パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SHA-0、MD5、 MD4にコリジョン発見、reduced SHA-1も」記事へのコメント

  • by Anonymous Coward
    まだランプセッションは続いていますが、もう眠たいので10時になって部屋に帰って来て、新聞サイトやついでにslashdot.jpをみたら、 びっくり。早いね。

    ランプセッションで行われたHash Function Collisionセッションの3つのTalkはCRYPTOの歴史に残るんじゃないかな。 ランプセッションは、まだ論文にならないようなオンゴーイングな研究の状況や、他のカンファレンスなどの告知、あるいはエンターテイメント、ツッコミが3~5分で行われる場所なのですが、今回、ハッシュファンクションに関しては特別に15分つづ時間が割り当てられ特別発表みたいな形

    • by Anonymous Coward on 2004年08月19日 0時25分 (#607333)
      おはようございます。朝メールを一通り返事して、slashdot.jpをみてみたらスコア5でした。ありがとうございます。

      朝一番のセッションでEli BihamとAntoine Jouxが各々本来の発表するのですが、既に昨夜話しているので、何をやるのか別の意味で楽しみです。

      さて安全性に関してですが、MD5に関してはかなり厳しいです。たとえばNSAあたりがダウンロード配布ファイルの中身に彼らが作ったトロイの木馬を潜ませるなんてことが可能になります。普通、ダウンロードにSSLなんか使わないのでMAN-IN-THE-MIDDLE攻撃です。ですから配布オリジナルを改ざんすることなく、狙った相手がダウンロードするときにすりかえればって感じです。

      これを2、3週間程度でこなすためには計算量的には、そこそこのシステムが必要です。しかしながら最近はむかしと違って億単位のスーパーコンピュータじゃなくても可能で、ざっくりコストパフォーマンスを勘案するとOpteron 2xxシリーズ 2wayサーバを100台ぐらい用意するといけそうな気がします。総額5000万円ぐらい。ディスカウントしてもらって4000万円ぐらいかなぁ。

      あんまり妄想を書いていても仕方がないですし、それよりも、おなかがすいてきたので朝ごはんにいってきます。ちなみに昨日のランプセッションで、ハッシュの話以外ではマイクロソフトのDavid JaoのAlmost-Ramanujan graphs and random reducibilty of DLOG amang isogenous elliptic curvesが個人的には興味を引きました。

      あ、もうこんな時間だ
      すずきひろのぶ

      親コメント
      • > たとえばNSAあたりがダウンロード配布ファイルの中身に
        > 彼らが作ったトロイの木馬を潜ませるなんてことが可能になります。
        > 普通、ダウンロードにSSLなんか使わないのでMAN-IN-THE-MIDDLE攻撃です。
        > ですから配布オリジナルを改ざんすることなく、
        > 狙った相手がダウンロードするときにすりかえればって感じです。

        それ以前の問題として、
        検証に使うMD5サムが公開されている場合でも非SSLで公開されていたりして、
        せいぜいダウンロード時の破損チェックくらいにしか使えてなかった
        という現状もあったり(; ;)

        そこまでストイックに配布物のセキュリティを管理している例は
        数少ないような気もするんですが、
        素朴な疑問として、実際にそういう事例があったとして、
        それがMD5サムのみに頼ってるという事はあるもんなのでしょうか?

        バックドアに関しては、NSAを出すまでもなく
        クローズドソースなOSメーカーにしてみれば
        それ以上の仕掛も容易いように思いますし。

        もちろんMD5のクラック事態は由々しき問題だと思いますが、
        セキュリティ上の大穴がもっと別な所に散在しているように感じられるのですが?
        --
        uxi
        親コメント
      • たとえばNSAあたりがダウンロード配布ファイルの中身に彼らが作ったトロイの木馬を潜ませるなんてことが可能になります。

        そんなことまでは無理なのでは?

        本物の MD5 に一致するような、偽のデータを作ることができるとしても、それがトロイ

        • 直接、トロイの木馬を仕込むのは無理だと思いますが、
          踏み台を設置する事はできるような気がします。

          source code 中の条件式(+-=!<>)を違う条件式に変更できれば、
          文字列の長さを check するコードを改竄できる可能性があります。

          そしてバッファオーバーフローを容易に発生させる事が可能になれば
          その後、トロイの木馬を仕込む事も可能でしょう。
          親コメント
        • 結果的には任意のビット列に適切なビット列を加えることで自由にMD5を設定できるのでしょう。そうでなければ今回の'発見'の意味はない。適切なビット列は結構長いかもしれないし、check sum 自体と同じ長さかもしれない。用途&検証方法次第ですが、あまり重要じゃないと思います。

            で、どう使われてしまうかというと、どうでも良い部分にごみを付ければよいのです。

            tar みたいなものでまとめてあるだけなら、本体の他にゴミファイルをつけてその部分で調整するのです。
            gzip で圧縮するなら、XLEN bytes of "extra field" の中で調整するのです。適切な圧縮結果になる余分なファイルをつけてもいいのですが、それだと作業が大変そうです。
           もちろん木馬本体に変なメッセージをつけてその部分で表現してもいいし、方法は山ほどあります。

           NSA のダウンロードファイルがどんな形式なのか知らないのですが、'将来の拡張のため'と称して勝手なコンテンツをつけることができるformat は多いです。check sum のほかに長さも見ていると偽装は難しくなるので、メールの電子署名でメールのメッセージを偽造/偽装するのは大変でしょう。SPRM みたいなもんなら偽装を防ぐのは無理でしょう。
          親コメント
          • 結果的には任意のビット列に適切なビット列を加えることで自由にMD5を設定できるのでしょう。そうでなければ今回の'発見'の意味はない。
            それは明白に間違いでしょう。だって、今回の発見は、強-衝突耐性についてのものなんでしょ?
            特定のファイルと同じ MD5 値になるデータを探すのは、弱-衝突耐性の方なのでは?

にわかな奴ほど語りたがる -- あるハッカー

処理中...