情報処理安全確保支援士試験 平成29年度 秋期 午後1 問3 設問1
問3 SSL/TLSを用いたサーバの設定と運用に関する次の記述を読んで、設問1〜3に答えよ。
C社は、衣服のデザイン、製造及び販売を行う中枢の衣料品製造会社である。近年は、C社の複数の販売チャネルのうち、ECモールに出店したオンラインショップでの販売量が増えており、C社の社名も比較的知られるようになった。C社では、事業を更に拡大するために、新たに独自のドメイン名を取得し、C社専用の販売サイト(以下、ECサイトという)を立ち上げることにした。
ECサイトの構築、運用及び管理は、C社のシステム部が担当することになった。システム部は開発会社の協力を得て構築を進め、当初の計画どおり運用が開始された。
〔社外からの通報〕
運用開始から3か月が経過した頃、C社の問合せ窓口に、ECサイトで利用されている一部のサーバ証明書に対応する秘密鍵が、サーバ証明書と一緒に、あるWebサイト(以下、Qサイトという)に掲示されているという通報があった。そこで、システム部のM部長は、ECサイトの管理を担当するBさんに、セキュリティ専門会社であるE社の支援を得て本件を調査し必要な措置を講じるよう指示した。
E社のセキュリティコンサルタントであるH氏のアドバイスを受けてBさんが確かめたところ、Qサイトに掲示された秘密鍵は自社のものと一致していた。Bさんは鍵が危たい化したと判断した。
次は、H氏とBさんの会話である。
H氏:サーバ証明書に対応する秘密鍵が公開された影響について、順に説明していきましょう。サーバ証明書は認証局サービス事業者から発行されます。サーバ証明書には、サーバのFQDNと公開鍵が記載されます。サーバ証明書の作成とその検証には公開鍵暗号方式を利用した(a:ディジタル署名)技術を利用します。サーバ証明書はSSL/TLSで利用されます。SSL/TLSは複数の暗号技術を用います。データの送受信時は、暗号化と復号のために(b:共通鍵暗号)を利用します。また、データの送信者と受信者が(b:共通鍵暗号)で使用する鍵を共有するために、公開鍵暗号方式を用いて(c:鍵交換)を行います。現在、世の中で発行されているサーバ証明書には複数の種類があり、代表的なものはドメイン認証証明書と(d:EV証明書)です。サーバ証明書の種類によって、認証局サービス事業者が発行時に行う審査の内容が異なります。
a:ディジタル署名、b:共通鍵暗号、c:鍵交換
サーバ証明書を扱うSSL/TLSでの通信については、通信前に以下のような手順を踏みます。
SSL/TLSで使用する暗号関連技術は重要なのですが、なかなか覚えにくいです。それぞれのフェーズで検証する対象が何かを理解することがポイントです。
- サーバ管理者によるサーバの公開鍵と秘密鍵のペア作成
- サーバの公開鍵を認証局に提出し、サーバ証明書の発行を依頼(サーバ証明書には、サーバ所有者、認証局、有効期限、サーバのFQDN、サーバの公開鍵が含まれる)
- 認証局で、サーバ証明書の情報をハッシュ化したものを認証局の秘密鍵で暗号化し(→これを認証局のディジタル署名とする)、サーバ管理者に送信
- クライアントが、サーバにSSL/TLS通信の暗号化方式を提案。
- サーバが、クライアントに暗号化方式を返答
- サーバが、クライアントにサーバ証明書を送信
- クライアントが、サーバ証明書に追加されているディジタル署名を認証局の公開鍵で復号し、ハッシュ値を取り出す。
- クライアントが、サーバ証明書をハッシュ化し、7項のハッシュ値と比較。一致していれば改ざんされていないと認識。(→サーバ証明書が信頼できると判断)
- クライアントが、サーバ証明書からサーバの公開鍵を取り出す。
- クライアントが、秘密の鍵(プリマスタシークレット)を作成(→今後の暗号化通信に使う共通鍵を作成するために使用)
- クライアントが、プリマスタシークレットをサーバの公開鍵で暗号化し、サーバに送信
- サーバが、サーバの秘密鍵で復号し、プリマスタシークレットを取り出す。(→クライアントとサーバで鍵共有(鍵交換))
- クライアントとサーバは、共有したプリマスタシークレットから共通鍵を作成し、共通鍵暗号方式で通信
d:EV証明書
サーバ証明書は、技術的には誰でも認証局になって発行することができるため、悪意をもつ攻撃者が自ら認証局となってサーバ証明書を提示する可能性があります。
このため、有力な商用認証局、ブラウザ開発企業などが参加しているCA/Browserフォーラムが、「EV(Extended Validation)証明書ガイドライン」をまとめ、証明書を発行する際の審査項目や手順を示しました。
このガイドラインでは厳格な身元確認などの審査を要求し、これに基づき発行された証明書はEV証明書といいます。ブラウザ上の表示も通常と異なり、サーバ証明書の発行機関が表示されるようになっています。
秘密鍵を知った者は、御社のECサイトと利用者との通信パケットを入手できれば、それを復号して内容をのぞき見できる可能性があります。また、御社のECサイトを複製して偽のECサイトを立ち上げ、①DNSキャッシュポイズニング攻撃と組み合わせて、不正を行うかもしれません。
①について、DNSキャッシュポイズニング攻撃は偽のECサイトと組み合わせた不正の中でどのような役割を果たすか。40字以内で具体的に述べよ。:正規のECサイトのURLでアクセスしたときに、偽のECサイトに誘導する。
DNSキャッシュポイズニング攻撃は、DNSサーバのキャッシュを改ざんし、DNS問合せに対する応答を不正にコントロールするものです。
利用者にとっては、通常どおりにサイトへアクセスし偽のサイトに誘導されても、本物のサイトと同じような画面構成であればなかなか気づくことができません。
H氏は、DNSキャッシュポイズニング攻撃について説明した。
Bさん:分かりました。でも、なぜ鍵が他者に知られてしまったのでしょうか。
H氏:経緯はまだ分かりません。Qサイトには、サーバ証明書のうち、ある古い暗号ソフトウェア(以下、Zソフトという)を用いて鍵ペアが生成されたものを対象に秘密鍵の推定を試み、推定に成功したものを掲示している旨の説明がありました。御社はZソフトを利用していませんか。②鍵ペアの生成に用いる擬似乱数生成器に必要な条件を、Zソフトは、満たさないことが分かっています。
【出典:情報処理安全確保支援士試験 平成29年度 秋期 午後1問3(一部、加工あり)】
②について、擬似乱数生成器が生成する乱数列に求められる性質(4択):予測不可能である。
擬似乱数生成器では、「擬似」とあるように完全な乱数を生成するものではありません。攻撃者が同じ擬似乱数生成器を使用し、条件が同じであれば、同じ乱数を生成させることが可能です。
鍵ペアなど暗号に用いる乱数には、完全な乱数のように予測不可能であることが要求されます。