パスワードを忘れた? アカウント作成
9675 story

フルバージョンのSHA-1にコリジョン発見 49

ストーリー by yoosee
安全なものを選ぼう 部門より

Anonymous Coward曰く、"ブルース シュナイアー氏のblogによれば、RSA ConferenceでSHA-1のコリジョンが発表されたようです。 前回の話と違い、「SHA-1 has been broken. Not a reduced-round version. Not a simplified version. The real thing.」とフルバージョンのSHA-1であることが強調されてます。
blogによると、フルバージョンのSHA-1では2^69のハッシュ操作、58ラウンドに減らしたSHA-1ならば2^33の操作でコリジョンが起こり、これは総当りの場合の2^80よりもとても小さいとあります。
CRYPTRECでは、ハッシュ関数は256bit以上を使用するよう推奨されていますので、これにより移行がいっそう進むことにでしょう。
ただ、PGP/GnuPGではSHA-256以降がつかえないバージョンも存在するので、脆弱性の報告されていないRIPEMD160に移行するのが現実的かもしれません。(ただしRIPEMD160もSHA-1と同じMD4ベースですが)"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 2^11 (スコア:3, 参考になる)

    by mizna (8774) on 2005年02月16日 17時50分 (#694750) 日記
    本家:SHA-1 Broken [slashdot.org]

    # もちろん、すぐにエンドユーザがどうこうなるわけはありませんが…
    フルバージョンでのコリジョン検出が2^11=2048倍早くなった、ということで、
    ピンと来ませんが、例えば34時間かかる作業が1分で済むようになった、と考えるとまぁすごいのでしょうか。
    悪い例え方ですが。

    Reduced SHA-1の2^33は結構マズいのでは?
    (ちなみにCRC32(もちろん2^32)の総当り [mizna.jp]は簡単でした。(宣伝?))

    SHA-1とMD5を同時に使えば当分大丈夫かとは思いますが。

    # SHA-1 [nist.gov]、誕生から10年経ってますけど、もったほうなのでは?
    --
    "Stupid risks are what make life worth living!" -- Homer Simpson
    • Re:2^11 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2005年02月16日 20時15分 (#694831)
      >SHA-1とMD5を同時に使えば当分大丈夫かとは思いますが。
      信頼性が必要な場所には、日本のACCSという機関が発明して
      なんと特許申請が行われなかったオープンなノーガード式を
      組み合わせるのが大事でしょうね。

      なるほど、押し売りお断りシールを貼ってある家ほど押し売りに
      弱いと言いますからね。

      …それとこれとは話が違うって!
      親コメント
    • by chanbaba (13080) on 2005年02月18日 17時49分 (#695764) ホームページ
      >(ちなみにCRC32(もちろん2^32)の総当りは簡単でした。(宣伝?))
      >
      >SHA-1とMD5を同時に使えば当分大丈夫かとは思いますが。

      フル規格のSHA1は2^160で、コリジョンの確率が2^80だった気がする。
      で、それが2^11縮まって、2^69になっただけでしょ。
      強度が必要なところならば、フル規格使っているだろうし、将来を見越して強度が必要ならば、SHA256、SHA384、SHA512とか使えば良いだろうし。

      フル規格で無い奴と比較しても仕方ないし、計算しての逆算の強度と総当りの強度を並べて比較しても意味無い気がする。
      コリジョンの確率を上げる計算式があろうと、総当りでの当たる確率には影響しないのだし。

      「当分大丈夫」って、1000年くらい漏らしてはならない外交文書の送信にでも使うのか?
      1000年後に、1000年前の電子署名付き公文書として偽公文書を作られない強度を求めるの?
      大丈夫か否かは、求める対象物に対する強度があれば良いんじゃないの?

