わさっきhb

大学(教育研究)とか ,親馬鹿とか,和歌山とか,とか,とか.

情報セキュリティの授業で話せなかったこと(2)

第2回は,「リプレイ攻撃」です.
ネットワークを介した認証を考えます.こちらでログイン時のユーザ名とパスワードを入力し,それらの情報をネットワークで送って,サーバで受け取って,ログインできるかどうかを判定するという流れは,リモートログインと言います.
このリモートログインの途中でですね,悪さしたい人が内容を盗聴してですね,まあそのときは正当な利用者さんがログインに成功するのですが,後でその,悪さしたい人が,盗聴したユーザ名とパスワードを入力すれば,サーバは,ああこれはだれそれさんだなと,悪さしたい人じゃなくて,最初に情報を送った人ですね,この人と思って認証してしまうということが起こったら,悪さしたい人以外は,嬉しくありません.
じゃあ通信内容を暗号化すればいいのかというと,単純な暗号化ではダメです.というのも,悪さしたい人がその暗号化した内容を盗聴してですね,後でその,盗聴した暗号情報をそのまんまサーバに送りつけて,本来なされるべきで認証が行われてしまうのでは,暗号化の意味がないのです.
こういう悪用の仕方を,リプレイ攻撃と言います.リプレイとは,音楽の再生のことです.録音したのを聞き直すってやつです.「再生攻撃」とも言いますし,意味からして再び送りつけることなので,「再送攻撃」とも言います.
認証におけるリプレイ攻撃って,何か連想しませんか? 小学生ぐらいのとき,あるいはそれより前に,聞いたことがあるはずです……アリババと40人の盗賊*1です.アリババが,「開けゴマ」って言葉を聞いて,試したら開いたってのが,まさにリプレイ攻撃なのです.
なので,リプレイ攻撃という言葉が出なければ,「アリババ攻撃」という覚え方をするのもいいですね.なお,試験で「アリババ攻撃」と書いたら,バツにします.