弱鍵の存在と Logjam 攻撃
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/12/26 14:11 UTC 版)
「ディフィー・ヘルマン鍵共有」の記事における「弱鍵の存在と Logjam 攻撃」の解説
原理上は解読がきわめて困難ではあるが、実装上の問題が存在する場合には解読が可能となる場合がある。 また原理上、使われている素数に対して十分な量の事前計算を行えば、その素数に対しては比較的短い時間で鍵を解読することができる (言い換えれば、その素数を弱鍵にすることができる)。2015年、このことを元にした論文が発表された。 この論文において、Alexaによるトップ100万HTTPSドメインの中で512ビット輸出版DHEを許可している 8.4% のうち 82% が、1024ビット非輸出版DHEでもトップドメイン全体の 17.9% がそれぞれ単一の素数を使い回しており、これらの素数に対して事前計算 (ある種の線形代数計算を含む) を行うことで多くのサーバーの通信に対して解読が行えることを指摘した。特に512ビットの素数に対して解読を実証し、数千コアと約8日の事前計算により、およそ70秒で解読ができることを示した。 さらに、サーバーが用いる素数についての離散対数問題をリアルタイムで解ける攻撃者が存在した場合には、たとえクライアント側が弱いDHEを許可していなくても偽のサーバーに接続させる中間者攻撃が成立し、例えばサーバー側が512ビットの輸出版DHEを許している場合には、輸出版DHEを許可していない新しいクライアントであっても通信をダウングレードさせることが可能であることを示した (Logjam 攻撃)。 同論文は1024ビットの非輸出版DHEについても、数億ドルのコストをかけて専用ハードウェアを構築した場合には、1つの素数に対して十分な線形代数計算を1年間で実行できる可能性があることを示唆している。
※この「弱鍵の存在と Logjam 攻撃」の解説は、「ディフィー・ヘルマン鍵共有」の解説の一部です。
「弱鍵の存在と Logjam 攻撃」を含む「ディフィー・ヘルマン鍵共有」の記事については、「ディフィー・ヘルマン鍵共有」の概要を参照ください。
- 弱鍵の存在と Logjam 攻撃のページへのリンク