これまで知られていなかった脆弱性が存在する可能性があるとのニュースに、
暗号専門家のコミュニティが大騒ぎになっている。
事の起こりは12日、
フランスのコンピュータ科学者Antoine Jouxが、
デジタル署名によく利用される有名な「MD5」アルゴリズムに欠陥を見つけた
と発表したことだった。
その後中国の4人の研究者が論文を発表し、
別のアルゴリズム「SHA-0」を迂回する方法を報告した。
これらの報告は予備的なものだが、
最終的にはこれらの発見によって--別の、
より安全なアルゴリズムが採用されない限り--
侵入者がコンピュータコードに検知不能な裏口を挿入したり、
電子署名を偽造したりしやすくなる可能性もある。
ソース
CNET
http://japan.cnet.com/news/sec/story/0,2000050480,20070525,00.htm
スラッシュドット
http://slashdot.jp/
ttp://slashdot.jp/articles/04/08/18/0257220.shtml
いや、まじでこのニュースすごいと思うんだけど、PCニュース板にも
ニュー速にもスレたってないんだよね。誰か立てれ
http://pc5.2ch.net/test/read.cgi/pcnews/1092820402/
関連スレ
数学板 暗号数学について語ろう
http://science3.2ch.net/test/read.cgi/math/1088146349/
いまいちもりあがらないねぇ。
/.jpを読む限りでは任意のハッシュ値を生成できるわけじゃない
らしいから、今すぐ危険ってわけじゃないんでしょ?
ソースコードの管理に使うから怖いかも
暗号について全然よくわかんないけど。
同感
SHA-1も危険なのかな。その場合、かわりになるものは何なんだろう。
なんでこんなに静かなんだろう?
>>5さんの言う通り、さしせまって危険って訳ではないと思うけど、
場合によってはオンラインショッピングやらネットバンキングやらは
一時停止して、新たな強力なハッシュ関数が生み出されるのを
待つしかなくなるかもしれないのに。
ITmediaにも記事あったんで貼っておきます。
ttp://www.itmedia.co.jp/enterprise/articles/0408/18/news020.html?c
取り敢えずは動向を見守るしかねーべ。
MD4やMD5は専門家の間では以前から危ない危ないといわれ続けていたわけで。。。
今回みたいなことがあるから、システムの重要性に応じて暗号の専門家のコンサル受けておいて損はないと思う。
もしいまだにMD5使ったシステムが作られているなら、現場はいったいなにをしているのかと小一時間(ry
ところで、まだSHA-1の衝突が見つかったわけではないけど、NISTはすでにSHA-1の次を決めてるよ。
それが近いうちに破られない保障は、もちろんないんだけどな。
あそこの関係のサイトを利用すると、しばしばSSL2を利用可能に汁って
ポップアップが出てくる。いまどきそんなところ他に見当たらないんだが。
俺と俺のPCがおかしいのか、にftyがおかしいのか。
にftyがおかしいのなら、セキュリティの専門家のコンサル受けて欲しいなあ。
>>11
SHA-1の次は一応あると。よかったーーーー
SHA-1の次があったんですか。
ひとまず安心。
SHA-256, SHA-384, and SHA-512 are also FIPS-approved method for secure hashing, but testing for those algorithms has not been implemented yet.
こんなんでましたけど
気にしないでサイバーノーガードで運営するという方法もありますよ
P1、P2、P3…が存在すること。今回は任意の平文に対して比較的
簡単にコリジョンを発見する方法がみつかった。暗号理論的には
大発見。ただし、その中で意味のある平文は一つしかないから
メッセージの偽造、変造に直接使うことは不可能。
一般的にいえば(表現はともかくw)>>19のいうとおり、ユーザーには
無関係のはず。ただしコリジョンが存在しない(容易に発見できない)
ことを前提に作られた欠陥システムが運用されている可能性もあって
そっちがコワイ。
> 簡単にコリジョンを発見する方法がみつかった。
これ正しいの?
スラドを読む限りでは「任意の平文」じゃ無いように思えるが。
こういうのはどうでしょうか?危険性はほとんど無視していい程度のものでしょうか?
MD5の脆弱性なんて、結構前から分かり切っている事。
何を急に、いまさら。。。
まぁ、世間一般的にはSHA-1は、まだ最新技術で取っつきにくいのか?
SSLとTLSみたいな物かねぇ(話飛び過ぎか・・・)。
暗号についてよく知らない消防には、たとえばセキュアドの本でも読むと、
概要はやさしく解説してくれる。て、そこまで無知ならここに来ないか?
要領を得ないレスだけど、本当にわかってる人なの?
