必要となる。
利用者は、自分自身の秘密鍵と公開鍵の対(鍵ペア)を生成する。CAはこの公開鍵に対して公開鍵証明書を発行する。

証明書を発行するために、自営CAの秘密鍵を使う必要があるが、自営CAの秘密鍵が漏えいすると、双方(グループ販社とA社)に被害が及ぶ。
⇒ グループ販社の発注担当者の証明書が偽造され、偽の注文票が送られる可能性がある。

利用者が証明書署名要求(CSR)を作成するためには、事前に、鍵ペアを生成しておく必要がある。
鍵ペアの生成は、利用者本人でなく、A社(鍵ペア生成プログラムを開発)が行う。
その際、利用者の鍵ペアの取扱いについての注意事項をきちんと決めておく必要がある。
⇒ ・CAにおいて、利用者の秘密鍵を厳重に管理する。
  ・鍵ペアと証明書の送付後に、CAでは秘密鍵を削除する。

 

6.秘密鍵で署名したメールの送信について

Nシステム:営業部における受注業務での受注誤りを減らすためのシステム

グループ販社において、証明書をNシステム以外の用途に使用しないようにする。

グループ販社の発注担当者が、証明書の使用制限に反して、第三者に対し、A社の自営CAで生成された秘密鍵を用いて署名したメールを送信した場合にメール受信者で発生する問題(自営CAを採用していることを考慮)
⇒ 問題:署名の正当性を確認できない。
⇒ 理由:A社CAのルート証明書を導入していないから。