ハッシュアルゴリズムの強度の比較ができるサイトや情報ソースはないでしょうか。


知りたいこととしては、

・SHA1のように突破された等の実績があるのか否か
・MD5,SHA1,SHA2,WHIRLPOOL,Tiger,Tiger2等
 強度の差(順位)について

等です。

wikiやGoogleにて軽く探しましたが、
SHA1やMD5の危険性のみでその他のアルゴリズムに関する情報がえられませんでした。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2007/08/16 00:50:26
  • 終了:2007/08/23 00:55:03

回答(5件)

id:shimazuyosi30 No.1

shimazuyosi30回答回数1608ベストアンサー獲得回数222007/08/16 01:35:53

id:preshu

ご回答ありがとうございます。

掲載されている内容は、

MD5やSHA系のビット長の説明が記載されていますが、説明内容が既に破綻しています。

MD5やSHA系は既に突破されており、様々なところで危険性は指摘され、NISTが新ハッシュ関数アルゴリズムの公募を始めております。

上記の記事は2006年に書かれているにも関わらず、その危険性を完全に無視した記事であると思います。

MD5やSHA1の危険性についての対策が広く広まらないのは、こういった執筆を行う方が、正しい情報を適切な形で広めない為かもしれませんね。

可逆暗号化方式という点でいえば、

記事中のRijndaelもよいかと思いましたが、

パスワード等、個人以外には知りえてはいけない情報に対しては不可逆方式である必要があると思いますので、ハッシュアルゴリズムの強度や安全性について具体的な比較結果が知りたいのです。

ご回答ありがとうございました。

2007/08/16 01:47:02
id:rafile No.2

rafile回答回数662ベストアンサー獲得回数242007/08/16 02:37:48

ポイント27pt

簡単に書きますが、SHA1は短縮したものについて衝突を起こせただけでSHA1そのものはまだ大丈夫だと思いますよ。

もちろん将来的には危ないのでNISTががんばっているのですが。直ちに危ないのであればSHA1-256とかに交換が始まると思いますがそうではないですし。

パスワードの認証に使うのであれば、単純にビット数に依存すると考えてよいと思います。MD5なら128bit,SHA1なら160bitですね。それぞれ2^64回の計算、2^80の計算だったかな。

SHA1が問題になったのは、ハッシュが同じ値になる任意の二つの文字列を求めるのに2^80より小さい計算量で求められることがほぼ確実とされたからです。片方が任意でない場合すなわちあなたのパスワードのハッシュ値である場合はまだ2^80でしょう

ともあれ、2006年におけるSHA1の立場というのは安全ですよ。気をつけるとすれば、数年でより安全なハッシュ関数が開発され、そちらが推奨されることを見越してハッシュ関数を交換できるようなプログラム構造にしておくことでしょう。

日本語であれば

http://www.ipa.go.jp/security/enc/CRYPTREC/index.html

このあたりからcryptrecの話を読んでみてはいかがでしょうか。

あと、ここからは推測の話になり申し訳ないのですが、現状SHA1以外にきちんとした評価が行われたハッシュ関数はないと思っています。(もちろんMD5はだめだめですが)

SHA1以外のハッシュには脆弱性はないでしょう。なぜなら評価されてないからです。でもそれは脆弱性がないのか、脆弱性が見つかっていないのか評価されていないということです。任意のハッシュが生み出せる脆弱性がある可能性が0ではありません。少しの脆弱性があるSHA1に比べてどちらがよいかと聞かれたら数年後はわかりませんが今はSHA1をおすすめしておきます。

このことを含めて、今はSHA1(心配性だったり超重要機密ならSHA1-256とか)を使い、NISTの評価結果が出てからそれに乗り換えるのが現時点でのベストじゃないかと思います。

蛇足かもしれませんが、再度まとめます。

ハッシュの強度はビット数だけで決まります。そうでないハッシュは脆弱です。SHA1は今までに研究しつくされた結果、脆弱性が見つかっています。ただし、今のところコントロールされています。将来のハッシュ候補はいくつかありますが、外部機関による評価は十分ではないです。

id:preshu

ご回答ありがとうございます。

確かにその通りですね。

ハッシュと暗号化方式の違いを理解しているという前提において、

例えば、現行のハッシュ方式(MD5やSHA1)が危険であるかといえば、ご指摘の通り直接リスクには結びつかないとは思っております。

極論を言えば、そもそもハッシュ方式としてMD5を使っているのか、SHA1を使っているのかわからない時点で、あるユーザに対して特定の攻撃を仕掛ける場合、ハッシュの生成方式をより強固なものにするよりも、エラー時のメッセージとして

『パスワードが違います』ではなく、

『ユーザIDまたはパスワードが違い』というメッセージとし、

悪意のある利用者に対して、そのユーザIDの存在をわからせないことや、何れが誤っているのかわからないという対策を行い、その上で悪意のある認証について検知・対応の対策を事前に講じれば、懸念する程の危険性はないと考えています。

※とはいえ、MD5は・・・って感じですし、

 上記は本当に極論ですが・・・

ご回答ありがとうございました。

2007/08/16 03:27:00
id:KUROX No.3

KUROX回答回数3542ベストアンサー獲得回数1402007/08/16 07:34:23

ポイント26pt

http://www.atmarkit.co.jp/fsecurity/index.html

>デファクトスタンダード暗号技術の大移行

>ハッシュ暗号SHA-1が破られたというニュースは記憶に

>新しい。世界の標準となる米国が2010年までの暗号強化を始めた

の連載ものがなんとなくいいのではと

この記事からリンクを貼られているところも役に立つような。

rafile さんが上げられているURLも含まれていました。

-----------------------------------------

私の勘違いかも知れませんが、

アメリカで開発された暗号化技術は、政府に復号化アルゴリズムを

管理されていた記憶があるのですが(^^;

その気になれば、アメリカ政府は簡単に復号できるはずです。

PKIだけが別だった違った記憶が。

id:preshu

ご回答ありがとうございます。

>アメリカで開発された暗号化技術は、政府に復号化アルゴリズムを管理されていた記憶があるのですが(^^

公の事実化どうかという点では私も曖昧ですが、

米国なら十分にありえるという内容ですね。

先日も実は米国のプリンターメーカーは全ての印刷物を特定可能なようにすかしを同時に印字しているという内容で、学者との間で衝突があったような気がします(汗

2007/08/16 09:50:17

質問者が未読の回答一覧

 回答者回答受取ベストアンサー回答時間
1 hiramatsu_kg 424 330 3 2007-08-16 22:17:26
2 hiramatsu_kg 424 330 3 2007-08-16 22:22:40
  • id:rafile
    暗号に裏口があるという話は都市伝説だと思います。もしあったとしてそれが漏洩した場合、米国の情報組織が崩壊してしまうからです。NISTのStandardは伊達ではなく、軍も情報部も使っているという話です。
    もし米国が裏口を求めるならそれはキーエスクローという形になると思います。正々堂々と鍵を要求し、鍵を預けなければ同盟国ではないと。
    >>
    米国のプリンターメーカーは全ての印刷物を特定可能なようにすかしを同時に印字
    <<
    米国に輸出するすべてのプリンタメーカーじゃないかな。もちろん日本のメーカも含みます。
    このように米国は正々堂々なのであった(正義かどうかはしらんけど)

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません