情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

4.認証 > 4.1 認証について

認証は、認証する対象が何かによって、以下の3つがある。
本人(利用者)認証
 例えば、システムを利用する人が本人であるかをパスワードを使って認証する
メッセージ認証
 例えば、メッセージが改ざんされていないかをMAC(message authentication code)を使って認証する。 
時刻認証
 例えば、その時刻に存在したことをタイムスタンプを用いて認証する。

メールを例にとろう。
メールの送信者を認証するのが①、
メール本文が改ざんされていないかの認証が②、
メールを保存したりする場合に、その時刻を記録しておくのが③である。
認証の3つ_情報セキュリティスペシャリスト試験

本人認証には、知識認証と所有物認証、生体認証がある。
認証のレベルは後者になるにつれて上がる。
以下に整理する。 
利用者確認の方法セキュリティレベル利用者確認方法の例
知識認証 
What you know?
知識ベースなので、その知識を知っていれば
誰でもなりすましが可能である。 
・ID/パスワード
・合言葉「山」「川」
所有物認証
What you have?
所有物を盗まれた場合になり済まされる可能性
があるが、知識ベースと違って所有物を持った人
だけがなりすまし可能になる。 
・電子証明書
・ワンタイムパスワード用のトークン
・MACアドレス
生体認証
What you are?
身体的な特徴を元にするので、盗まれることや
貸し借りをすることができない。
・指紋認証
・静脈パターン認証
・虹彩認証
・声紋認証
・顔認証
・網膜認証
929c854c
実際には、これらを組み合わせた認証も増えていますよね。
たとえば、銀行ATMの場合、カード(所有物認証)とパスワード(知識認証)の2段階での認証です。



その通り。複数の認証を組み合わせることで、セキュリティレベルが高くなる。
最近では、指紋認証(生体認証)も普及しているね。

また、これらの認証技術でセキュリティを保つだけでなく、パスワードを数回間違えたら、利用できなくなるなどの、他の仕組みも組み合わせてセキュリティを高めている。

601a33a7

安全性を疑うひとも多いですよね?



たしかに。技術的には安全だが、運用面では欠点もあるだろう。「2007年度に発生したインターネットバンキングでの被害件数は231件(被害総額は1億9000万円)」との金融庁からの発表があったようだ。(出典「情報セキュリティ読本」実教出版)
また、2011.10.18(火)NHK夕方ニュースより以下のようなことが言われていた。
「インターネットバンキングの被害額が過去最高額(?)に。原因は送られてきたメールを開くことで感染したスパイウェアが主。三井住友などはワンタイムパスワードを導入しており、OTPを使った被害は今のところ報告されていない。」


まず、過去問(平成25SC春午後Ⅱ問2)を見てみよう。
Jさんが検討したところ,TSA (Time Stamping Authority)が発行するタイムスタンプを付与すれば,タイムスタンプの有効期間中は,電子ファイルが[  e  ]及び[  f  ]を証明可能であることが分かった。

設問5(1)本文中の[  e  ],[  f  ]に入れる証明可能なことを,それぞれ30字以内で述べよ。

正解は、以下である。
e タイムスタンプの時刻に存在していたこと 
f タイムスタンプの時刻以降に改ざんされていないこと

また、違う過去問(H22SC秋AMⅡ問2)では、タイムスタンプの効果として、「電子文書がタイムスタンプの時刻以前に存在したことを示し、作成者が、電子文書の作成を否認することを防止する」と述べられている。
※電子署名だけでは「その時点に存在した」ことが確保されない。

過去問(H17年SU午後Ⅱ問1)詳細な説明があるので、そこからポイントを引用する。理解を深めるためには、この問題に是非チャレンジしてほしい。
①用語の整理
・TSA(Time Stamp Authority):タイムスタンプ機関
・タイムスタンプトークン:電子データのハッシュ値に時刻情報を連結し、電子署名を付与した時刻証明情報
②処理の流れ
 (i)電子データのハッシュをTSAに送付する。
[電子データ]→HASHする→[電子データHASH]・・・これをTSAに送付する。
 (ii)TSAでは、電子データのHASHに時刻情報を付加して電子署名をする。
【[電子データのHASH]+時刻情報】+電子署名
※電子署名の中身は、【[電子データのHASH]+時刻情報】のハッシュをTSAの秘密鍵で暗号化したもの。
できあがったものは、タイムスタンプトークンと呼ばれる。
③タイムスタンプトークンの検証
 タイムスタンプトークンの中身である【[電子データのHASH]+時刻情報】が改ざんされていないかを確認する。そのために、電子署名をTSAの公開鍵で復号する。内容が一致すれば、改ざんされていないことが検証される。

