セキュリティの大御所が集まり、代替暗号法を話し合う（2/3 ページ）

[Charlie-Hosner，japan.linux.com]

新しいハッシュアルゴリズムを書く

　NISTが数年前に開催したAESコンテストにならい、新しいコンテストを実施したらどうかという案がある。AESコンテストからは、Twofish、Serpent、RC6、MARSなど、堅固な暗号方式が幾つも生まれてきた。新しいコンテストでも、優秀な新しいハッシュアルゴリズムが提案される可能性がある。高速で斬新、かつ安全なハッシュアルゴリズムが複数現れ、選択肢が大きく広がれば、それに越したことはない。

　会議出席者のなかには、コンテスト前に何回かワークショップを行い、次世代ハッシュアルゴリズムの満たすべき要件をある程度具体化しておくのがよい、と考える人が少なくなかった。確かにうなずける考えである。これまで以上に長寿のアルゴリズムを目指すなら、何を作成し、それをどう使い、どのような特性を持たせるべきか、とことん考えておいたほうがよいだろう。だが、残念ながら、これを実施するにはかなりの時間がかかる。われわれに許されている時間は危険なほど短い。

　新しいアルゴリズムを開発し、ベンダー製品に煮詰め、ユーザーコミュニティーに配備するまでに必要な時間は、4年から8年と見積もられている。暗号コミュニティーでは、SHA1が2010年以降まで生き延びるのは難しいという意見が大勢を占めており、とすれば、急いでも間に合うかどうかぎりぎりのところである。コンテスト方式で行くなら、すぐにでも御輿を上げた方がよい。やるとすれば、間もなく動きがあるだろう。

既存のアルゴリズムのなかから保護力のすぐれたものを探す

　SHA系には、幾つかの兄弟アルゴリズムがある。たとえば、SHA1の弟ともいえるSHA256は、短期的には十分に代役を努められる力の持ち主である。設計上の保護レベルは2^128であり、解読実験でも堅固さが証明されていて、危機に瀕している弟よりセキュリティは強い。もちろん完璧ではないが、その保護力とほとんどの応用場面でのパフォーマンスから見て、当面の代役としては十分だろう。とくにパフォーマンスでは、競争相手があまり見当たらない。安全なハッシュアルゴリズムならほかにも幾つかあるが、それの高速化はなかなか難しい。

　SHA256の欠点は、何よりもSHAファミリの一員だという事実である。暗号解読の進化で、SHA系の保護力は蚕食される一方である（すでの最初の24ラウンドは突破され、さらに蚕食は進みつつある）。ただし、よいニュースもある。SHA系アルゴリズムを破るのに現在使われているツールをSHA256に試したところ、多くは限定的な結果しか返せなかった。したがって、SHA1と同じ運命をたどるまでに、まだ多少の時間があるとはいえる。ただ、新しいツールや解読手法は続々と生まれつづけており、SHA256も、もっと堅固なソリューションが得られるまでの時間稼ぎ以上のものにはなりえない。

　SHA256を代役に立てる際の困難は、標準ハッシュ関数の変更に必要な時間と費用である。ベンダが新しいアルゴリズムの実装に費やす資金と時間は膨大である。SHA256に多大な投資をしても、それがすぐにだめになり、数年で再度同じことをしなければならないとしたら、はたしてベンダーは動くだろうか。問題をさらに複雑にするのが、SHA256の256ビットというブロックサイズである。SHA1のブロックサイズは160ビットだった。当然、現在の暗号インフラストラクチャには、160ビット以下のハッシュを前提にしているものが多い。こう考えると、必然的に次の選択肢が浮上する……。

次ページ：SHA1を補強する