2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

暗号アルゴリズムに重大な欠陥発見の報告相次ぐ

1 :名無しさん@お腹いっぱい。:04/08/18 13:45
一般的なセキュリティ用アプリケーションに含まれる数学アルゴリズムに、
これまで知られていなかった脆弱性が存在する可能性があるとのニュースに、
暗号専門家のコミュニティが大騒ぎになっている。

事の起こりは12日、
フランスのコンピュータ科学者Antoine Jouxが、
デジタル署名によく利用される有名な「MD5」アルゴリズムに欠陥を見つけた
と発表したことだった。
その後中国の4人の研究者が論文を発表し、
別のアルゴリズム「SHA-0」を迂回する方法を報告した。
これらの報告は予備的なものだが、
最終的にはこれらの発見によって--別の、
より安全なアルゴリズムが採用されない限り--
侵入者がコンピュータコードに検知不能な裏口を挿入したり、
電子署名を偽造したりしやすくなる可能性もある。

ソース
CNET
http://japan.cnet.com/news/sec/story/0,2000050480,20070525,00.htm

スラッシュドット
http://slashdot.jp/

2 :名無しさん@お腹いっぱい。:04/08/18 13:54
へー

3 :名無しさん@お腹いっぱい。:04/08/18 16:52
スラドの記事へのリンク
ttp://slashdot.jp/articles/04/08/18/0257220.shtml

いや、まじでこのニュースすごいと思うんだけど、PCニュース板にも
ニュー速にもスレたってないんだよね。誰か立てれ

4 :名無しさん@お腹いっぱい。:04/08/18 19:47
PCニュース板
http://pc5.2ch.net/test/read.cgi/pcnews/1092820402/

関連スレ
数学板 暗号数学について語ろう
http://science3.2ch.net/test/read.cgi/math/1088146349/

いまいちもりあがらないねぇ。

5 :名無しさん@お腹いっぱい。:04/08/18 19:57
もりあがらないのは理解できる人が少ないからでは?

/.jpを読む限りでは任意のハッシュ値を生成できるわけじゃない
らしいから、今すぐ危険ってわけじゃないんでしょ?

6 :名無しさん@お腹いっぱい。:04/08/18 21:45
おい!会社でp2やっている事がバレバレじゃないか!!!!!

7 :スレ立てた人:04/08/19 17:57
MD5って、よくオープンソースとかのプロジェクトで
ソースコードの管理に使うから怖いかも

暗号について全然よくわかんないけど。

8 :名無しさん@お腹いっぱい。:04/08/19 21:35

同感

SHA-1も危険なのかな。その場合、かわりになるものは何なんだろう。


9 :名無しさん@お腹いっぱい。:04/08/19 21:50
記事見て初めてこの板覗いてみたんだけど、
なんでこんなに静かなんだろう?

>>5さんの言う通り、さしせまって危険って訳ではないと思うけど、
場合によってはオンラインショッピングやらネットバンキングやらは
一時停止して、新たな強力なハッシュ関数が生み出されるのを
待つしかなくなるかもしれないのに。

ITmediaにも記事あったんで貼っておきます。
ttp://www.itmedia.co.jp/enterprise/articles/0408/18/news020.html?c

10 :名無しさん@お腹いっぱい。:04/08/19 22:07
騒いだところでどうなるもんでもないでしょうに。
取り敢えずは動向を見守るしかねーべ。

11 :5:04/08/19 23:43
>>8-9
MD4やMD5は専門家の間では以前から危ない危ないといわれ続けていたわけで。。。
今回みたいなことがあるから、システムの重要性に応じて暗号の専門家のコンサル受けておいて損はないと思う。
もしいまだにMD5使ったシステムが作られているなら、現場はいったいなにをしているのかと小一時間(ry

ところで、まだSHA-1の衝突が見つかったわけではないけど、NISTはすでにSHA-1の次を決めてるよ。
それが近いうちに破られない保障は、もちろんないんだけどな。

12 :11:04/08/19 23:44
5じゃなかった。すまそ

13 :名無しさん@お腹いっぱい。:04/08/20 00:20
にftyはいまだにSSL3に未対応??
あそこの関係のサイトを利用すると、しばしばSSL2を利用可能に汁って
ポップアップが出てくる。いまどきそんなところ他に見当たらないんだが。
俺と俺のPCがおかしいのか、にftyがおかしいのか。
にftyがおかしいのなら、セキュリティの専門家のコンサル受けて欲しいなあ。

