パスワードを忘れた? アカウント作成
16766 story

PS3で米大統領選の結果を「正確に」予知?…実はMD5脆弱性への問題提起 60

ストーリー by mhatta
シャレがきつい 部門より

halym 曰く、

アイントホーフェン工科大学(TUE)のBenne de Weger、CWIのMarc Stevens、ベル研のArjen Lenstraらセキュリティ研究者3名が、SonyのPlayStation 3一台を使用して2008年米国大統領選挙の結果を正確に予知したと発表した(Predicting the winner of the 2008 US Presidential Elections using a Sony PlayStation 3)。「有権者への影響を考慮して予知結果は選挙後まで秘密とするが、予知結果を記入したファイルが後で改竄されていないことを証明するため、ファイルのフィンガープリントをウェブサイトで公開しておく」としてMD5ハッシュの値を公開している。

というようなタレコミだったが、リンク先の下の方や本家/.の記事にもあるように、発表した人々が本当に言いたかったのは「MD5はファイルの同一性や改竄の有無を示すシグネチャーとしてはもはや全く意味が無い」ということだ(研究の詳細)。実例として、違う候補者名が書かれているにも関わらず全て同じMD5ハッシュ値を持つPDFが置かれている。MD5コリジョンの問題が指摘されて久しいが、今やPS3一台でまかなえる程度の計算でも十分フェイクできるようになったようだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Paris Hilton.pdfとかOprah Winfrey.pdfとかをダウンロードしてみると、
    104,331バイトのPDFファイルで、ハッシュ値を調整するためのごみデータ
    と思しきデータが隠されているようです。

    「1024バイトのテキストファイル、はじめの意味のある文章以降は0x00で
    埋めること。」という制限を設けたらどうなんでしょうか。
    --
    love && peace && free_software
    t-nissie
    • えーと、ネタを提供したものです
      どうもわかりやすく編集いただきありがとうございました>mhattaさん

      あんまり背景とか書くのは野暮だと思ったので不親切な提供だったのですがそれはさておき:


      「1024バイトのテキストファイル、はじめの意味のある文章以降は0x00で
      埋めること。」という制限を設けたらどうなんでしょうか。


      つーことは(もしかして固定長の?)テキストファイルにしか使わないという制限も与えることになりますのでそもそもハッシュとして役立たずと言うことになるのではありますまいか?
      画像とか考えたらオシマイですからね

      個人的には複数のハッシュ(相手のことも考えてMD5&SHA1とか)を組み合わせて使うのが楽で吉、とおもっています

      親コメント
      • > > 「1024バイトのテキストファイル、はじめの意味のある文章以降は0x00で
        > > 埋めること。」という制限を設けたらどうなんでしょうか。
        >
        > つーことは(もしかして固定長の?)テキストファイルにしか使わない
        > という制限も与えることになりますのでそもそもハッシュとして役立
        > たずと言うことになるのではありますまいか?画像とか考えたらオシ
        > マイですからね

        いや、この「大統領選挙の当選者を予測して、それをファイルに書いて、
        ファイル自体は隠して、ハッシュ値だけを公表しておく」という場合に
        限っての話です。このとき、ファイルは「1024バイトのテキストファイル、
        はじめの意味のある文章以降は0x00で埋め」ました、と同時に宣言して
        おくわけです。

        固定長にしたのは、0x00の数を調節すれば(途方もない量の0x00が
        必要になりますが、理論的には)どんなMD5のハッシュ値も出せるから
        です(たしか出せたよね)。

        たとえば、"We, Marc Stevens, Arjen Lenstra, and Benne de Weger,
        predict that the winner of the 2008 election for President of the
        United States will be: Paris Hilton.0x00..." ってかんじです。

        しかし、なぜにこの二人…
        $ md5sum Paris\ Hilton.pdf Oprah\ Winfrey.pdf
        3d515dead7aa16560aba3e9df05cbc80 Paris Hilton.pdf
        3d515dead7aa16560aba3e9df05cbc80 Oprah Winfrey.pdf
        --
        love && peace && free_software
        t-nissie
        親コメント
      • 過去の資産(データ、システムともに)との互換性を考えると衝突に関してもはや
        安全とは言えないからと言って古いハッシュ方法を捨ててしまうわけにはいきませんよね。
        なのでおっしゃる通り複数のハッシュを併記するのがいいと思います。
        複数のハッシュで確認することと、より長いビット数のハッシュを一つ使うのと、
        どちらが衝突に対する耐性があるんでしょうね。
        って、その辺りは定量的に研究されているのでしょうけど。
        --
        屍体メモ [windy.cx]
        親コメント
        • 理想的にはハッシュビット数が1ビット増えると衝突を見つける計算時間が倍になると思います。しかし、頭のいい人がハッシュ衝突を探す新しい方法を見つけると、一気に計算時間が下がったり、ビット数をいくら増やしても簡単に計算できるようになったります。頭のいい人がいつ新しい方法を見つけて、どれだけ安全性が下がるは、定量的に決められないですね。

