トピックス
SHA-1の安全性について
平成27年12月18日
CRYPTREC暗号技術評価委員会
2015年10月8日に、CWI(オランダ)、INRIA(フランス)、NTU(シンガポール)の共同研究チームは、ハッシュ関数SHA-1のフルラウンド(全80ステップ中80ステップ)に対して、仕様より緩い条件下ながら初めて衝突発見に成功したと発表しました[1]。本発表のもとになっている論文は国際暗号学会(International Association for Cryptologic Research (IACR))のアーカイブサイト IACR ePrint Archiveで公開されています[2]。
今回の発表された内容は、SHA-1の衝突発見に直接つながるものではありませんが、SHA-1の衝突発見に至るまでの節目となる出来事、マイルストーンの1つであり、近い将来にSHA-1の衝突が発見されるという予測を強く裏付けるものです。当委員会としては、従前通り、SHA-1に関する移行対策を実施して頂きたいと考えています。
当委員会(当時は暗号技術監視委員会)では、2005年にSHA-1に対する衝突発見アルゴリズムが論文発表された後、安全性評価を行った結果、近い将来この攻撃アルゴリズムが実際に実装可能になり、衝突発見困難性に対して脅威になるものと判断しました[3]。その後、情報セキュリティ政策会議から、2008年にSHA-1に関して移行指針[4]が発表されています。現在、CRYPTRECでは、SHA-1を「CRYPTREC暗号リスト」の「運用監視暗号リスト」[5]に掲載し、互換性維持以外の目的での利用を推奨していません。また、SHA-1の用途ごとの具体的な利用指針として、「CRYPTREC暗号技術ガイドライン(SHA-1)」[6]を公開しています。
引き続き、CRYPTRECでは、暗号技術などの監視・評価を行い、SHA-1の取り扱いなどについて変更が生じた場合は、CRYPTREC Webサイトなどを通じてお知らせします。
ご意見・コメントなどの問い合わせがございましたら、下記までお願いいたします。
CRYPTREC事務局
E-mail:
【参考文献】
- Press Release “Researchers urge: industry standard SHA-1 should be retracted sooner”, CWI, Inria, NTU, October 8, 2015.
https://www.cwi.nl/news/2015/researchers-urge-industry-standard-sha-1-should-be-retracted-sooner
- Marc Stevens, Pierre Karpman, and Thomas Peyrin, “Freestart collision for full SHA-1”. IACR ePrint Archive. https://eprint.iacr.org/2015/967
- CRYPTREC Report 2005 「暗号技術監視委員会報告」(2006年3月):
https://www.cryptrec.go.jp/report/cryptrec-rp-2000-2005.pdf
- 「政府機関の情報システムにおいて使用されている暗号アルゴリズム SHA-1 及び RSA1024 に係る移行指針」(平成20年4月22日 情報セキュリティ政策会議決定、平成24年10月26日 情報セキュリティ対策推進会議改定) :
https://www.nisc.go.jp/pdf/policy/general/angou_ikoushishin.pdf
- 電子政府における調達のために参照すべき暗号のリスト (CRYPTREC暗号リスト) (2013年3月1日 総務省・経済産業省、2015年3月27日改定):
https://www.cryptrec.go.jp/list.html
- CRYPTREC暗号技術ガイドライン(SHA-1) (2014年3月):
https://www.cryptrec.go.jp/report/cryptrec-gl-2001-2013.pdf