サイバースペースセキュリティレビュー資料
- 第1章;序章
-
- 1. 情報セキュリティの 4 つの目標をマスターしますか?
- 2. 情報システムにおける一般的な脅威は何ですか?
- 3. セキュリティ ポリシーとは何ですか? セキュリティ ポリシーは何段階に分かれていますか?
- 4. アクセス制御ポリシーとは何ですか? それはどの 2 つのカテゴリに分類されますか? 違いはなんですか?
- 5. セキュリティ攻撃には何種類ありますか? 一般的な攻撃の形態は何ですか?
- 6. X.800 標準の 5 種類のセキュリティ サービスと 8 つの具体的なセキュリティ メカニズムを暗記し、セキュリティ サービスとセキュリティ メカニズムの関係を簡単に説明します。
- 7. ネットワークセキュリティモデルとネットワークアクセスモデルを理解し、描くことができる。
- 第2章 コンピュータネットワークの基礎
-
- 1. OSI の 7 層参照モデルと TCP/IP の 4 層モデルを理解します。
- 2. コネクション型サービスとは何ですか? コネクションレス型サービスとは何ですか?
- 3. IPv4 アドレスと IPv6 アドレスの形式と長さを知っている必要があります。
- 4. MAC アドレスの長さを知っている必要があります。
- 5. IP アドレスと MAC アドレスの変換はどのネットワーク プロトコルに依存しますか?
- 6. IPv4 アドレスの分類にはどのような種類がありますか? IP アドレスが与えられると、そのアドレスがどのタイプのアドレスに属するかを分析して判断できる必要があります。
- 7. IPv4 アドレスとサブネット マスクを指定すると、ネットワーク アドレスを計算できる必要があります。
- 8. 128.14.32.0/20 で表されるアドレス ブロック範囲とサブネット マスクは何ですか? など、CIDR の表現に精通しています。
- 9. ポート番号とは何ですか? ネットワーク通信においてポート番号はどのような役割を果たしますか?
- 第 3 章 インターネットプロトコルのセキュリティ
-
- 1. http/ftp/telnet/pop3/smtp/imap/ssh/dns などの一般的な通信プロトコルの機能を覚えます。
- 2. 一般的に使用されるいくつかのネットワーク プロトコルのポート番号を記憶します。
- 3. インターネット層プロトコルとは何ですか? トランスポート層プロトコルとは何ですか? アプリケーション層プロトコルとは何ですか?
- 4. ネットワーク アドレス変換 (NAT) を使用する理由
- 5. ARP プロトコルの機能は何ですか?
- 6. UDP が TCP よりも攻撃に対して脆弱なのはなぜですか?
- 7. POP3 プロトコルと比較して、IMAP のセキュリティ向上点は何ですか?
- 8. Telnet プロトコルと比較して、SSH のセキュリティの向上点は何ですか?
- 9. ICMP リダイレクト攻撃とは何ですか? このような攻撃を防ぐにはどうすればよいでしょうか?
- 10. ネットワークでは、データ パケットの IP アドレスを識別するだけでは、その IP アドレスを持つホストからデータ パケットが送信されないのはなぜですか?
- 第 4 章 単一鍵暗号システム
-
- 1. 平文メッセージのさまざまな処理方法に従って、単一キー システムはどの 2 つのタイプに分類できますか?
- 2. 古典的な暗号で一般的に使用される 2 つの変換は何ですか?
- 3. 理論的安全性とは何ですか? 計算上安全とは何ですか? 理論的に安全な暗号アルゴリズムはいくつありますか? 理論的に安全なパスワードとは何ですか?
- 4. 同期ストリーム暗号と自己同期ストリーム暗号とは何ですか? ストリーム暗号のセキュリティは何に依存しますか?
- 5. DES のブロック長、キー長、ラウンド数はどれくらいですか? 1 ラウンドの暗号化にはどのような変換が含まれますか? DES の非線形変換とは何ですか?
- 6. AES のブロック長、キーの長さ、ラウンド数は何ですか? 1 ラウンドの暗号化にはどのような変換が含まれますか? AES の非線形変換とは何ですか?
- 7. 暗号化ラウンドは多ければ多いほど良いのでしょうか? キーは長い方が良いのでしょうか?2 つのアルゴリズムを直列に接続してデータを暗号化する方が必ずしも安全なのでしょうか?
- 8. ブロック暗号の 5 つの動作モードは何ですか? 5つの動作モードの機能ブロック図を描画できます。
- 9. 5 つの暗号化モードのうち、エラー拡張子がないものはどれですか? エラー拡張子があるのはどれですか? エラー延長がある場合、影響を受けるパケット数はどれくらいですか?
- 10. 中国の商用ブロック暗号アルゴリズム SM4 を理解し、そのブロック長、キーの長さ、暗号化ラウンド数を把握します。
- 第5章 二重鍵暗号システム
-
- 1. 二重鍵暗号システムは数学的問題に基づいて構築されていますが、既存の数学的問題を列挙してください。二重鍵システムで暗号化する場合、誰の公開鍵が使用されますか? 復号化には誰の公開鍵が使用されますか?
- 2. RSA はどのような数学パズルに基づいていますか? ディフィー・ヘルマンはどのような数学パズルに基づいていますか?
- 3. RSA 暗号化と復号化の数式を書き出して、公開キーと秘密キーとは何かを指摘してください。簡単な暗号化と復号化の計算も可能
- 4. さまざまなパラメータの選択における RSA の原則と制限は何ですか? なぜ?
- 5. ELGamal 暗号システムの作成に基づいている数学的問題は何ですか? 彼の暗号化式と復号化式を書いてください。
- 6. ECC 公開鍵暗号システムはどのような数学的問題に基づいていますか? 彼の暗号化式と復号化式を書いてください。
- 7. ECC ベースの Diffie-Hellman 鍵交換プロトコルを作成します。
- 8. RSA と ECC 公開キー暗号化アルゴリズムの暗号化と復号化の速度の違いは何ですか? ハードウェア実装とソフトウェア実装の暗号化速度と復号化速度を比較した文献を確認してください。
- 9. 公開キー暗号化に対する一般的な攻撃にはどのようなものがありますか? 彼らの特徴は何でしょうか?
- 10. 中国の商用公開鍵暗号アルゴリズム SM2 を理解する。
- 第 6 章 メッセージ認証とハッシュ関数
-
- 1. ハッシュ関数と暗号化関数の違いを教えてください。
- 2. ハッシュ関数の特性は何ですか?
- 3. メッセージ認証コードMACとは何ですか? どのように構築すればよいでしょうか?
- 4. キーを知らずに MAC アルゴリズムを攻撃するにはどうすればよいですか? (167ページ)
- 5. ハッシュ関数とブロック暗号化アルゴリズムを使用して MAC を構築するにはどうすればよいですか?
- 6. メッセージ検出コード (またはメッセージ ダイジェスト) MDC とは何ですか? MDC と MAC の類似点と相違点を簡単に説明します。
- 7. 反復ハッシュ関数の構築方法に精通している。
- 8. MD5 の平文入力パケット長、ワード長、出力長は何桁ですか?
- 9. SHA-1の平文入力パケット長、ワード長、出力長は何桁ですか?
- 10. ハッシュ関数を適用する基本的な方法をマスターし、図 6-1、図 6-2、図 6-5、および図 6-6 によって提供されるセキュリティ関数に精通します。
- 11. 中国の商用ハッシュ関数 SM3 の構築に精通している。
- 第 7 章 デジタル署名
-
- 1. デジタル署名にはどのような特性が必要ですか?
- 2. デジタル署名にはどのような種類がありますか?
- 3. RSA 署名はどのような数学パズルに基づいていますか?
- 4. ElGamal 署名はどのような数学パズルに基づいていますか? ElGamal の署名式を書き留めてください。
- 5. Schnorr 署名は ElGamal 署名とどう違うのですか? 両者の類似点と相違点を比較してください。
- 6. DSS の署名式を書き留めて、その類似点と相違点を ElGamal および Schnorr と比較してください。
- 7. 上記の 3 つの署名スキームでは、ユーザーは署名するたびに乱数 k を選択する必要があります。乱数 k を定数に置き換えると、セキュリティ上どのような問題が発生しますか? 分析してください。
- 8. Diffie-Hellman はデジタル署名に使用できますか?
