Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

公開鍵暗号、ハッシュ関数の強度に疑問を投げかける研究報告


 「RSA Conference 2005 Japan」では、通常のセキュリティ関連のセッションとは別に暗号関連専門のセッションも多数行なわれている。内容の大半は暗号の専門家向けとなっているが、中には一般人にも関わりのある内容も含まれている。ここでは12日に行なわれた暗号関連セッションを中心に、個別セッションの中からいくつかをピックアップして紹介したい。


1,024bit RSA暗号の強度は72bitの共通鍵暗号並み?

NTT情報通信プラットフォーム研究所の青木和麻呂氏
 まず最初に紹介するのは、NTT情報通信プラットフォーム研究所の青木和麻呂氏による「素因数分解実験の動向」。RSA暗号を始めとする公開鍵暗号の多くが、その理論的ベースとして巨大な数における素因数分解の計算が非常に難しい(素数aとbからその積cを求めるのは容易だが、積cから素数aとbを割り出すのは非常に時間がかかる)という性質を利用している。逆に言えば、巨大な素因数分解の計算が簡単にできるようになれば、RSA暗号を始めとする暗号は全く暗号としての意味を持たなくなることになる。青木氏らの手掛ける研究では、「現在のシステムでどれだけ巨大な数の素因数分解が可能なのか」ということを調べることにより、暗号の強度を推測する。

 発表内容の大半は素因数分解のアルゴリズムの分類と最近の動向の解説に費やされたが、今回の青木氏の説明の中で注目されるのが、1,024bitのRSA暗号がどのくらいの強度を持っているかという点に関する見積もりだ。青木氏は「研究者の間では、1,024bitのRSA暗号は80bitの共通鍵暗号に対して少なくとも200倍以上の強度がある」という見解が一般的だと前置きした。しかし、実際にはPentium 4(2.53GHz)マシンを利用した場合を想定して単純に計算時間だけで比較した場合、RSA-150(496bit)の素因数分解に必要な計算時間は、共通鍵暗号ではだいたい46bit相当にあたると述べた。ここから類推すると、1,024bit RSA暗号の強度は72bitの共通鍵暗号と同程度になるのではないかとの見解を示した。

 ただし、これは単純な計算時間だけの比較で、青木氏は「共通鍵暗号の解読のための計算はほとんどメモリを必要としないが、一方で素因数分解には巨大なメモリリソースが必要となる。ハードウェア資源まで含めれば、全く同じ強度とは言えない可能性が高い」と注意した。素因数分解を専門に手掛ける研究者がこういう見解を示したことは気にかけておくべきだろう。


MD4/SHAベース以外のハッシュ関数への移行を進めるべき

イスラエル工科大学のエリ・ビハム氏
 暗号関係のセッションからはもう1つ、イスラエル工科大学(Israel Institute of Technology)のエリ・ビハム氏による「ハッシュ関数の最近の進展」を紹介する。ハッシュ関数としてはMD5やSHA-1といった関数が一般に広く使用されているが、一方でMD5やSHA-1にはコリジョン(異なる元データから同じハッシュ値が生成されてしまうこと)が発見されている。今回ビハム氏はその背景と攻撃手法や、他のハッシュ関数で同様の問題が起きる可能性について解説した。

 ハッシュ関数に対する攻撃手法として、ビハム氏は「Multi-Block Technique」と「Differencial Attack」の2つを挙げた。Multi-Block Techniqueは、ハッシュ値として数ビット程度しか違わないような値(これを「Near Collision」と呼ぶ)を出力する元データの組み合わせの中から、複数回ハッシュ値を計算させることでその違いがキャンセルされ、最終的に同じハッシュ値が出力される組み合わせを探す方法のこと。ビハム氏によればこれは2004年に初めて登場したテクニックということで、「SHA-1では4ブロックでコリジョンが発見された」と述べた。

