Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 平成29年度 秋期 午後1 問3 3

https://www.sc-siken.com/pdf/02_aki/pm1_2.pdf

以下のおすすめ問題の解説となります。

良書。

問3 SSL/TLSを用いた サーバの設定と運用に関する次の記述を読んで、設問1〜3に答えよ。

(略)

〔H氏による調査及び問題の指摘〕

 Bさんは、秘密鍵が他者に知られてしまった原因と、SSL/TLSの利用に関してECサイトの設定などに改善すべき問題がないかについて、H氏に調査を依頼した。

 H氏による調査の結果を図2に、暗号スイートの名前の構成を図3に示す。

f:id:aolaniengineer:20200314052739p:plain

f:id:aolaniengineer:20200314052806p:plain

 問題1中のPOODLE攻撃の概要を図4に示す。H氏は、④問題1を解決するために各サーバに施すべき措置を提案した。

f:id:aolaniengineer:20200314052837p:plain

 

④について、H氏が提案した措置を、20字以内で述べよ。

SSL3.0を利用しない設定にする

 

 

⑤について、SSL/TLSの利用において、PFSの性質をもつ鍵交換方式を解答群の中から全て選べ

DHE、ECDHE

 

⑥について、RSAの鍵が危たい化した場合に、当該鍵を用いてハンドシェイクを行った通信に関するリスクは何か。そのリスクの説明として、最も適切なものを解答群の中から選べ。ここで、攻撃者は、WebブラウザとWebサーバの通信経路上におり、危たい化前後における通信データを取得していたものとする。

取得された通信データの全てを復元されるおそれがある

⑦について、妥当でないと指摘した理由を、40字以内で述べよ

ドメイン認証証明書ではサーバの運営者がC社であることを確認できないから

div #breadcrumb div{ display: inline;font-size:13px;}