 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
公開鍵暗号、ハッシュ関数の強度に疑問を投げかける研究報告 |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
「RSA Conference 2005 Japan」では、通常のセキュリティ関連のセッションとは別に暗号関連専門のセッションも多数行なわれている。内容の大半は暗号の専門家向けとなっているが、中には一般人にも関わりのある内容も含まれている。ここでは12日に行なわれた暗号関連セッションを中心に、個別セッションの中からいくつかをピックアップして紹介したい。 ● 1,024bit RSA暗号の強度は72bitの共通鍵暗号並み?
発表内容の大半は素因数分解のアルゴリズムの分類と最近の動向の解説に費やされたが、今回の青木氏の説明の中で注目されるのが、1,024bitのRSA暗号がどのくらいの強度を持っているかという点に関する見積もりだ。青木氏は「研究者の間では、1,024bitのRSA暗号は80bitの共通鍵暗号に対して少なくとも200倍以上の強度がある」という見解が一般的だと前置きした。しかし、実際にはPentium 4(2.53GHz)マシンを利用した場合を想定して単純に計算時間だけで比較した場合、RSA-150(496bit)の素因数分解に必要な計算時間は、共通鍵暗号ではだいたい46bit相当にあたると述べた。ここから類推すると、1,024bit RSA暗号の強度は72bitの共通鍵暗号と同程度になるのではないかとの見解を示した。 ただし、これは単純な計算時間だけの比較で、青木氏は「共通鍵暗号の解読のための計算はほとんどメモリを必要としないが、一方で素因数分解には巨大なメモリリソースが必要となる。ハードウェア資源まで含めれば、全く同じ強度とは言えない可能性が高い」と注意した。素因数分解を専門に手掛ける研究者がこういう見解を示したことは気にかけておくべきだろう。 ● MD4/SHAベース以外のハッシュ関数への移行を進めるべき
ハッシュ関数に対する攻撃手法として、ビハム氏は「Multi-Block Technique」と「Differencial Attack」の2つを挙げた。Multi-Block Techniqueは、ハッシュ値として数ビット程度しか違わないような値(これを「Near Collision」と呼ぶ)を出力する元データの組み合わせの中から、複数回ハッシュ値を計算させることでその違いがキャンセルされ、最終的に同じハッシュ値が出力される組み合わせを探す方法のこと。ビハム氏によればこれは2004年に初めて登場したテクニックということで、「SHA-1では4ブロックでコリジョンが発見された」と述べた。 もう1つの攻撃手法であるDifferencial Attackは、文字通り元データをわずかに変更した場合にハッシュ値の値がどう変化するか差分を取ってチェックし、そこからコリジョンが起こる組み合わせを探るというもの。特にこの研究から、データ列の中のあるビットの値を変更してもそれが最終的なハッシュ値に影響を与えない「Neutral Bit」と呼ばれるビットがMD4/SHA系のハッシュ関数に広く存在する可能性が明らかになったという。 このような攻撃手法は、古くからブロック暗号に対して使われてきたものだが、ビハム氏は「ブロック暗号に対してはあまり有効性がないため無視されてきたが、ハッシュ関数では大きな問題になる」と語った。また、1990年代に入り、暗号関係の研究者の注目がブロック暗号や公開鍵暗号に集まり、ハッシュ関数にあまり注目が集まらなかった(ここ6~7年、ハッシュ関数に関する大規模なカンファレンスは開かれていないという)ことも関係しているのではないか、との見解もビハム氏は示した。 これらの問題はMD4/SHAから派生するハッシュ関数に広く存在するとのことで、ビハム氏によれば、近年SHA-1の強化版として登場してきているSHA-256/512やRIPEMDも「デザイン上の弱点があり、本質的には問題は解決していない」という。ビハム氏は問題を受けない可能性が高いハッシュ関数として「Whirlpool」と、ビハム氏自身が開発した「Tiger」の2つを挙げた。ただし、「Whirlpool」はハッシュの生成速度に難があるとして、「Tiger/Tiger2」の利用を参加者に勧めていた。 ● 2要素認証の普及には技術よりもマーケティング面が重要
RSA Securityでは、米AOLと共同開発した「AOL PassCode」、米E*TRADEと共同展開する「E*Trade Complete」など、ユーザー名とパスワードに加え6桁の数字からなるパスコードを利用した2要素認証のサービス展開を2004年より順次始めている。ブリンク氏によれば技術的な面での問題はほぼ解決しているそうなのだが、いざサービスを展開してみて問題となったのが「ユーザーに対していかにして新サービスのメリットを伝えるか」という点だったという。 例えばAOL PassCodeの場合、パスコードを生成するトークンは有料(9ドル99セント)となっている。いくらセキュリティが強化されるといっても、ユーザーはわざわざそれを購入してまで利用してくれるのかという点や、広告においてどのようなキャッチコピーで売り込みを図るかという点がむしろ問題になったとのこと。また実際にあった例として、セキュリティが強化されるイメージを訴えるためにトークンに鍵のついた絵を広告に載せたところ、トークンを購入したユーザーから「(広告に載っていた)鍵がついてない」と苦情の電話が殺到し、慌てて「実物には鍵は付属しません」という注意書きを入れるはめになったという。 今後2要素認証が一般に広く普及するようになると、このままではユーザーはサービスごとに別々のトークンを持つ必要があり「トークンをじゃらじゃらぶら下げて歩かなくてはいけなくなる」(ブリンク氏)。そこでRSA Securityでは、1台のハードウェアトークンで複数のサービスに対応できるほか、トークンの代わりにInternet Explorerのツールバーにパスコード生成機能を追加し、対応サイトにアクセスすると自動的にパスコードが入力されるなどの機能を用意した「RSA Networked Authentication Service」を開発し、日本でも秋頃からパイロット展開を図りたいとの意向を示した。 関連情報 ■URL RSA Conference 2005 Japan http://www.medialive.jp/events/rsa2005/
( 松林庵洋風 )
- ページの先頭へ-
|