          リスクマネジメントの観点から考えると、複数のハッシュ併記(複数分散投資)がいいと思います。
          親コメント
          • by Anonymous Coward on 2007年12月03日 12時23分 (#1259175)
            上の方の人のコメントと「分散投資」はすこし視点が違うように思います.

            「分散投資」では一方が他方をバックアップすることで平均的なリスクを下げることができますが,
            ハッシュ併記では複数のハッシュ値による検証が食い違うことで改竄を検出できるので,総合的な
            リスクを下げることができます.

            親コメント
          • > 複数のハッシュ併記(複数分散投資)がいいと思います。
            暗号の素人がいかにも考えそうなことですが、意味がありません。一般にもっとも強いハッシュの強度以上には強くなりません。
            似たような例として、たとえばDESは2回掛けても安全性はまったく変わりません。3回掛けてようやく2倍の強度(3倍ではありません)になります。
  • by Deasuke (34806) on 2007年12月03日 11時23分 (#1259123) 日記
    以前のWangさんの結果は「同一のハッシュ値になる2つのデータを見付ける方法(weak collisions)」であって、その二つのデータは両方とも無意味なデータである可能性もあった訳(データの方に対する攻撃者のコントロールがない)ですから実際に攻撃に応用するのは難しかった訳ですが、今回の発表では

    ・任意のデータに調整用のデータを追加してhash値を調整できる(単なるコリジョンじゃなくてある意味、MD5の一方向性も崩れている)

    と言ったことが出来ているはずです。原文ナナメ読みですがchosen-prefix collisionsと言っているのでたぶんそう。中間の段階として、

    ・任意の指定したデータ(+調整用のデータ)に対して、hash値の同じになる(ゴミかも知れない)データを見つける(strong collisions)

    がある訳です(この場合、事前に公開していたデータは単なるゴミだよ、と言う言い逃れが効く)から、今回の発表は攻撃が2歩進んだと言えると思います。Wangさんによるsha1の攻撃(これもweak collisions)も似通った方法だったはずなので、sha1についても今回の発表と同様な攻撃が出来るのかどうかが気になるところです。
    # 普段業務に使っている電子署名がsha1でdigestとっているので。

    --
    Best regards, でぃーすけ
  • by Anonymous Coward on 2007年12月03日 6時18分 (#1258999)
    MD5に代わって利用可能な手段って何でしょ?SHA-2とか?
    # CRC16だっていまだに使うことがあるくらいだから、簡易なチェックサムとしてはまだ生き残りそうな気もするけど
  • PS3って (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2007年12月03日 7時55分 (#1259014)
    PS3って、ゲーム機なんでしょか。それとも、ゲームが売りではあるが(とりあえず画像処理とは無関係(ですよね?)の)技術計算にも長けた、電脳なんでしょか。
    PS3の販売成績がいいような報道もちらほら出てくる昨今、ソニーは販売戦略を大胆に変更したほうがいいんじゃないかといらぬおせっかい(笑
    • Re:PS3って (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2007年12月03日 10時04分 (#1259066)
      >PS3って、ゲーム機なんでしょか。それとも、ゲームが売りではあるが(とりあえず画像処理とは無関係(ですよね?)の)技術計算にも長けた、電脳なんでしょか。
      >PS3の販売成績がいいような報道もちらほら出てくる昨今、ソニーは販売戦略を大胆に変更したほうがいいんじゃないかといらぬおせっかい(笑