- 9. デジタル署名に単一キー システムを使用できますか?
- 10. 鍵の使用におけるデジタル署名と公開鍵暗号化アルゴリズムの違いを比較してみます。
- 11. 特別な機能を持つデジタル署名システムを挙げてください。それらは何のため?
- 12. 中国の商用デジタル署名アルゴリズム SM2 を理解します。
- 第 8 章 暗号プロトコル
-
- 1. 契約を構成する 3 つの主な特徴 (含意) は何ですか?
- 2. 仲裁合意とは何ですか? 授与契約とは何ですか? 自己執行契約とは何ですか?
- 3. 暗号プロトコルを機能別に分類すると、どのような種類に分類できますか?
- 4. 中間者攻撃とは何ですか? Diffie-Hellman プロトコルに対して中間者攻撃を実行するにはどうすればよいですか? Diffie-Hellman プロトコルに対する中間者攻撃の詳細なプロセスを図を使用して分析してください。
- 5. DH プロトコルが中間者攻撃に抵抗できない本質的な理由は何ですか? 中間者攻撃に対抗するために DH プロトコルを変換するにはどうすればよいでしょうか?
- 6. Diffie-Hellman はデジタル署名に使用できますか?
- 7. Big Mouth Frogプロトコル、Yahalom、Kerberosプロトコルのセキュリティプロトコル設計のアイデアをマスターします。
- 8. 218 ページの SKID プロトコルが中間者攻撃に抵抗できない理由を分析するための絵を描いてください。このプロトコルを変換して中間者攻撃に効果的に対抗するにはどうすればよいでしょうか?
- 9. 暗号プロトコルを攻撃する方法にはどのようなものがありますか?
- 10. 暗号プロトコルのセキュリティ分析の一般的な方法は何ですか?
- 第 9 章 デジタル証明書と公開鍵インフラストラクチャ
-
- 1.PKIとは何ですか? PKI はどのような部分で構成されていますか? 各コンポーネントの役割は何ですか?
- 3. X.509 標準で指定されているデジタル証明書の形式を理解します。
- 4. 実際、誰が証明書を発行するのでしょうか? 証明書を発行するとき、誰の鍵 (秘密または公開) で署名されますか? 証明書を検証するとき、誰のキーを使用して検証しますか?
- 5. 電子証明書の機能は何ですか? ネットワーク セキュリティにおけるどのような問題を本質的に解決できるのでしょうか?
- 6. 実際のアプリケーションでは、階層型 CA アーキテクチャが採用されている場合、異なるサブ CA に位置する 2 人のユーザー間でデジタル証明書検証を実装するにはどうすればよいですか?
- 7. 相互認証とは何ですか?
- 8. デジタル証明書の失効を実現するにはどうすればよいですか? デジタル証明書のオンラインクエリを実装するにはどうすればよいですか?
- 9. ローミング証明書とは何ですか? その基本的な動作原理を簡単に説明します。
- 10. PKI/CA デジタル証明書システムのコンポーネントは何ですか?
- 第 10 章 ネットワーク暗号化と鍵管理
-
- 1. リンク暗号化とは何ですか? 長所と短所は何ですか?
- 2. ノード暗号化とは何ですか? 長所と短所は何ですか?
- 5. 鍵管理とは何ですか? 管理にはどのような側面が含まれますか?
- 6. キーにはどのような種類がありますか? それぞれ何のためにあるのでしょうか?
- 7. キー配布の基本的な方法は何ですか?
- 8. キーガンを使用してキーを注入するときに、キーの注入が正しいことを確認するにはどうすればよいですか?
- 9. キー管理ではキーをさまざまなレベルに分割するのはなぜですか?
- 10. 鍵管理システムのコンポーネントは何ですか? (この質問は見つかりませんでした)
- 11. キーのライフサイクルの 4 つの段階は何ですか? 鍵管理の 12 の作業ステップを学びます。
- 12. 適切なキーが持つべき数学的特性を知るための情報を探しますか?
- 第 11 章 無線ネットワークのセキュリティ
-
- 1. ワイヤレス ネットワークに対する主なセキュリティ脅威は何ですか? どれが能動的攻撃でどれが受動的攻撃であるかを識別できる必要があります。
- 2. GSM システムの主なセキュリティ上の欠陥は何ですか?
- 3. 3G システムにはどのようなセキュリティ機能がありますか? 重大なセキュリティ上の欠陥は何ですか? 2G と比較して、3G ではセキュリティがどのように向上しましたか?
- 4. 4G システムにはどのようなセキュリティ機能がありますか? 重大なセキュリティ上の欠陥は何ですか? 3G と比較して 4G ではセキュリティがどのように向上しましたか?
- 5. GSM 携帯電話システムの機密性と認証プロトコルの動作プロセスを分析する図を描いて、トリプレット認証ベクトルの各要素が果たすセキュリティ機能を指摘してください。
- 6. 3G 携帯電話システムのセキュリティと認証プロトコルの動作プロセスを分析する図を描いて、5 重認証ベクトルの各要素が果たすセキュリティ機能を指摘してください。
- 7. 2G/3G/4G システムのチャレンジ値 RAND が定数ではなく乱数なのはなぜですか? チャレンジ値 RAND が一定の場合、どのようなセキュリティ上の問題が発生しますか? 分析してください。
- 8. 2G/3G/4G と比較して、5G はどのような点でセキュリティを向上させますか?
第1章;序章
1. 情報セキュリティの 4 つの目標をマスターしますか?
(CIA+ 合法的使用)
- 機密保持
- 威厳
- 可用性
- 合法的な使用
2. 情報システムにおける一般的な脅威は何ですか?
(CIA+の違法使用)
- 情報漏洩
- 完全性の侵害
- サービス拒否
- 違法使用
3. セキュリティ ポリシーとは何ですか? セキュリティ ポリシーは何段階に分かれていますか?
セキュリティドメイン内のすべてのセキュリティ関連アクティビティに課せられる一連のルール。
3つのレベルに分かれています:
- セキュリティポリシーのターゲット
- 組織のセキュリティポリシー
- システムセキュリティポリシー。
4. アクセス制御ポリシーとは何ですか? それはどの 2 つのカテゴリに分類されますか? 違いはなんですか?
アクセス コントロール ポリシーは、コンピュータ システムとネットワークに自動的に承認を強制するシステム レベルのセキュリティ ポリシーです。2 つのカテゴリに分類されます。
- 必須アクセス ポリシー:オペレーティング システムカーネルは、認可ルールを適用し、サブジェクトのセキュリティ属性をチェックし、アクセスできるかどうかを決定します。
- 自律アクセス戦略:オブジェクトの所有者は自分のオブジェクトを管理し、所有者は自分のオブジェクトのアクセス権を付与するか、アクセス権の一部を他のサブジェクトに付与するかを決定します。
5. セキュリティ攻撃には何種類ありますか? 一般的な攻撃の形態は何ですか?
- 受動的な攻撃的な
- 盗聴攻撃
- トラフィック分析
- 積極的な攻撃
- マスカレード攻撃
- リプレイ攻撃
- メッセージ改ざん
- サービス拒否
6. X.800 標準の 5 種類のセキュリティ サービスと 8 つの具体的なセキュリティ メカニズムを暗記し、セキュリティ サービスとセキュリティ メカニズムの関係を簡単に説明します。
- セキュリティサービス(CI+認証+アクセス制御(合法的利用)+否認防止(可用性))
- 認証済み
- アクセス制御
- データの機密性
- データの整合性
- 否認防止
- セキュリティメカニズム
- 暗号化
- デジタル署名
- アクセス制御
- データの整合性
- 認証交換
- トラフィック充填
- ルーティング制御
- 公証
- セキュリティ サービスとセキュリティ メカニズムの関係
セキュリティ サービスは、セキュリティ メカニズムを通じてセキュリティ ポリシーを実装します。
7. ネットワークセキュリティモデルとネットワークアクセスモデルを理解し、描くことができる。
ネットワーク セキュリティ モデル
ネットワーク アクセス モデル
第2章 コンピュータネットワークの基礎
1. OSI の 7 層参照モデルと TCP/IP の 4 層モデルを理解します。
OSI 7 層参照モデル: 物理層、データリンク層、ネットワーク層、トランスポート層、セッション層、プレゼンテーション層、アプリケーション層。
TCP/IP 4 層モデル: インターネット インターフェイス層、ネットワーク層、トランスポート層、アプリケーション層。
2. コネクション型サービスとは何ですか? コネクションレス型サービスとは何ですか?
コネクション型サービスでは、データを送信する前に双方が接続を確立する必要があり、データ送信プロセスには、接続の確立、データ送信、および接続の解放の3 つの段階が含まれます。
コネクションレス型サービスは、データ送信前に通信当事者がコネクションを確立する必要がなく、目的地に到達するまで全力でデータ送信を行う「ベストエフォート配信(配信) 」サービスです。
3. IPv4 アドレスと IPv6 アドレスの形式と長さを知っている必要があります。
- IPv4 形式 = <ネットワーク識別子 net-id> <ホスト識別子 host-id>
IPv4 長さ: 32 ビット - IPv6 形式 = <サイト プレフィックス> <サブネット ID><インターフェイス ID>
IPv6 長さ: 128 ビット
4. MAC アドレスの長さを知っている必要があります。
48ビット
5. IP アドレスと MAC アドレスの変換はどのネットワーク プロトコルに依存しますか?
ARPプロトコル
6. IPv4 アドレスの分類にはどのような種類がありますか? IP アドレスが与えられると、そのアドレスがどのタイプのアドレスに属するかを分析して判断できる必要があります。
クラス A アドレスには、マシンの 127 範囲のアドレスは含まれないことに注意してください。
7. IPv4 アドレスとサブネット マスクを指定すると、ネットワーク アドレスを計算できる必要があります。
IPv4 形式 = <ネットワーク ID net-id> <ホスト ID host-id>
8. 128.14.32.0/20 で表されるアドレス ブロック範囲とサブネット マスクは何ですか? など、CIDR の表現に精通しています。
サブネットマスク: 255.255.240.0
アドレスブロック範囲 128.14.32.1 - 128.14.47.254
9. ポート番号とは何ですか? ネットワーク通信においてポート番号はどのような役割を果たしますか?
ポート番号は、アプリケーションプロセスの機能に応じてアプリケーションプロセスを識別するために使用されます。(ポート番号の長さは16bitです。)
通信処理では、ポート番号とIPアドレスが紐付けられて使用され、形成された識別子はソケットと呼ばれ、ネットワーク上のあるホストの特定のプロセスに一意に対応します。 。
第 3 章 インターネットプロトコルのセキュリティ
1. http/ftp/telnet/pop3/smtp/imap/ssh/dns などの一般的な通信プロトコルの機能を覚えます。
- Http (TCP80): Web データの送信にハイパーテキスト転送プロトコルが使用されます
- FTP (TCP20/21): ファイル転送プロトコルはインターネット ファイル転送の基礎です
- Telnet (TCP23): リモート ログイン プロトコルはリモート ログイン サービスを提供します
- Pop3(TCP110):メール受信
- SMTP(TCP25): メールを送信
- SSH (TCP22): リモート ログイン セッションおよびその他のネットワーク サービスにセキュリティを提供するプロトコル
- DNS(UDP53): ドメイン名と IP 間のマッピングを実現するために使用される分散データベース システム
- DHCP (UDP 67/68): 動的ホスト構成プロトコル。IP アドレスを割り当て、コンピュータを起動するためのその他の情報を提供するために使用されます。
- IMAP (TCP143): メール取得プロトコル、オフライン読み取りをサポート、ユーザー認証とサーバーへのリモート暗号化アクセスをサポート
2. 一般的に使用されるいくつかのネットワーク プロトコルのポート番号を記憶します。
3. インターネット層プロトコルとは何ですか? トランスポート層プロトコルとは何ですか? アプリケーション層プロトコルとは何ですか?
-
インターネット層:
-
IP
インターネット プロトコル (インターネット プロトコル、IP) は、TCP/IP プロトコル ファミリの中核であり、インターネット層の最も重要なプロトコルです。ヘッダーの最初の部分は 20 バイトの固定長であり、データグラムには必須です。 -
ARP
アドレス解決プロトコル (アドレス解決プロトコル、ARP) は、IP アドレスに基づいて物理アドレスを取得する TCP/IP プロトコルです。 -
ICMP
コントロール メッセージ プロトコル (インターネット コントロール メッセージ プロトコル、ICMP) は、重要なエラー処理および情報処理プロトコルです。 -
IGMP
グループ管理プロトコル (インターネット グループ管理プロトコル、IGMP) は、IP マルチキャスト メンバー管理を担当する TCP/IP プロトコル スイートのプロトコルです。 -
OSPF
Open Shortest Path First (Open Shortest Path First、OSPF) は、単一の自律システム内でルーティングを決定するための内部ゲートウェイ プロトコルです。 -
BGP
ボーダー ゲートウェイ プロトコル (ボーダー ゲートウェイ プロトコル、BGP) は、単一管理ネットワークを、複数の自律システムによって分散および相互接続されるネットワークに変換します。
-
-
トランスポート層:
-
TCP
伝送制御プロトコル (伝送制御プロトコル、TCP) は、コネクション指向の信頼性の高いトランスポート層通信プロトコルです。 -
UDP
ユーザー データグラム プロトコル (UDP) は、トランザクション指向のシンプルで信頼性の低い情報送信サービスを提供するコネクションレス型トランスポート層プロトコルです。
-
-
アプリケーション層:
-
HTTP
TCP80
ハイパーテキスト転送プロトコル (ハイパーテキスト転送プロトコル、HTTP) は、クライアントとサーバーの要求と応答の標準であり、インターネット上で最も広く使用されているネットワーク プロトコルです。 -
TELNET
TCP23
リモート ログイン プロトコル (テレタイプ ネットワーク、TELNET) は、TCP/IP プロトコル ファミリのメンバーであり、インターネット リモート ログイン サービスの標準プロトコルおよび主要な方式です。 -
SSH
TCP22
セキュア シェル プロトコル (セキュア シェル、SSH) は、安全でないネットワーク上で安全なリモート ログインやその他の安全なネットワーク サービスを確立するためのプロトコルです。 -
DNS
UDP53
ドメイン ネーム システム (ドメイン ネーム システム、DNS) は、ドメイン名と IP アドレス間のマッピングを実現するために使用される分散データベース システムです。 -
SMTP
TCP25
シンプル メール転送プロトコル (シンプル メール転送プロトコル、SMTP) は、送信元アドレスから宛先アドレスへメールを送信するために使用される一連のルールであり、レターの転送モードを制御します。 -
POP3
TCP110
ポスト オフィス プロトコル (Post Office Protocol、POP) はメール プロトコルであり、その 3 番目のバージョンは POP3 と呼ばれます。 -
IMAP4
TCP 143,993
メッセージ アクセス プロトコル (インターネット メッセージ アクセス プロトコル、IMAP) はメール アクセス プロトコルであり、4 番目のバージョンは IMAP4 です。 -
FTP
TCP20/21
ファイル転送プロトコル (ファイル転送プロトコル、FTP) は、インターネット ファイル転送の基礎であり、TCP/IP プロトコル ファミリの重要なプロトコルの 1 つです。 -
TFIP
UDP69
Trivial File Transfer Protocol (TFTP) は、クライアントとサーバー間の単純なファイル転送に使用されるプロトコルです。 -
NFS
UDP2049
ネットワーク ファイル システム (ネットワーク ファイル システム、NFS) は、TCP/IP ネットワークに基づくファイル共有プロトコルです。 -
SNMP
UDP161/162
Simple Network Management Protocol (Simple Network Management Protocol、SNMP) は、ネットワーク管理システムをサポートするためのプロトコルです。 -
DHCP
UDP67/68