 もう1つの攻撃手法であるDifferencial Attackは、文字通り元データをわずかに変更した場合にハッシュ値の値がどう変化するか差分を取ってチェックし、そこからコリジョンが起こる組み合わせを探るというもの。特にこの研究から、データ列の中のあるビットの値を変更してもそれが最終的なハッシュ値に影響を与えない「Neutral Bit」と呼ばれるビットがMD4/SHA系のハッシュ関数に広く存在する可能性が明らかになったという。

 このような攻撃手法は、古くからブロック暗号に対して使われてきたものだが、ビハム氏は「ブロック暗号に対してはあまり有効性がないため無視されてきたが、ハッシュ関数では大きな問題になる」と語った。また、1990年代に入り、暗号関係の研究者の注目がブロック暗号や公開鍵暗号に集まり、ハッシュ関数にあまり注目が集まらなかった(ここ6~7年、ハッシュ関数に関する大規模なカンファレンスは開かれていないという)ことも関係しているのではないか、との見解もビハム氏は示した。

 これらの問題はMD4/SHAから派生するハッシュ関数に広く存在するとのことで、ビハム氏によれば、近年SHA-1の強化版として登場してきているSHA-256/512やRIPEMDも「デザイン上の弱点があり、本質的には問題は解決していない」という。ビハム氏は問題を受けない可能性が高いハッシュ関数として「Whirlpool」と、ビハム氏自身が開発した「Tiger」の2つを挙げた。ただし、「Whirlpool」はハッシュの生成速度に難があるとして、「Tiger/Tiger2」の利用を参加者に勧めていた。


2要素認証の普及には技術よりもマーケティング面が重要

米RSA Securityのデレク・ブリンク氏
 一般向けの「ニュープロダクト&テクノロジートラック」からは、米RSA Securityのデレク・ブリンク氏の講演を紹介する。ブリンク氏は、初日の基調講演でも繰り返し強調された「2要素認証」を実際にコンシューマ向けに展開していくにあたって、何が問題となるかをこれまでの実例をもとに課題を語った。

 RSA Securityでは、米AOLと共同開発した「AOL PassCode」、米E*TRADEと共同展開する「E*Trade Complete」など、ユーザー名とパスワードに加え6桁の数字からなるパスコードを利用した2要素認証のサービス展開を2004年より順次始めている。ブリンク氏によれば技術的な面での問題はほぼ解決しているそうなのだが、いざサービスを展開してみて問題となったのが「ユーザーに対していかにして新サービスのメリットを伝えるか」という点だったという。

 例えばAOL PassCodeの場合、パスコードを生成するトークンは有料(9ドル99セント)となっている。いくらセキュリティが強化されるといっても、ユーザーはわざわざそれを購入してまで利用してくれるのかという点や、広告においてどのようなキャッチコピーで売り込みを図るかという点がむしろ問題になったとのこと。また実際にあった例として、セキュリティが強化されるイメージを訴えるためにトークンに鍵のついた絵を広告に載せたところ、トークンを購入したユーザーから「(広告に載っていた)鍵がついてない」と苦情の電話が殺到し、慌てて「実物には鍵は付属しません」という注意書きを入れるはめになったという。

 今後2要素認証が一般に広く普及するようになると、このままではユーザーはサービスごとに別々のトークンを持つ必要があり「トークンをじゃらじゃらぶら下げて歩かなくてはいけなくなる」(ブリンク氏)。そこでRSA Securityでは、1台のハードウェアトークンで複数のサービスに対応できるほか、トークンの代わりにInternet Explorerのツールバーにパスコード生成機能を追加し、対応サイトにアクセスすると自動的にパスコードが入力されるなどの機能を用意した「RSA Networked Authentication Service」を開発し、日本でも秋頃からパイロット展開を図りたいとの意向を示した。


関連情報

URL
  RSA Conference 2005 Japan
  http://www.medialive.jp/events/rsa2005/


( 松林庵洋風 )
2005/05/13 13:21

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.