情報処理安全確保支援士(情報セキュリティスペシャリスト) - SE娘の剣 -

情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

3.暗号

b2b8429f.jpg

企業秘密や個人情報を保護する観点からだと思うのですが、専用線だってキャリアに任せるわけでしょ。リスクは同じでしょ。





確かに大手キャリア一社ならいいけれど、小さいプロバイダを含めて色々経由している。ためしにTranceport してみるとわかる。セキュリティ対策があまいプロバイダもあるかと思う。
通信設備に機器をつけます。物理的な対策がしっかりしていないと、どの企業でもされる可能性があります。
または、以下のように、ケーブルからもれる電磁波を盗聴される。
H22SC秋午後Ⅱ問2設問4(1)より
製造LANのセキュリティ対策について、(1)、(2)に答えよ。
(1) 本文中の下線②について、サーバエリアから製造装置までのネットワークケーブルを電線管によって保護するのは、どのようなリスクの低減を意図したものか。ネットワークケーブルが破損すること以外のリスクを、25文字以内で述べよ。

解答:(1) ケーブルから漏れる電磁波による通信内容の盗聴(22文字)

問24 社内のセキュリティポリシで、利用者の事故に備えて秘密鍵を復元できること、及びセキュリティ管理者の不正防止のための仕組みを確立することが決められている。電子メールで公開鍵暗号方式を使用し、鍵の生成はセキュリティ部門が一括して行っている場合秘密鍵の適切な保管方法はどれか。

ア 一人のセキュリティ管理者が、秘密鍵を暗号化して保管する。
イ 暗号化された秘密鍵の一つ一つを分割し、複数のセキュリティ管理者が分担して保管する。
ウ セキュリティ部門には、秘密鍵を一切残さず利用者本人だけが保管する。
エ 秘密鍵の一覧表を作成して、セキュリティ部門内に限り参照できるように保管する。(平成18年SU午前)
鍵を安全に保つ方法の、なかなか良い問題だと思う。
よく考えれば分かりますが、ひとつひとつなぜダメなのかを考えよう。
例えば、ア。これはどうでしょう。
db2fc28c
これは、その一人が不正をする可能性がありますね。
いくらセキュリティ管理者といえど、不正の可能性は多いにあります。




正解はイ

601a33a7

いつも4桁のパスワードをかけてますが、大丈夫ですかね?




まあ、社内ならいいかもしれないけど。
Excelのパスワードを解くツールがネットで数千円で売ってるよ。
「それって犯罪行為では?」と思う人も多いだろう。ただ、表向きはというか、自分が忘れた場合にパスワードを回復するツールとして売られている。

「鍵」がつく言葉には①秘密鍵,②共通鍵,③公開鍵の3つがあります。一方,「暗号方式」は,共通鍵暗号方式と公開鍵暗号方式の2つです。この点を整理します。
 共通鍵暗号方式で使用する鍵が①秘密鍵です。一方、公開鍵暗号方式で使用する鍵は①秘密鍵と③公開鍵の2つです。

方式

共通鍵暗号方式

公開鍵暗号方式

使用する鍵

秘密鍵

秘密鍵,公開鍵

 共通鍵暗号方式は,暗号化する鍵と復号する鍵が同じ(共通)だから「共通」鍵と言われますが、実際に使うのは秘密に管理すべき「秘密鍵」です。 

問24 公開かぎ暗号方式によるディジタル署名のプロセスとハッシュ値の使用方法に関する記述のうち、適切なものはどれか。

ア 受信者は、送信者の公開かぎで復号してハッシュ値を取り出し、元のメッセージをハッシュ変換して求めたハッシュ値と比較する。
イ 送信者はハッシュ値を自分の公開かぎで暗号化して、元のメッセージと共に受信者に送る。
ウ ディジタル署名の対象とする元のメッセージは、それを変換したハッシュ値から復元できる。
エ 元のメッセージ全体に対して公開かぎ暗号化を行い、ハッシュ値を用いて復号する。(平成17年度SU午前)

正解は、以下。
ドラッグしてください。

5
最近はいろいろな製品で暗号化がされていますが、その暗号レベルってのは利用者にはわからないですね。
もしかすると、すぐに破られる暗号かもしれませんし。大丈夫なんでしょうか?
FIPS 140 (Federal Information Processing Standardization 140)という米国の規格がある。これが、暗号の仕組みの基準である。セキュリティ製品のセキュリティ要件のガイドラインみたいなものだ。
※FIPS140-2(Federal Information Processing Standard)のFederalは、連邦政府という意味で、140は数ある規格の中の、単なる通番と考えればいいだろう。

過去問ではFIPS140-2の説明として、「暗号モジュールのセキュリティ要求事項(H22秋SC午前2問3)」と述べられている。
「モジュール」という言葉の定義がわかりにくい。ハードやソフトなどをひっくるめたものだ。
-2はバージョンと考えればよい。
-3は現在開発中である。