動的ホスト構成プロトコル (動的ホスト構成プロトコル、DHCP) は、IP アドレスを割り当て、コンピューターを起動するためのその他の情報を提供するために使用されます。 -
H.323
H.323 は、パケット ネットワーク上でリアルタイムのオーディオ、ビデオ、およびデータ通信を提供する VoIP (Voice over IP) の標準 (NetMeeting) です。 -
SIP
セッション開始プロトコル (Session Initiation Protocol、SIP) は、IETF によって開発されたテキスト エンコーディング ベースのマルチメディア通信プロトコル (VoLTE など) です。 -
NTP
UDP123
ネットワーク タイム プロトコル (ネットワーク タイム プロトコル、NTP) は、分散タイム サーバーとクライアントの間で時刻の同期を実行できます。 -
FINGER
UDP79
Finger プロトコルは、ユーザーがシステム内の特定のユーザーの詳細 (フルネーム、住所、電話番号、ログインの詳細など) を照会するのに役立ちます。 -
Whois
TCP43
Whois プロトコルは、ドメイン名の IP および所有者情報を照会するために使用される送信プロトコルです。 -
LDAP
TCP389
Lightweight Directory Access Protocol (Lightweight Directory Access Protocol、LDAP) は、ディレクトリの形式でリソースを管理する X.500 ベースのディレクトリ アクセス プロトコルです。 -
NNTP
TCP119
ネットワーク メッセージは通常、ネットワーク メッセージ転送プロトコル NNTP を介して送信されます。採用されるネットワーク ニュース転送プロトコル (NNTP) セッションは SMTP に似ています。送受信されたメッセージ エントリはゲートウェイによって処理され、読み取りとインターネット アプリケーションのためのデバイスです。 Usenet にニュース記事を投稿するためのプロトコル。前方。このプロトコルはニュースを読むためにのみ使用されます。 -
PGP
PGP (Pretty Good Privacy) プロトコルは、一般的に使用されている安全な電子メール標準です。PGP には、認証、プライバシー、圧縮、電子メール互換性、セグメンテーションの 5 つのサービスが含まれています。 -
RIP
UDP520
ダイナミック ルーティング プロトコル (ルーティング情報プロトコル、RIP) は、自律システム内のルーティング情報の転送に使用される動的内部ルーティング/ゲートウェイ プロトコルです。 -
MIME
多目的インターネット電子メール拡張機能 (MultiPurpose Internet E-mail Extensions、MIME) は、広く使用されている電子メールの技術仕様です。
-
4. ネットワーク アドレス変換 (NAT) を使用する理由
アジア諸国ではIP アドレスが不足していますが、NAT を使用することでアドレス不足の問題を解決できます。NAT の利点:内部ネットワークのトポロジを隠蔽し、ネットワーク セキュリティを向上させます。
5. ARP プロトコルの機能は何ですか?
IP アドレスに基づいて物理アドレスを取得し、 2 つの間のマッピング関係を決定します。
イーサネットは 48 ビットのイーサネット アドレスを持つパケットを送信します。IP ドライバーは 32 ビットの IP 宛先アドレスを 48 ビットのアドレスに変換する必要があります。2 種類のアドレス間には静的またはアルゴリズムによるマッピングがあります。マッピングの決定には ARP が使用されます。両者の関係。
6. UDP が TCP よりも攻撃に対して脆弱なのはなぜですか?
UDP はハンドシェイク情報やシーケンス番号を交換せず、コネクションレス型のトランスポート層プロトコルであるため、信頼性が低くなります。
7. POP3 プロトコルと比較して、IMAP のセキュリティ向上点は何ですか?
POP3 では、パスワードは平文で送信され、IMAP プロトコルは SSL/TLS を使用して送信データを暗号化します。
8. Telnet プロトコルと比較して、SSH のセキュリティの向上点は何ですか?
Telnet はユーザーのアカウント名と平文のパスワードを使用してログインしますが、これにより機密情報の漏洩や Telnet セッションのハイジャックが発生する可能性があります。SSH は複数のID 認証とデータ暗号化をサポートし、送信されるすべてのデータを暗号化し、**「チャレンジ/レスポンス」メカニズムを採用します。従来のホスト名とパスワードによる認証により、中間者攻撃を効果的に防止できます**。
9. ICMP リダイレクト攻撃とは何ですか? このような攻撃を防ぐにはどうすればよいでしょうか?
攻撃: 攻撃者は ICMP を使用してメッセージをリダイレクトできるため、ターゲット マシンは攻撃者の情報に従ってルーティング テーブルを変更し、接続ハイジャックやサービス拒否攻撃を受ける可能性があります。
防止: リダイレクト メッセージは、メッセージを生成したホストまたはルーターによってのみ実行される必要があります。ネットワーク管理者は、ICMP を使用して宛先への新しいルートを作成すべきではなく、ICMP プロトコルを無効にするか、ファイアウォールのセキュリティ ポリシーを設定する必要があります。攻撃を防ぎます。
10. ネットワークでは、データ パケットの IP アドレスを識別するだけでは、その IP アドレスを持つホストからデータ パケットが送信されないのはなぜですか?
IP 層は、IP データグラムが送信元アドレスから送信される必要があることを保証できません。攻撃者は別のネットワーク ホストになりすまして、偽の送信元アドレスを含むデータ パケットを送信して受信者を欺くことができます。この攻撃はIPスプーフィング攻撃と呼ばれます。
第 4 章 単一鍵暗号システム
1. 平文メッセージのさまざまな処理方法に従って、単一キー システムはどの 2 つのタイプに分類できますか?
ブロック暗号、ストリーム暗号。
2. 古典的な暗号で一般的に使用される 2 つの変換は何ですか?
代替え、代替え。
3. 理論的安全性とは何ですか? 計算上安全とは何ですか? 理論的に安全な暗号アルゴリズムはいくつありますか? 理論的に安全なパスワードとは何ですか?
理論的に安全: 攻撃者は無制限のコンピューティング リソースを持っているが、それでも何の利点も得られないと仮定します。
計算上安全: 攻撃者が多項式時間で実行する有限の計算能力を有しており、攻撃者が得られる利点は無視できるものであると仮定します。
理論的に安全な暗号アルゴリズムが 1 つあり、それがワンタイム パッド (ワンタイム パッド) です。
4. 同期ストリーム暗号と自己同期ストリーム暗号とは何ですか? ストリーム暗号のセキュリティは何に依存しますか?
ある時点でキーストリーム ジェネレーターの内部状態が平文メッセージと何の関係もない場合、キーストリームは平文から独立しており、このタイプのストリーム暗号は同期ストリーム暗号と呼ばれます。
キーストリームは平文に関連付けられており、このタイプのストリーム暗号は自己同期ストリーム暗号と呼ばれます。
ストリーム暗号の安全性は、擬似乱数の強度に完全に依存します。
5. DES のブロック長、キー長、ラウンド数はどれくらいですか? 1 ラウンドの暗号化にはどのような変換が含まれますか? DES の非線形変換とは何ですか?
6. AES のブロック長、キーの長さ、ラウンド数は何ですか? 1 ラウンドの暗号化にはどのような変換が含まれますか? AES の非線形変換とは何ですか?
暗号アルゴリズム | パケット長 | キーの長さ | ラウンド数 | 変換を含む 1 ラウンドの暗号化 | 非線形変換 |
---|---|---|---|---|---|
の | 64ビット | 56ビット | 16 | Eボックス交換+ラウンドキープラス+Sボックス交換+Pボックス交換+左右パケット交換 | 8 S ボックスの交換 |
AES | 128ビット | 128/192/256ビット | 10/12/14 | バイト置換 + 行シフト + 列難読化 + ラウンドキーの追加 | バイト置換、列の難読化 |
DES アルゴリズム
AES アルゴリズム
7. 暗号化ラウンドは多ければ多いほど良いのでしょうか? キーは長い方が良いのでしょうか?2 つのアルゴリズムを直列に接続してデータを暗号化する方が必ずしも安全なのでしょうか?