既存のシステムにどの程度の影響があるのか、分からないんだけど
スラドのスレッドも、これまたいまいち要領を得ないし
もっと活発で暗号に強いコミュニティとかない?
PDF読むかぎりじゃ「任意の平文」て感じはしないけどな。
>>22
マニアックなウイルス作者が、がんがってMD5を一致させるウイルスを作るかもしれんが、
そこまでしてFirewallを回避するなら、他の手段を使う方が手っ取り早い。
>>23
MD5の脆弱性について>>11や>>23が既に研究していて、その成果を過去に発表していたなら別だが、
今回、中国の研究家が具体的に「このように脆弱です」と示した成果は大きいと思うんだが、どうよ?
何の成果も出さずに「結構前から分かり切っている事」だなんて、事情通の早耳自慢みたいでカコワルイよ。
>>24
同一性のチェックにMD5のみを使用してる馬鹿なシステムなら直ちに修正が必要、ってとこ。
ただし、/etc/shadowなんかは、元の平文が無いから今回の攻撃に限ってはリスクは小さいかも。
ありがとうございます。参考になりました。
PDFには
Moreover, out attack works for any given initial value.
さらに我々の攻撃方法はいかなる初期値に対しても有効である。
とあるんだが。
中途で書き込んでしまったが…スラッシュドット見ると、
http://slashdot.jp/articles/04/08/18/0257220.shtml?topic=28
> initial valueというのはMD5計算途中で使う4個の32bitバッファの値
> 1024ビットのメッセージについて,
> MD5(M, N) = MD5(M', N')
> M: 前半512ビット,N: 後半512ビット
> M', N' はそれぞれ決まった位置の3ビットだけを変更したもの
> となるような M と複数の N の組み合わせを見つけることができる.
てことは任意のinitial valueの組に対して、コリジョンを起こすような
メッセージペアを多数発見する方法が存在する、という理解でいいのか?
それだと現実に悪用するのはやはり相当難しそうだが…
とても意外な気がするんだけど。
オイラは田舎企業の技術屋だからなんでも暗号化しないでデータ送るけど
大手の連中はどうしているの?あるいは国政に関っている連中とか。
どんなソフト使って暗号化しているかとか知りたいな。
別にしゃべってもいいでしょ?今日の暗号はアルゴリズムは公開して鍵を隠すやり方
だもんね。
従業員数5000人超えてますが全然平文です。
5000人超えてるってことは当然熾烈な国際競争もやってるわけでしょう?
ウチのようなダメ企業ならいざ知らず・・・
日本の情報セキュリティってそんなものなのかなあ・・
公開鍵暗号に興味ある人もほとんどいないもんな。
オイラも専門家じゃないから詳しくはないんだけどね。
公開鍵を使って暗号化しているという感覚なしにメールのやりとりとか
できるソフトないのかな・・・って丸秘事項なんてオイラの人生にはないってか。
ソースネクストだな
わ
の途中で書き込む押しちゃった
ハズカシイ・・・orz
そんな会社がセキュリティソフトのソースコード丸ごと送るとき
平文だったりして・・・
http://www.sourcenext.com/company/2002_2/1_1.html
そう、実際に悪用しようとすると相当難しいはず。
多くの場合、ハッシュはp>qなp(bit)のinitial valueからq(bit)の情報を生成して、
q(bit)の情報の比較をもって同一性の認定を代行させるために使われる。
MD5のMDがMessage Digestだってのを見れば、その意図するところは自明。
射影として見た場合、多対一なんだから、コリジョンは多数あって当然。
今騒いでるのは、そのコリジョンの例が比較的容易に発見できるという所だね。
そのinitial valueがメールのような自然言語文だったり、>>7 氏の言ってるような
ファイルアーカイブのようなそれ自体が構造を持っているものの場合、>>20氏の
言ってるように、ハッシュ値が同一で内容が異なり、なおかつ構造的にも正しい
偽initial valueを作るのはかなり困難になる。
いくらハッシュが同じでも、「貴社ますますご清むばぼlkj5dfgぶへれれlkjsdg」
なんてメッセージが来たら誰でも変だと思うでしょう。
>>25
は言ってることはまるで的外れ。
>/etc/shadowなんかは、元の平文が無いから
なんてのは大笑い。shadowは生MD5じゃないが、これも一種のハッシュ関数。
平文がない?結構。平文なんか元からいらない。元の平文パスワードとまるで
異なっていても構わないんですよ、演算結果さえ一致すれば。演算の途中で
使われているアルゴリズムの脆弱性が上がれば、相対的に全体の安全性は
下がります。
○立、○菱、○田・・・・・
原理的にどうしようもない。広い意味での身内同士の通信なら金さえ
かければどうにでもなる。支社や関連会社相手なら、ルータレベルで
IPsecでトンネル掘っちまってもいいし、専用線で直結しちまってもいい。
