平成29年 春期 情報処理安全確保支援士 午前II 問2

SSL/TLSのダウングレード攻撃に該当するものはどれか。

 ア  暗号化通信中にクライアントPCからサーバに送信するデータを操作して、強制的にサーバのディジタル証明書を失効させる。
 イ  暗号化通信中にサーバからクライアントPCに送信するデータを操作して、クライアントPCのWebブラウザを古いバージョンのものにする。
 ウ  暗号化通信を確立するとき、弱い暗号スイートの使用を強制することによって、解読しやすい暗号化通信を行わせる。
 エ  暗号化通信を投了する攻撃者が、暗号鍵候補を総当たりで試すことに世手解読する。


答え ウ


解説
ダウングレード攻撃を行うには、暗号化通信を始める前に攻撃対象のPCとサーバ間に入り込む中間者攻撃ができる状態にし、SSL/TLSで使用する暗号アルゴリズムを盗聴可能なものにするように通信に手を加えます。


キーワード
・ダウングレード攻撃

キーワードの解説
  • ダウングレード攻撃
    SSL/TLSを使った通信で、脆弱性の見つかっているSSL/TLSバージョンや暗号強度の弱い暗号アルゴリズム、鍵交換アルゴリズムに強制的に使用するようにすることで、通信を盗聴する手法です。

もっと、「ダウングレード攻撃」について調べてみよう。

戻る 一覧へ 次へ