分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ

S/KEYは、ワンタイムパスワードにより認証を行う方式の1つで、フリーウェアとして公開されています。

S/KEYの認証手順は次の通りです。

1. クライアントは、サーバにユーザーIDを送り認証要求をする
2. サーバはユーザーごとに記録しているシーケンス番号(n)から1を減じた値(n-1)と種(Seed)をクライアントに送信する
3. クライアントは、パスワードと種(Seed)を連結したデータにハッシュ関数を(n-1)回繰り返してパスフレーズP_n-1を生成する
4. クライアントは、2.で生成したパスフレーズをサーバに送信する
5. サーバは、受け取ったパスフレーズにもう1回だけハッシュ関数を適用して得たP_nと、前回の認証時にユーザーから受け取ったパスフレーズ(ハッシュ関数がn回繰り返されたもの=P'_n)を比較する
6. サーバは、P_nとP'_nが一致すれば正当な利用者であると判断する
7. サーバは、P'_nと破棄し、代わりにP_n-1を保存、さらに記録されているシーケンス番号(n)を1だけ減じておく

• 送信方向が逆で、ログイン要求を受け取ったサーバがシーケンス番号と種(Seed)をクライアントに送信します。
• 正しい。
• 時刻同期方式の説明です。S/KEYでは時刻情報を利用しません。
• クライアントが設定したパスフレーズは、次回のログイン要求の際に必要な情報なのでサーバ内に保存されます。