>>11
SHA-1の次は一応あると。よかったーーーー


14 :9:04/08/20 05:17
>>11
SHA-1の次があったんですか。
ひとまず安心。

15 :名無しさん@お腹いっぱい。:04/08/20 15:29
ttp://csrc.nist.gov/cryptval/shs.html
SHA-256, SHA-384, and SHA-512 are also FIPS-approved method for secure hashing, but testing for those algorithms has not been implemented yet.
こんなんでましたけど

16 :名無しさん@お腹いっぱい。:04/08/20 21:30
>>9
気にしないでサイバーノーガードで運営するという方法もありますよ

17 :名無しさん@お腹いっぱい。:04/08/20 21:45
Linuxでユーザのパスワード管理してる/etc/shadowもMD5で書いてあるねー^^

18 :名無しさん@お腹いっぱい。:04/08/25 09:52
ワシの超重要fileの管理でもMD5や!


19 :名無しさん@お腹いっぱい。:04/08/25 14:11
おまえら馬鹿が心配しなきゃならんような話じゃない

20 :名無しさん@お腹いっぱい。:04/08/25 16:29
コリジョンというのは同一のハッシュ値H1を与えるような異なる平文
P1、P2、P3…が存在すること。今回は任意の平文に対して比較的
簡単にコリジョンを発見する方法がみつかった。暗号理論的には
大発見。ただし、その中で意味のある平文は一つしかないから
メッセージの偽造、変造に直接使うことは不可能。

一般的にいえば(表現はともかくw)>>19のいうとおり、ユーザーには
無関係のはず。ただしコリジョンが存在しない(容易に発見できない)
ことを前提に作られた欠陥システムが運用されている可能性もあって
そっちがコワイ。

21 :名無しさん@お腹いっぱい。:04/08/25 16:52
> 今回は任意の平文に対して比較的
> 簡単にコリジョンを発見する方法がみつかった。

これ正しいの?
スラドを読む限りでは「任意の平文」じゃ無いように思えるが。

22 :名無しさん@お腹いっぱい。:04/08/26 13:28
PersonalFirewallソフトで、各種FILEの改竄監視にMD5を利用してるのがあるが、
こういうのはどうでしょうか?危険性はほとんど無視していい程度のものでしょうか?


23 :名無しさん@お腹いっぱい。:04/08/26 14:01
11も言っているが、
MD5の脆弱性なんて、結構前から分かり切っている事。
何を急に、いまさら。。。

まぁ、世間一般的にはSHA-1は、まだ最新技術で取っつきにくいのか?
SSLとTLSみたいな物かねぇ(話飛び過ぎか・・・)。

暗号についてよく知らない消防には、たとえばセキュアドの本でも読むと、
概要はやさしく解説してくれる。て、そこまで無知ならここに来ないか?

24 :名無しさん@お腹いっぱい。:04/08/26 14:30
>23
要領を得ないレスだけど、本当にわかってる人なの?

既存のシステムにどの程度の影響があるのか、分からないんだけど
スラドのスレッドも、これまたいまいち要領を得ないし
もっと活発で暗号に強いコミュニティとかない?

25 :1の友達のスパーハカー:04/08/26 15:12
>>21
PDF読むかぎりじゃ「任意の平文」て感じはしないけどな。

>>22
マニアックなウイルス作者が、がんがってMD5を一致させるウイルスを作るかもしれんが、
そこまでしてFirewallを回避するなら、他の手段を使う方が手っ取り早い。

>>23
MD5の脆弱性について>>11>>23が既に研究していて、その成果を過去に発表していたなら別だが、
今回、中国の研究家が具体的に「このように脆弱です」と示した成果は大きいと思うんだが、どうよ?
何の成果も出さずに「結構前から分かり切っている事」だなんて、事情通の早耳自慢みたいでカコワルイよ。

>>24
同一性のチェックにMD5のみを使用してる馬鹿なシステムなら直ちに修正が必要、ってとこ。
ただし、/etc/shadowなんかは、元の平文が無いから今回の攻撃に限ってはリスクは小さいかも。


26 :名無しさん@お腹いっぱい。:04/08/26 20:14
スパーハカーキタ━━━━━━((((((;゚Д゚))))))━━━━━━ !!