      仕事での取引記録とかでも10年や15年くらい経てばどんどん処分するだろうし、古い話の蒸し返しでも時効がある。
      一般人にとってはどうでも良い様な違いでの強度差でしかないのでは?
      親コメント
    • by Anonymous Coward
      リンク先のCRC値の調整なら総当りでなくて単純な計算で出るんですけど。
      むしろ、ダメな宣伝?(笑)
  • by Anonymous Coward on 2005年02月16日 17時19分 (#694729)
    去年の夏、「えらい発表がCRYPTO 2004であったぞ」と言われ、確かに大変なことだがまだ直接の影響はないな、と思っていたのですが、とうとう来ましたか。
    一応そのときに、「このままだと近い将来うちの証明書発行サービスにも影響が出て来る、早いうちにそうなったときのことを検討すべきだ」と上の人には言いましたが、その後どうしたのかなあ。

    # 昨年暮れにその職場から逃げだしたのでAC
  • by Anonymous Coward on 2005年02月16日 17時34分 (#694738)
    何言ってるのかぜーんぜんわかりません。 コリジョンっておいしいの?
  • by Anonymous Coward on 2005年02月16日 20時59分 (#694848)
    こんなこといってる人もいます http://www.zakzak.co.jp/top/2005_02/t2005021620.html
    • Re:... (スコア:1, 参考になる)

      by Anonymous Coward on 2005年02月16日 22時49分 (#694906)

      今回のSHA-1はコンピュータ上のあるデータを要約して小さいデータ列に一方向変換することを目指したものですし、記事にあるような英数字を組み合わせた銀行ATM向け暗証番号は主に店頭ATMでの認証を前提にした仕組みです。

      前者の場合はコンピュータ上で力ずくの解決を行なったりできてしまいますし、何よりもコンピュータそのものの進化が激しいので要約関数の精度もずっと高いものが求められます。

      対して後者の場合はロックアウト(一定回数の入力ミスでそれ以降認証しなくなる)が用意されていますし、何よりも店頭のATMで手入力するものですからコンピュータより何千万倍も遅い認証試行になってしまいます。
      (もちろんインターネット上での銀行アクセスの場合は、暗証番号そのものの堅牢性よりも盗聴される危険性を真っ先に考えなければなりませんので、それはそれで別の話になってしまいます)

      全く目的の違うもの同士を一律に並べて比較するのはナンセンスだと思うのですが、どうお考えでしょうか?
      もしかしてあなたのログインパスワードはドラクエ2の「ふっかつのじゅもん」のようにとてつもなく長いんでしょうか?

      親コメント
      • by Anonymous Coward
        こっちじゃSHA-1がヤバイってのに
        英数字にすりゃOKと考えているおめでたい人も居るけどどうよ
        ってだけの話でしょ

        次は、聞きかじった知識をひけらかす前に気付けると良いですね。
        • by Anonymous Coward

          だから、きちんと周辺環境が用意されてる前提条件のある店頭ATMにおいては、数字4桁から英数字8桁に直すのも十二分に効果があるし意味を持つでしょ、って言いたいのだけど。

          • by Anonymous Coward
            > 次は、聞きかじった知識をひけらかす前に気付けると良いですね。

            こういうこと書く人に返事すると舞い上がるのでやめておきましょう。
            荒らしは無視の方向で。
    • by Anonymous Coward
      現状調査してないのかしら? 本人と代理人の生体情報を登録出来るのに

      え? 違う
    • by Anonymous Coward
      >本人が病気や事故で入院すると、妻などがATMで現金を出せない

      って書いてあるけど、通帳はないんですかね?
      • by Anonymous Coward
        それ以前に生体認証は[本人確認]に使用するものなんだから、本人確認を使用しない入出金のフローがあれば良いだけでは。
        # ハンコであったりとか、家族であること、代理であることの証明とか

        もちろんそっちはそっちで、それなりのセキュリティを確保する必要があるわけだけども。
      • by Anonymous Coward
        窓口で本人確認されるから結局引き出せないんじゃ?
    • by Anonymous Coward
      それはともかく
      「ネット上では当たり前に使っている暗証方式」がなんで特許になるのかさっぱりわからん
      まあ「とる」って言うだけならただだけど
  • by Anonymous Coward on 2005年02月17日 22時46分 (#695499)
    IHAに改名しましょう。
    Insecure Hash Algorithm。
typodupeerror

人生unstable -- あるハッカー

読み込み中...