トピックス

SHA-1の安全性低下について

平成29年3月1日
CRYPTREC暗号技術評価委員会

　2017年2月23日に、CWI AmsterdamとGoogle Researchの共同研究チームが、ハッシュ関数SHA-1の衝突発見に初めて成功したと発表しました^[1]。ハッシュ関数とは、入力データに対して固定長のハッシュ値を出力するアルゴリズムで、電子署名等多くの用途で利用されています。ハッシュ関数の衝突を発見するということは、同じハッシュ値を出力する複数の異なる入力データを見つけるということで、安全なハッシュ関数に対しては現実的な計算量では衝突が見つけられないようになっています。今回の発表では、全数探索の計算量(2⁸⁰)よりも10万倍速い2^63.1回のSHA-1の計算量で衝突を発見したと報告されています。これはCPU 6500年分とGPU 100年分を合わせた計算量に相当するとのことです。ハッシュ関数の衝突が見つけられるようになると、電子署名の偽造が可能となるなどの脅威が考えられます。

　これまでCRYPTRECでは、SHA-1の安全性低下について継続的に監視、評価、報告を行ってきました^{[2] [3]}。現在、CRYPTRECでは、SHA-1を「CRYPTREC暗号リスト」の「運用監視暗号リスト」^[4]に掲載し、互換性維持以外の目的での利用を推奨していません。また、情報セキュリティ政策会議からも2008年に移行指針^[5]が発表されています。このようにSHA-1の安全性低下が進んでいることから、SHA-256等*のより安全なハッシュ関数への移行を推奨いたします。

　CRYPTREC では、今後も引続き状況の監視・調査を行い、CRYPTREC Webサイトなどを通じてお知らせしてまいります。ご意見・コメントなどの問い合わせがございましたら、下記までお願いいたします。

CRYPTREC事務局
E-mail:

【参考文献】

• https://shattered.io/
  https://shattered.io/static/shattered.pdf
• CRYPTREC Report 2005 「暗号技術監視委員会報告」
  https://www.cryptrec.go.jp/report/cryptrec-rp-2000-2005.pdf
• SHA-1の安全性について (平成27年12月) 
  https://www.cryptrec.go.jp/topics/cryptrec-er-0003-2015.html
• 電子政府における調達のために参照すべき暗号のリスト (CRYPTREC暗号リスト) (2013年3月1日 総務省・経済産業省、平成28年3月29日改定)：
  https://www.cryptrec.go.jp/list.html
• 「政府機関の情報システムにおいて使用されている暗号アルゴリズム SHA-1 及び RSA1024 に係る移行指針」(平成20年4月22日 情報セキュリティ政策会議決定、平成24年10月26日 情報セキュリティ対策推進会議改定) :
  https://www.nisc.go.jp/pdf/policy/general/angou_ikoushishin.pdf

【脚注】（平成29年3月6日追加）

• *「電子政府推奨暗号リスト」または「推奨候補暗号リスト」に掲載されている、安全性が確認されたハッシュ関数