27 :名無しさん@お腹いっぱい。:04/08/27 08:37
>>25
ありがとうございます。参考になりました。


28 :名無しさん@お腹いっぱい。:04/08/28 01:19
>>25
PDFには
 Moreover, out attack works for any given initial value.
 さらに我々の攻撃方法はいかなる初期値に対しても有効である。
とあるんだが。

29 :28:04/08/28 01:33
>>25
中途で書き込んでしまったが…スラッシュドット見ると、
http://slashdot.jp/articles/04/08/18/0257220.shtml?topic=28

> initial valueというのはMD5計算途中で使う4個の32bitバッファの値
> 1024ビットのメッセージについて,
> MD5(M, N) = MD5(M', N')
> M: 前半512ビット,N: 後半512ビット
> M', N' はそれぞれ決まった位置の3ビットだけを変更したもの
> となるような M と複数の N の組み合わせを見つけることができる.

てことは任意のinitial valueの組に対して、コリジョンを起こすような
メッセージペアを多数発見する方法が存在する、という理解でいいのか?

それだと現実に悪用するのはやはり相当難しそうだが…



30 :名無しさん@お腹いっぱい。:04/10/11 19:32:37
しかし、暗号関係のスレってあまりないよね・・・
とても意外な気がするんだけど。

オイラは田舎企業の技術屋だからなんでも暗号化しないでデータ送るけど
大手の連中はどうしているの?あるいは国政に関っている連中とか。
どんなソフト使って暗号化しているかとか知りたいな。
別にしゃべってもいいでしょ?今日の暗号はアルゴリズムは公開して鍵を隠すやり方
だもんね。


31 :名無しさん@お腹いっぱい。:04/10/11 19:45:18
>>30
従業員数5000人超えてますが全然平文です。

32 :名無しさん@お腹いっぱい。:04/10/11 20:21:12
うへっ!本当ですか!社名を聞くほど野暮じゃないけど・・・いったいなんちゅう会社だ!
5000人超えてるってことは当然熾烈な国際競争もやってるわけでしょう?
ウチのようなダメ企業ならいざ知らず・・・
日本の情報セキュリティってそんなものなのかなあ・・

公開鍵暗号に興味ある人もほとんどいないもんな。
オイラも専門家じゃないから詳しくはないんだけどね。

公開鍵を使って暗号化しているという感覚なしにメールのやりとりとか
できるソフトないのかな・・・って丸秘事項なんてオイラの人生にはないってか。


33 :名無しさん@お腹いっぱい。:04/10/11 20:34:09
従業員数5000人超か
ソースネクストだな

34 :名無しさん@お腹いっぱい。:04/10/11 21:26:57
ソースネクスト? ??


35 :名無しさん@お腹いっぱい。:04/10/11 21:28:01
和訳して
の途中で書き込む押しちゃった

36 :名無しさん@お腹いっぱい。:04/10/11 22:31:26
ソフト会社だったんだ。この板では有名なのね。
ハズカシイ・・・orz

そんな会社がセキュリティソフトのソースコード丸ごと送るとき
平文だったりして・・・

37 :名無しさん@お腹いっぱい。:04/10/11 23:25:40
おいおい、ソースネクストは100人くらい。
http://www.sourcenext.com/company/2002_2/1_1.html

38 :名無しさん@お腹いっぱい。:04/10/12 01:27:21
>>29
そう、実際に悪用しようとすると相当難しいはず。
多くの場合、ハッシュはp>qなp(bit)のinitial valueからq(bit)の情報を生成して、
q(bit)の情報の比較をもって同一性の認定を代行させるために使われる。
MD5のMDがMessage Digestだってのを見れば、その意図するところは自明。
射影として見た場合、多対一なんだから、コリジョンは多数あって当然。
今騒いでるのは、そのコリジョンの例が比較的容易に発見できるという所だね。

そのinitial valueがメールのような自然言語文だったり、>>7 氏の言ってるような
ファイルアーカイブのようなそれ自体が構造を持っているものの場合、>>20氏の
言ってるように、ハッシュ値が同一で内容が異なり、なおかつ構造的にも正しい
偽initial valueを作るのはかなり困難になる。

