脆弱な暗号化アルゴリズムが呼ぶ懸念

SHA-1は「サメが泳ぎ回る水の中にいる傷ついた魚」――専門家は暗号化アルゴリズムの脆弱性を指摘するが、代わりになる新しいアルゴリズムはまだない。（IDG）

[IDG Japan]

　業界専門家たちは、広く使われている2つの暗号化アルゴリズムの運命は決まっているという点で意見を一にしているが、明確な代替選択肢が見えないため、これら技術に依存している製品は当面「ひとまず間に合う」程度の状態でいなければならないかもしれない。

　SHA-1（Secure Hash Algorithm-1）とMD5（Message Digest 5）は、10月31日に開かれた米標準技術局（NIST）のCryptographic Hash Workshopでかなり議論の的になった。これらはいずれも1990年代初めに開発されたハッシュ関数で、デジタル署名の暗号化と復号化に最も頻繁に使われる一意の値の列を生成する。この1年の間に、これらは脆弱であることが指摘された。

　「SHA-1は、サメが泳ぎ回る水の中にいる傷ついた魚だ。だが、わたしはMD5の方が心配だ。このアルゴリズムはどこでも使われているからだ」とMicrosoftの暗号学者ニールズ・ファーガソン氏。「SHA-1からの乗り換えをできるだけ早急に考えなくてはならないが、まずはMD5からの乗り換えを行わなくては」と、パネルディスカッションの中でこれらアルゴリズムについてのアドバイスを求められた同氏は答えた。

　約1年前、MD5の「衝突」が明らかになった（12月10日の記事参照）。衝突は、2つのメッセージが同じハッシュ値を持つときに生じ、これはメッセージの認証を危険にさらす。2月には、SHA-1に関して同様の発見が公表された（2月17日の記事参照）。後者のケースでは実際には衝突は実行されなかったが、中国の大学の研究者はどのようにすれば衝突を引き起こせるかを説明して、SHA-1の欠陥を強調した。

　MD5では実際に衝突が引き起こされたため、Cryptographic Hash Workshopの多くの発表者は既にこのアルゴリズムを脆弱なものとしているようだった。Microsoftのファーガソン氏は、交通違反の裁判を争っているオーストラリアの男性の話をした。この男性は、欠陥アルゴリズムと考えられているMD5が交通カメラで使われているため、交通違反の証拠は無効だと主張した。判事はこの訴訟を退けているという。

　このカンファレンスの議論の大半は、SHA-1の修正や置き換えの可能性を中心に展開されたが、ある発表者は新しいハッシュ関数はしばらく登場しないだろうと警鐘を鳴らした。「SHA-1を置き換える必要はあるが、それに代わるものはまだ分からない。代替アルゴリズムの開発には何年もかかるだろう」とコロンビア大学のスティーブン・ベロビン教授は語った。

　一方で、SHA-1をまだ利用するべきかに関しての議論も続いている。パネルディスカッション参加者らは、ユーザーは新規のプロジェクトにはSHA-1を使うべきでないが、既存製品では使い続けるしかないかもしれないという点で意見が一致した。聴衆から指摘があったように、ハードとソフトをSHA-1に代わる新しい、あるいは強化版のアルゴリズムでアップデートする必要があり、それには費用がかかる。新しいアルゴリズムを使った製品に移行するようユーザーを説得する必要もある。それには何年もかかるかもしれない。

　「SHA-1を使い続けるのが実用的だが、十分な認識を持ち、次のアルゴリズムの計画を立てなくてはならない」とRSA Securityの暗号化アルゴリズム・標準担当マネジャー、ジェームズ・ランドル氏は忠告した。パネルディスカッション参加者らは、多数のアルゴリズムに対応できる製品の購入を勧めた。