Zenn
📕

ハッシュ化の仕組みとその活用 - Cyber Security Roadmap

2024/11/24に公開
ハッシュ化
tech

ハッシュ化

はじめに

前の投稿でも取り上げてきたようにデータ保護の技術には、暗号化と並んでハッシュ化(Hashing) があります。ハッシュ化は、データの改ざん検知や整合性確認において欠かせない技術です。

今回は以下の内容を通して、ハッシュ化の基礎をより深く理解していきます:

  • ハッシュ関数の特性
  • 代表的なハッシュアルゴリズム
  • ハッシュの用途と活用事例
  • ハッシュの解読とその対策

ハッシュ関数の特性

ハッシュ関数は、任意の長さの入力データを固定長のハッシュ値に変換する数学的な関数です。生成されるハッシュ値は、元のデータを一意に表現するデジタル指紋のような役割を果たします。ハッシュ関数にはさまざまな種類がありますが、安全で信頼できるハッシュ関数には以下のような特性が必要とされています。

1. 一方向性(Irreversibility)

一方向性とは、ハッシュ値から元のデータを逆算することが実質不可能であるという特性です。

  • 仕組み: ハッシュ関数は、元のデータを複雑な数学的演算を通じて変換します。この計算は容易に行えますが、逆方向に辿るのは非常に困難な仕組みです。
  • :
    • 入力データ:password123
    • ハッシュ値:ef92b7e5e7b88a9d...
      このハッシュ値から元のデータであるpassword123を導き出すことは実質不可能である特性。

2. 衝突耐性(Collision Resistance)

衝突耐性とは、異なるデータが同じハッシュ値を持つ可能性(衝突)が極めて低いことを指します。

  • 仕組み: ハッシュ関数は、入力データを一意のハッシュ値に変換することを目指して設計されていますが、入力データの長さは無限である一方で、出力されるハッシュ値の組み合わせは有限です。そのため、理論上衝突(コリジョン)が発生する可能性はありますが、良いハッシュ関数ではこの確率を極限まで低く抑えています。
  • :
    • 正しいハッシュ関数では、data1data2が同じハッシュ値を持つことは極めて稀になるようになっています。

3. 敏感性(Avalanche Effect)

敏感性とは、入力データがわずかに変わるだけで、出力されるハッシュ値が大きく変化する特性です。

  • 仕組み: ハッシュ関数は、入力データの各ビットが出力全体に影響を与えるように設計されています。そのため、入力データが1ビットだけ変わった場合でも、生成されるハッシュ値はまったく異なるものになります。
  • :
    • 入力データ:password123 → ハッシュ値:ef92b7e5e7b88a9d...
    • 入力データ:password124 → ハッシュ値:1bc29b36f623ba82...
      一見似ているデータでも、ハッシュ値は完全に異なるようにする特性です。

4. 固定長出力

固定長出力とは、入力データの長さに関係なく、ハッシュ値が常に一定の長さを持つ特性です。

  • 仕組み: ハッシュ関数は、任意の長さのデータを固定長のハッシュ値に圧縮します。この固定長は、ハッシュ関数ごとに異なります(例:MD5は128ビット、SHA-256は256ビット)。
  • :
    • 入力データ1:abc → ハッシュ値:900150983cd24fb0d...(固定長128ビット)
    • 入力データ2:Lorem ipsum dolor sit amet...(非常に長い) → ハッシュ値:f96b697d7cb7938d...(固定長128ビット)

代表的なハッシュアルゴリズム

ハッシュ化には様々なアルゴリズムが存在します。それぞれの特性やセキュリティレベルを認識した上で、使用目的に応じて適切なアルゴリズムを選ぶ必要があります。

以下は、代表的と言えるハッシュアルゴリズムです。

1. MD5

  • 概要:
    MD5は1990年代に広く利用された初期のハッシュ関数で、ファイルの整合性確認やパスワードのハッシュ化などに使われました。
  • 短所:
    現在では衝突耐性が低いことが明らかになり、攻撃者が意図的に同じハッシュ値を生成できる「衝突攻撃(コリジョン攻撃)」が可能であるため、セキュリティ用途では非推奨です。
  • 用途:
    簡易的なファイル整合性確認や一部の非セキュアなアプリケーションで限定的に使用されることがあります。
  • 補足:
    IPAの調査報告書でも、MD5の安全性の限界に関する報告で明らかにされています。
    MD5 の安全性の限界に関する調査研究報告書

2. SHA-1

  • 概要:
    SHA-1(Secure Hash Algorithm 1)は、一時期業界標準として広く利用されていたアルゴリズムです。
  • 短所:
    2005年以降、理論的な脆弱性が指摘され、2017年にはGoogleが「Shattered」というプロジェクトで実際の衝突攻撃を成功させました。これにより、SHA-1は暗号学的な用途では非推奨となっています。
  • 用途:
    過去にはSSL/TLS証明書やデジタル署名に使用されましたが、現在ではSHA-256などのより安全なアルゴリズムへの移行が進んでいます。

3. SHA-256

  • 概要:
    SHA-256はSHA-2ファミリー(SHA-224,SHA-256など色々ある)の一部で、現在の標準的なハッシュアルゴリズムの1つです。高いセキュリティを提供し、多くの暗号システムで利用されています。
  • 用途:
    • パスワード保護
    • ブロックチェーン(例:ビットコイン)
    • デジタル署名
    • ファイルの整合性検証
  • 特徴:
    SHA-256は256ビットのハッシュ値を生成し、現在でも衝突が発生した事例は確認されていません。ただし、計算負荷が高いため、特定の状況では他のアルゴリズムと組み合わせることもあります。

