ハッシュ関数と共通鍵に基づくメッセージ認証コードの安全性解析

ハッシュ関数（Hash Function)は現代の暗号で最も重要な技術のひとつである。多くの実用的暗号プロトコルがハッシュ関数を利用しており、それらの安全性に基づいている。暗号学的に安全なハッシュ関数とは、基本的には次の三つの性質を満たすのである。原像計算困難性（Preimage Resistance)：ハッシュ値yがあたえられたときに、y=H(x)となるxを求めることが困難である。第二原像計算困難性（Second Primage Resistance) ：xが与えられたときに、H(x)=H(x´)を満たすx´≠xとなるx´を求めることが困難である。衝突性計算困難性（Collision Resistance):x´≠ｘでH(x)=H(x´)を満たす（ｘ.x´)の組を見つけることが困難である。ハッシュ値がnビットのときに、ある原像攻撃の計算量は２ n より小さいなら、ハッシュ関数が原像計算困難性を満たさないといえる。現在までに、様々なハッシュ関数の設計論に基づいて、証明可能安全でかつ効率的なハッシュ関数の設計法は検討されてきている。１９８０年から様々なハッシュ関数が提案されてきたが、それらの大部分において脆弱性が指摘されている。ハッシュ関数への攻撃によって、既存のハッシュ関数がすべて安全でない可能性がある。それで、代表的なハッシュ関数の安全性を評価することは重要である。さらに、弱点が発見されたハッシュ関数利用している暗号プロトコルの安全性についても不安になるので、ハッシュ関数を利用する暗号プロトコルの安全性解析も重要である。本研究では、２つの観点でハッシュ関数をそれを利用するメッセージ認証コード（message authentication code)の安全性を評価した。　ハッシュ関数の安全性解析　　中間一致攻撃というフレームワークを用いて、ハッシュ関数（TigerとRIPEMDとRIPEMD-128)への原像攻撃を提案して、攻撃が適用可能なハッシュ関数のステップを見極めた。Tigerは1996年提案されたハッシュ関数である。Tigerは高速であり、本研究以前には安全と考えられていた。　Tigerはハッシュ関数の設計論への有益なフィードバックを与える。また、TigerはGnutellaなどのP2Pソフトウェアで実装されており、広く普及している。理論的にも実用的にもTigerの安全性の解析は必要である。本研究では、中間一致攻撃というフレームワークを用いて、Tigerへの原像攻撃の改良方法を提案した。Tigerハッシュ関数は全部で２４ステップであり、従来の研究は１７ステップまで攻撃できたものを、我々の攻撃では攻撃可能なステップ数を、２３まで増やした。　RIPEMI-familyはRIPEMDやRIPEMD-128やRIPEMD-160などのいくつのバージョンがあり、特に、RIPEMD-128やRIPEMD-160はISO/IECで標準化された。本研究では、中間一致攻撃というフレームワークを用いて、PEMDとRIPEMD-128への原像攻撃の改良方法を提案した。RIPEMDは全部で４８ステップである。既存の研究は３３ステップまで攻撃できた。我々の攻撃で攻撃されたステップ数は４７まで増えた。RIPEMD-128は全部で６４ステップである。我々の攻撃はRIPEMD-128への最初の原像攻撃である。中間の36ステップが攻撃された。　　ハッシュ関数攻撃の実用メッセージ認証コードへの影響の評価　　MD4-familyというハッシュ関数、特にMD5とSHA-1、は1990年代から広く実装されている。MD4-familyへの衝突攻撃は２００５年に提案された。MD4とMD5への衝突攻撃技法を用いて、いくつのメッセージ認証コードへの改良した鍵復元攻撃を提案した。　メッセージ認証コードは共通鍵に基づく暗号システムであり、データ完全性とデータ認証を実現している。HMA(keyed-hashing MAC)はISOやNISTなど多くの組織で標準化されて、SSLやTLSなどの多くの暗号システムで広く実装されたメッセージ認証コードである。NMAC（Nested MAC)はHMACの安全性証明の基礎である。本研究では、MD4ベースしたHMACとNMACに対して、我々の攻撃は計算量を２９５から２７７まで削減した。また、MD5ベースしたNMACにたいしては、計算量を２１００から２７６まで削減した。　APOP（Authenticated　Post Office Protocol)はMD5ベースしたチャレンジ-レスポンス型メッセージ認証コードである。APOPはPOP3（Post　Office　Protocol version 3)のコマンドとして、サーバがユーザを認証するためにメールシステムで使用されている。我々のパスワード復元攻撃は従来の結果より2倍速い。また、本研究ではMD4ベースしたPrefix型メッセージ認証コードに対して、最初のパスワード復元攻撃を提案した。　以上により、本研究は代表的ないくつのハッシュ関数と共通鍵に基づくメッセージ認証コードの安全性バウンドを明らかにすることにより、ハッシュ関数の設計論の改良に寄与するものである。Hash function is one of the fundamental primitives in modern cryptography. Since thestandard hash functions MD5 and SHA-1, which have been widely applied since 1990s, arerevealed weakness in 2005, study on hash function has attracted a lot of attentions. Thisthesis will deal with two research topics on hash functions.Security evaluation of hash functions. A secure hash function must satisfy several properties such as Collision Resistance and (Second) Preimage Resistance. Based oncurrent design theory of hash function, no dedicated hash function can be proven tosatisfy these properties. Typically the designers will make their hash functions seemhard to be attacked. From the evaluation history of hash function or cryptography, itis reasonable to suspect any hash function is indeed insecure, and there exists someefficient attack to break it. Thus we will try to find such efficient attacks on publisheddedicated hash functions. More description of hash function is referred to Chapter 1.Security evaluation of hash-based protocols. Many protocols have been designedutilizing hash function. Moreover, their provable security is based on an assumptionthat the underlying hash functions are secure. Once a hash function is revealed weak-ness, the provable security of this-hash-function-based protocols will be lost. It is significantly important to re-evaluate the security of hash-based protocols when theirunderlying hash function has some weakness. For example, MD5 and SHA-1 havebeen widely implemented, and now some serious weakness of these two hash functionshas been publicity known. We must re-evaluate the security of MD5/SHA-1-basedprotocols.For the first topic, we will evaluate the preimage resistance of two hash functions: Tiger and RIPEMD. Tiger hash function is designed by Anderson and Biham in 1996. After almost 15 years,this hash function is still secure. Besides its plausible security, it is also very efficient. ThusTiger deserves a valuable feedback to the design theory of hash function, and have attracteda lot of attentions of evaluate it. Moreover, Tiger