久しぶりに書いてみる

結局、申し込みを忘れていて電験は受けられず。
9月にFP技能士3級(個人資産相談業務)、10月に総合旅行業務取扱管理者を受験。
FPは合格。
総合旅行は結果待ち。
自己採点ではなんとかなったかな?
11月下旬が発表だったはず。

で、1月の気象予報士に向けてそろそろ始動しようかというところ。
オーム社の「入門 気象予報士」みたいな本を読んでいます。



実は同じオーム社の「合格の法則(学科編)」を読み始めてみたが、字ばっかりでよくわからなかったので入門から開始。。
ほんとに1月に受ける気なのか?

電験開始?

理論をちょっと読み初めてみた。
このへんって、去年、第一級陸上無線技術士を受けるときにかなり勉強したはずなんだが、もうだいぶ忘れてしまっているなぁ。
まぁ、進めているうちに思い出してくるだろうが(そう願いたい)。

こないだ買った参考書(完全攻略)は、あまりにも簡略化しすぎてるな。
やっぱり全部入りで一冊になってるのは良くないのかなぁ。
ケチらず四分冊のを買うべきか。

次は電験かな

というわけで、気持ちを切替えて(?)、次の目標。
8月の電験三種にしてみようかと思って、とりあえずテキストを買ってきてみた。





ぼちぼちやりましょう。

情報処理技術者試験 報告

受けてきました。

午前はだいたい他のテクニカルエンジニアと同じような問題だったか。
信頼性問題やオブジェクト指向DBあたりでつまずき。
自己採点したところ、55点満点で49点。とりあえずパスしてるんじゃないかな。

解答例

午後Iは参考書でやっていた内容と比べると結構難しかった。
証明書周りはもう少し深く抑えておかないといけないな。
午後IIは結構書けた(塗れた?)し、時間も余った。

全体的に、どこまで詳しく記述すればよいのかの判断に迷った。
重要と思う事項を含めると、ほとんど文字数制限にひっかかるし。
午後の答えは5/31に発表。結果発表は6/13とのこと。

午後Iでどこまで取れてるかだなぁ。

PKI

PKCS(Public Key Cryptography Standard)
S/MIMEで用いられるのは #7(暗号・デジタル署名) と #10(証明書申請メッセージフォーマット)。

公開鍵証明書の有効期限について。
クライアント認証用は短期間でOK。
署名用のはある程度の有効期限を残したまま、新しい証明書を発行する。
古い方の証明書での署名を行わせないようにし、かつ、過去に古い方の証明書で署名された文書の正当性を証明できるように。

S/MIME

やっぱり無線LAN

• クライアントにインストールするソフトウェア: サプリカント
• 認証を行うAP: オーセンティケータ

• 802.11iの暗号化プロトコルはCCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)
• WPAの暗号化方式はTKIP
• WPAは802.11iのサブセット

脆弱性のいろいろ

とりあえずすぐ出てこなかった用語

• 社会工学的手法(ソーシャル「ハッキング」とは言いたくないからな)
• ディレクトリトラバーサル

リスク分析について

• CIA (機密性/完全性/可用性)
• 重要性の評価と脆弱性の評価をごっちゃにしない
• 可用性についてはバックアップからの復旧手順も

内部統制

• 異動や退職にともなうアクセス権限の更新
• 権限を持ったものがIDやパスワードを適切に管理しているか

リスク分析後、実際に対策をとるかは費用対効果を考えて

もうちょっと無線LAN

• ESS-IDやMACアドレス制限に代わるアクセス制御方式「IEEE802.1X」。認証プロトコルはEAP。

• Wi-Fi Allianceが規定したセキュリティ規格「WPA」。ユーザ認証はEAP。暗号化方式はTKIP。

• WPAではIV,一時鍵、MACアドレス(など?)を元に暗号鍵を生成。(端末ごとに異なる鍵にできる)

HTTPでセッション管理

午後Iの予想問題など。
「BASIC認証でセッション管理」という話が出てきているが、BASIC認証はセッション管理じゃなくて単なるユーザ認証にしか使えないのではないか? (「セッション」を「一連のやりとりの集まり」と考えると)
「BASIC認証でセッションを破棄する方法は?」という問いの答えが「ブラウザを終了させる」というのもなんか違うような。サーバ側としては一連のやりとりが終了したことを検出できないと思うが。
セッション管理=ユーザ認証と話がすりかわっている感じ。
ダイジェスト認証だとセッション管理できたりするんだろうか? nonce周りを調べる必要がありそうだな。