      何を今更…ソニーは最初から一貫してゲーム機として考えて欲しくないという方向の販売戦略ですよ!
      これはPS3の価格です。高いとか安いとか、“ゲーム機として”というくくりでは考えてほしくないんです。PS3というものは他にはないわけですから。例えば、高級なレストランで食事をした時の代金と、社員食堂での食事の代金を比べるのはナンセンスですよね? これは極端な例ですが、まさにそういうことなのです。そのゲーム機で何ができるか、というのが問題なのです。すばらしい体験ができるのなら、価格は問題じゃないと考えています。プレイステーション(PS)の価格を発表した時も高いと言われました。プレイステーション 2(PS2)のときもそう。しかし、いざ発売されると、どちらもそれまでのゲーム機では考えられないような売れ行きを示しました。それは、どちらもそれ以前のゲーム機では味わえない体験ができたからです。PS3でも、次世代のグラフィックや、ネットワークを介したさまざまなサービスなど、これまでには体験できなかった次世代のゲーム体験ができるようになっています。そして、PSやPS2のように、ゲームの好きの人なら間違いなく買ってくれると思っています(参考 [itmedia.co.jp])
      親コメント
      • by Anonymous Coward
        途中で方針変更したじゃん
        そんな昔のこと持ち出されてもなぁ
    • Re:PS3って (スコア:2, 参考になる)

      by stat (28781) <28781NO@SPAMa2the.net> on 2007年12月03日 11時45分 (#1259143) 日記
      MD5の計算はPCよりもPS3のほうが速いので、あるオーストラリアのセキュリティの専門家は パスワードクラッキングにPS3を使ってるそうです。
      ソース(英語)
      'Crackstation' Uses Game Console for Hacking [pcworld.com]
      親コメント
    • by elderwand (34630) on 2007年12月03日 8時39分 (#1259024) 日記
      Predicting ... のページに何か書いてあるみたいですよ。 Multicore の PS3 は、30台のクラスターと同等の性能があるのだとか。
      親コメント
    • ウチでも非ゲーム機として回してます。2台。

      …おかげでリビングではまだ暖房が要りません。

      # 安いモデル買い足そう。
      親コメント
      • by Anonymous Coward
        コメントにリプライするのは野暮なのはわかっているが・・・

        ># 安いモデル買い足そう。
        買い換えではなく?
        ひと冬PS3だけで暖房をまかなってしまうおつもりか?
        • by Anonymous Coward
          クラスタリングは台数がいのち!

          寝室は別途暖房があります、念のため。

          # ACでいいよね?
          • by Anonymous Coward
            どのみち消費した電力は熱になるんだから、電気代は気にしなくて良いと思いますよ。
            暖房機としては非常識に高価だとか、ヒートポンプの方が効率的に温まるとか、
            そういう点は見なかったことにして。
    • by Anonymous Coward
      技術計算にも長けた、電脳
      ゲームよりもPS3GRID [ps3grid.net]が動いている方が圧倒的に長い我が家…。
      #GT5が出れば様相は変わるかも…。
    • by Anonymous Coward
      PS3はコンピュータエンタテインメント [allabout.co.jp]

      PS3はゲーム機ではなく汎用コンピュータである [impress.co.jp]

      #ゲーム機売場に置いてあるのがむしろ間違い?
      • by Anonymous Coward
        いやいや、
        別にゲーム機売り場に「も」置いてあってもよいじゃないですか。

        問題なのはパソコン売り場等で常時品切れな事です。
        # 全く。会社の金で買えないじゃないか…。
  • by s02222 (20350) on 2007年12月03日 9時20分 (#1259035)
    アレげ日本人研究者がやると「○○は俺の嫁」。
    • by hix (3507) on 2007年12月03日 23時50分 (#1259641) 日記
      「アメリカ大統領は俺の嫁」。

      クリントンのことかーっ!!!!!
      親コメント
    • by Anonymous Coward
      それ、どの辺が予言なんですか?
      • Re:予言内容 (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2007年12月03日 9時29分 (#1259041)
        予言じゃなくて妄想ですね。
        親コメント
      • by Anonymous Coward
        いやいや、新生児の名前百選とか見ると、
        よくその時に流行ったアニメの主人公やヒロインの
        名前がつけられているじゃないですか。

        つまり、単なる光源氏計画の宣言ですよ。
    • 英米は四海を征し仏露は大陸を征す。
      ・・・・・・ドリームランドを征服するは独逸を於いて他になし!

      なんか、国名を幾つか換えるとそのまま今の日本に当てはまりそうでイヤだ。
  • by Anonymous Coward on 2007年12月03日 10時18分 (#1259077)
    アメリカの大統領の予言よりPS3を含むゲーム機戦争の結果を予言した方が良いと思う
  • by Anonymous Coward on 2007年12月03日 11時44分 (#1259141)
    MD5だけでなくSHA1,SHA256もやっておけばいいんじゃ?
    MD5値しかないファイルは信用しない、みたいな。

    素人考えなんでしょうか?
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...