SSL/TLSアルゴリズムの問題は続く!
設問1に続いてSSLの基本動作についてです。よく考えるとSSL/TLSに関する知識問題だけで、結構な問題量です。
設問2:[顧客システム構築業務の問題とその解決策]について(1)~(3)に答えよ。
(1)本文中の下線(Ⅰ)について、2種類の暗号アルゴリズムと1種類のハッシュアルゴリズムのそれぞれの用途を応えよ
この問題では、SSLを行うときの手順について問われています。
これは、設問1の【 ウ 】、【 エ 】で説明しました順番の通りです。
この中で、暗号化アルゴリズムを使うのが2つ、ハッシュアルゴリズムを使うのが1つります。さぁ、どれでしょうか・・・
結論から言うと、③、⑥と⑦と⑩、⑫で使われます。
③、⑥では、サーバ証明書やクライアント証明書をそれぞれ暗号化して送りあって、それぞれが正当な相手かどうかの認証処理を行います。
次に、⑦では、クライアントがプリマスターシークレットという48バイトの乱数を暗号化して送ります。それぞれがこのプリマスターシークレットから鍵を作ります。この結果、サーバとクライアントは同じ鍵を作ることになるため、これを共通鍵として使用します。
最後に、⑩と⑫では、一連の通信でのやり取りをメッセージ認証コードとして交換し、第三者に改ざんされていないかお互いチェックします。
よくできた仕組みですね。やっぱりここはフル暗記です!一度ググッてみて詳しいサイトをぜひ読んでみてください!
答え:暗号化アルゴリズム:鍵交換、認証 ハッシュアルゴリズム:メッセージ認証
(2)本文中の下線(Ⅱ)について、判断の根拠となった、H社が構築する顧客システムの特徴を30字以内で述べよ。
下線(Ⅱ)は、「H社の場合はL2フォワーディング方式が望ましいと、Sさんは判断した」とありました。SSL-VPNの特徴は、設問1の【 オ 】で説明したとおりです。
ここで考えないといけないのは、この顧客システムは何をしているものなのだ?ということです。仕事で使うシステムがWeb系(HTTP)のシステムばっかりなので、勝手にそう思い込んでおりました。問題をよく読みなおしてみると冒頭に、「様々なサーバ機器、OS、ミドルウェアなどを組み合わせて構築され、利用されるプロトコルも様々である」とありました。
そうでした。システムは、メールやらVDIやらVoIPやらいろいろなシステムがあります。その通信をいろいろと考えずに使うには、やっぱL2通信!ということで答えは以下。
そうでした。システムは、メールやらVDIやらVoIPやらいろいろなシステムがあります。その通信をいろいろと考えずに使うには、やっぱL2通信!ということで答えは以下。
答え:顧客システムは、様々なプロトコルを利用している。
(3)本文中の下線(Ⅲ)について、割り当てられたIPアドレスは、PCのどのネットワークインターフェースに設定されているか。図2の字句を用いて答えよ。
答え:vNIC
因みに、L2フォワーディング方式はメーカーごとにいろいろな方法があるため、一概にこれが正しい方法というのはありません。
ただし、文章には顧客システム構築ネットワークは「172.16.z.0/24」で、図にはSSL-VPN装置のIPアドレスプールは「10.100.k.1~200」とあります。L2フォワーディングといいつつ、IP(L3)通信をしてそうです。(SSL-VPN装置がルータやL3スイッチのようにIP中継しているといえます。)ネットワークスペシャリストでは過去問をみてもなぜかこの方式です。(今後はL2のフレームをカプセル化する問題が出るかもしれません。)