誕生日攻撃

ウィキペディア

索引トップ用語の索引ランキングカテゴリー

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/06/01 18:30 UTC 版)

数理的解説

詳細は「誕生日のパラドックス」を参照

次のような実験を考える。 $H$ 個の値の集合から $n$ 個の値を一様かつ無作為に選ぶ（重複もありうる）。この実験で少なくとも1つの値が2回以上選ばれる確率を $p(n;H)$ とする。この確率は次のように概算できる。

p(n;H)\approx 1-e^{-n(n-1)/(2H)}\approx 1-e^{-n^{2}/(2H)}

衝突を発見する確率を $p$ 以上とするとき、行わなければならない試行回数の下限を $n(p;H)$ とする。すると、上の式から次のような近似が得られる。

n(p;H)\approx {\sqrt {2H\ln {\frac {1}{1-p}}}}

衝突発生確率を0.5とすると、次のようになる。

n(0.5;H)\approx 1.1774{\sqrt {H}}

最初の衝突が発生するまでに行わなければならない試行回数を $Q(H)$ とする。この近似は次のようになる。

Q(H)\approx {\sqrt {{\frac {\pi }{2}}H}}

例えば、64ビットの暗号学的ハッシュ関数を使っている場合、約 1.8 × 10¹⁹ 個の異なる出力がありうる。これらが全て同じ確率で発生する場合（最良ケース）、約 5.1 × 10⁹ 回の試行で衝突を発生させることができる。この値を birthday bound と呼び、n-ビットの符号についての birthday bound は $2^{n/2}$ となる^[1]。他の例は次のようになる。

ビット数	出力の個数 (H)	衝突発生確率 (p)
ビット数	出力の個数 (H)	10⁻¹⁸	10⁻¹⁵	10⁻¹²	10⁻⁹	10⁻⁶	0.1%	1%	25%	50%	75%
32	4.3 × 10⁹	2	2	2	2.9	93	2.9 × 10³	9.3 × 10³	5.0 × 10⁴	7.7 × 10⁴	1.1 × 10⁵
64	1.8 × 10¹⁹	6.1	1.9 × 10²	6.1 × 10³	1.9 × 10⁵	6.1 × 10⁶	1.9 × 10⁸	6.1 × 10⁸	3.3 × 10⁹	5.1 × 10⁹	7.2 × 10⁹
128	3.4 × 10³⁸	2.6 × 10¹⁰	8.2 × 10¹¹	2.6 × 10¹³	8.2 × 10¹⁴	2.6 × 10¹⁶	8.3 × 10¹⁷	2.6 × 10¹⁸	1.4 × 10¹⁹	2.2 × 10¹⁹	3.1 × 10¹⁹
256	1.2 × 10⁷⁷	4.8 × 10²⁹	1.5 × 10³¹	4.8 × 10³²	1.5 × 10³⁴	4.8 × 10³⁵	1.5 × 10³⁷	4.8 × 10³⁷	2.6 × 10³⁸	4.0 × 10³⁸	5.7 × 10³⁸
384	3.9 × 10¹¹⁵	8.9 × 10⁴⁸	2.8 × 10⁵⁰	8.9 × 10⁵¹	2.8 × 10⁵³	8.9 × 10⁵⁴	2.8 × 10⁵⁶	8.9 × 10⁵⁶	4.8 × 10⁵⁷	7.4 × 10⁵⁷	1.0 × 10⁵⁸
512	1.3 × 10¹⁵⁴	1.6 × 10⁶⁸	5.2 × 10⁶⁹	1.6 × 10⁷¹	5.2 × 10⁷²	1.6 × 10⁷⁴	5.2 × 10⁷⁵	1.6 × 10⁷⁶	8.8 × 10⁷⁶	1.4 × 10⁷⁷	1.9 × 10⁷⁷

この表は、指定した確率で衝突を発生させるのに必要な試行回数を示している（各ハッシュ値の発生確率は等しいと仮定）。ちなみに 10⁻¹⁸ から 10⁻¹⁵ は一般的なハードディスクで訂正できないビット誤りが発生する確率である^[2]。したがって、128ビットのMD5を文書のチェックサムとして使用する場合、8200億個の文書までならハードディスクでの誤り発生確率の範囲内に収まると言える（実際にはもっと多数のハッシュ値を生成できる）。

関数の出力が一様に分布しない場合、衝突をもっと早く見つけられることは容易に想像がつく。ハッシュ関数の「バランス」の観念は、誕生日攻撃への関数の耐性を定量化し、MDやSHAなどのよく知られたハッシュの脆弱性を見積もることを可能にする^[3]。

脚注・出典