いくらハッシュが同じでも、「貴社ますますご清むばぼlkj5dfgぶへれれlkjsdg」
なんてメッセージが来たら誰でも変だと思うでしょう。
>>25
は言ってることはまるで的外れ。
>/etc/shadowなんかは、元の平文が無いから
なんてのは大笑い。shadowは生MD5じゃないが、これも一種のハッシュ関数。
平文がない?結構。平文なんか元からいらない。元の平文パスワードとまるで
異なっていても構わないんですよ、演算結果さえ一致すれば。演算の途中で
使われているアルゴリズムの脆弱性が上がれば、相対的に全体の安全性は
下がります。

39 :名無しさん@お腹いっぱい。:04/10/12 08:13:01
10000人以上の巨大グループ企業の重要なメールはどうしているの?
○立、○菱、○田・・・・・

40 :名無しさん@お腹いっぱい。:04/10/12 09:19:53
>>39
原理的にどうしようもない。広い意味での身内同士の通信なら金さえ
かければどうにでもなる。支社や関連会社相手なら、ルータレベルで
IPsecでトンネル掘っちまってもいいし、専用線で直結しちまってもいい。
下請け相手ならソフトを買い与えてもいいだろうさ。

しかし、メールの相手は一般に不特定だからね。「こういう暗号化を
しなさい」とか、通信する相手すべてに強要するのは無理。e-mailの
アプリケーションレイヤ根こそぎ入れ替えないと無理ですね。

それより、万単位の人を抱える大組織だと、ヒューマンファクタ
の方が遥かに制御が難しい。世の中悪人よりまじめな人の方が
ずっと多いんだけど、人が多くいれば、その中に悪人が含まれて
しまう可能性も上がる。個々のケースではいろいろな対策製品が
あるけど(たとえば、海の向こうにはヤバそうなキーワードを含んだメールが
通り抜けようとしたら警報を出すメールゲートウェイ製品とかがある)、
メカニズム的な工夫で全部ふさぐのは不可能に近い。

41 :名無しさん@お腹いっぱい。:04/10/12 10:41:37
>>40そう言われてみればそうだよね。
ヒューマンファクタがいちばん怖いよね。ヘッドハンティングとかその最たるものか。

そうだ!思い出した。
以前、激ヤバ文書がFAXの送り状原紙の裏紙で使われているということがあって、
それをこともあろうにオイラが表裏逆にFAXに入れて客先に送信してしまうという恐るべき
事件があった。幸い、現地にいた社内の人間にかっさらってもらって事なきを得たんだけど。

それが元となってオイラは機密保持に関することに目が覚めたといってもいいかも。
今でもメール送信する前にもう一度添付ファイルの中身が意図するものかどうか確認する
クセがついてる。

42 :名無しさん@お腹いっぱい。:04/10/13 04:56:37
>>39

○田ってどこだろう。
まぁそのような会社に勤めていますが、社内的にはなんも暗号化されて
いない。大きい事業所間は専用線。小さい地方の支社とかは不明。
外から入る時は、ICカードで認証している(当然通信路は暗号化されている)。

43 :40:04/10/13 07:19:41
>>42
部屋単位のICカードによる入退室管理は日本でもかなり広まっていますが、
これもヒューマンファクターがらみで「あ、飯の時間だ…」ガチャ…ドヤドヤ…
なんて運用になってしまっていたりして、イマイチなんですよね。じゃあ
最近流行りのRFIDデバイスでも使うか?と言っても、結局デバイスの通過を
監視できるだけで、人の動きを間接的に見ているに過ぎません。まさか、
社員の体にタグ埋め込むわけにもいきませんし。(技術的には可能。アメリカの
大学の先生が自分を実験台にしてやってた。だが応用するには倫理的に
問題があると思う)。最近ではバイオメトリクス認証なんてのもありますが、
まだまだですね。

結局、こういうメカニズムは悪意のある外部の人間からの脅威への対策としては
有効ですが、可能性は低いにしても無視するわけにもいかない、もしかすると
いるかもしれない悪意のある内部の人間には無力です。

後者のタイプの悪人にも対抗すべくいろいろなメカニズムが考案されたり販売
されたりしていますが、組織全体としてみると、金さえかけてそういったもので
従業員をギリギリ締め付けると、士気の低下という深刻な悪影響が出てくるので、
必ずしも導入すれば良いというものではありません。

