![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?5a7ff87)
件名の件、チャレンジレスポンス認証は、ハッシュ関数の一方向性の性質から、暗号化をすることが不要と下記の記事に記載があります。
https://itmanabi.com/challenge-response/#google_ …
疑問点として、仮に攻撃者が盗聴をして、沢山の
(チャレンジコードandハッシュ値)のペアを入手し、
攻撃者がハッシュ関数も知っている(チャレンジレスポンス認証の前段階でハッシュ方式を何にするかパラメータ交換しているのを盗聴されるのかと思っています)とき、一方向性からハッシュ値から、チャレンジコード+パスワード、は導出出来ないと思いますが、上記のような沢山のデータを入手出来ていた時に、ハッシュ関数も分かっていればコンピータでパスワードを推測出来てしまわないのか?疑問に思っております。
勉強不足で恐縮ですが、ご教示のほど、お願い致します。
A 回答 (1件)
- 最新から表示
- 回答順に表示
No.1
- 回答日時:
えーと、チャレンジとレスポンスの組が多数あれば通信路に出てこないパスワードを推測できるか? という問題ですね。
それができるようだとアルゴリズムに脆弱性があるという話ですね。
一方向関数(チャレンジ+パスワード)→レスポンス
で良いですかね。一方向関数の性質からレスポンスからパスワードを推測することは困難です。なので、チャレンジと適当なパスワード候補からレスポンスを作ってみて一致すればそれが正しいパスワードの候補になるわけですが、これが既に簡単ではなく、なかなか一致しない。
さらに単一のチャレンジに対するレスポンスが一致しても正しいパスワードの候補であって確定ではない。そのパスワード候補が多数のチャレンジに対してすべて正しいレスポンスを返して初めて正しいパスワードなのですが、なかなか上手くいかないし、上手くいっても幾つ一致すればOKか分からない。適当に実機で確認するようだとパスワードリスト攻撃と大差ないわけですし。
ご返答ありがとうございます。
記載頂いた内容は理解致しましたが、MD5のチャレンジレスポンス認証に脆弱性があるという記事がありました。これはご回答の最初の
それができるようだとアルゴリズムに脆弱性がある、
ためということだとすれば、MD5以外でチャレンジレスポンス認証が使える暗号アルゴリズムはあるのでしょうか?
https://xtech.nikkei.com/it/article/NEWS/2007041 …
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- SSL・HTTPS デジタル証明書の仕組みについて 3 2024/02/13 19:43
- その他(コンピューター・テクノロジー) なぜデータの整合性を確認する時はハッシュ値で確認するのでしょうか?ハッシュ値は衝突する可能性があるの 5 2023/07/05 20:38
- その他(コンピューター・テクノロジー) ハッシュ値を取ったらその取ったハッシュ値はどのように保管すればよいのでしょうか?ハッシュ値のデータす 2 2023/07/02 19:40
- その他(セキュリティ) データベースでユーザーのパスワードをハッシュ化する意味はなんですか?ハッシュ化してもDBのパスワード 2 2024/03/14 19:03
- その他(セキュリティ) デジタル署名について 4 2022/08/12 14:54
- その他(コンピューター・テクノロジー) exFATの外付けSSDからパソコンのNTFSの内蔵ストレージにコピーした場合はコピーしたデータのハ 2 2023/08/09 19:51
- その他(コンピューター・テクノロジー) 可逆圧縮のファイル形式のファイルにはハッシュ値は圧縮されたものと展開されたものの2つのハッシュ値が存 1 2023/09/19 19:43
- PHP DBのハッシュ化したパスワードをpassword_verifyで戻し照合したのですが上手く行きません 2 2023/02/06 13:24
- その他(コンピューター・テクノロジー) 外付けHDDや外付けSSDのデータが壊れていないかをハッシュ値で確認する方法は確実ではないって本当で 3 2023/06/26 20:42
- その他(コンピューター・テクノロジー) パソコンは同時に作業をすることが出来るらしいですが以下の動作の全てを同時にすることも可能なのですか? 5 2023/07/22 11:20
このQ&Aを見た人はこんなQ&Aも見ています
-
プロが教える店舗&オフィスのセキュリティ対策術
中・小規模の店舗やオフィスのセキュリティセキュリティ対策について、プロにどう対策すべきか 何を注意すべきかを教えていただきました!
-
CDNのセキュリティ対策の説明
その他(セキュリティ)
-
OCN のセキュリティで二段階認証が何故アメリカからなのでしょうか。
その他(セキュリティ)
-
Webプログラムってネイティブアプリプログラムに比べて遥かに簡単すぎる気がするのですが気の所為ですか
その他(プログラミング・Web制作)
-
-
4
自作のウェブサイトを友人に見てもらいたいのですが、正常に閲覧できる人と、閲覧できない人がいる。
UNIX・Linux
-
5
Ubuntu系とCentOS系の違いはなんですか? 勝手にですが、前者はC++、後者はPythonの
UNIX・Linux
-
6
pythonで複数画像からgifを作る方法
その他(プログラミング・Web制作)
-
7
複数のフォルダを同時に参照したいが、上手い方法がわからない
UNIX・Linux
-
8
MSNにログイン出来なくなりました。認証メールが使えなくなりログインできません。そうしたらログインし
その他(セキュリティ)
-
9
c++でテンプレートのコードでわからないことがあります
C言語・C++・C#
-
10
C言語関数違いについて。
C言語・C++・C#
-
11
C言語 バッファについて。
C言語・C++・C#
-
12
C言語について。
C言語・C++・C#
-
13
パソコンのことで質問です 知り合いから譲り受けたノートパソコンです。 Windows8でWindow
その他(セキュリティ)
-
14
surface go と windows11
その他(セキュリティ)
-
15
会社のパソコンフォルダを漁っていたら今年度行われる昇進試験(係長)の問題を発見してしまいました。流石
その他(セキュリティ)
-
16
これの対応OSを教えて下さい。php-8.3.0-src.zip
PHP
-
17
win 11でのコマンドプロンプトのwindowについてご教授お願い致します。
Windows 10
-
18
Apache Windows版2.4.58を直接ダウンロードできるURLは?
オープンソース
-
19
X(旧ツイッター)からバスワードの変更を求めるメールが届いたのですが、信用してよいでしょうか。
その他(セキュリティ)
-
20
このように書くべきですか? { object = action() if(object.isSucc
その他(プログラミング・Web制作)
関連するカテゴリからQ&Aを探す
このQ&Aを見た人がよく見るQ&A
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
一人暮らし女性23歳です。 明日...
-
友人の携帯に電話すると エコー...
-
これ盗聴器ですか? 今テレビを...
-
盗聴器を仕掛けられている?
-
階下をコンクリートマイクで盗...
-
周りを盗聴している不審車って...
-
向いマンションベランダ脇から...
-
パソコンへの盗聴は可能でしょ...
-
思考盗聴されているんだけどど...
-
職場内の盗聴
-
電話の盗聴って、出来るんでし...
-
彼氏にスマホを盗聴されてるかも
-
私より底辺いますか?
-
盗聴器 盗撮器 について
-
AirPodsを貰ったのですが相手が...
-
モバイルバッテリーに10〜15分...
-
盗聴されてる?
-
上の階の住人に盗撮されています
-
盗聴器発見アプリで、盗聴器は...
-
盗聴器について
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
一人暮らし女性23歳です。 明日...
-
盗聴器を仕掛けられている?
-
電話口でカード番号を口答で伝...
-
周りを盗聴している不審車って...
-
コンクリートマイク
-
一戸建てでの盗聴
-
職場内の盗聴
-
彼氏にスマホを盗聴されてるかも
-
階下をコンクリートマイクで盗...
-
友人の携帯に電話すると エコー...
-
鍵が開けられていました。盗聴...
-
聴診器を壁にあててみたら、た...
-
店舗で購入した商品の返品につ...
-
向いマンションベランダ脇から...
-
アダルトグッズ
-
私より底辺いますか?
-
盗聴されてる?
-
ラブホで盗聴や盗撮をされない...
-
盗聴について、音楽用指向性マ...
-
盗聴器とサブウーファーを使っ...
おすすめ情報