無線LANメモ

参考書丸写し :)

• ESSID (Extended Service Set ID)

同一APにアクセスする端末をグループ化するためのID。これがわからないとAPに接続できないが、APが一定時間毎にESSIDを発信する機能(ビーコン機能)を持っている(ことがある?)ため、すぐバレる。ビーコン機能をOFFにしてステルス化する。

• MACアドレスフィルタリング

端末のMACアドレスをAPに登録しておき、登録済みのMACアドレスを持つ端末からしか接続を許さない。ただし、端末のMACアドレスは変更可能であるため、なりすましの危険性がある。

• WEP (Wired Equivalent Privacy)

AP毎にWEBキーを共有しておく。システムで自動生成されるIV(Initialization Vector)とWEPキーをつなげてRC4にかけることで生成されるキーストリームを使って、暗号化。
IVは24ビットしかないため、すぐに一周し、同じキーストリームが使われることになる。
ある同じキーストリーム(K)を用いて、二つの異なる平文(D1,D2)を暗号化した場合、暗号化データE1,E2はぞれぞれ
E1=D1 XOR K
E2=D2 XOR K
となる。E1,E2が既知だとすると、
E1 XOR E2
= (D1 XOR K) XOR (D2 XOR K)
= (D1 XOR D1) XOR (K XOR K)
= (D1 XOR D2) XOR 0
= D1 XOR D2
となり、D1 がわかれば D2 もバレる。

• ICV

データ誤り検出のためにICV(Integrity Check Value)があるが、計算は容易であるため、改竄の検出には役に立たない。

• セキュリティ対策
• IEEE 802.11i規格
• EAPによるユーザ認証。ユーザID/パスワードだけではなくデジタル署名やOTPによる認証が可能。RADIUSとの連携。
• TKIP(Temporal Key Integrity)による暗号化機能強化
• 共有キー(WPA-PSK(Pre-Shared Key))のサイズ拡張(128bit)
• IV拡張(48bit)
• WPA-PSKとIVに加え、MACアドレスも含めた暗号鍵生成
• 鍵更新を頻繁に
  
• 次はAES?

• 調べること

• IVの更新頻度/契機
• CRC32の算出方法、ビットフリッピング攻撃とは?
• WEPキーはAPと端末であらかじめ共有しておくのか?

情報セキュリティ

受験票を開封してみた。
試験会場は新横浜駅付近のようだ。

今日はアイテックの「テクニカルエンジニア情報セキュリティ予想問題集」を買ってきた。


さらっと読んでみたけど、なかなか覚えることが多そうだな。
午前問題ではこれまで他の試験でもよく出てきてた、制度やガイドライン周りが苦戦しそう。
午後問題では無線LANか。今まで使ったことがないからなぁ。ちょうどタイミングよく実家から無線LANの設定について教えてくれと電話があったりしたので、良い機会だから勉強しますかね。
逆に、SQLインジェクションあたりは分かりやすそうだった。

軽く最初の方の問題(コンピュータシステム)を見てみた。
ディスクアクセスとキャッシュヒットの単純な計算問題なんだが、なんかすぱっと解けなかった。
んー、やばいですね。

情報処理技術者試験

テクニカルエンジニア(情報セキュリティ)の受験票が届いていた。
先々月くらいに翔泳社の情報処理教科書シリーズ「テクニカルエンジニア[情報セキュリティ]」を買って一通り読んだが、内容が浅くいまいち正確ではない(はしょりすぎな)印象。
部分的に、他の分野に比べて詳しい説明をしているところがあると思ったら、試験機関が公開したサンプル問題の分野。

まぁ、今回が第一回目の試験なので出題方針が分かりづらいってのはあるだろうけどな。
他のテキストもこなしとかないと不安だ。

お勉強

最近(ここしばらく)なんだかやる気がない。
何か記録することにしたら、少しはやる気でないかな?
ということで、試験勉強の記録を書いてみることにする。