セキュリティの限界

　昨今は、インターネット上でセキュアな通信を行うことは必須と言っても差し支えないでしょう。
　例えばショッピングをする場合、クレジットカード決済ならもちろんカード番号を盗まれたら洒落になりませんし、代引きでも住所など個人情報が見られるのはよろしくありません。
　そこで、現在広く利用されているのがSSLによる、送信データの暗号化です。この暗号化というステップにより、私たちは安全にインターネットライフを送ることができるはずだったのですが・・・

SSLやPGPで使われているSHA-1アルゴリズムにセキュリティ欠陥――専門家が指摘　ITmedia

強力なデータ暗号化アルゴリズム「SHA-1」のクラック手法に関する論文が発表された。まだ実用的なものではないが、改良される危険性はある。（IDG）

　記事の内容に入る前に、ちょっとSSLについてお勉強といきましょう。
　SSLについては、このページ等で詳しく説明されていますが、内容がちょっと難解なので、かみ砕いて説明しましょう。

　SSLで使われている暗号化には「公開鍵暗号基盤」と言うものが使われています。公開鍵と言うだけあって、送信されるメッセージを暗号化する為の”鍵”は誰でも手に入れることができます。ここで言う鍵とは、家や車の鍵を思い浮かべられるよりも、”暗号を作るためのルールブック”と考えてください。

　しかし、そんなものを安易に公開してもいいものなんでしょうか？

　実は、「メッセージを暗号化する為の鍵」というのがミソで、「暗号を解読するための鍵」というのが別に存在するのです。そして、解読する鍵は企業側で厳重に保管されているというわけです。「暗号化する鍵」の方だけを手に入れても、暗号化されたものから元のメッセージを復元するのは”ほぼ不可能”ですので安全というわけです。

　ちなみに、この暗号化されたメッセージから計算される、改竄防止用のデータを”ハッシュ値”または、単純に”ハッシュ”と呼びます。
　このハッシュ値というのは、建前上同一のメッセージでないと同じものはできあがりません。暗号化の時と復元の時にハッシュ値を生成して比べれば、データが改竄されていないか分かるわけです。

　上記の記事では、このハッシュ値の生成に関わる部分から、「暗号解読に対する画期的な手法が考案された」と報じているわけです。

　では、すぐにでもSSLは役立たずになってしまうのかと言えば、そうでもないようです。

以前よりもクラックの可能性が高まったとはいえ、天文学的な試行回数が必要だ。1の後に30個のゼロが続くくらいは必要で、1台のPCでは1000年以上の時間がかかるため、NSAなどごくわずかな政府機関でなければ実用的とは言えない

そうですので、必要以上に過敏になる必要はなさそうです。

　とは言え、人間が作るものに完全なものなどあり得ません。故に、この手法がより洗練される、または全く新たな手法が考案されることによって、いずれ暗号が破られる可能性は十分にあるのです。そのために、より堅固な次の手段を考えることは常に必要なのです。

　願わくば、SSLが破られる前に、”次の手段”が広く普及していることを。