has been practically implemented in P2Psoftware such as Gnutella. We will deal with the preimage resistance of Tiger. The fullversion of Tiger has 24 steps. Before our attack, the best preimage attack on Tiger wasproposed by Mendel, which revealed 17-step Tiger is not secure in the sense of preimageresistance. We will propose a preimage attack on 23-step Tiger, which greatly increases thenumber of the attacked steps. There details are described in Chapter 3. RIPEMD-family hash functions share very-similar design structure: double-branch hashfunctions. Particularly two members RIPEMN-128 and RIPEMD-160 have been standard-ized by ISO(International Organization for standardization). We will deal with the preimageresistance of RIPEMD and RIPEMD-128. The full version of RIPEMD has 48 steps. Be-fore our attack, the best preimage attack on RIPEMD was proposed by Sasaki et al ,whichrevealed that 33-step RIPEMD is not secure in the sense of prieimage resistance. No preim-age attack was proposed on RIPEMD-128. We will propose a preimage attack on 47-stepRIPEMD, which greatly increase the number of the attacked steps. Moreover, we propose apreimage attack on 35-step RIPEMD-128(full version: 64-step), which is the first preimageattack on RIPEMD-128. For the second topic, we will evaluate several hash-based Message Authentication Codes(MAC):HMAC/NMAC-MD5/MD4. APOP and MD4(Password|Challenge).MAC is a symmetric-key cryptosystem, which is used to protect data integrity and dataauthenticity. One popular methodology of designing MAC is utilizing hash functions. Formore details of MAC, refer to Chapter 2. HMAC(Keyed-Hashing for MAC) and NMAC(Nested MAC) are designed by Bellare etal. in 1996. Particularly HMAC has been standardized by many organizations such as ISOand NIST(National Institute of Standard and Technology), HMAC has been implemented inSSL(Secure Socket Layer) and TLS(Transport Layer Security). In 2005, practical collisionattacks on MD5 and MD4 were published. Adopting these collision attacks on MD5 and MD4, we will propose key-recovery attacks on MD5/MD4-based HMAC/NMAC. Our resultshave improved the attack complexities compared with previous attacks. For HMAC/NMAC-MD4, the complexity of our attacks is 277　computations, while previous best result is 295 Computations. For NMAC-MD5, the complexity of our attack is 276 computations, whilePrevious best result is 2100 , computations. Refer to Chapter 5 for the detailed description. APOP(Authenticated Post Office Protocol) is an authentication command in POP3(Post Office Protocol version 3), which is used in mail system for the server to autheniticatethe users. The specification of APOP is explicitly based on MD5. After the collision on MD5is published, password-recovery attack on APOP has been found. We will speed up previouspassword recovery attacks on APOP. The main novelty is a new variant of collision attack onMD5: Bit ?Free collisions. By adopting such bit-free collisions on MD5, we successfully finda new APOP attack twice faster than previous attacks. Refer to Chapter 6 for the detaileddescription. MD4(Password|Challenge) is a prefix-style MAC. Such style MAC has practical imple-mentation such as CHAP (Challenge Handshake Authentication Protocol). We will propose apassword-recovery attack on MD4(Password|Challenge) adopting collision attacks on MD4.Before our attack, there is no related work published. Thus our attack is the first password-recovery attack on such style MAC. Our attack can recover up to 36 password characters.Refer to Chapter 7 for the detailed description.Besides basing MACs on hash functions, there is another popular design methodology of MAC: base MAC on block ciphers. Many block-cipher-based MACs are CBC MAC vari-ant. A MAC scheme named Alred is one of the most efficient CBC variants, which is basedon short-cut block cipher. Since AES is the most widely used block cipher, the designerof Alred proposed two AES-based instantiations: Alpha-MAC and Pelican-MAC. We willpropose internal-state-recovery attacks on these two AES-based MACs, which have lowercomplexity than that of previous attacks. Particularly on Pelican-MAC, the complexity of our attack is 264 computations, while previous best result is 288 computations. Refer toChapter 8 for the detailed description.電気通信大学201