平成31年春 午後I問2設問2(3)

事務職さん
(No.1)
過去に掲示板で何度か話題になっていますが、IPAの講評の、

「中間者攻撃では偽装できない情報が何かを考えれば,解答できる問題であった。被害者が署名したデータを攻撃者がそのまま悪用することを想定していない,“攻撃者が入手できないオーセンティケータの秘密鍵で署名しているから”といった解答が一部に見られた。」

というのが分からず、二日間ほど考え込み、次のように考えたのですがいかがでしょうか?

1.Webブラウザからオリジンbを応答する図になっているが、攻撃者が被害者をフィッシングサイトに誘導し、認証サーバXに対して、Webブラウザからの応答になりすましてオリジンbを偽造することは可能ではないか。

2.オーセンティケータには、被害者のWebブラウザからしか通信できないので、攻撃者はオーセンティケータに対してオリジンbを偽造することは不可能。

3.攻撃者がオーセンティケータの応答をそのまま認証サーバXに送ったとしても、H(オリジンb || 乱数c')のなかに含まれるオリジンbは偽造できず、署名Mの検証に失敗する。
2021.01.13 20:39

返信投稿用フォーム


※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿番号:
パスワード:

その他のスレッド


Pagetop