暗号化ラウンドの数はできるだけ多くなく、キーもできるだけ長くなく、連結が必ずしも安全であるとは限りません。
8. ブロック暗号の 5 つの動作モードは何ですか? 5つの動作モードの機能ブロック図を描画できます。
電子コードブック モード ECB:
暗号文ブロック連鎖モード CBC:
暗号フィードバック モード CFB:
出力フィードバック モード OFB:
カウンタ モード CTR:
9. 5 つの暗号化モードのうち、エラー拡張子がないものはどれですか? エラー拡張子があるのはどれですか? エラー延長がある場合、影響を受けるパケット数はどれくらいですか?
エラー コード拡張なし: CTR、エラー コード拡張ありのOFB :
ECB は 1 つのパケット、つまり現在のパケットに影響します。
CBC は、現在のパケットと次のパケット (1 ビット) の 2 つのパケットに影響します。
CFB は、現在のパケット (1 ビット) と次のパケットの 2 つのパケットに影響します。
シフト レジスタの影響を考慮すると、最大⌈ ns ⌉ \lceil \frac{n}{s} \rceil⌈sん⌉ (グループ化への影響が少なく、早期に削除される可能性があります)。
10. 中国の商用ブロック暗号アルゴリズム SM4 を理解し、そのブロック長、キーの長さ、暗号化ラウンド数を把握します。
128ビット、128ビット、32。
第5章 二重鍵暗号システム
1. 二重鍵暗号システムは数学的問題に基づいて構築されていますが、既存の数学的問題を列挙してください。二重鍵システムで暗号化する場合、誰の公開鍵が使用されますか? 復号化には誰の公開鍵が使用されますか?
多項式根の求め、大きな整数分解、離散対数、ナップザック問題、DH 問題、二次剰余問題、n を法とする平方根問題。
復号者の公開キーは暗号化に使用され、復号者の秘密キーは復号化に使用されます。
2. RSA はどのような数学パズルに基づいていますか? ディフィー・ヘルマンはどのような数学パズルに基づいていますか?
RSA は、n を法とする大きな整数の因数分解の難しさに基づいて構築されています。
Diffie-Hellman は、Diffie-Hellman 問題に基づいて構築されます。
3. RSA 暗号化と復号化の数式を書き出して、公開キーと秘密キーとは何かを指摘してください。簡単な暗号化と復号化の計算も可能
RSA 暗号化と復号化の数式:
- c = me ( modn ) c = m^e \pmod nc=メートルe( modn )
- m = cd ( modn ) m = c^d \pmod nメートル=cd( modn )
公開鍵:ee秘密
鍵:ddd
4. さまざまなパラメータの選択における RSA の原則と制限は何ですか? なぜ?
- んn係数が十分に大きい (1024 ビットより大きい)、p 、qp、qp 、qは大きな素数です。RSA のセキュリティはモジュロnnn分解の難易度
- p − 1 p-1p−1,q − 1 q-1q−1には大きな素因数があり、p + 1 p+1p+1、q+1q+1q+1には大きな素因数もあります。なぜなら、ppとqqqは強い素数です。
- pppとqqqの差が大きい。差が小さい場合はpppとqqqの値。
- そしてそしてe满足1 ≤ e < ϕ ( n ) 1 ≤ e < \phi(n)1≤e<ϕ ( n )、gcd(ϕ(n), e) = 1 gcd(\phi(n),e) =1g c d ( ϕ ( n ) ,e )=1 . 反転条件が満たされる必要があるためです。
- そしてそしてe が小さすぎることはできません。平文の時間はモジュロではない可能性があるため、eee乗は平文を取得するため、低暗号化インデックス攻撃に対して脆弱です。
- DDdはn 1 / 4 n^{1/4}より大きくなければなりませんn1/4。なぜなら、dddが小さすぎる場合、既知の平文攻撃が発生し、dddの値はシステムの攻撃方法にも影響します。
5. ELGamal 暗号システムの作成に基づいている数学的問題は何ですか? 彼の暗号化式と復号化式を書いてください。
離散対数問題。
6. ECC 公開鍵暗号システムはどのような数学的問題に基づいていますか? 彼の暗号化式と復号化式を書いてください。
楕円曲線上の離散対数問題。
7. ECC ベースの Diffie-Hellman 鍵交換プロトコルを作成します。
8. RSA と ECC 公開キー暗号化アルゴリズムの暗号化と復号化の速度の違いは何ですか? ハードウェア実装とソフトウェア実装の暗号化速度と復号化速度を比較した文献を確認してください。
同じセキュリティ要件を満たす場合、ECC の方がキーの長さは短くなりますが、計算はより複雑になりますが、暗号化速度は速くなります。
9. 公開キー暗号化に対する一般的な攻撃にはどのようなものがありますか? 彼らの特徴は何でしょうか?
- 選択された平文攻撃 (CPA)。攻撃者は平文メッセージを選択し、復号化サービスを取得して対応する平文を生成し、取得した平文ペアを通じてターゲット暗号システムの安全性を低下させます。
- 選択された暗号文攻撃 (CCA)。攻撃者は暗号文メッセージを選択し、復号化サービスを取得して、対応する平文を生成します。攻撃者は、取得した平文暗号文のペアを使用して、ターゲットの暗号システムのセキュリティを低下させます。復号サービスの停止後、つまり目的の暗号文の取得後、直ちに復号サービスを停止する。攻撃者が「ターゲット暗号文」から秘密平文の情報を取得できれば、攻撃は成功したといえる。
- 適応型選択平文攻撃 (CCA2)。これはCCAの一種であり、「対象暗号文」を復号するだけでなく、常に復号サービスを受けることができます。
10. 中国の商用公開鍵暗号アルゴリズム SM2 を理解する。
SM2の特徴
- 楕円曲線に基づく公開鍵暗号アルゴリズム群
- 暗号化および復号化アルゴリズム、デジタル署名アルゴリズム、および鍵交換プロトコルが含まれます。
- システムのデータ完全性と信頼性を向上させるために、エラー検出対策が講じられています。256ビットの素数フィールドでは楕円曲線
を使用することを推奨します。これには、ハッシュ関数、鍵導出関数、および3 種類の補助関数が含まれます。乱数発生器
第 6 章 メッセージ認証とハッシュ関数
1. ハッシュ関数と暗号化関数の違いを教えてください。
ハッシュ関数は不可逆的ですが、暗号化関数は可逆的です。
2. ハッシュ関数の特性は何ですか?
- 一方通行。
- 任意の長さの入力は固定長の出力を生成します。
- アンチイメージ攻撃
- 衝突防止攻撃
3. メッセージ認証コードMACとは何ですか? どのように構築すればよいでしょうか?
MAC は、暗号チェックサムとも呼ばれる、ハッシュ操作に関与するキーを持つアルゴリズムです。
構築方法: MAC = H ( m ∣ ∣ k ) MAC = H(m||k)マック_ _=H ( m ∣∣ k )。
4. キーを知らずに MAC アルゴリズムを攻撃するにはどうすればよいですか? (167ページ)
- 網羅的
- 構造
- 衝突
- 微分分析
- 暗号解析
5. ハッシュ関数とブロック暗号化アルゴリズムを使用して MAC を構築するにはどうすればよいですか?
