MENU

会員登録（無料）

SCS-C02#4(data-protection)

この問題のディスカッション

SCS-C02#4(data-protection)

金融機関がパートナーから受け取る JWT 風の署名済みペイロードの署名検証を AWS 内で行いたいと考えています。秘密鍵は AWS から外部に出さず、アルゴリズムは RSASSA-PSS 2048 を使用します。どの構成が最適ですか。

A.
対称 KMS キーで HMAC-SHA256 を生成し、その値を署名値として比較する方式に切り替えます
B.
非対称 KMS キーを KeyUsage=ENCRYPT_DECRYPT で作成し Decrypt API を署名検証に流用します
C.
ACM Private CA で証明書を発行し CloudFront のリクエストヘッダで署名検証を強制します
D.
非対称 KMS キーを SIGN_VERIFY と RSA_2048 で作成し Verify API で検証します

正解と解説ディスカッション 0

正解：D

正解の根拠

署名と検証には KeyUsage=SIGN_VERIFY の非対称キーが必要で、RSA_2048 は RSASSA-PSS_SHA_256/384/512 などの署名アルゴリズムをサポートします。Verify API に署名・メッセージ・アルゴリズムを渡すことで検証できます。

不正解の理由

A: HMAC は対称署名でありパートナー側の公開鍵検証モデルと整合せず、RSASSA-PSS 要件に合いません。
B: ENCRYPT_DECRYPT 用途のキーは署名/検証 API では利用できず、KeyUsage の指定が誤っています。
C: Private CA は X.509 証明書発行であり JWT 風ペイロードの署名検証用途には不適切です。

参考：Asymmetric keys in AWS KMS

コメント

コメント

コメントするコメントをキャンセル