情報処理安全確保支援士2019年(平成31年春)午後1問3(1,499 文字)

問題冊子、解答例、採点講評はこれ
またIPAがリダイレクト設定せずにURL変えたりしなければつながるはずです
サイズの都合で図1と表1の順番を変えました

本文(設問1)

問題文(設問1)

解説(設問1)

MACを認証サーバのFQDNと利用者IDに対してハッシュ関数を共通鍵を組み合わせて生成する方法とは何か。エしか聞いたことないしこれが正解なのはともかく下に説明を載せます。まあHMACのHはHashのHなのでここから。
CBC-MAC : ブロック暗号のCBCモードを用いてメッセージ認証を実施
CMAC : CBC-MACの改良版
CSR : 証明書署名要求
HMAC : ハッシュアルゴリズムを用いて署名データ(MAC値)を生成
MD5 : 128bitのハッシュ値を生成するアルゴリズム。現在では危殆化
RC4 : 共通鍵のストリーム暗号 
答え エ

本文(設問2)

問題文(設問2)

解説(設問2)

(1)は認証サーバのFQDNと利用者ID、MACが格納されているが、これだけだとURLがわかれば他のゲームもできちゃう問題への対策について。どのゲームプログラムかを特定する情報がURL以外に欲しいという話になるので、表1にある固有のゲームプログラムIDも一緒に入れるといいです。
答え ゲームプログラムID
(2)は認証トークンをゲームサーバの管理者が不正に生成できるのはなぜか。
ゲームシステムV全体で一つの共通鍵であり、サーバ管理者がゲームプログラムに設定するということはゲームサーバに認証サーバで使うものと同じ共通鍵があるということで、ここが問題になります。
答え ゲームサーバに認証サーバと同じ共通鍵を保存する
(3)は(2)に対抗してゲームプログラムごとに別の共通鍵を使うようにしたらどうなるか。ゲームサーバの中にゲームプログラムがあることを踏まえると、サーバ管理者は各ゲームの共通鍵を知りえます。そしてこの共通鍵を用いてMACを作るので結局意味がないという話になります。そしてその対象範囲はゲームサーバの中にあるゲームプログラム全てです。
答え 
仕様 MACの生成に共通鍵を使用する。
範囲 自身が管理するゲームサーバ上で動作する全ゲームプログラム

(4)はじゃあディジタル署名ならいいでしょというので穴埋め。ばれてはいけない秘密鍵を配布するというのはあり得ないのでbが公開鍵(エ)でcが秘密鍵(カ)。残るは誰が鍵ペアを作るかですが、量産されるゲーム機や配布されるゲームサーバが作るとは思えないので認証サーバ(オ)です。
答え a : オ, b : エ, c : カ
(5)はゲーム内のSSDに格納されたクライアント証明と鍵を取り出すにはどうしたらいいか。SSDごと取り出してしまえば解決ですね。それをPCに繋げばそのまま使えます。
答え SSDを取り出し、PCなどにつなげる
(6)は内部構造などが解析されにくい性質のこと。何度も出てくる耐タンパ性です。ダじゃなくてタですよ。tamperなので
答え 耐タンパ性

本文(設問3)

問題文(設問3)

解説(設問3)

ブードローダと専用OS起動時に実行されるファイルのハッシュ値のリストはどのように保護されるのか。すごいざっくりした質問ですが直前にTPMの話があったので、内部構造や内部データを解析されにくい性質を活かしてハッシュ値リストをTPMに保存するのが正解です。
この手のすごい雑な質問は直前の問題にヒントがあることがあるので、気にしてみましょう
答え ハッシュ値リストをTPMに保存する。

終わりに

ちょっと難しい

主な参考サイト

とほほの暗号化入門
平成31年度 春期試験 午後Ⅰ問題対策③ ―問3