下請け相手ならソフトを買い与えてもいいだろうさ。
しかし、メールの相手は一般に不特定だからね。「こういう暗号化を
しなさい」とか、通信する相手すべてに強要するのは無理。e-mailの
アプリケーションレイヤ根こそぎ入れ替えないと無理ですね。
それより、万単位の人を抱える大組織だと、ヒューマンファクタ
の方が遥かに制御が難しい。世の中悪人よりまじめな人の方が
ずっと多いんだけど、人が多くいれば、その中に悪人が含まれて
しまう可能性も上がる。個々のケースではいろいろな対策製品が
あるけど(たとえば、海の向こうにはヤバそうなキーワードを含んだメールが
通り抜けようとしたら警報を出すメールゲートウェイ製品とかがある)、
メカニズム的な工夫で全部ふさぐのは不可能に近い。
ヒューマンファクタがいちばん怖いよね。ヘッドハンティングとかその最たるものか。
そうだ!思い出した。
以前、激ヤバ文書がFAXの送り状原紙の裏紙で使われているということがあって、
それをこともあろうにオイラが表裏逆にFAXに入れて客先に送信してしまうという恐るべき
事件があった。幸い、現地にいた社内の人間にかっさらってもらって事なきを得たんだけど。
それが元となってオイラは機密保持に関することに目が覚めたといってもいいかも。
今でもメール送信する前にもう一度添付ファイルの中身が意図するものかどうか確認する
クセがついてる。
○田ってどこだろう。
まぁそのような会社に勤めていますが、社内的にはなんも暗号化されて
いない。大きい事業所間は専用線。小さい地方の支社とかは不明。
外から入る時は、ICカードで認証している(当然通信路は暗号化されている)。
部屋単位のICカードによる入退室管理は日本でもかなり広まっていますが、
これもヒューマンファクターがらみで「あ、飯の時間だ…」ガチャ…ドヤドヤ…
なんて運用になってしまっていたりして、イマイチなんですよね。じゃあ
最近流行りのRFIDデバイスでも使うか?と言っても、結局デバイスの通過を
監視できるだけで、人の動きを間接的に見ているに過ぎません。まさか、
社員の体にタグ埋め込むわけにもいきませんし。(技術的には可能。アメリカの
大学の先生が自分を実験台にしてやってた。だが応用するには倫理的に
問題があると思う)。最近ではバイオメトリクス認証なんてのもありますが、
まだまだですね。
結局、こういうメカニズムは悪意のある外部の人間からの脅威への対策としては
有効ですが、可能性は低いにしても無視するわけにもいかない、もしかすると
いるかもしれない悪意のある内部の人間には無力です。
後者のタイプの悪人にも対抗すべくいろいろなメカニズムが考案されたり販売
されたりしていますが、組織全体としてみると、金さえかけてそういったもので
従業員をギリギリ締め付けると、士気の低下という深刻な悪影響が出てくるので、
必ずしも導入すれば良いというものではありません。
それより、ログオンしたまま部屋から出るなとか、そういった身近な意識改革
から始めた方がいいですね。私怨(たとえば車内恋愛のもつれとかw)から
知らないうちに大事なファイル消されたとか、ニュースネタにはならないけど、
絶対ありそうだし。
このへんへの解の例だと、SunRayなんて面白いですよね。端末からICカード
ぶっこ抜くと即時セッション中断、また突っ込むと(他の端末でもいいという
所がミソ)、中断状態から復帰。
だいたい、人間って基本的に面倒くさがりですから、手間のかかることを
「やれ」と言ってもなかなか徹底できないんですよね。
同じくらいありますよね。
まして巨大組織になればなおのことか。
>外から入る時は
これ、社内LANに入る時の話ね。
>最近流行りのRFIDデバイスでも使うか?
大きめの会社だと必ず名札付けて歩くと思うので
そこに埋め込むといいと思うのですね。
46に出てるけど、今回SHA-1、brokenってニュースが流れてますね。
いろんなところで利用されてるのに、全然盛り上がりませんね。
まあ悪意あるやつは別の方法や経路を利用したほうが楽で早いって
ことはあるんだろうけど、それにしても静か過ぎる気が。
MD5のときに一通りやったからね。それからまだ日も浅いし。
SHA-1 Broken
SHA-1 has been broken. Not a reduced-round version. Not a simplified version. The real thing.
http://www.schneier.com/blog/archives/2005/02/sha1_broken.html
この手のニュースにしては、これまでのとインパクト大きい気がするんだが本当に静かだな。
まだちゃんとしたペーパーが出てないからか。。
訂正
この手のニュースにしては、これまでのと比べてインパクト大きい気がするんだが本当に静かだな。
まだちゃんとしたペーパーが出てないからか。。
・PersonalFirewallソフトの、file改竄監視に使われてますね。
・file転送の信頼性確保にも利用されてますね。
・BBルータのfile改竄監視にもたぶん利用されてるでしょうね。
・デジタル署名はもちろん代表的な用途だけど、個人で利用を意識する場合は多くないですよね?