ハッシュ関数の構築方法: MAC = H ( m ∣ ∣ k ) MAC = H(m||k)マック_ _=H ( m ∣∣ k )。
ブロック暗号化アルゴリズム構築方法:メッセージmmmをグループに、パッドをlllグループ、C 0 = IV C_0=IVC0=IVはランダムな初期ベクトルであり、送信者は CBC 暗号化を使用します。 C i ← E k ( mi ⊕ C i − 1 ) C_i\gets E_k(m_i \oplus C_{i-1})C私は←Ek( m私は⊕Ci − 1)、値ペア( IV , C l ) (IV,C_l)( I V 、C私) MMとしてMさんのMACです。
6. メッセージ検出コード (またはメッセージ ダイジェスト) MDC とは何ですか? MDC と MAC の類似点と相違点を簡単に説明します。
MDC はキー制御を必要としない一方向ハッシュ関数であり、そのハッシュ値は入力文字列の関数のみであり、誰でも計算できます。
相違点: MDC には身元認証機能がありませんが、MAC には身元認証機能があります
類似点: MDC と MAC はどちらも受信データの完全性を検出できます
7. 反復ハッシュ関数の構築方法に精通している。
8. MD5 の平文入力パケット長、ワード長、出力長は何桁ですか?
9. SHA-1の平文入力パケット長、ワード長、出力長は何桁ですか?
10. ハッシュ関数を適用する基本的な方法をマスターし、図 6-1、図 6-2、図 6-5、および図 6-6 によって提供されるセキュリティ関数に精通します。
機密性とメッセージ認証の両方を提供します:
メッセージ認証のみを提供します:
メッセージ認証とデジタル署名の両方を提供します
機密性、メッセージ認証とデジタル署名の両方を提供します
メッセージ認証のみを
提供します 機密性とメッセージ認証の両方を提供します:
11. 中国の商用ハッシュ関数 SM3 の構築に精通している。
図 8 と 9 を参照してください。
メルクル・ダムガルドを構築します。
第 7 章 デジタル署名
1. デジタル署名にはどのような特性が必要ですか?
- 受信者は発行された署名を確認または検証できますが、偽造することはできません (R1)
- 送信者が署名付きメッセージを受信者に送信した後は、署名したメッセージを拒否できなくなります。
- 受信者は、署名されたメッセージが受信されたこと、つまり受信証明書があることを否定できません (R2)
- 第三者は送信者と送信者間のメッセージの配信を確認できますが、プロセスを偽装することはできません (T)
2. デジタル署名にはどのような種類がありますか?
決定的デジタル署名、ランダム化されたデジタル署名。
3. RSA 署名はどのような数学パズルに基づいていますか?
大きな整数因数分解パズル。
4. ElGamal 署名はどのような数学パズルに基づいていますか? ElGamal の署名式を書き留めてください。
離散対数のハード問題に基づいています。
5. Schnorr 署名は ElGamal 署名とどう違うのですか? 両者の類似点と相違点を比較してください。
同じ点: これらはすべて離散対数パズルに基づいており、すべてランダム化されたデジタル署名です。
6. DSS の署名式を書き留めて、その類似点と相違点を ElGamal および Schnorr と比較してください。
相違点: 類似点
: どちらも離散対数パズルに基づいて構築されており、どちらもランダム化されたデジタル署名です。
7. 上記の 3 つの署名スキームでは、ユーザーは署名するたびに乱数 k を選択する必要があります。乱数 k を定数に置き換えると、セキュリティ上どのような問題が発生しますか? 分析してください。
秘密キーは、同じ乱数を使用した 2 つの署名によって復号化できます。
8. Diffie-Hellman はデジタル署名に使用できますか?
できません。
9. デジタル署名に単一キー システムを使用できますか?
できません。
10. 鍵の使用におけるデジタル署名と公開鍵暗号化アルゴリズムの違いを比較してみます。
11. 特別な機能を持つデジタル署名システムを挙げてください。それらは何のため?
- 否認不可能な署名: このタイプの署名では、署名を検証するために署名者の協力が必要です。このような署名は署名者の協力がなければ検証できないため、悪意のある攻撃者が署名者が署名した文書を自由にコピーしたり配布したりすることを防ぎます。知的財産権の保護等に利用できます。
- 障害防止署名: 十分なコンピューティング リソースを備えた攻撃者を防ぐことができる、強力なセキュリティを備えたデジタル署名です。秘密鍵を解析する場合、攻撃者がアリスの署名を偽造することも困難です。署名者が自分の署名を拒否することも困難です。
- ブラインド署名: 署名者はファイルにデジタル署名しますが、ファイルの所有者は署名者にファイルの内容を知られることを望んでいません。選挙投票、デジタル通貨プロトコル、電子商取引システムに使用できます。
- グループ署名: グループのメンバーのみが、グループを代表してデジタル署名できます。受信者は公開鍵を使用してグループ署名を検証しますが、グループのどのメンバーが署名したかを知る方法はありません。紛争が発生した場合、グループ署名の署名者は、グループのメンバーまたは信頼できる機関によって特定されます。プロジェクトの入札に使用できます。
- 代理署名:代理署名とは、クライアントが代理人に委任する署名であり、署名を委託する際に
署名鍵は代理人に渡されません。 - 任命された認証者の署名: 機関では、指定された人物がすべての人の署名を認証する責任を負います。メンバーの署名は否認できませんが、検証作業は指定された担当者によって行われます。
- ワンタイムデジタル署名: 署名者は最大でも 1 つのメッセージにのみ署名できます。署名しないと、署名が偽造される可能性があります。
12. 中国の商用デジタル署名アルゴリズム SM2 を理解します。
楕円曲線に基づく離散対数問題
第 8 章 暗号プロトコル
1. 契約を構成する 3 つの主な特徴 (含意) は何ですか?
- 秩序
- 少なくとも2人の参加者
- 特定のタスクは、プロトコルを実行することで完了できる必要があります
。 注: ネットワーク プロトコルの 3 つの要素: 構文、セマンティクス、同期。
2. 仲裁合意とは何ですか? 授与契約とは何ですか? 自己執行契約とは何ですか?
- 仲裁合意: 信頼できない 2 つの組織が合意を完了するのを支援するために、公平で信頼できる第三者が仲裁人として存在します。
- 仲裁契約: 信頼できる第三者は契約に直接参加せず、紛争が発生した場合にのみ、裁定人が契約を締結します。
- 自己実行プロトコル:プロトコル自体が公平性を保証しており、プロトコルの一方が不正行為をしようとした場合、もう一方は直ちに不正行為の発生を検知し、プロトコルの実行を停止することができます。
3. 暗号プロトコルを機能別に分類すると、どのような種類に分類できますか?
- 鍵確立プロトコル
- 認証確立プロトコル
- 認証済みキー確立プロトコル
4. 中間者攻撃とは何ですか? Diffie-Hellman プロトコルに対して中間者攻撃を実行するにはどうすればよいですか? Diffie-Hellman プロトコルに対する中間者攻撃の詳細なプロセスを図を使用して分析してください。
攻撃者は通常のネットワーク通信データを傍受し、選択的に改ざんして転送するが、知らないうちに通信が二重発行されてしまう。
マロリーは、A と B の間で交換されるメッセージを盗聴できるだけでなく、メッセージを変更したり、削除したり、まったく新しいメッセージを生成したりすることもできます。B が A と話すとき、M は B になりすますことができ、A が B と話すとき、M は A のふりをすることができます。
5. DH プロトコルが中間者攻撃に抵抗できない本質的な理由は何ですか? 中間者攻撃に対抗するために DH プロトコルを変換するにはどうすればよいでしょうか?
DH が中間者攻撃に耐性がない根本的な理由は、通信当事者がエンティティ認証を実行していないことです。
変換 DH: 公開キーを使用して CA に証明書を要求し、相手に証明書を送信します。
6. Diffie-Hellman はデジタル署名に使用できますか?
できません。
7. Big Mouth Frogプロトコル、Yahalom、Kerberosプロトコルのセキュリティプロトコル設計のアイデアをマスターします。
Big Mouth Frog プロトコル: A と B は両方とも T とキーを共有し、セッション キーを B に送信するには 2 つのメッセージを送信するだけで済みます。
ヤハロム: B が最初に T に連絡し、T は A にのみメッセージを送信します。
Kerberos: A と B は両方とも、タイムスタンプを使用して T とキーを共有します。セッションキーはAによって生成されます。
8. 218 ページの SKID プロトコルが中間者攻撃に抵抗できない理由を分析するための絵を描いてください。このプロトコルを変換して中間者攻撃に効果的に対抗するにはどうすればよいでしょうか?
