HOME»情報処理安全確保支援士掲示板»令和5 秋 問2 設問1 (2) サーバー証明書について
投稿する
よくある誤解です。数学的には同じ考え方を元にしていますが、暗号化と署名は技術的には別物と考えましょう。
秘密鍵で暗号化はできないのです。
秘密鍵 暗号化 誤解 あたりのキーワードで検索すると、ここで私などが説明するより詳しい解説が見つかることでしょう。
令和5 秋 問2 設問1 (2) サーバー証明書について [1937]
MMTさん(No.1)
私の回答で部分点をもらえるでしょうか?
「このサーバ証明書を復号できません」とうい回答を書きました。
公式の回答は以下のとおりです。
①このサーバのー証明書は信頼された認証局から発行された証明書ではない。
②このサーバ証明書のコモンネームは接続先のFQDNを一致しません。
攻撃者が用意した偽サーバーが信頼できる認証局によって証明書を発行されている場合であっても、認証局は正規のサーバーと同じCNの証明書を発行してくれないので、偽サーバから送付された証明書のCNと入力したURLのFQDNが異なっている→②
というフローは理解できているのですが、①について理解できておりません。
攻撃者が用意した偽認証局(信頼されていない認証局)が発行した偽サーバー証明書を受信した場合、そもそも偽認証局のルート証明書を持っていないので、復号できませんよね?そのため私は「このサーバ証明書を復号できません」とうい回答を書きました。
「このサーバ証明書を復号できません」とうい回答を書きました。
公式の回答は以下のとおりです。
①このサーバのー証明書は信頼された認証局から発行された証明書ではない。
②このサーバ証明書のコモンネームは接続先のFQDNを一致しません。
攻撃者が用意した偽サーバーが信頼できる認証局によって証明書を発行されている場合であっても、認証局は正規のサーバーと同じCNの証明書を発行してくれないので、偽サーバから送付された証明書のCNと入力したURLのFQDNが異なっている→②
というフローは理解できているのですが、①について理解できておりません。
攻撃者が用意した偽認証局(信頼されていない認証局)が発行した偽サーバー証明書を受信した場合、そもそも偽認証局のルート証明書を持っていないので、復号できませんよね?そのため私は「このサーバ証明書を復号できません」とうい回答を書きました。
2025.08.24 16:00
むぐむぐさん(No.2)
★SC ブロンズマイスター
まず前提として
暗号化と対になるのが復号
署名と対になるのが検証
となります。
サーバ証明書で使用される技術は署名なので検証という用語を使用しなければいけません。
そのため復号と書いた時点で誤答となります。
よって、サーバ証明書の検証に失敗すると表現する必要があります。
暗号化と対になるのが復号
署名と対になるのが検証
となります。
サーバ証明書で使用される技術は署名なので検証という用語を使用しなければいけません。
そのため復号と書いた時点で誤答となります。
よって、サーバ証明書の検証に失敗すると表現する必要があります。
2025.08.24 18:28
MMTさん(No.3)
ムグムグ様
ご返信ありがとうございます。
私は「攻撃者が用意した偽認証局(信頼されていない認証局)内にある秘密鍵で発行した偽サーバー証明書を暗号化する」
という認識でしたが、そもそも証明書を暗号するという認識自体が間違っていたのですね。
勉強になりました。ありがとうございます。
ご返信ありがとうございます。
私は「攻撃者が用意した偽認証局(信頼されていない認証局)内にある秘密鍵で発行した偽サーバー証明書を暗号化する」
という認識でしたが、そもそも証明書を暗号するという認識自体が間違っていたのですね。
勉強になりました。ありがとうございます。
2025.08.26 19:15
MMTさん(No.4)
自分の理解を書き記します。
誤りがある場合は、ご指摘していただきたいです。
攻撃者が用意した偽認証局(信頼されていない認証局)が偽サーバー証明書のハッシュ値に署名(認証局の秘密鍵で暗号化)する。
→サイトアクセス者(pc)に送信する
→pcが受信し、PCでも偽サーバー証明書のハッシュ値を計算する。
→しかしpcは偽認証局のルート証明書を持っていないので、受信したハッシュ値を検証(復号)できない。
従って「このサーバのー証明書は信頼された認証局から発行された証明書ではない。」という回答になる。
証明書において使用されるのは署名と検証という用語であるが、結局やっていることは暗号化(署名)と、復号化してハッシュ値が一致しているかの確認(検証)である。
誤りがある場合は、ご指摘していただきたいです。
攻撃者が用意した偽認証局(信頼されていない認証局)が偽サーバー証明書のハッシュ値に署名(認証局の秘密鍵で暗号化)する。
→サイトアクセス者(pc)に送信する
→pcが受信し、PCでも偽サーバー証明書のハッシュ値を計算する。
→しかしpcは偽認証局のルート証明書を持っていないので、受信したハッシュ値を検証(復号)できない。
従って「このサーバのー証明書は信頼された認証局から発行された証明書ではない。」という回答になる。
証明書において使用されるのは署名と検証という用語であるが、結局やっていることは暗号化(署名)と、復号化してハッシュ値が一致しているかの確認(検証)である。
2025.08.26 19:35
むぐむぐさん(No.5)
★SC ブロンズマイスター
>証明書において使用されるのは署名と検証という用語であるが、結局やっていることは暗号化(署名)と、復号化してハッシュ値が一致しているかの確認(検証)である。
よくある誤解です。数学的には同じ考え方を元にしていますが、暗号化と署名は技術的には別物と考えましょう。
秘密鍵で暗号化はできないのです。
秘密鍵 暗号化 誤解 あたりのキーワードで検索すると、ここで私などが説明するより詳しい解説が見つかることでしょう。
2025.08.26 20:33
MMTさん(No.6)
むぐむぐ様
暗号化と署名は技術的には別物と考えましょう。
→承知しました。
お付き合いいただきましてありがとうございました。
非常に勉強になりました。
暗号化と署名は技術的には別物と考えましょう。
→承知しました。
お付き合いいただきましてありがとうございました。
非常に勉強になりました。
2025.08.28 17:31