もちろん、そんなことはない!というひとはたくさんいるだろうけど。
どのような場面で、あるいは、どんなソフトで、ハッシュ関数は利用されてるんでしょう?
事例をたくさん紹介していただけると分かりやすくてありがたいです。
意見を聞いたら、ファイアウォールに何の関係があるんじゃー!ボケーって言われたよ。
ハッシュ関数も暗号アルゴリズムも世の中ではほとんど知られてないのが実情だと思うよ。
DES、AESさえ、知ってる人間はごく少数だろうな。SSL2.0は危険だってことも知ってるのは
ごく少数だろう。
未だに90%以上のひとはIEユーザらしいしなあ。
http://itpro.nikkeibp.co.jp/free/ITPro/Security/20050401/158327/
dクス わかりやすかった
Mac OS Xに採用されているAES-128とはどれくらい信頼性のある暗号なのでしょうか?
http://www.apple.com/jp/macosx/features/filevault/
PGP Diskに採用されているAES-256よりは劣っているということはなんとなくわかるのですが
どれくらいの実用性があるのかわかりません。
当方こういったことにあまり詳しくなく数学も苦手ですが
よろしくお願いします。
2^128乗くらい解読されやすい。
2^128倍ってのは42億倍よりもっと簡単に解ける。
ご回答ありがとうございます。
つまりAES-128で暗号化されたファイルを
1分で解読することができるコンピュータがあったとしたら
AES-256で暗号化されたファイルの解読には
42億分かかるということでよいのでしょうか?
ちなみにAES-256で暗号化されたファイルを
横浜の地球シュミレーターのようなスパコンを使って解読した場合
どれくらいの時間を要するのでしょうか?
AESは3.4×1038の実行可能な128ビットキーを提供します。
一方、DES(Digital Encryption Standard)はわずか56ビット長、
つまり約7.2×1016の実行可能なDESキーということです。
ということは、AESの128ビットキーの方がDESの56ビットキーよりも、
およそ1021の実行可能なキーがあるわけです。
例えばDESキーを1秒で解読するマシンを構築したとしても、
そのマシンでは128ビットのAESキーを解読するのに約149兆年かかるでしょう。
(ちなみに、宇宙の年齢は200億年より若いと考えられています。)
※DESを1秒で解くマシンとは地球シミュレータの42億倍より高性能。
ご回答ありがとうございます。
>DESを1秒で解くマシンとは地球シミュレータの42億倍より高性能
かなり意外だったのですがわれわれが普段利用しているAESやDESといった暗号方式は
それほどまでに強固なのでしょうか?
この詳細については自分で調べてみてね。
ま、何か新しくセキュリティ関係のシステムを構築しようとしたときに
DESはとにかく駄目だやめておこう、位に思っておけばOK
DESよりAESのほうが安全だし、AESのほうが暗号化速度も高速。
AESについてだけど、
AESに対する攻撃方法は世界中の暗号家たちが研究中。
AESが将来死滅してしまうのか、
強力な暗号として暗号化アルゴリズムの
王座の座に鎮座したままなのかは誰にもわからない。
現在発見されている攻撃方法ではAESを攻撃できない。
どれほど強固かといわれると困るが、
太陽のエネルギーすべてを消費できたとしても、
AESは解けない。
詳細なご回答ありがとうございます。
いま現在、AESなら128, 256bit関わらず解読は不可能ということみたいですね。
どうもありがとうございました!
> 現在発見されている攻撃方法ではAESを攻撃できない。
AES(の多くの実装)もある種の攻撃に弱いことは発見されてるよ。
それほど致命的じゃないけど。
鍵がちゃんと保管できてなくて結局全体がダメになる確率より十分低い、っていう
お約束はダメ?w
お約束もなにもお前の日本語がダメだな
二行目の主語に相当する物が明示されてないな
今度はECRYPTがストリーム暗号の公募をしているけれど
日本の企業からの応募はあるの?
