今回解いてみたIT試験の過去問は、IPAの平成17年秋ソフトウェア開発技術者(現・応用情報技術者)午後1問3からの出題で、情報セキュリティ分野です。今回は、クライアントとサーバ間の通信が第三者から盗聴されないように、SSLプロトコルを用いてクライアントとサーバ間の通信を暗号化して行う手順がテーマになってます。
SSLによるサーバとクライアント間の暗号通信は、公開鍵暗号方式と共通鍵暗号方式を組み合わせたハイブリッド方式で行われています。
平成17年度秋平成17年秋ソフトウェア開発技術者午後1問3(情報セキュリティ)
(引用ここから。解答を入れるための空欄の形式の変更、機種依存文字である丸数字を<1>のように表記するなどの一部改変があります。)
問3 インターネットにおけるセキュリティ対策のーつであるSSL (Secure Sockets Layer)暗号化通信に関する次の記述を読んで,設問1~3に答えよ。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2005h17_2/
チケット販売業を営むM社では,自社のWebサイト上にチケットを購入できるページを用意し,セキュリティ対策のーつとして,SSL暗号化通信を採用した。SSL暗 号化通信は,最初に,顧客がその通信相手であるM社の身元を,信頼できる第三者の機関によって確認するので,”なりすまし”の脅威を軽減することができる。また 通信相手の身元の確認後は,暗号化して通信を行うので,顧客が入力する氏名,住所,電話番号などの個人情報を,他人に”判読”される脅威を軽減することもできる。
設問1 図1は,SSL 暗号化通信における”なりすまし”防止のためのネゴシエーションの流れを<1>~<4>の時間順に表したものである。図1 及びSSL 暗号化通信を利用するために必要な準備に関する次の記述中の[a]~[d]に入れる適切な字句をそれぞれ8字以内で答えよ。
2005h17a_sw_pm1_qs.pdf
インターネットを経由した不特定多数の顧客とのSSL 暗号化通信を始めるに当たり,M社側で必要な準備として,第三者機関である[d]に[a]を発行してもらう手続がある。実在しない企業名での発行は,ほぼ不可能である。 顧客側では,[d]の証明書と[c]をあらかじめ入手しておく必要がある。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2005h17_2/
設問2 図1に示すクライアントとWebサーバとのネゴシエーションの結果,暗号化仕様はRSA を用いることになった。
図2は,図1のネゴシエーションに続く,SSL 暗号化通信における電文の”判読”防止のための暗号化/復号の流れを<5>~<10>の時間順に表したものである。図2中の[e]~[g]に入れる適切な字句を答えよ。
2005h17a_sw_pm1_qs.pdf
設問3 SSL暗号化通信で用いられるかぎ暗号方式に関する次の記述を読み,(1)~(3)の問いに答えよ。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2005h17_2/
かぎ暗号方式には,大きく分けて次の二つの方式がある。一つは,図2 の<5>で乱数Ppを暗号化するときに用いる[h]暗号方式である。もう一つは<8>及び<10>で電文を暗号化するときに用いる[i]暗号方式である。
[h]暗号方式では,暗号化かぎと復号かぎが[j],不特定多数の相手とデータ交換するのに適している。代表的な例としては,RSA がある。この暗号方式の特徴は,[i]暗号方証比べて,安全にかぎを配布することが[k]であることである。もう一つの[i]暗号方式では,暗号化かぎと復号かぎが[l]である。代表的な例としては,DESがある。この暗号方式は,[h]暗号方式に比べて,暗号化や復号にかかる時間が[m]ことが特徴である。
こうした暗号方式を組み合わせることによって,SSL 暗号化通信は,電文が容易に”判読”されることを防いでいる。
(1) 記述中の[h],[i]に入れる適切な暗号方式の名称を答えよ。
(2) 記述中の[j],[l]に”同じ”又は”別”のいずれかを答えよ。
(3) 記述中の[k],[m]に入れる適切な字句を答えよ。
2005h17a_sw_pm1_qs.pdf
(引用ここまで)
解答と解説については、「2」のページに記載しています。