攻撃と認証
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/06/29 03:46 UTC 版)
ハッシュ長が L ビットであるハッシュ関数において、与えられた特定のハッシュに対応する元のメッセージを見つけることは、総当たり攻撃では 2L の試行で可能である。これは原像攻撃と呼ばれる。一方、同じハッシュを与える2つの異なるメッセージを見つけることは衝突攻撃と呼ばれ、およそ 1.2 * 2L / 2 の試行で可能である。後者の理由により、ハッシュ関数の強度はハッシュ長の半分の鍵長の共通鍵暗号と比較される。これより、SHA-1の強度は80ビットであると考えられてきた。 暗号研究者によって、SHA-0については衝突ペアが発見され、SHA-1についても当初想定されていた 280 の試行よりもずっと少ない試行で衝突を発生させうる手法が発見された。 そのブロック構造、繰り返し構造と、追加的な最終ステップの欠如により、SHAシリーズは伸長攻撃およびpartial-message collision attacksに対して脆弱である。これらの攻撃法により、 S H A ( m e s s a g e | | k e y ) {\displaystyle {\mathit {SHA}}({\mathit {message}}\,||\,{\mathit {key}})} または S H A ( k e y | | m e s s a g e ) {\displaystyle {\mathit {SHA}}({\mathit {key}}\,||\,{\mathit {message}})} のような鍵をつけたハッシュだけでメッセージが署名されている場合、攻撃者は、そのメッセージを伸長しハッシュを再計算する(鍵を知ることなしにできる)ことでメッセージを改竄することができる。この攻撃に対するもっとも単純な対処法は、ハッシュ計算を2回行うことである。 S H A d ( m e s s a g e ) = S H A ( S H A ( 0 b | | m e s s a g e ) ) {\displaystyle {\mathit {SHA_{d}}}({\mathit {message}})={\mathit {SHA}}({\mathit {SHA}}(0^{b}\,||\,{\mathit {message}}))} (ゼロのみからなるブロック 0 b {\displaystyle 0^{b}} の長さはハッシュ関数のブロック長と等しい)。
※この「攻撃と認証」の解説は、「SHA-1」の解説の一部です。
「攻撃と認証」を含む「SHA-1」の記事については、「SHA-1」の概要を参照ください。
攻撃と認証
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/08/14 07:21 UTC 版)
ハッシュ長が L ビットであるハッシュ関数において、与えられた特定のハッシュに対応する元のメッセージを見つけることは、総当たり攻撃では 2L の試行で可能である。これは原像攻撃と呼ばれる。一方、同じハッシュを与える2つの異なるメッセージを見つけることは衝突攻撃と呼ばれ、およそ 2L / 2 の試行で可能である。 SHA-3選定におけるハッシュ関数の解析への興味の増加によって、SHA-2への新しい攻撃が報告されている。最良の攻撃法を下のテーブルに示す。現時点では衝突攻撃のみが現実的な可能性を有しているが、フルバージョンのSHA-2に対する攻撃は成功していない。Fast Software Encryption 2012において、ソニーの研究者によって、SHA-256で52ラウンドまで、SHA-512で57ラウンドまでbiclique疑似原像攻撃に基づく疑似衝突攻撃が可能であることが報告された。 発表発表年攻撃法攻撃対象ラウンド数試行New Collision attacks AgainstUp To 24-step SHA-2 2008 Deterministic 衝突 SHA-256 24/64 228.5 SHA-512 24/80 232.5 Preimages for step-reduced SHA-2 2009 中間一致 原像 SHA-256 42/64 2251.7 43/64 2254.9 SHA-512 42/80 2502.3 46/80 2511.5 Advanced meet-in-the-middlepreimage attacks 2010 中間一致 原像 SHA-256 42/64 2248.4 SHA-512 42/80 2494.6 Higher-Order Differential Attackon Reduced SHA-256 2011 差分解読 疑似衝突 SHA-256 46/64 2178 46/64 246 Bicliques for Preimages: Attacks onSkein-512 and the SHA-2 family 2011 Biclique 原像 SHA-256 45/64 2255.5 SHA-512 50/80 2511.5 疑似原像 SHA-256 52/64 2255 SHA-512 57/80 2511
※この「攻撃と認証」の解説は、「SHA-2」の解説の一部です。
「攻撃と認証」を含む「SHA-2」の記事については、「SHA-2」の概要を参照ください。
- 攻撃と認証のページへのリンク
