セキュリティの大御所が集まり、代替暗号法を話し合う（1/3 ページ）

[Charlie-Hosner，japan.linux.com]

　今週、ワシントンDCで開かれた暗号ハッシュワークショップでは、暗号分野の巨人たちが一堂に会し、崩壊寸前のハッシュアルゴリズムをどうすべきか話し合った。オンラインバンキングとデジタル署名システムを保護するアルゴリズムの安全性がいまや崩壊しつつある。なのに、この問題にどう対処したらよいか、いまだ誰も明快な答えを打ち出せずにいる。

　ワークショップは、中国山東大学の王小云（Wang Xiaoyun）博士の発表から始まった。王博士の研究チームがMD5ハッシュアルゴリズムにコリジョンを発見し、それをきっかけとしてさまざまなクラッキング法が続々と登場してきたのは周知のことである。ハッシュアルゴリズムの本格的セキュリティ実装など、いまやお笑い種になったといってよい。今年前半、王チームがSHA1の弱点を発見し、それによって保護レベルが2^80から2^63に低下したと発表したとき、暗号界は上を下への大騒動になった。大学と業界の主だった人々が米国標準技術局（NIST）に顔をそろえ、2日間を費やして、かつて愛用され、いまや危機に瀕している暗号プリミティブの1つ、ハッシュアルゴリズムについて話し合うことになったのは、王チームのせいといっても過言ではない。

　王博士のプレゼンテーションのあと、グループは状況の重大性を話し合った。ハッシュアルゴリズムに代わる何があるのか。当面、暗号コミュニティーがこのセキュリティホールをふさぐ努力をしている間、開発者はどうしたらよいのか。

　参加者は大物ぞろいで、Counterpane SecurityのBruce Schneier氏、MicrosoftのNiels Ferguson氏、Diffie-Hellman鍵交換で有名なSun MicrosystemsのWhitfield Diffie氏、TLS/SSLで知られるEric Rescorla氏、コロンビア大学のSteven Bellovin氏、DBAとUVSQのAntoine Joux氏、IBM研究センターのHugo Krawczyk氏、Twofishの共同考案者でもあるNISTのJohn Kelsey氏、KULのBart Preneel氏らの顔が見えた。

何が問題か

　よいハッシュアルゴリズムの特徴の1つは、コリジョンがないことである。コリジョンとは衝突であり、複数のメッセージをハッシュ関数に入力したとき、まったく同じ要約が作られることをいう。コリジョンが起こるようだと、そのアルゴリズムでは情報の信憑性がもはや保証されない。さらに、攻撃者がその弱点を利用してシステムをだまし、危険もしくは不正確な情報を本物と思い込ませることさえできる。現に、王博士のチームが作成した2つのPKI証明書は、異なる情報を記載しているにもかかわらず、ハッシュ関数にかけると同一のMD5要約に変換された。これは実に怖いことである。

　王博士のチームが現れるまで、SHA1は最も進んだハッシュアルゴリズムであり、弱点らしきものがなくて、設計どおり2^80の保護レベルを提供できるものと見なされていた。だが、王チームがSHA1の弱点を発見したことにより、この2年間でSHA1の保護レベルは2^63まで低下した。これでも、現在のコンピュータが力尽くで破れるような保護レベルではないが、2つの懸念が残る。1つは、計算力の増大である。コンピュータの計算速度は18カ月ごとに倍増する――そう予測するムーアの法則は誰でも知っているだろう。そこへボットネットの出現である。100万台を超えるマシンをもってすれば、2^63の鍵空間を力尽くで打ち破ることもさほど荒唐無稽な夢物語ではないかもしれない。

　2つ目は、さらに差し迫った危険である。暗号システムへの攻撃は進歩しこそすれ、退歩することは絶対にない。SHA1にわずかな弱点でも発見されれば、このアルゴリズムの本格的解体が始まるのは時間の問題と言える。来月かもしれないし、来年かもしれない。だが、それがいつか必ずやってくることは、前例が教えている。たとえば、MD5は1991年に発表され、13年間生き長らえた。SHA1は1993年に発表され、12年後の現在、深刻な弱点をさらしつつある。余命がいくばくか、誰にもわからない。

　では、どうしたらよいか。選択肢は幾つかあるが、絶対的な本命はない。いろいろな組み合わせが考案され、並行的に使われていくことになるだろう。

ハッシュとは何か 　暗号ハッシュは、現代暗号法を支える土台の1つである。Bruce Schneier氏はこれを「現代暗号法の牽引役」と呼んでいる。ハッシュとは、与えられたメッセージの暗号的要約を作り出す1方向関数を言う。ハッシュ関数にテキストを入力すると、固定長の暗号テキストが出力される。この暗号テキストからもとのメッセージを復元することはできない。 　この変換の応用範囲は広く、デジタル署名、鍵配布機能の保護、乱数の生成、ファイル配布システムの検証など、さまざまな使い道がある。また、金融取引システム、撤回不能サービス、ホストベースの侵入検知システム、多くの人々が毎日接続しているVPNなどにも、ハッシュが欠かせない。バンキング、料金の支払い、ショッピングなどにインターネットを利用している人は多いだろう。そこでの取引は暗号Webによって保護されており、その暗号Webの一部を構成しているのが、ほかならぬハッシュアルゴリズムである。暗号システムどうしを結び合わせる糊――それがハッシュアルゴリズムであり、インターネットとは切っても切り離せない関係にある。

次ページ：新しいハッシュアルゴリズムを書く