SSL/TLSを用いたサーバの設定と運用【情報処理安全確保支援士試験 平成29年度 秋期 午後1 問3 設問3】

情報処理安全確保支援士試験 平成29年度 秋期 午後1 問3 設問3

問3 SSL/TLSを用いたサーバの設定と運用に関する次の記述を読んで、設問1〜3に答えよ。

(略)

〔H氏による調査及び問題の指摘〕

 Bさんは、秘密鍵が他者に知られてしまった原因と、SSL/TLSの利用に関してECサイトの設定などに改善すべき問題がないかについて、H氏に調査を依頼した。

 H氏による調査の結果を図2に、暗号スイートの名前の構成を図3に示す。

f:id:aolaniengineer:20200314052739p:plain

f:id:aolaniengineer:20200314052806p:plain

 問題1中のPOODLE攻撃の概要を図4に示す。H氏は、④問題1を解決するために各サーバに施すべき措置を提案した。

f:id:aolaniengineer:20200314052837p:plain

④について、H氏が提案した措置を、20字以内で述べよ。:SSL3.0を利用しない設定にする。

POODLE(Padding Oracle On Downgraded Legacy Encryption)攻撃とは、SSL3.0にある脆弱性を利用した攻撃のことで、リクエスト送信を繰り返すことで暗号化通信の一部を解読、また、SSL/TLSのバージョンをダウングレードさせられる可能性があります。

解読される情報には、Webサイト利用時の認証情報(cookie、トークンなど)があります。

SSL/TLSの通信では、利用可能なプロトコル(問題文の場合、古いものからSSL3.0、TLS1.0、TLS1.1、TLS1.2)が複数あり、Webサーバとクライアント間の片方が最新バージョンに対応していない場合、古いバージョンのプロトコルで接続を試みるという振る舞いがあります。

多くのブラウザではTLS1.2まで対応していますが、攻撃者はブラウザをSSL3.0までバージョンを下げた時点で、上記の攻撃を実行し、Webサーバのクライアント間での通信を解読しようとします。

このSSL3.0の脆弱性を利用した攻撃は、SSL3.0を利用しないことで回避することができます。

 問題2は、C社がSSL/TLSのハンドシェイクにおいて、⑤PFSの性質をもつ鍵交換方式を利用せず、代わりに、⑥セッション鍵を共有するための秘密情報をクライアントがサーバ証明書に記載されたRSAの公開鍵を用いて暗号化して送信する方式を用いていたことである。

⑤について、SSL/TLSの利用において、PFSの性質をもつ鍵交換方式を解答群の中から全て選べ。:DHE、ECDHE

PFS(Perfect Forward Secrecy)とは、暗号文とその暗号文を復号するための秘密鍵が両方漏えいしても暗号文を復号できないという、鍵交換に関する概念のことです。

PFSを実現可能なアルゴリズムとしては、DHE(Diffie-Hellman key exchange Ephemeral:ディフィー・ヘルマン鍵共有)、ECDHE(Elliptic curve DHE:動的楕円曲線ディフィー・ヘルマン鍵共有)があります。

これらのアルゴリズムは、クライアントとサーバがそれぞれ一時的に使用する動的な公開鍵と秘密鍵を用意して、公開鍵のみを相手に送信し、自分の秘密鍵を受信した公開鍵から共通鍵を作成する方法です。

この方式で暗号化された通信を復号するには、クライアントとサーバの両方の秘密鍵を入手する必要があり、さらに、秘密鍵は固定ではないので、事実上、解読は不可能です。

⑥について、RSAの鍵が危たい化した場合に、当該鍵を用いてハンドシェイクを行った通信に関するリスクは何か。そのリスクの説明として、最も適切なものを解答群の中から選べ。ここで、攻撃者は、WebブラウザとWebサーバの通信経路上におり、危たい化前後における通信データを取得していたものとする。:取得された通信データの全てを復元されるおそれがある。(他の選択肢では、鍵が危たい化した時点より前、危たい化した時点で通信中、危たい化した時点より後の通信データが復元される、とあります)

RSAの鍵が危たい化した場合、セッション鍵を共有するための秘密情報が漏えいする状態となります。この状態では、暗号化された通信を取得すれば、鍵が危たい化する時点に関わらず、全ての通信データが復元することが可能となります。

 問題3は、サーバ証明書の種類についてである。H氏は、⑦ECサイトが新たに立ち上げたサイトであることを考慮すると、ドメイン認証証明書の選択は妥当ではないと指摘した。

⑦について、妥当でないと指摘した理由を、40字以内で述べよ。:ドメイン認証証明書ではサーバの運営者がC社であることを確認できないから

ドメイン認証では、どの認証局がどのような審査を経て認証されたものかが保証されていません。 また、サーバの運営者が正当なものであるかが確認できません。

したがって、攻撃者が自ら認証局となりサーバ証明書を偽造すれば、当該ECサイトになりすますことが可能となります。

これを回避するためには、設問1にあったようにEV証明書を採用する必要があります。

〔対策実施と運用見直し〕

 Bさんは、H氏の支援を受け、各問題について解決策を検討した。また、M部長の承認の下、図1の事項の検討も進めた。C社は、Qサイトに関わる通報を受けた1か月後には、各問題を解決し、今後起こり得る鍵の危たい化に備えた態勢を整えた。

【出典:情報処理安全確保支援士試験 平成29年度 秋期 午後1問3(一部、加工あり)】