情報セキュリティ分野(暗号と認証1/2)
▼出題傾向
情報セキュリティ分野では「暗号と認証」「情報セキュリティ対策」「ネットワークセキュリティ」「サイバー攻撃」が混ざって、満遍なく出題される
▼暗号と認証
暗号では盗聴を防ぎ、認証ではなりすましを防ぐ。
-暗号と復号で別々の鍵(公開鍵と秘密鍵)を使う。
-RSA…公開鍵暗号方式の代表格の暗号技術。非常に大きな数の素因数分解が困難なことを利用している。
-公開鍵を使って平文を暗号化した暗号文はペアである秘密鍵でしか復号できない。これを「暗号化」と呼ぶ
-秘密鍵を使って平文を暗号化した暗号文はペアである公開鍵でしか復号できない。これを「ディジタル署名」と呼ぶ
-暗号化によって「盗聴なし」を確かめられる
→万が一、送信途中の暗号文が攻撃者にみられれても「受信者の秘密鍵」がなければ解読できず、盗聴できない。
・ハイブリッド暗号
-平文を暗号化するのではなく、平文を暗号化した共通鍵で暗号化し、その共通鍵を公開鍵で暗号化する。共通鍵は平文よりもファイルサイズが小さいため、平文全てを暗号化するよりも共通鍵を暗号化した方が処理速度を減らすことができる。
-「暗号化、復号かの処理負荷が少ない」
-「改ざんなし」を確かめるために使う計算方法。ディジタル署名の中で使われる。
-平文をハッシュ関数で計算し、メッセージダイジェストを作る。これを「ハッシュ化」と呼ぶ。
-平文からダイジェストは作れるが、ダイジェストから平文は作れない。
→レインボー攻撃では攻撃者が予想したパスワードをもとに求められたハッシュ値と利用者のパスワードのハッシュ値を照合し、パスワードを見破る。
パスワードは通常、そのまま保存されずパスワードをもとにハッシュ関数によって計算されたハッシュ値が保存されている。予想したパスワードのハッシュ値の一覧表(レインボーテーブル)と利用者のパスワードのハッシュ値を比較することで、パスワードを特定する。(
情報処理教科書 出るとこだけ! 基本情報技術者[午後]第2版
p266)
→レインボー攻撃の対策として「ソルト」がある。パスワードとハッシュ関数をもとにハッシュ値を求める際、パスワードに付け加える文字列。
パスワードにソルトを付け加えた文字列をもとに、ハッシュ値を求めることにより、元のパスワードが同じであっても、ハッシュ値は利用者ごとに別々になる。このため元のパスワードを見破ることが難しくなる。
(
情報処理教科書 出るとこだけ! 基本情報技術者[午後]第2版
p299)
→パスワードを見破るまでの時間を増やす対策として「ストレッチング」がある。パスワードをもとにハッシュ関数で計算して求めたハッシュ値に対し、さらにハッシュ値をもとにハッシュ関数で計算してハッシュ値を求める作業を繰り返す。
→ハッシュ値のポイントは「固定長のハッシュ値を出力する」「ハッシュ値からの元データ推測が困難」「衝突発見困難性(ハッシュ値が一致する二つのメッセージの探索に要する計算量の大きさによる、探索の困難性のこと)」
SHA-256とは、任意の長さの原文から固定長の特徴的な値を算出するハッシュ関数(要約関数)の一つ。どんな長さの原文からも256ビットのハッシュ値を算出することができる。