SHA-1ハッシュ値の衝突

Transcript

1. SHA-1ハッシュ値の衝突 2017/4/23 第32回まっちゃ139勉強会 seraph（@Seraph39）

2. 今⽇のお話 § 定型PDFを使えば、誰でも衝突PDFを作成可能 § 影響は限定的

3. ハッシュ値 § SHA-1（Secure Hash Algorithm） § １bitでも異なれば異なる値 ファイルA ハッシュ関数 ファイルB SHA-1なら 160bit

4. SHAttered attack § SHA-1の衝突を意図的に起こしたもの

5. SHAttered attack § 内容：PDFとJPGの機能を⽤いた衝突 § 発表：2017年2⽉23⽇ § 実現：GoogleとオランダCWI Institute § ⽅法：⼤規模な演算で発⾒（1CPU = 6,500年） § 公開：⽣成コード（発表から90⽇後,

   5⽉24⽇）

6. 衝突PDF（shattered-1.pdf）

7. 衝突PDF（shattered-2.pdf）

8. ハッシュ値（MD5）の⽐較 異なるハッシュ値

9. ハッシュ値（SHA-1）の⽐較 同⼀ハッシュ値

10. バイナリの⽐較 ここだけ異なる

11. ヘッダ 同じ ヘッダ PDFの構造 Near-collision Pair FF FE • •（コメント）

    Skip Skip 違う Near-collision Pair FF FE ▲ ▲（コメント） shattered-1.pdf shattered-2.pdf

12. JPEGの簡単な構造 § FF D8：JPEGデータの開始 § FF FE • •：コメントサイズ § 2バイト（••） ー 2

    § FF D9：JPEGデータの終了

13. PDFの構造 Near-collision Pair FF FE • •（コメント） Skip Skip 違う

    Near-collision Pair FF FE ▲ ▲（コメント） ヘッダ 同じ shattered-1.pdf shattered-2.pdf 先頭320バイトのハッシュ値が同⼀ 先頭320バイトのハッシュ値が同⼀ ヘッダ

14. 先頭320バイトの⽐較 この部分が同⼀ハッシュ値

15. 先頭320バイトの⽐較（SHA-1） shattered-1.pdf shattered-2.pdf ハッシュ値が同⼀

16. ヘッダ 同じ ヘッダ 衝突PDFの作成  Near-collision Pair FF FE • •（コメント）

    Skip Skip 違う Near-collision Pair FF FE ▲ ▲（コメント） test1.pdf test2.pdf ひみつの画像 ひみつの画像

17. ハッシュ値（MD5）の⽐較 異なるハッシュ値

18. ハッシュ値（SHA-1）の⽐較 同⼀ハッシュ値

19. 作成PDF（test1.pdf） ひみつの画像

20. 作成PDF（test2.pdf）

21. バイナリの⽐較 ここだけ異なる

22. SHA-1衝突の実現による電⼦署名 への影響と対策 § JNSA 電⼦署名WG § http://www.jnsa.org/notice/2017/170302.html § 影響 § 新たに⽣成する電⼦署名 §  「全ての⽂書について攻撃が可能となるわけではありません。」 § 

    過去に⽣成された電⼦署名 §  「既に⽣成されている電⼦署名については今すぐに影響が出ることはないと考えます。」 § 対策 § ⻑期署名 § タイムスタンプの追加

23. まとめ § 定型PDFを使えば、誰でも衝突PDFを作成可能 § 影響は限定的

24. 参考資料 § SHATTERD § https://shattered.io/ § Google Security Blog § https://security.googleblog.com/2017/02/ announcing-first-sha1-collision.html § GoogleのSHA-1の話 § https://www.slideshare.net/herumi/googlesha1

25. ありがとうございました！！