ちょっと辛い。
最初は、決定版!!だったんだろうけどな
ストリーム暗号とハッシュ関数はえらい違いだぞ。
ハッシュ値をある程度任意にコントロールする方法がみつかったってこと。
今までは非常に低い確率で偶然ハッシュ値が同じになることはあったが、
今後は、見つかった欠陥を利用して、ピンポイントで同じハッシュを作り出せるように操作できる。
つまり、捏造したものと、本物が同じハッシュ値になるってこと。
>75は正しくは
>ECRYPTが募集しだしたのは一方向性ハッシュ関数じゃないの?
>
>ストリーム暗号とハッシュ関数はえらい違いだぞ。
といいたかったが、
改めて>71のレスを見てみるとブロック暗号の標準がAESと書いているから
ECRYPTの募集はストリーム暗号なんでしょうな。
>71の疑問に答えると
日本企業では日立が「MUGI」というストリーム暗号を作ってたはず。
詳細は具具ってみてね。
71です。ECRYPTの募集は確かにストリーム暗号です。
ttp://www.ecrypt.eu.org/stream/
そういえば、日立って良さそうな特許をたくさん出願していますよね。
頑張って欲しいものです。
他にも公募ありますか?
toyocryptでしたっけ
http://internet.watch.impress.co.jp/cda/news/2005/09/26/9245.html
理論的に欠陥がないもの作れるはずなのだけれども・・・
漏れはNTTと三菱電機と日立に期待してるよw
メールが平文な罠。
日本政府は大丈夫なのかな?
誰か説明して。
学問(理系)の数学に暗号のスレッドあるよ。そっちの方がいいと思う。
ただし 2key の場合はちょっと違う
3DESじゃなくて AES つかえ!
Camelliaの暗号ソフトがこれから増えてくる
http://pc8.2ch.net/test/read.cgi/tech/1088530204/l50
2乗倍
SHA1もそろそろ止めたほうがEらしい
2乗倍だよ。
一方向性ハッシュ関数の「衝突を見つけるのが困難である」という性質を利用して
安全性を実現しているプロトコルは確かに存在しているようです。
そういうプロトコルではMD5やSHA-1は使用厳禁でしょうね。
暗号やハッシュ関数を使ったシステムを作るときは
何かあったときにそれらの部品をすぐに別の種類に交換できるような形でシステムを設計すべきでしょうね。
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_19445002.html
スラッシュドット ジャパン | APOPにパスワード漏洩の脆弱性
http://slashdot.jp/security/article.pl?sid=07/04/19/0137200
【IT】電子メールの暗号化技術「APOP」破られる…電通大の研究グループが発見、当局に連絡[04/19]
http://news21.2ch.net/test/read.cgi/bizplus/1176927088/
併用するならCRC16で充分だと思うけど。
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
JPEGウイルス登場、各社が警告 (118)
メールの送り主の特定出来る? (114)
今までになかったsnortについて語るスレ。 (110)
☆完全に発信元隠す方法ってあるんだろ☆ (196)
なんかCドライブどんどん減ってってるんですが… (149)
【完全無料】Filseclab Personal Firewall【1】 (192)
--log9.info------------------
全日本女子602 (210)
【个 ,个】 木村沙織88 【个 ,个】 (609)
【新監督のもと】全日本男子128【新たな船出】 (546)
【TUR】トルコ女子バレー総合 5【中東のスルタン】 (646)
【2011年】セルビア男子 2【欧州王者】 (701)
【GER】ドイツ女子バレー総合 4【中欧の黒蝶】 (385)
【世界のヨン様】キム・ヨンギョン7【五輪MVP】 (977)
代行スレで頼んで自演するキチガイを晒そう2 (216)
【全日本】古藤 千鶴【正セッターへ】 (158)
古賀紗理那〜その2 (953)
【4ヶ年計画第一章】狩野舞子 Part18【決意の挑戦】 (189)
ミュンヘン男子世代 (152)
【伝説の】山内美加part3【美しき大砲】 (174)
【今期こそ】FC東京バレーチーム part10【四強!】 (756)
【東レ/全日本】迫田さおり22【キュートなホクロ】 (229)
【久光製薬】中田久美 8【女性監督】 (594)
--log55.com------------------
カマス釣り カマシング
【不正入試】昭和大医学部でも得点操作 2浪以上が不利に
【渓流竿】⌒ 手竿で海釣り5 ⌒【へら竿】
【3`】最強のエギングロッドはこれだ★28【6`】
バス釣りオワコン化によるバス釣り系メーカーのソルト参入について
【渓流】北海道の釣り 28匹目【湖沼】 [無断転載禁止](c)4ch.net
釣りメシ改
【サップ】SUPフィッシング 5【スタンドアップパドルボード】