OCSP|情報処理安全確保支援士試験 令和3年 春期午前Ⅱ試験 問2

出典:令和3年春期 午前Ⅱ 問2 分野:セキュリティ / 情報セキュリティ
PKIを構成するOCSPを利用する目的はどれか。
  • ア:誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
  • イ:デジタル証明書から生成した鍵情報の交換がOCSPクライアントとOCSPレスポンダの間で失敗した際,認証状態を確認する。
  • ウ:デジタル証明書の失効情報を問い合わせる。
  • エ:有効期限が切れたデジタル証明書の更新処理の進捗状況を確認する。
この問題を解く
解説

OCSPは、デジタル証明書が失効していないかどうかをオンラインで問い合わせるためのプロトコルです。

PKIでは、証明書が有効期限内であっても、秘密鍵の漏えいや利用停止などによって失効することがあります。OCSPクライアントはOCSPレスポンダに問い合わせることで、対象のデジタル証明書の失効状態を確認できます。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
⇒OCSPは、秘密鍵の再発行処理の進捗を確認するための仕組みではありません。秘密鍵を破棄した場合は、証明書の再発行や失効などの手続が関係しますが、OCSPの目的は証明書の失効状態を問い合わせることです。
イ:デジタル証明書から生成した鍵情報の交換がOCSPクライアントとOCSPレスポンダの間で失敗した際,認証状態を確認する。
⇒OCSPは、鍵情報の交換失敗時の認証状態を確認する仕組みではありません。OCSPクライアントがOCSPレスポンダに対して、特定のデジタル証明書が有効か、失効しているかなどを問い合わせます。
エ:有効期限が切れたデジタル証明書の更新処理の進捗状況を確認する。
⇒OCSPは、証明書更新処理の進捗を確認するものではありません。有効期限切れかどうかは証明書自体の有効期間で確認でき、OCSPでは主に有効期限内の証明書が失効していないかを確認します。
TSUNAGARU-ADVICE

まず押さえたいこと

OCSPは、デジタル証明書が失効していないかをオンラインで問い合わせるための仕組みです。CRLのように失効リスト全体を取得するのではなく、特定の証明書の失効状態を確認する目的で使われます。

迷ったときの判断軸

OCSPは、秘密鍵の再発行状況や証明書更新処理の進捗を確認する仕組みではありません。また、鍵交換の失敗時に認証状態を確認するものでもありません。PKIの文脈でOCSPが出てきたら、証明書が有効か失効済みかを問い合わせるものと判断しましょう。

科目Bにつなげるために

科目Bでは、TLS通信や電子証明書の検証で、証明書の有効期限だけでなく失効状態を確認する場面があります。OCSPは、証明書がまだ信頼してよい状態かをリアルタイムに近い形で確認する仕組みとして理解しておきましょう。

の問題 試験TOPへ の問題