メインコンテンツへ
セキュリティセキュリティ応用

Kerberos認証の仕組みに関する記述として、最も適切なものはどれか。

ア.Kerberosは公開鍵暗号のみで構成され、各サービスごとに証明書を発行する分散型のPKIである。
イ.Kerberosは2要素認証の規格であり、パスワードとワンタイムパスワードを併用する仕組みを定めている。
ウ.Kerberosは生体認証ベースのプロトコルで、指紋認証データを暗号化して送信する。
エ.KDC(Key Distribution Center)が認証サーバ(AS)とチケット発行サーバ(TGS)の役割を持ち、利用者はまずASからTGT(Ticket Granting Ticket)を取得し、それを使ってTGSから各サービス用のサービスチケットを取得することでパスワードを毎回送らずに認証できる、共通鍵暗号ベースのSSOプロトコル。正解

解説

Kerberosは「テーマパークの全乗物共通フリーパス方式」。入園ゲート(AS)でフリーパス(TGT)をもらい、各アトラクション(サービス)の前でTGS窓口へ提示すれば乗車券(サービスチケット)が即発行。パスワード入力は最初の1回だけ。

なぜ エ が正解か

エが正解。KerberosはMIT開発の共通鍵暗号ベースSSO(シングルサインオン)プロトコルで、KDC(Key Distribution Center)が中心となる。利用者は(1)ASに対しパスワード認証してTGT取得→(2)TGSにTGTを提示してサービスチケット取得→(3)サービスチケットで各サービスにアクセス、の3段階。各チケットには時刻情報が含まれリプレイ攻撃を防ぐ。Active DirectoryのドメインログオンでもKerberosが標準。

なぜ ア は間違いか

Kerberosは共通鍵暗号ベースで、公開鍵暗号のみで構成されているわけではない(PKINIT拡張で公開鍵連携は可能だが基本は共通鍵)。PKIとは別物。

なぜ イ は間違いか

Kerberosは2要素認証規格ではない。基本はパスワード(または事前共有鍵)による単要素認証だが、多要素と組み合わせることはできる。

なぜ ウ は間違いか

生体認証は無関係。Kerberosはチケットベースの認証プロトコルであり、生体データの送信プロトコルではない。

出典: AI生成問題(学習用)