(最初はこの質問の意味が分かりませんでした。実際、このプロトコルの目的は鍵のネゴシエーション後の認証です。攻撃が成功したとして、このプロトコルが攻撃されていることが判明するといいのですが。もちろん、質問ではあり得ません。) 仲介者が
攻撃を実行したとします。A と B の鍵で暗号化および復号することで、メッセージを偽造できますが、A と B はまだ気づいていません。
(共有鍵や時計など、教科書に記載されている「何らかの秘密が含まれる」ものに両者が出会った場合、その秘密を導入することはできますが、それがメッセージに含まれていないため、攻撃者はメッセージを再構築できません。秘密情報の欠如)
解決策: デジタル署名、デジタル証明書。
9. 暗号プロトコルを攻撃する方法にはどのようなものがありますか?
- 既知の平文攻撃
- 選択された暗号文攻撃
- シーアセッション攻撃
- 並列セッション攻撃
10. 暗号プロトコルのセキュリティ分析の一般的な方法は何ですか?
- 攻撃検知方法
- 形式言語論理の証明
- 証明可能な安全性分析
第 9 章 デジタル証明書と公開鍵インフラストラクチャ
1.PKIとは何ですか? PKI はどのような部分で構成されていますか? 各コンポーネントの役割は何ですか?
PKI は、公開鍵の理論と技術を使用して確立されたセキュリティ サービスを提供するための、標準に準拠したインフラストラクチャです。
PKI は、認証局、登録局、証明書発行ライブラリ、キーのバックアップと回復、証明書の失効、および PKI アプリケーション インターフェイスで構成されます。
-
認証局 (CA) は、デジタル証明書の発行と管理を担当します。
-
登録局(RA)は、特定のポリシーや管理仕様に従ってユーザーの資格を審査し、 「申請者への証明書発行の同意の有無、証明書の失効」などの操作を行い、審査ミスによって生じるすべての結果を負担します。
-
証明書発行リポジトリは、一般の人々がオープンに問い合わせることができる、オンラインで利用できる公開情報リポジトリです。
-
キーのバックアップとリカバリは、キーのバックアップとリカバリのメカニズムを提供します。
-
証明書の失効は、他のユーザーにユーザーの公開キー証明書を使用しないよう警告します。
-
PKI アプリケーション インターフェイスにより、ユーザーは暗号化やデジタル署名などのセキュリティ サービスを便利に使用できるようになります。
2. デジタル証明書とは何ですか? デジタル証明書には何が含まれますか?
デジタル証明書は、ユーザーのIDとユーザーが保持する公開キーを組み合わせたものです。組み合わせの前に、信頼された機関 CA がユーザーの ID を検証し、その後、その機関がユーザーの ID と対応する公開キーを組み合わせた証明書を実行します。証明書の有効性を証明するためにデジタル署名されています。
3. X.509 標準で指定されているデジタル証明書の形式を理解します。
バージョン番号、証明書シリアル番号、署名アルゴリズム識別子、署名者、有効期限(前後)、サブジェクト名、サブジェクト公開鍵情報、発行者固有識別子、サブジェクト固有識別子、拡張情報、CA署名。
4. 実際、誰が証明書を発行するのでしょうか? 証明書を発行するとき、誰の鍵 (秘密または公開) で署名されますか? 証明書を検証するとき、誰のキーを使用して検証しますか?
CA、署名用の CA の秘密鍵、検証用の CA の公開鍵。
5. 電子証明書の機能は何ですか? ネットワーク セキュリティにおけるどのような問題を本質的に解決できるのでしょうか?
デジタル証明書は、ユーザーの ID を保持されている公開キーとバインドし、特定のセキュリティ アプリケーションにおけるネットワーク エンティティの関連情報を証明できます。公開鍵の信頼性の問題を解決するため。
6. 実際のアプリケーションでは、階層型 CA アーキテクチャが採用されている場合、異なるサブ CA に位置する 2 人のユーザー間でデジタル証明書検証を実装するにはどうすればよいですか?
検証対象の証明書の証明書チェーンを取得し、さらに上位の証明書の公開鍵検証証明書の署名を取得し、信頼できるルートノードCAに到達します。
7. 相互認証とは何ですか?
相互認証により、異なる PKI ドメインのルート CA が相互認証を実行できるようになり、ルート CA のさまざまな信頼問題が解決されます。
8. デジタル証明書の失効を実現するにはどうすればよいですか? デジタル証明書のオンラインクエリを実装するにはどうすればよいですか?
証明書失効リスト (CRL) を維持するか、オンライン証明書ステータス プロトコルを実装して証明書の失効ステータスを確認します。
クライアントは、オンライン証明書ステータス クエリ リクエスト (OCSP リクエスト) を OCSP レスポンダに送信して、証明書が失効しているかどうかを確認します。
OCSP レスポンダは、サーバーの X.500 ディレクトリにクエリを実行して、特定の証明書が有効かどうかを確認します。
検索されたステータス チェック構造に基づいて、OCSP レスポンダはデジタル署名された OCSP 応答をクライアントに送信します。
9. ローミング証明書とは何ですか? その基本的な動作原理を簡単に説明します。
ローミング証明書は、ユーザーが自分の公開鍵と秘密鍵のペアにアクセスできるようにするサードパーティ ソフトウェアを通じて提供されます。
基本的:
(1) デジタル証明書と秘密キーを安全な中央サーバーに保存します。
(2) ユーザーがデジタル証明書を必要とする場合、サーバーに対して自分自身を認証できます。
(3) 認証が成功すると、サーバーは証明書と秘密キーをユーザーに送信します。
(4) ユーザーが作業を終了すると、ソフトウェアは証明書と秘密鍵を自動的に削除します。
10. PKI/CA デジタル証明書システムのコンポーネントは何ですか?
発行センター、鍵管理センター、登録システム、証明書発行システム、オンライン証明書状態照会システム。
第 10 章 ネットワーク暗号化と鍵管理
1. リンク暗号化とは何ですか? 長所と短所は何ですか?
アドバンテージ:
- 暗号化はユーザーに対して透過的であり、リンク経由で送信される情報は送信前に暗号化されます。
- リンクごとに必要なキーのペアは 1 つだけです。
- シグナルフローセキュリティメカニズムが提供されます。
欠点: データは中間ノードではプレーン テキストで表示され、ノードのセキュリティを維持するコストが高くなります。
2. ノード暗号化とは何ですか? 長所と短所は何ですか?
アドバンテージ:
- メッセージの暗号化と復号化はセキュリティモジュールで行われ、メッセージ内容の漏洩を防ぎます。
- 暗号化はユーザーに対して透過的です。
欠点:
- ヘッダーやルーティング情報などの特定の情報はクリア テキストで送信する必要があり、トラフィック分析攻撃の対象となる可能性があります。
- すべてのノードにキーが必要なため、キーの配布と管理が困難になります。
3. エンドツーエンド暗号化とは何ですか? 長所と短所は何ですか?
アドバンテージ:
- 2つの端末間の通信回線全体を暗号化します。
- 必要な暗号化マシンは 2 台だけ (送信側と受信側に 1 台) だけです。
- 送信者から受信者への送信プロセス中、メッセージは常に暗号文で存在します。
- リンクおよびノードの暗号化よりも安全性と信頼性が高く、設計と保守が容易です。
欠点: 業務フロー分析攻撃を防ぐことはできません。
4. ハイブリッド暗号化とは何ですか? 長所と短所は何ですか?
ハイブリッド暗号化は、リンク暗号化とエンドツーエンドのハイブリッド暗号化で構成されます。
利点: コスト、柔軟性、セキュリティの点で、一般的なエンドツーエンド暗号化方式の方が魅力的です。メッセージは 2 回暗号化されるため、ヘッダー内の機密情報が保護され、ビジネス フロー分析による攻撃が防止されます。
短所: 情報のセキュリティ設計がより複雑になり、コストが高く、システムのオーバーヘッドが大きくなります。
5. 鍵管理とは何ですか? 管理にはどのような側面が含まれますか?
