人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ハッシュアルゴリズムの強度の比較ができるサイトや情報ソースはないでしょうか。

知りたいこととしては、

・SHA1のように突破された等の実績があるのか否か
・MD5,SHA1,SHA2,WHIRLPOOL,Tiger,Tiger2等
強度の差(順位)について

等です。

wikiやGoogleにて軽く探しましたが、
SHA1やMD5の危険性のみでその他のアルゴリズムに関する情報がえられませんでした。


●質問者: preshu
●カテゴリ:インターネット ウェブ制作
✍キーワード:Google md5 SHA1 Tiger Whirlpool
○ 状態 :終了
└ 回答数 : 3/5件

▽最新の回答へ

1 ● shimazuyosi30
●27ポイント

http://www.atmarkit.co.jp/fdotnet/entlib/entlib08/entlib08_01.ht...

◎質問者からの返答

ご回答ありがとうございます。

掲載されている内容は、

MD5やSHA系のビット長の説明が記載されていますが、説明内容が既に破綻しています。

MD5やSHA系は既に突破されており、様々なところで危険性は指摘され、NISTが新ハッシュ関数アルゴリズムの公募を始めております。

上記の記事は2006年に書かれているにも関わらず、その危険性を完全に無視した記事であると思います。

MD5やSHA1の危険性についての対策が広く広まらないのは、こういった執筆を行う方が、正しい情報を適切な形で広めない為かもしれませんね。

可逆暗号化方式という点でいえば、

記事中のRijndaelもよいかと思いましたが、

パスワード等、個人以外には知りえてはいけない情報に対しては不可逆方式である必要があると思いますので、ハッシュアルゴリズムの強度や安全性について具体的な比較結果が知りたいのです。

ご回答ありがとうございました。


2 ● rafile
●27ポイント

簡単に書きますが、SHA1は短縮したものについて衝突を起こせただけでSHA1そのものはまだ大丈夫だと思いますよ。

もちろん将来的には危ないのでNISTががんばっているのですが。直ちに危ないのであればSHA1-256とかに交換が始まると思いますがそうではないですし。

パスワードの認証に使うのであれば、単純にビット数に依存すると考えてよいと思います。MD5なら128bit,SHA1なら160bitですね。それぞれ2^64回の計算、2^80の計算だったかな。

SHA1が問題になったのは、ハッシュが同じ値になる任意の二つの文字列を求めるのに2^80より小さい計算量で求められることがほぼ確実とされたからです。片方が任意でない場合すなわちあなたのパスワードのハッシュ値である場合はまだ2^80でしょう

ともあれ、2006年におけるSHA1の立場というのは安全ですよ。気をつけるとすれば、数年でより安全なハッシュ関数が開発され、そちらが推奨されることを見越してハッシュ関数を交換できるようなプログラム構造にしておくことでしょう。

日本語であれば

http://www.ipa.go.jp/security/enc/CRYPTREC/index.html

このあたりからcryptrecの話を読んでみてはいかがでしょうか。

あと、ここからは推測の話になり申し訳ないのですが、現状SHA1以外にきちんとした評価が行われたハッシュ関数はないと思っています。(もちろんMD5はだめだめですが)

SHA1以外のハッシュには脆弱性はないでしょう。なぜなら評価されてないからです。でもそれは脆弱性がないのか、脆弱性が見つかっていないのか評価されていないということです。任意のハッシュが生み出せる脆弱性がある可能性が0ではありません。少しの脆弱性があるSHA1に比べてどちらがよいかと聞かれたら数年後はわかりませんが今はSHA1をおすすめしておきます。

このことを含めて、今はSHA1(心配性だったり超重要機密ならSHA1-256とか)を使い、NISTの評価結果が出てからそれに乗り換えるのが現時点でのベストじゃないかと思います。

蛇足かもしれませんが、再度まとめます。

ハッシュの強度はビット数だけで決まります。そうでないハッシュは脆弱です。SHA1は今までに研究しつくされた結果、脆弱性が見つかっています。ただし、今のところコントロールされています。将来のハッシュ候補はいくつかありますが、外部機関による評価は十分ではないです。

◎質問者からの返答

ご回答ありがとうございます。

確かにその通りですね。

ハッシュと暗号化方式の違いを理解しているという前提において、

例えば、現行のハッシュ方式(MD5やSHA1)が危険であるかといえば、ご指摘の通り直接リスクには結びつかないとは思っております。

極論を言えば、そもそもハッシュ方式としてMD5を使っているのか、SHA1を使っているのかわからない時点で、あるユーザに対して特定の攻撃を仕掛ける場合、ハッシュの生成方式をより強固なものにするよりも、エラー時のメッセージとして

『パスワードが違います』ではなく、

『ユーザIDまたはパスワードが違い』というメッセージとし、

悪意のある利用者に対して、そのユーザIDの存在をわからせないことや、何れが誤っているのかわからないという対策を行い、その上で悪意のある認証について検知・対応の対策を事前に講じれば、懸念する程の危険性はないと考えています。

※とはいえ、MD5は・・・って感じですし、

上記は本当に極論ですが・・・

ご回答ありがとうございました。


3 ● KUROX
●26ポイント

http://www.atmarkit.co.jp/fsecurity/index.html

>デファクトスタンダード暗号技術の大移行

>ハッシュ暗号SHA-1が破られたというニュースは記憶に

>新しい。世界の標準となる米国が2010年までの暗号強化を始めた

の連載ものがなんとなくいいのではと

この記事からリンクを貼られているところも役に立つような。

rafile さんが上げられているURLも含まれていました。

-----------------------------------------

私の勘違いかも知れませんが、

アメリカで開発された暗号化技術は、政府に復号化アルゴリズムを

管理されていた記憶があるのですが(^^;

その気になれば、アメリカ政府は簡単に復号できるはずです。

PKIだけが別だった違った記憶が。

◎質問者からの返答

ご回答ありがとうございます。

>アメリカで開発された暗号化技術は、政府に復号化アルゴリズムを管理されていた記憶があるのですが(^^

公の事実化どうかという点では私も曖昧ですが、

米国なら十分にありえるという内容ですね。

先日も実は米国のプリンターメーカーは全ての印刷物を特定可能なようにすかしを同時に印字しているという内容で、学者との間で衝突があったような気がします(汗

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