4. Bcrypt

  • 概要:
    パスワードのハッシュ化専用に設計されたアルゴリズムで、計算負荷を調整可能(ワークファクター)な点が特徴です。
  • 用途:
    • ユーザーパスワードのハッシュ化
    • パスワード管理システム
  • 特徴:
    Bcryptは、意図的にハッシュ計算に時間がかかるよう設計されているため、総当たり攻撃(ブルートフォース攻撃)への耐性が高いです。また、ソルト(一意のランダム文字列)を自動的に生成して適用するため、レインボーテーブル攻撃への防御効果も備えています。

ハッシュの用途と活用事例

ハッシュ化は、その特性を活かして幅広い用途で活用されています。以下はその活用例です。

1. パスワードの安全管理

  • サーバーにはパスワードを平文で保存せず、ハッシュ化された値を保存するようにします。
  • 流れ:
    1. ユーザーがログイン時にパスワードを入力。
    2. 入力されたパスワードをハッシュ化。
    3. 保存されたハッシュ値と比較し、一致すれば認証成功とする。
  • 利点: 万が一データベースが漏洩してもハッシュが解読されない限りパスワードはわかりません。

2. データの整合性確認

  • データにハッシュ値を付与(デジタル指紋)し、そのハッシュ値を利用して、データが改ざんされていないか確認します。
  • :
    • ソフトウェアダウンロードサイトでは、ダウンロードしたファイルが公式のものと一致するか確認するためにハッシュ値が提供されることがあります。

3. デジタル署名と認証

  • 電子メールや文書をハッシュ化し、署名を付けることで改ざん防止や送信者の正当性を保証します。
  • :
    1. 送信者がメールの内容をハッシュ化し、そのハッシュ値を秘密鍵で暗号化してデジタル署名を作成します。
    2. 受信者は、送信されたメールのハッシュ値を計算し、送信者の公開鍵を使って署名を復号します。
    3. 計算したハッシュ値と復号したハッシュ値を比較し、一致すれば以下が保証されます:
      • 改ざんなし:内容が変更されていないこと。
      • 送信者の正当性:署名が送信者の秘密鍵で作成されたこと。

4. ブロックチェーン技術

  • 各ブロックのデータをハッシュ化し、それを次のブロックに連結。
  • ハッシュ値の不一致が発生すると、ブロックチェーン全体の整合性が崩れるため、改ざんを防止できます。
  • :
    ビットコインのブロックチェーンでは、各取引データがブロックに記録され、全体のデータ整合性を保証しています。この仕組みにより、不正な取引やデータの改ざんを防ぐことができます。

ハッシュの解読とその対策

ハッシュ化は一方向性が特徴ですが、解読が完全に不可能というわけではありません。

1. レインボーテーブル攻撃

  • 過去に計算された膨大なハッシュ値と元のデータの対応表を利用して、ハッシュ値から元のデータを特定します。
  • 対策: ハッシュ値にソルト(Salt) を付加して対応表を無効化します。

ソルト(Salt)は、レインボーテーブル攻撃を防ぐために用いられる追加データです。
ハッシュ化するデータに一意のランダム文字列(ソルト)を加えることで、同じデータでも異なるハッシュ値を生成します。

  • :
    入力:password
    ソルト:abc123
    ハッシュ対象:passwordabc123 → ハッシュ値が計算されソルトが異なると、同じデータでもまったく異なるハッシュ値が生成されます。

2. 総当たり攻撃(Brute Force Attack)

総当たり攻撃とは、あらゆる文字列の組み合わせを試してハッシュ値を生成し、目標の値と一致するか確認する手法です。この攻撃は、単純なハッシュや短いパスワードに対して特に効果的ですが、パスワードが複雑で長い場合、試行回数が膨大になり現実的ではなくなります。

そのため、セキュリティ対策としては、複雑で長いパスワードをユーザーに求めることが効果的ですが、ユーザーが管理する手間とのバランスも考慮する必要があります。

総当たり攻撃とJohn the Ripper

総当たり攻撃を効率的に行うツールとして、John the Ripperがよく知られています。このツールを使うと、試行する文字セットや文字列の長さを指定して、攻撃の範囲をカスタマイズすることが可能です。

  • 使用例:
    以下のコマンドでは、最大8文字のすべての組み合わせを試行します。
    john --incremental --max-length=8 hashes.txt

John the Ripperのようなツールは、シンプルなハッシュアルゴリズムや短いパスワードに対して特に有効であり、防御的セキュリティを設計する際にはこのような攻撃を意識する必要があります。

対策

計算負荷の高いハッシュアルゴリズムを使用することで、総当たり攻撃の成功を難しくできます。
BcryptArgon2といったアルゴリズムは、意図的にハッシュ計算に時間をかけるよう設計されています。この仕組みによって、1回の試行にかかる時間が増え、総当たり攻撃が非現実的になります。

John the Ripperを利用した総当たり攻撃は、短いパスワードや古いハッシュアルゴリズムに対して依然として効果的です。そのため、セキュリティを強化するには以下の対策が重要です:

  • 長く複雑なパスワードを利用する。
  • 計算負荷の高いハッシュアルゴリズムを採用する。

これらの対策を適切に組み合わせることで、総当たり攻撃からシステムを守ることができます。

まとめ

ハッシュ化は、データ保護や改ざん検知に欠かせない技術であり、その一方向性や衝突耐性によって、パスワード管理やデジタル署名などで幅広く活用されています。一方で、ハッシュ化にも解読のリスクが存在するため、ソルトの使用や安全なアルゴリズムの選択が重要です。

次回の投稿では、今回の投稿で少し取り上げた「John the Ripper」という総当たり攻撃のツールについて理解を深め、防御的セキュリティに活用する手段を学んでいきます。

Discussion