トピックス

SHA-1の安全性について

平成27年12月18日
CRYPTREC暗号技術評価委員会

2015年10月8日に、CWI(オランダ)、INRIA(フランス)、NTU(シンガポール)の共同研究チームは、ハッシュ関数SHA-1のフルラウンド(全80ステップ中80ステップ)に対して、仕様より緩い条件下ながら初めて衝突発見に成功したと発表しました[1]。本発表のもとになっている論文は国際暗号学会(International Association for Cryptologic Research (IACR))のアーカイブサイト IACR ePrint Archiveで公開されています[2]
今回の発表された内容は、SHA-1の衝突発見に直接つながるものではありませんが、SHA-1の衝突発見に至るまでの節目となる出来事、マイルストーンの1つであり、近い将来にSHA-1の衝突が発見されるという予測を強く裏付けるものです。当委員会としては、従前通り、SHA-1に関する移行対策を実施して頂きたいと考えています。
当委員会(当時は暗号技術監視委員会)では、2005年にSHA-1に対する衝突発見アルゴリズムが論文発表された後、安全性評価を行った結果、近い将来この攻撃アルゴリズムが実際に実装可能になり、衝突発見困難性に対して脅威になるものと判断しました[3]。その後、情報セキュリティ政策会議から、2008年にSHA-1に関して移行指針[4]が発表されています。現在、CRYPTRECでは、SHA-1を「CRYPTREC暗号リスト」の「運用監視暗号リスト」[5]に掲載し、互換性維持以外の目的での利用を推奨していません。また、SHA-1の用途ごとの具体的な利用指針として、「CRYPTREC暗号技術ガイドライン(SHA-1)」[6]を公開しています。
引き続き、CRYPTRECでは、暗号技術などの監視・評価を行い、SHA-1の取り扱いなどについて変更が生じた場合は、CRYPTREC Webサイトなどを通じてお知らせします。
ご意見・コメントなどの問い合わせがございましたら、下記までお願いいたします。

CRYPTREC事務局
E-mail: メールアドレス


【参考文献】