ITエンジニアなら全問正解すべき5問

突然ですが，次の5問にYes/Noで答えてください。

【問1】公開鍵認証において接続先のサーバに設置するのは秘密鍵である。

【問2】HTTPS通信で利用できるSSL証明書の有効期間は2年である。

【問3】ハッシュアルゴリズムのMD5とSHA-1はセキュリティ目的で使用するべきではない。

【問4】パスワードの入力後に，秘密の質問の入力を要求する認証方法を「二要素認証」と呼ぶ。

【問5】OAuth 2.0には認証情報を受け渡すしくみについては定義されていない。

さて，いかがでしたでしょうか？　答え合わせをしましょう。

問1の答え

答えはNoです。公開鍵認証を行うためには，利用者が公開鍵と暗号鍵の鍵ペアを用意し，そのうちの公開鍵をログイン先のサーバに設置します。利用者はサーバにログインする際に秘密鍵を使って認証を行います。サーバに設置した公開鍵と対になる秘密鍵を持っている利用者しかログインできないため，秘密鍵は他人に渡らないよう厳重に管理しなければいけません。

問2の答え

答えはNoです。2020年にAppleの標準ブラウザであるSafariが「399日以上の有効期間を持つSSL証明書は信頼しない」と発表して以降，Chrome，Firefoxもこの方針に追従しました。そのため，すでに多くのSSL認証局が有効期間2年の証明書の販売を停止しています。

問3の答え

答えはYesです。MD5やSHA-1はかつてパスワードの保護や保存，電子署名などで多く使われていたハッシュアルゴリズムですが，現在では，同じハッシュ値を持つ元のデータを作り出す攻撃が可能であり，使用するべきではありません。

問4の答え

答えはNoです。認証を行う際に使われる属性情報には，①ユーザーの記憶によるもの（例：パスワード⁠）⁠，②ユーザーが所持しているもの（例：スマホのSMSに送付されるワンタイムパスワード⁠）⁠，③ユーザーの身体的な特徴に基づくもの（例：指紋）の3種類があります。「⁠二要素認証」とはこれらのうち異なる種類の情報を2つ組み合わせて認証を行う方法のことを言います。パスワードと秘密の質問はいずれも①の情報であるため，二要素認証にはあたりません。

問5の答え

答えはYesです。OAuth 2.0は複数のWebサービス間でアクセスの許可（認可）の情報を受け渡すためのフレームワークです。OAuth 2.0を拡張し，認証情報も受け渡しできるようにしたものとして，OpenID Connectプロトコルがあります。

この5問は暗号技術と認証・認可の分野では基本中の基本です。IT，とくにWebシステムに携わっているのに全問正解できなかった方は，すぐに『今さら聞けない暗号技術＆認証・認可』に目を通しましょう。要領よく情報がまとまっているので1冊だけでキャッチアップできますよ。