鍵管理は、システムの初期化と鍵生成、保管、バックアップ/リカバリ、ロード、配布、保護、更新、制御、紛失、失効と破棄など、鍵の生成から最終的な破棄までのプロセス全体に関連する問題を扱います。
6. キーにはどのような種類がありますか? それぞれ何のためにあるのでしょうか?
-
基本キーまたは初期キーは、ユーザーが選択するか、システムによって割り当てられ、長期間にわたって一組のユーザーが独占的に使用できます。その目的は、セッションキーとともに特定のアルゴリズムによって構築されたキージェネレーターを起動および制御し、データを暗号化するためのキーストリームを生成することです。
-
ホスト マスター キーはキー暗号化キーの暗号化に使用され、ホスト プロセッサに保存されます。
-
キー暗号化キー。送信されるセッションまたはファイル キーの暗号化に使用されるキー。二次主キー、二次キー、またはキー送信キーとも呼ばれます。
-
セッション鍵とは、通信端末利用者同士が通話やデータ交換を行う際に使用する鍵です。
-
データ暗号化キーは作業キーとも呼ばれ、キー交換の作業負荷を増やすことなく使用できるキーの量を拡張します。
7. キー配布の基本的な方法は何ですか?
安全なチャネルを使用してキー配信を実現する
デュアルキーシステムを使用した安全なチャネル配信の確立
量子テクノロジーにより鍵の配信が可能になる
8. キーガンを使用してキーを注入するときに、キーの注入が正しいことを確認するにはどうすればよいですか?
9. キー管理ではキーをさまざまなレベルに分割するのはなぜですか?
厳格な物理的保護が施されたホスト暗号化デバイスに、ごく少数のキーが平文で保存され、その他のキーが暗号化方式の外部のメモリに暗号化された暗号文で保存されるようにすることで、キー管理と強化されたキー セキュリティが大幅に簡素化されます。
10. 鍵管理システムのコンポーネントは何ですか? (この質問は見つかりませんでした)
キーの生成、キーの保管、キーのバックアップとリカバリ、キーの更新、キーの破棄と失効。
11. キーのライフサイクルの 4 つの段階は何ですか? 鍵管理の 12 の作業ステップを学びます。
4つの段階:
-
プレランフェーズ
-
実行フェーズ
-
ポストランフェーズ
-
廃棄段階
12 の作業ステップ: ユーザー登録、ユーザー初期化、キー生成、キー入力、キー登録、通常使用、キーのバックアップ、キーの更新、キー ファイル、キーのキャンセルと破棄、キーの回復、キーの取り消し
12. 適切なキーが持つべき数学的特性を知るための情報を探しますか?
- 真のランダム、等しい確率
- 特定のアルゴリズムを使用して弱いキーを回避する
- 特定の数学的関係を満たす
- 覚えるのは簡単だが推測するのは難しい
- キーニーディングまたはハッシュ技術を使用して、覚えやすい長文を一方向ハッシュ関数を通じて疑似乱数列に変換します
第 11 章 無線ネットワークのセキュリティ
1. ワイヤレス ネットワークに対する主なセキュリティ脅威は何ですか? どれが能動的攻撃でどれが受動的攻撃であるかを識別できる必要があります。
受動的攻撃: 盗聴、サービスエリア識別子の漏洩
アクティブな攻撃: 通信のブロック、データの挿入と改ざん、中間者攻撃、クライアントのなりすまし、アクセス ポイントのマスカレード、匿名攻撃、クライアント間攻撃、ワイヤレス チャネルの隠蔽、およびリプレイ攻撃。
2. GSM システムの主なセキュリティ上の欠陥は何ですか?
-
デバイスの初回電源投入時に IMSI 情報が漏洩すると、ユーザー ID の漏洩につながる可能性があります。
-
基地局はユーザーに対して一方向の認証を実装し、偽の基地局はユーザーに不正な情報を送信します。
-
バックボーン ネットワークのデータ送信は暗号化されず、中間ノードがセッション キーを傍受する可能性があります。
-
データの完全性を検証するメカニズムがなく、データが改ざんされているかどうかを検出することは不可能です。
-
Kは認証や暗号化に直接関与するため、マスターキーが漏洩するリスクがある。
-
マスターキーKはSIMカード内に存在しており、SIMカードが複製される危険性がある。
3. 3G システムにはどのようなセキュリティ機能がありますか? 重大なセキュリティ上の欠陥は何ですか? 2G と比較して、3G ではセキュリティがどのように向上しましたか?
ユーザーネットワーク間の双方向認証を実現し、ユーザーネットワーク間のセッションキーを確立し、セッションキーの鮮度を保ち、データ完全性検証機能を追加します。
欠陥:
-
初回起動時に IMSI 情報が漏洩すると、ユーザー ID の漏洩につながる可能性があります
-
暗号化なしのバックボーン ネットワーク データ送信、中間ノードがセッション キーを傍受できる
-
K は認証と暗号化に直接関与し、マスター キーには階層的な保護がありません。
-
CK CKC・K・I・II Kが直接送信されるため、盗聴の危険があります
-
SIMカード内にマスターキーKが存在し、SIMカードが複製される危険性がある
-
10 個のセキュリティ アルゴリズムを使用f 1 〜 f 10 f_1 〜 f_{10}f1〜f10アルゴリズムが多すぎると壊れるリスクがあります
4. 4G システムにはどのようなセキュリティ機能がありますか? 重大なセキュリティ上の欠陥は何ですか? 3G と比較して 4G ではセキュリティがどのように向上しましたか?
ユーザーネットワーク間の双方向認証を実現し、ユーザーネットワーク間のセッションキーを確立し、データ整合性検証を強化し、階層型キー管理を実現し、暗号化キーCK CKCKと整合性検証キーIK IKIKを隠蔽します。
欠陥:
-
初回起動時に IMSI 情報が漏洩すると、ユーザー ID の漏洩につながる可能性があります
-
暗号化を行わないバックボーン ネットワークのデータ送信により、中間ノードがセッション キーを傍受できる可能性があります
改良点と機能は次のとおりです。
5. GSM 携帯電話システムの機密性と認証プロトコルの動作プロセスを分析する図を描いて、トリプレット認証ベクトルの各要素が果たすセキュリティ機能を指摘してください。
トリプル認証ベクトル
ランドランドRAN D : ユーザー認証とセッションキーの生成に使用されるチャレンジ値。
スレス「スレス」SRE S' : 認証応答に使用SRESVLR がユーザー認証を行う際にユーザーが送信するSRESの比較。
K c K_cKc: セッション データの暗号化に使用されるセッション キー。
6. 3G 携帯電話システムのセキュリティと認証プロトコルの動作プロセスを分析する図を描いて、5 重認証ベクトルの各要素が果たすセキュリティ機能を指摘してください。
ランドランドR A N D : ユーザーとネットワークの双方向認証とセッション キーの生成に使用されます。
XRES XRESXRES : ユーザーのネットワーク認証に使用されます
CK CKC K : データ暗号化キー
私、私I K : 完全性検証キー
秋 秋A U TN : ネットワークへのユーザー認証に使用されます
7. 2G/3G/4G システムのチャレンジ値 RAND が定数ではなく乱数なのはなぜですか? チャレンジ値 RAND が一定の場合、どのようなセキュリティ上の問題が発生しますか? 分析してください。
定数にはセキュリティの問題があり、乱数はキーを最新の状態に保ちます。チャレンジ値は、乱数がブルート フォース攻撃を防ぐことができるということです。128b の乱数は、3.4*1038 個の可能な組み合わせを意味します。たとえハッカーが A3 アルゴリズムを知っていたとしても、有効な RAND/SRES を推測できる可能性は非常に低いです。
リプレイ攻撃、セッションキーの侵害、デバイスの偽装など。
8. 2G/3G/4G と比較して、5G はどのような点でセキュリティを向上させますか?
ユーザー ID 保護の強化、ユーザー ネットワーク間での双方向認証の実現、ユーザー ネットワーク間で確立されたセッション キーとデータ整合性検証キー、階層的なキー管理の実現、および隠蔽暗号化キー CK CKCKと完全性検証キー