11d7b807
インターネットの鍵は
「有名な数学者が何日もかけないと解けないくらい安全」だそうです。
これって安全なのか危険なのかよくわからないです。



納得しがたいかもしれませんが、安全ということになります。計算量的安全性と言われ、その計算量が何十年などの膨大な計算がかかることが安全性の根拠である。ただし、暗号解読技術の向上や、コンピュータの処理能力の大幅向上により、古いアルゴリズムではこの安全性が脅かされていることであろう。

一方で、パスワード解読サービスが数万円程度で実施されている。
つまり、数時間や数日で解けるということ。これは一般的に7ケタ以下のパスワードはツール等で解けてしまう。これは安全ではありません。

ちなみに、暗号解読で有名なのは、エニグマの解読であろう。ナチスのドイツが使っていたエニグマ(enigma)暗号。これを機械を使って短時間に解読できるようにしたのが数学者チューリング。

問3 PCに内蔵されるセキュリティチップ(TPM:Trusted Platform Module)が持つ機能はどれか。
ア TPM間の共通鍵の交換
イ 鍵ペアの生成
ウ ディジタル証明書の発行
エ ネットワーク経由の乱数送信
(H23SC春午前2)

TPM(Trusted Platform Module)のTrustedとは、「信頼された」という意味である。
セキュリティチップにて、パソコンハードディスクを暗号化すると、ハードディスクを持ち出されても復号することはできない。正解はイ

情報セキュリティスペシャリスト試験の過去問(H25SC春午前2問11)では、「CRYPTRECの活動内容」として、「客観的な評価によって安全性及び実装性に優れると判断された暗号技術のリストを決定する」「特定の政府機関や企業から独立した組織であり,国内のコンピュータセキュリティインシデントに関する報告の受付,対応の支援,発生状況の把握,手口の分析,再発防止策の検討や助言を行っている。(H27春AP午前問40不正解選択肢)」 と述べられている。

http://www.cryptrec.go.jp/
上記サイトには、「CRYPTREC とはCryptography Research and Evaluation Committees の略であり、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトである」と述べられている。
※CRYPTREC(Cryptography Research and Evaluation Committees)を直訳すると、「暗号の研究と評価委員会」である。

また、「2. 経緯と役割」として、以下の記載がある。

我が国が目指す世界最先端のIT 国家を構築するには、基盤となる電子政府のセキュリティを確保する必要があり、安全性に優れた暗号技術を利用することが不可欠である。この目的のため、客観的な評価により安全性及び実装性に優れると判断された暗号技術をリスト化する暗号技術評価プロジェクトが2000年度から3年間の予定で組織化され、CRYPTREC(Cryptography Research and Evaluation Committees)と名づけられた。

違う過去問(H27春SC午前2問4)を見てみよう
問8 総務省及び経済産業省が策定しだ電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)"を構成する暗号リストの説明のうち,適切なものはどれか。

ア 推奨候補暗号リストとは,  CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
イ 推奨候補暗号リストとは,候補段階に格下げされ,互換性維持目的で利用する暗号技術のリストである。
ウ 電子政府推奨暗号リストとは,  CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
エ 電子政府推奨暗号リストとは,推奨段階に格下げされ,互換性維持目的で利用する暗号技術のリストである。」とある。
正解はウである

以下は難問ですが、実際に出題された問題(H28秋SC午後Ⅱ問1)なので、チャレンジしてください。
(4)CRYPTRECの“電子政府推奨暗号リストに含まれている暗号技術を解答群の中から全て選び,記号で答えよ。ただし,“電子政府推奨暗号リストは, CRYPTREC暗号リスト(平成28年3月29日版)に掲載されているものとし,暗号技術はハッシュ関数を含むものとする。
解答群
ア AES          イ Camellia       ウ DES      エ ECDSA      
オ MD4        カ MD5 キ RSA-OAEP      ク SHA-256       ケ SHA-512
難しいですね。
正解は、ア、イ、エ、キ、ク、ケ です。

フィンガープリントを直訳すると「指の印刷」なので、指紋と考えればよく、その実体はハッシュ値である。たとえば、公開鍵であれば、そのフィンガープリントは公開鍵のハッシュ。
fin












政府認証基盤(GPKI)のフィンガープリントは以下で公開されており、ブラウザの拇印を確認することで、検証することが可能だ。
https://www.gpki.go.jp/selfcert/finger_print.html

過去問を見てみよう。
設問1 (3) PGPでは,通常,証明書のフィンガプリントを確認するが,正しいフィンガプリントの入手方法として安全と考えられるものを一つ挙げ, 30字以内で述べよ。(H22春SC午後I問3)
試験センターの解答例:紙媒体でフィンガプリントを入手する。

フィンガープリントの例1:メールの署名
メールの署名に以下のように付けている場合もあるだろう。
♪♪------------♪♪------------
Shihoo Samon <samon@4hoo.net>
Fingerprint:9c07 e4a4 3567 0c3d 23f3 42c2 83f1 62b6 c0bc 932d
 
フィンガープリントの例2:ブラウザ
ブラウザに証明書が入れられているのであれば、ブラウザから確認できる。
「インターネットオプション」「コンテンツ」「証明書」で該当の証明書を開く。「詳細」タブの「拇印」で確認できる。
finger


スポンサードリンク

↑このページのトップヘ