今週の午後問題〔解答〕情報セキュリティ パスワードを安全に保存する方法 2018 年度 春期
error
この記事は基本情報技術者試験の旧制度( 2022 年以前)の記事です。
この記事の題材となっている「午後問題」は現在の試験制度では出題されません。 ご注意くださいませ。
このコーナーでは毎週月曜に午後の必須選択問題から 1 問ピックアップして出題し、 解答欄 を設け、読者の皆さまにも解答してもらっています!
今週の午後問題は「 Web サービスを利用するためのパスワードを安全に保存する方法」でしたが、皆さん、手応えはいかがでしょうか?
金曜になりましたので、出題の 解答 と 矢沢久雄さんによる 解説 に加えて、皆さんの正解率を公開します。
今週の午後問題
2018 年度 春期 Web サービスを利用するためのパスワードを安全に保存する方法
解答と解説
設問 1a
正解 エ
- ア
- AES ( Advanced Encryption Standard ) は、共通かぎ暗号方式です。
- イ
- Diffie-Hellman ( 2 人の考案者の人名 ) は、他者に知られないように共通鍵を交換する方式です。
- ウ
- RSA ( 3 人の考案者 Rivest 、 Shamir 、 Adelman の頭文字 ) は、公開鍵暗号方式です。
- エ
- SHA-256 ( Secure Hash Algorithm 256bit ) は、ハッシュ関数です。
- オ
- TLS ( Transport Layer Security ) は、インターネットで利用されているセキュアなプロトコルで、認証、改ざんの検出、暗号化の機能があります。
したがって、選択肢エが正解です。
設問 1b
正解 イ
パスワードが異なれば同じハッシュ値になる可能性は極めて低いので、選択肢アは正しくありません。
同一のパスワードは同じハッシュ値になるので、選択肢イは適切です。
ハッシュ値から元のパスワードに逆変換できないので、選択肢ウは正しくありません。
ハッシュ化に秘密鍵は関係ないので、選択肢エは正しくありません。
したがって、選択肢イが正解です。
設問 2c
正解 イ
悪人が、様々なパスワードをハッシュ値に変化したもの(辞書と呼ばれる)を用意すれば、ハッシュ値からもとのパスワードを知ることができる場合があります。
これを防ぐために、パスワードにランダムなデータ(これをソルトと呼ぶ)を付加してからハッシュ化する方法が考案されました。ソルト( salt )とは、セキュリティを強化するために振りかけられた「塩」という意味です。
この設問では、パスワードにソルトを付加してからハッシュ化するのですから、パスワードだけをハッシュ化したときとは異なるハッシュ値が得られます。
したがって、選択肢イが正解です。
設問 2d
正解 エ
ソルトの値を知らないと一覧表を作れないので、選択肢アは正しくありません。
パスワードファイルからソルトを入手できないのは事実ですが、ソルトが
事前計算による辞書攻撃の対策として効果がある
理由を選ぶので、選択肢イは正しくありません。
パスワードファイルの入手が困難になるかどうかはソルトと無関係なので、選択肢ウは正しくありません。
ソルトが使われていると、攻撃者は様々なパスワードと様々なソルトで事前に辞書を作る必要があります。これには、膨大な時間がかかるので、現実的に不可能です。選択肢エは適切です。
したがって、選択肢エが正解です。
設問 3
正解 エ
パスワード自体は長くならないので、選択肢アは正しくありません。
ハッシュ値の長さはハッシュ化するデータの長さに関わらず同じなので、選択肢イは正しくありません。
ハッシュ化の回数は増えても比較の回数は増えないので、選択肢ウは正しくありません。
何度もハッシュ値を求めることに時間がかかるので、選択肢エは適切です。
したがって、選択肢エが正解です。
みんなの解答
ご解答いただいた皆さん、ありがとうございました!
では、正解率はいかがだったでしょうか?
なお、以下はこの問題の IPA の講評です。今後の参考になれば幸いです。
設問 1 では, a の正答率は低く,あまり理解されていなかった。ウと誤って解答した受験者が見受けられた。解答群に挙げたものは,いずれも基本的かつ重要なものなので,その意味を正しく理解しておいてほしい。 b の正答率は高く,よく理解されていた。
設問 2 の正答率は平均的で,おおむね理解されていた。
設問 3 の正答率は平均的で,おおむね理解されていたが,ウと誤って解答した受験者が多く見受けられた。ストレッチング方式を用いる場合であっても,一つのパスワードの候補から求める,照合に用いるハッシュ値は一つであることと,その一つのハッシュ値を求めるためにハッシュ化の操作を繰り返すので,計算時間がより多く必要になることに気がつけば,正答できた。
ハッシュ関数は,様々なサービスや製品で,安全性を向上させるために使われている。ハッシュ関数の特性を正しく理解し,ハッシュ関数をどのように用いると,より安全に利用できるのかを把握できる能力を身につけておいてほしい。
来週も引き続き、情報セキュリティから出題します!ぜひ挑戦してみてください!
label 関連タグ免除試験を受けた 74.9% の方が、 科目A免除資格を得ています。
今週の午後問題〔解答〕アルゴリズム 文字列の誤りの検出 2017 年度 秋期
update今週の午後問題〔問題〕アルゴリズム 文字列の誤りの検出 2017 年度 秋期
update今週の午後問題〔解答〕アルゴリズム ヒープの性質を利用したデータの整列 2018 年度 春期
update今週の午後問題〔問題〕アルゴリズム ヒープの性質を利用したデータの整列 2018 年度 春期
update今週の午後問題〔解答〕アルゴリズム 整数式の解析と計算 2018 年度 秋期
update今週の午後問題〔問題〕アルゴリズム 整数式の解析と計算 2018 年度 秋期
update今週の午後問題〔解答〕アルゴリズム ハフマン符号化を用いた文字列圧縮 2019 年度 春期
update今週の午後問題〔問題〕アルゴリズム ハフマン符号化を用いた文字列圧縮 2019 年度 春期
update今週の午後問題〔解答〕情報セキュリティ SSH による通信 2017 年度 秋期
update今週の午後問題〔問題〕情報セキュリティ SSH による通信 2017 年度 秋期
update- 基本情報技術者試験 の受験勉強をレポート頂ける方を募集中です!
- ツイッター で過去問を配信しています
姉妹サイト 「IT資格の歩き方」 では応用情報技術者以上の情報処理技術者試験の対策記事があります!
基本情報技術者試験を合格されたら、「IT資格の歩き方」で末永く、スキルアップにお役立てください!