せっかくなので、設問もみてみよう。
設問5
(1)公開かぎ証明書の有効期間が過ぎた後でも,領収書の保存期間内であれば,領収書に付与されたタイムスタンプを確認できる。どのような方法で確認すればよいか。50字以内で述べよ。
(2)設計書に付与されたタイムスタンプを,必要なときにいつでも検証可能にするには,どのような条件で,どのような処置を施すことが必要か。ルート証明書はいつでも入手できるものと仮定して,80字以内で述べよ。
(H17秋SU午後Ⅱ問1)
正解は以下であるが、問題文を読まないと解くのは難しいだろう。
一度チャレンジしていただきたい。
(1)タイムスタンプ機関に,タイムスタンプトークンが存在し,改ざんされていないことを証明してもらう。
(2)認証パスを構成する証明書の有効期限が切れる前に,関連するすべての証明書と失効情報を集め,タイムスタンプトークンとこれらに新たなタイムスタンプを付与する。

BitCashを例にすると、いろいろなやりとりがある。
例えば、すぐに申し込みができず、確認メールが送られてきて、そこから申込みがスタートする。
書いたメールアドレスにメールが送られ、そこから購入手続きが始まる。メールはフリーメールのアドレスでも可能なものがほとんど。
恐らくこれは、手順を複雑にすることで、SAPM的な登録を排除するためだと思う。利用者のセキュリティを保護するものではないだろう。
dcf52feb

生年月日を入れさせるのは?
生年月日は恐らく偽装でも可能。だが、あとで生年月日を聞かれることがある。適当に入力していると忘れてしまうので、あるいみ「嘘をつかずにきちんと入れた人しか認証しません」というメッセージになっていると思う。
また、上限額がある。
・同じメールアドレスで、連続での購入も禁止されている。
・購入金額は上限が1万円であり、ネットから購入する場合の不正購入の被害が抑えられるような対策になっていると考えられる。
601a33a7

なりすまし対策は何かしてますか?
利用のカード会社の「本人認証サービス」にご登録する必要あり
これは貴重ななりすまし対策である。
カード情報は、BitCashに行っていると思う。ただ、本人認証はカード会社に直接行っているので、セキュリティは高くなっている。

メッセージ認証に関しては、以下で述べた。
http://sc.seeeko.com/archives/4564657.html
復習ではあるが、認証には、①本人(利用者)認証、②メッセージ認証、③時刻認証の3つがある。
メッセージ認証は、メッセージ(文章)を認証するという意味。

メッセージ認証の目的
まず、メッセージ認証の目的から整理しよう。
問41 メッセージ認証符号におけるメッセージダイジェストの利用目的はどれか。
ア メッセージが改ざんされていないことを確認する。
イ メッセージの暗号化方式を確認する。
ウ メッセージの概要を確認する。
エ メッセージの秘匿性を確保する。 (H23秋FE午前)
正解はアだ。
メッセージ認証には、MAC(message authentication code)を使う。これは、ディジタル署名と同じように、メッセージにハッシュをつけて送ることで、改ざんがされていないかがわかる。

メッセージ認証の仕組み
メッセージ認証に関する違う過去問で確認する。
問73 公開鍵基盤とハッシュ関数を利用したメッセージ認証の手法はどれか。
ア 受信者は,送信者の公開鍵とハッシュ関数を用いてハッシュ値を復号し,メッセージを得る。
イ 受信者は,ハッシュ関数を用いてメッセージからハッシュ値を生成し,送信者の公開鍵で復号したハッシュ値と比較する。
ウ 送信者は,自分の公開鍵とハッシュ関数を用いてメッセージからハッシュ値を生成し,メッセージとともに送信する。
エ 送信者は,ハッシュ関数を用いて送信者の秘密鍵のハッシュ値を生成し,メッセージとともに送信する。
(H18秋SW午前)
正解はイ

H26年SC春午後1問3には、オンラインバンキングの認証について整理されている。
ちなみにマルウェアJは、「Webインジェクト(Webインジェクション)」と言われる攻撃で、マルウェアKはMITB攻撃である。

項番

セキュリティ対策


 

マルウェアJの感染に起因する不正送金への対策としての評価

マルウェアKの感染に起因する不正送金への対策としての評価

1

利用者ID ・ パスワード認証

対策にならない

対策にならない

2

クライアント証明書による認証

対策になる

対策にならない

3

乱数表による認証

対策にならない

対策にならない

4

ワンタイムパスワード認証

対策になる

対策にならない

5

リスクベース認証

対策になる

対策にならない

6

送金内容認証

対策になる

対策になる

※ただし、項番5はマルウェアJにて、その内容を入力させられる可能性があり、対策になるというのは限定的であると感じる。
それぞれの詳しい内容は、過去問を見てほしい。参考までに、リスクベース認証は、以下のように(ゆうちょの例)、秘密の答を聞く方法だ。
aikotoba


Facebookには芸能人になりすますなどの大量のなりすましが存在する模様。本人確認の方法が特になく、自己申告であるため、やむを得ないであろう。
また、伊藤理佐さんが大量にいるとか。
d18680c9
それと、Facebookで、知らない人が私の情報知っているのにびっくりしました。
友達になった人だけが知っているかと思ったら、そうではなかったのです。
運用が大事だね。きちんと設定していれば問題なかったと思う。
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「Facebook では、各ユーザが個人情報の公開範囲をコントロールするため、適切な設定をしていないと意図せず個人情報が公開される恐れがある。」と述べられている。本人が注意して活用する必要がある。

このページのトップヘ