予想問題vol.9 問32

問32

S/KEYワンタイムパスワードに関する記述のうち,適切なものはどれか。
  • クライアントは認証要求のたびに,サーバへシーケンス番号と種(Seed)からなるチャレンジデータを送信する。
  • サーバはクライアントから送られた使い捨てパスワードを演算し,サーバで記憶している前回の使い捨てパスワードと比較することによって,クライアントを認証する。
  • 時刻情報を基にパスワードを生成し,クライアント,サーバ間でパスワードを時刻で同期させる。
  • 利用者が設定したパスフレーズは1回ごとに使い捨てる。
  • [出典]
  • 情報セキュリティ H22春期 問4

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

S/KEYは、ワンタイムパスワードにより認証を行う方式の1つで、フリーウェアとして公開されています。

S/KEYの認証手順は次の通りです。
  1. クライアントは、サーバにユーザIDを送り認証要求をする
  2. サーバはユーザごとに記録しているシーケンス番号(n)から1を減じた値(n-1)と種(Seed)をクライアントに送信する
  3. クライアントは、パスワードと種(Seed)を連結したデータにハッシュ関数を(n-1)回繰り返してパスフレーズPn-1を生成する
  4. クライアントは、2.で生成したパスフレーズをサーバに送信する
  5. サーバは、受け取ったパスフレーズにもう1回だけハッシュ関数を適用して得たPnと、前回の認証時にユーザから受け取ったパスフレーズ(ハッシュ関数がn回繰り返されたもの=P'n)を比較する
  6. サーバは、PnとP'nが一致すれば正当な利用者であると判断する
  7. サーバは、P'nと破棄し、代わりにPn-1を保存、さらに記録されているシーケンス番号(n)を1だけ減じておく
32.gif/image-size:354×531
  • 送信方向が逆で、ログイン要求を受け取ったサーバがシーケンス番号と種(Seed)をクライアントに送信します。
  • 正しい。
  • 時刻同期方式の説明です。S/KEYでは時刻情報を利用しません。
  • クライアントが設定したパスフレーズは、次回のログイン要求の際に必要な情報なのでサーバ内に保存されます。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop