HOME»情報処理安全確保支援士掲示板»令和2年午後1問2設問2(3)、設問3
投稿する
確かにそうですね。
わかりました。ありがとうございます。
[1363] 令和2年午後1問2設問2(3)、設問3
aaaさん(No.1)
S/MIMEの問題ですが、参考書でs/mimeの勉強をしてもいまいち意味がわからないところがあります。
設問2(3)
秘密鍵をなくしたところで、複合できなくなる理由がわかりません。
S/MIME証明書は、秘密鍵で暗号化して送っているわけですから、公開鍵で復号できるのではと考えてしまいました。
設問3
S/MIMEの本問題ですが、なぜ送信できるようになるかよく理解ができません。
GサービスのCA登録も必要になるのではと考えてしまっています。
当該問題のS/MIMEのやり方の認識が誤っている可能性があるので、以下に記載してみました。
認識があやまっていたら、教えていただきたいです。
MLあてにR社のA(MLの登録メンバ以外)が送ったとします。
・Aの秘密鍵でメール本文をハッシュ化したものを暗号化=デジタル署名
・デジタル署名+メール本文を共通鍵にて暗号化
・MLのS/MIME証明書の公開鍵を使用して共通鍵を暗号化=問題の「S/MIME証明書を使って暗号化したメールを送信する」はこちらを指していると認識です。
・署名の検証のためにAさんのデジタル証明書を付与する。
受信したGサービスは復号するということなので、
・MLの秘密鍵で共通鍵を復号
・Aさんの公開鍵で署名を検証
Gサービスは、ML登録メンバーそれぞれに対して、
・Gサービスの秘密鍵でメール本文をハッシュ化したものを暗号化=デジタル署名
・デジタル署名+メール本文を共通鍵にて暗号化
・ML登録メンバーそれぞれのS/MIME証明書の公開鍵を使用して共通鍵を暗号化
ML登録メンバ
Gサービスの公開鍵で署名を検証???
設問2(3)
秘密鍵をなくしたところで、複合できなくなる理由がわかりません。
S/MIME証明書は、秘密鍵で暗号化して送っているわけですから、公開鍵で復号できるのではと考えてしまいました。
設問3
S/MIMEの本問題ですが、なぜ送信できるようになるかよく理解ができません。
GサービスのCA登録も必要になるのではと考えてしまっています。
当該問題のS/MIMEのやり方の認識が誤っている可能性があるので、以下に記載してみました。
認識があやまっていたら、教えていただきたいです。
MLあてにR社のA(MLの登録メンバ以外)が送ったとします。
・Aの秘密鍵でメール本文をハッシュ化したものを暗号化=デジタル署名
・デジタル署名+メール本文を共通鍵にて暗号化
・MLのS/MIME証明書の公開鍵を使用して共通鍵を暗号化=問題の「S/MIME証明書を使って暗号化したメールを送信する」はこちらを指していると認識です。
・署名の検証のためにAさんのデジタル証明書を付与する。
受信したGサービスは復号するということなので、
・MLの秘密鍵で共通鍵を復号
・Aさんの公開鍵で署名を検証
Gサービスは、ML登録メンバーそれぞれに対して、
・Gサービスの秘密鍵でメール本文をハッシュ化したものを暗号化=デジタル署名
・デジタル署名+メール本文を共通鍵にて暗号化
・ML登録メンバーそれぞれのS/MIME証明書の公開鍵を使用して共通鍵を暗号化
ML登録メンバ
Gサービスの公開鍵で署名を検証???
2024.02.19 20:45
pixさん(No.2)
★SC ダイヤモンドマイスター
最近以下のスレッドで類似の質問がありました。参考にしてください。
[1350] 令和二年度秋 午後1 問2
https://www.sc-siken.com/bbs/1350.html
ここで話にあがっているのは「S/MIME証明書」ではなく、「メール本文」です。
また、S/MIME証明書は、秘密鍵で暗号化して送っているわけではありません。
メール本文はDH鍵交換で作成された共通鍵で暗号化されます。
DH鍵交換で作成された共通鍵は受信者の公開鍵で暗号化されます。
そのため、受信者の秘密鍵がなくなると、共通鍵が復号できなくなり、メール本文も
復号できなくなります。
GサービスはML宛てのメールを一旦復号し、MLのユーザー毎に再度暗号化して送信します。
ここまではあっていると思われます。しかし、その先誤っていると思われます。
その際に、Aさんの公開鍵で署名を検証とありますが、この段階で署名を検証する必要は
ありません。
実際にMLの登録メンバに届いた時に、Aさんの公開鍵で署名を検証します。
GサービスがML宛てのメールを復号し、MLのユーザー毎に再度暗号化するのはメール
本文の復号にはMLのユーザーの秘密鍵という秘密の情報が必要という理由があるからです。
Aさんが付与したデジタル署名の検証にはだれでも手にれることができるAさんの公開鍵が
あればよいです。敢えて、Gサービスが再度署名をする理由はありません。
[1350] 令和二年度秋 午後1 問2
https://www.sc-siken.com/bbs/1350.html
>設問2(3)
>秘密鍵をなくしたところで、複合できなくなる理由がわかりません。
>S/MIME証明書は、秘密鍵で暗号化して送っているわけですから、公開鍵で復号できる
>のではと考えてしまいました。
ここで話にあがっているのは「S/MIME証明書」ではなく、「メール本文」です。
また、S/MIME証明書は、秘密鍵で暗号化して送っているわけではありません。
メール本文はDH鍵交換で作成された共通鍵で暗号化されます。
DH鍵交換で作成された共通鍵は受信者の公開鍵で暗号化されます。
そのため、受信者の秘密鍵がなくなると、共通鍵が復号できなくなり、メール本文も
復号できなくなります。
>設問3
>受信したGサービスは復号するということなので、
>・MLの秘密鍵で共通鍵を復号
>・Aさんの公開鍵で署名を検証
GサービスはML宛てのメールを一旦復号し、MLのユーザー毎に再度暗号化して送信します。
ここまではあっていると思われます。しかし、その先誤っていると思われます。
その際に、Aさんの公開鍵で署名を検証とありますが、この段階で署名を検証する必要は
ありません。
実際にMLの登録メンバに届いた時に、Aさんの公開鍵で署名を検証します。
GサービスがML宛てのメールを復号し、MLのユーザー毎に再度暗号化するのはメール
本文の復号にはMLのユーザーの秘密鍵という秘密の情報が必要という理由があるからです。
Aさんが付与したデジタル署名の検証にはだれでも手にれることができるAさんの公開鍵が
あればよいです。敢えて、Gサービスが再度署名をする理由はありません。
2024.02.19 21:26
aaaさん(No.3)
pixさんありがとうございます。
よく理解できました。
よく理解できました。
2024.02.20 06:35
橙色文書さん(No.4)
プログラミングに手を出す前に、応用範囲が広い秘密鍵と公開鍵のキーペアの基本的性質について理解しましょう。
ただし知識止まりでは応用は理解できません。
Linux等のUNIX系OSやWindows等で使用できるOpen SSHはコマンド1つでSSH用のキーペアを作成できますので、実際に使って理解することができます。
ただし、受験まで残り2か月しかないこの時期にやるべきことではありません。
試験終了後からIPA解答例が発表されるまでの間は何もできませんのでその期間が最適です。
午後問題の自己採点は不可能ですし、代わりに有意義な時間の使い方をしましょう。
ただし知識止まりでは応用は理解できません。
Linux等のUNIX系OSやWindows等で使用できるOpen SSHはコマンド1つでSSH用のキーペアを作成できますので、実際に使って理解することができます。
ただし、受験まで残り2か月しかないこの時期にやるべきことではありません。
試験終了後からIPA解答例が発表されるまでの間は何もできませんのでその期間が最適です。
午後問題の自己採点は不可能ですし、代わりに有意義な時間の使い方をしましょう。
2024.02.20 20:57
wrinklyさん(No.5)
横から失礼します。
別件ですが、設問3 d について教えてください。
<IPAの公式解答>
d デジタル署名
<私の解答>
d S/MIME証明書
<理由>
下記のように考えて、「S/MIME証明書」と解答しましたが、間違いでしょうか?
1.R社CAで、R社従業員のS/MIME証明書を発行している。
2.R社CAのルート証明書が登録されてないと、1.のS/MIME証明書の検証が
できない。
3.S/MIME証明書に含まれるR社従業員の公開鍵の真正性が確認できない。
4.公開鍵によるデジタル署名の検証ができない。
間違いがあれば指摘いただきたく。
よろしくお願いします。
別件ですが、設問3 d について教えてください。
<IPAの公式解答>
d デジタル署名
<私の解答>
d S/MIME証明書
<理由>
下記のように考えて、「S/MIME証明書」と解答しましたが、間違いでしょうか?
1.R社CAで、R社従業員のS/MIME証明書を発行している。
2.R社CAのルート証明書が登録されてないと、1.のS/MIME証明書の検証が
できない。
3.S/MIME証明書に含まれるR社従業員の公開鍵の真正性が確認できない。
4.公開鍵によるデジタル署名の検証ができない。
間違いがあれば指摘いただきたく。
よろしくお願いします。
2024.02.21 16:10
pixさん(No.6)
★SC ダイヤモンドマイスター
ここは単純に国語の問題と思われます。
設問の箇所は
P11「R社の従業員が送信したメールの[ d ]を[ e ]することができない。」
です。
IPAの正答では、空欄e は「検証」でした。
これを当てはめて文章を作ると
IPAの正答:「R社の従業員が送信したメールの【デジタル署名】を【検証】することが
できない。」
となります。これは意味の通った文章です。
スレ主様の解答では
「R社の従業員が送信したメールの【S/MIME証明書】を【検証】することが
できない。」
となってしまい、文章的にいまひとつぼんやりしたものになってします。
もし、空欄d が「S/MIME証明書」ならば、全体の文章は
「R社の従業員の【S/MIME証明書】の発行元を【検証】することができない。」
と想定されます。
IPAの試験は常に国語力が必要となります。
自分がどう思うかという視点から、IPAならこう解答させるという視点への
切り替えと訓練が重要になります。
設問の箇所は
P11「R社の従業員が送信したメールの[ d ]を[ e ]することができない。」
です。
IPAの正答では、空欄e は「検証」でした。
これを当てはめて文章を作ると
IPAの正答:「R社の従業員が送信したメールの【デジタル署名】を【検証】することが
できない。」
となります。これは意味の通った文章です。
スレ主様の解答では
「R社の従業員が送信したメールの【S/MIME証明書】を【検証】することが
できない。」
となってしまい、文章的にいまひとつぼんやりしたものになってします。
もし、空欄d が「S/MIME証明書」ならば、全体の文章は
「R社の従業員の【S/MIME証明書】の発行元を【検証】することができない。」
と想定されます。
>下記のように考えて、「S/MIME証明書」と解答しましたが、間違いでしょうか?
IPAの試験は常に国語力が必要となります。
自分がどう思うかという視点から、IPAならこう解答させるという視点への
切り替えと訓練が重要になります。
2024.02.21 16:29
wrinklyさん(No.7)
pixさん、回答ありがとうございました。
【S/MIME証明書】の【検証】を調べたところ、
R社CAのルート証明書が登録されていたとすれば、
「【S/MIME証明書】がR社CAから正規に発行されたものであり、かつ改ざん
されていないこと」の【検証】なので何とか意味が通るように思います。
ただ、実は d が出てくるところがもう1か所あるのを見落としていて、
「S/MIMEを用いて[ d ] を付与したメールを送信すれば、受信者は
S/MIME証明書も受け取れるし、送信者が他者になりすましていない
ことも確認できることが分かり、...」
とあるので、こちらから d [デジタル署名」を正解にしているように
思いました。
>スレ主様の解答では
>「R社の従業員が送信したメールの【S/MIME証明書】を【検証】することが
>できない。」
>となってしまい、文章的にいまひとつぼんやりしたものになってします。
【S/MIME証明書】の【検証】を調べたところ、
R社CAのルート証明書が登録されていたとすれば、
「【S/MIME証明書】がR社CAから正規に発行されたものであり、かつ改ざん
されていないこと」の【検証】なので何とか意味が通るように思います。
ただ、実は d が出てくるところがもう1か所あるのを見落としていて、
「S/MIMEを用いて[ d ] を付与したメールを送信すれば、受信者は
S/MIME証明書も受け取れるし、送信者が他者になりすましていない
ことも確認できることが分かり、...」
とあるので、こちらから d [デジタル署名」を正解にしているように
思いました。
2024.02.21 21:08
pixさん(No.8)
★SC ダイヤモンドマイスター
すみません。私が以下の文章で曖昧に感じたのは
「R社の従業員が送信したメールの【S/MIME証明書】を【検証】することができない。」
『【S/MIME証明書】を【検証】』の部分ではなく、
『R社の従業員が送信したメールの【S/MIME証明書】』の部分でした。
「送信したメールの【S/MIME証明書】」という文章は何を意味するのかはっきりしない
曖昧なものと読み取れたからです。
ここは
「R社の従業員がメール送信に利用する【S/MIME証明書】」または
単に、「R社の従業員の【S/MIME証明書】」でしたらストレートに意味が通じると
考えました。
「R社の従業員が送信したメールの【S/MIME証明書】を【検証】することができない。」
『【S/MIME証明書】を【検証】』の部分ではなく、
『R社の従業員が送信したメールの【S/MIME証明書】』の部分でした。
「送信したメールの【S/MIME証明書】」という文章は何を意味するのかはっきりしない
曖昧なものと読み取れたからです。
ここは
「R社の従業員がメール送信に利用する【S/MIME証明書】」または
単に、「R社の従業員の【S/MIME証明書】」でしたらストレートに意味が通じると
考えました。
2024.02.21 22:30
wrinklyさん(No.9)
>「送信したメールの【S/MIME証明書】」という文章は何を意味するのかはっきりしない
>曖昧なものと読み取れたからです。
確かにそうですね。
わかりました。ありがとうございます。
2024.02.21 23:26