それより、ログオンしたまま部屋から出るなとか、そういった身近な意識改革
から始めた方がいいですね。私怨(たとえば車内恋愛のもつれとかw)から
知らないうちに大事なファイル消されたとか、ニュースネタにはならないけど、
絶対ありそうだし。

このへんへの解の例だと、SunRayなんて面白いですよね。端末からICカード
ぶっこ抜くと即時セッション中断、また突っ込むと(他の端末でもいいという
所がミソ)、中断状態から復帰。

だいたい、人間って基本的に面倒くさがりですから、手間のかかることを
「やれ」と言ってもなかなか徹底できないんですよね。

44 :名無しさん@お腹いっぱい。:04/10/13 12:34:11
なるほど。考えてみれば社外に漏れると困ることと、社内で漏れると困ることは
同じくらいありますよね。
まして巨大組織になればなおのことか。

45 :42:04/10/13 21:33:11
>>43
>外から入る時は

これ、社内LANに入る時の話ね。

>最近流行りのRFIDデバイスでも使うか?

大きめの会社だと必ず名札付けて歩くと思うので
そこに埋め込むといいと思うのですね。

46 :名無しさん@お腹いっぱい。:05/02/16 12:44:28
SHA-1

47 :○SHA-1_broken○:05/02/21 21:39:10

46に出てるけど、今回SHA-1、brokenってニュースが流れてますね。
いろんなところで利用されてるのに、全然盛り上がりませんね。
まあ悪意あるやつは別の方法や経路を利用したほうが楽で早いって
ことはあるんだろうけど、それにしても静か過ぎる気が。


48 :名無しさん@お腹いっぱい。:05/02/21 21:40:22
一方向ハッシュ関数のコリジョンが発見されたということによる騒ぎは
MD5のときに一通りやったからね。それからまだ日も浅いし。


49 :名無しさん@お腹いっぱい。:05/02/21 21:44:21
February 15, 2005
SHA-1 Broken

SHA-1 has been broken. Not a reduced-round version. Not a simplified version. The real thing.

http://www.schneier.com/blog/archives/2005/02/sha1_broken.html


50 :名無しさん@お腹いっぱい。:05/02/23 01:25:46
>>48
この手のニュースにしては、これまでのとインパクト大きい気がするんだが本当に静かだな。
まだちゃんとしたペーパーが出てないからか。。

51 :名無しさん@お腹いっぱい。:05/02/23 01:56:06
>>50
訂正

この手のニュースにしては、これまでのと比べてインパクト大きい気がするんだが本当に静かだな。
まだちゃんとしたペーパーが出てないからか。。


52 :名無しさん@お腹いっぱい。:05/03/02 04:54:00
どこでどんな風に利用されているのかが分からないのが大きいと思う。

・PersonalFirewallソフトの、file改竄監視に使われてますね。
・file転送の信頼性確保にも利用されてますね。
・BBルータのfile改竄監視にもたぶん利用されてるでしょうね。
・デジタル署名はもちろん代表的な用途だけど、個人で利用を意識する場合は多くないですよね?
もちろん、そんなことはない!というひとはたくさんいるだろうけど。

どのような場面で、あるいは、どんなソフトで、ハッシュ関数は利用されてるんでしょう?
事例をたくさん紹介していただけると分かりやすくてありがたいです。


53 :名無しさん@お腹いっぱい。:05/03/02 05:21:53
「あ、やっぱり」感が強いのかな

54 :名無しさん@お腹いっぱい。:05/03/02 06:21:54
ある有名ファイアウォールソフトのbbsでハッシュ関数に関する今回の発見を伝えて
意見を聞いたら、ファイアウォールに何の関係があるんじゃー!ボケーって言われたよ。

ハッシュ関数も暗号アルゴリズムも世の中ではほとんど知られてないのが実情だと思うよ。
DES、AESさえ、知ってる人間はごく少数だろうな。SSL2.0は危険だってことも知ってるのは
ごく少数だろう。
未だに90%以上のひとはIEユーザらしいしなあ。


55 :名無しさん@お腹いっぱい。:05/03/05 17:55:14
SHA (のコリジョン)はどうせ解けないから、まいっかーとか作ってるソフト多い悪寒

20 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)