暗号化アルゴリズム『MD5』に欠陥、ファイル攻撃の恐れ

暗号化アルゴリズム『MD5』にセキュリティ上のリスクが存在する可能性を、セキュリティ研究者 Dan Kaminsky 氏が明らかにした。MD5 で認証と照合を行なうファイル、アプリケーション、プログラムは攻撃を受ける恐れがあるという。

『MD5 To Be Considered Harmful Some Day』(MD5 はいつか危険視される) と題した論文の中で、同氏は、中国人セキュリティ研究者4人 (Xiaoyun Wang 氏、Dengguo Feng 氏、Xuejia Lai 氏、Hongbo Yu 氏) が「Collisions for MD5 Hash Functions」(MD5 ハッシュ機能の衝突) について発表した理論を発展させている。Kaminsky 氏は、自身が記述した攻撃のいくつかを実証するため『Stripwire』と呼ぶツールをリリースした。

ハッシュ衝突とは、本質的に1つのハッシュ機能から全く同じ出力が2つ発生することだ。そうなると、暗号として安全と言えないアルゴリズムが生じて、攻撃を受ける恐れがある。8月には、フランスの研究者 Antoine Joux 氏が、暗号研究会議『Crypto 2004』で未発表論文を発表している。その内容も Kaminsky 氏が基にした中国の研究と似たものだった。

こうした発表を受けて、データストレージ大手 EMC は、自社が使っている MD5 アルゴリズムは強化ずみであり、かつプラットフォームに埋め込んでいるため、攻撃は実質的に不可能だとして、顧客の不安を鎮めていた。

Kaminsky 氏は、リスクの分析と証拠を提示したが、これまで見つかった攻撃は深刻なものでないと認めた。

「攻撃はさほど実質的な被害が出るようなものではなく、ほとんどの場合、ありがたいことに被害は今のところ限定的だ」と Kaminsky 氏は書いている。「しかし、リスクはエンジニアが留意すべきレベルの現実的なものだ。これは単に理論上の脅威ではない。MD5 で設計したシステムは、破られたことのないハッシュ作成アルゴリズムを扱うよりも、はるかに細心の注意を必要とする。そして、問題は悪化の一途をたどるだろう」