今週の午後問題〔解答〕情報セキュリティ パスワードを安全に保存する方法 2018 年度 春期

error

この記事は基本情報技術者試験の旧制度( 2022 年以前)の記事です。
この記事の題材となっている「午後問題」は現在の試験制度では出題されません。 ご注意くださいませ。

今週の午後問題

このコーナーでは毎週月曜に午後の必須選択問題から 1 問ピックアップして出題し、 解答欄 を設け、読者の皆さまにも解答してもらっています!

今週の午後問題は「 Web サービスを利用するためのパスワードを安全に保存する方法」でしたが、皆さん、手応えはいかがでしょうか?

金曜になりましたので、出題の 解答 と 矢沢久雄さんによる 解説 に加えて、皆さんの正解率を公開します。

今週の午後問題
2018 年度 春期 Web サービスを利用するためのパスワードを安全に保存する方法

解答と解説

設問 1a

正解

AES ( Advanced Encryption Standard ) は、共通かぎ暗号方式です。
Diffie-Hellman ( 2 人の考案者の人名 ) は、他者に知られないように共通鍵を交換する方式です。
RSA ( 3 人の考案者 Rivest 、 Shamir 、 Adelman の頭文字 ) は、公開鍵暗号方式です。
SHA-256 ( Secure Hash Algorithm 256bit ) は、ハッシュ関数です。
TLS ( Transport Layer Security ) は、インターネットで利用されているセキュアなプロトコルで、認証、改ざんの検出、暗号化の機能があります。

したがって、選択肢エが正解です。

設問 1b

正解

パスワードが異なれば同じハッシュ値になる可能性は極めて低いので、選択肢アは正しくありません。

同一のパスワードは同じハッシュ値になるので、選択肢イは適切です。

ハッシュ値から元のパスワードに逆変換できないので、選択肢ウは正しくありません。

ハッシュ化に秘密鍵は関係ないので、選択肢エは正しくありません。

したがって、選択肢イが正解です。

設問 2c

正解

悪人が、様々なパスワードをハッシュ値に変化したもの(辞書と呼ばれる)を用意すれば、ハッシュ値からもとのパスワードを知ることができる場合があります。

これを防ぐために、パスワードにランダムなデータ(これをソルトと呼ぶ)を付加してからハッシュ化する方法が考案されました。ソルト( salt )とは、セキュリティを強化するために振りかけられた「塩」という意味です

この設問では、パスワードにソルトを付加してからハッシュ化するのですから、パスワードだけをハッシュ化したときとは異なるハッシュ値が得られます。

したがって、選択肢イが正解です。

設問 2d

正解

ソルトの値を知らないと一覧表を作れないので、選択肢アは正しくありません。

パスワードファイルからソルトを入手できないのは事実ですが、ソルトが

事前計算による辞書攻撃の対策として効果がある

理由を選ぶので、選択肢イは正しくありません。

パスワードファイルの入手が困難になるかどうかはソルトと無関係なので、選択肢ウは正しくありません。

ソルトが使われていると、攻撃者は様々なパスワードと様々なソルトで事前に辞書を作る必要があります。これには、膨大な時間がかかるので、現実的に不可能です。選択肢エは適切です。

したがって、選択肢エが正解です。

設問 3

正解

パスワード自体は長くならないので、選択肢アは正しくありません。

ハッシュ値の長さはハッシュ化するデータの長さに関わらず同じなので、選択肢イは正しくありません。

ハッシュ化の回数は増えても比較の回数は増えないので、選択肢ウは正しくありません。

何度もハッシュ値を求めることに時間がかかるので、選択肢エは適切です。

したがって、選択肢エが正解です。

みんなの解答

ご解答いただいた皆さん、ありがとうございました!

では、正解率はいかがだったでしょうか?






 

なお、以下はこの問題の IPA の講評です。今後の参考になれば幸いです。

 問 1 では, Web サービスにおけるパスワードの保存を題材に,ハッシュ関数の特性や利用方式について出題した。

 設問 1 では, a の正答率は低く,あまり理解されていなかった。ウと誤って解答した受験者が見受けられた。解答群に挙げたものは,いずれも基本的かつ重要なものなので,その意味を正しく理解しておいてほしい。 b の正答率は高く,よく理解されていた。

 設問 2 の正答率は平均的で,おおむね理解されていた。

 設問 3 の正答率は平均的で,おおむね理解されていたが,ウと誤って解答した受験者が多く見受けられた。ストレッチング方式を用いる場合であっても,一つのパスワードの候補から求める,照合に用いるハッシュ値は一つであることと,その一つのハッシュ値を求めるためにハッシュ化の操作を繰り返すので,計算時間がより多く必要になることに気がつけば,正答できた。

 ハッシュ関数は,様々なサービスや製品で,安全性を向上させるために使われている。ハッシュ関数の特性を正しく理解し,ハッシュ関数をどのように用いると,より安全に利用できるのかを把握できる能力を身につけておいてほしい。

来週も引き続き、情報セキュリティから出題します!ぜひ挑戦してみてください!

label 関連タグ
科目A試験は、
免除できます。
独習ゼミで科目A試験を1年間免除して、科目B試験だけに集中しましょう。
免除試験を受けた 74.9% の方が、
科目A免除資格を得ています。
科目A免除試験 最大 2 回の
受験チャンス !
info_outline
科目A免除試験 最大 2 回の
受験チャンス !
詳しく見てみるplay_circle_filled
label これまでの『今週の午後問題』の連載一覧 label 著者