Secure Hash Algorithm

出典: フリー百科事典『ウィキペディア(Wikipedia)』
SHAから転送)
移動: 案内検索

Secure Hash Algorithm(セキュアハッシュアルゴリズム)、略称SHAエスエイチエーシャー)は、一群の関連したハッシュ関数であり、アメリカ国立標準技術研究所 (NIST) によってアメリカ政府標準のハッシュ関数 Secure Hash Standard (SHS) として採用されている。

概要[編集]

2013年現在、SHAはSHA-0、SHA-1、SHA-2 (SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256)、SHA-3 (SHA3-224、SHA3-256、SHA3-384、SHA3-512)の4種類が存在している。このうちSHA-1、SHA-256、SHA-384、SHA-512は2002年8月のFIPS Publication 180-2の初版に含まれている。SHA-224はChange Notice 1として、2004年2月に同規格に追加された。SHA-512/224、SHA-512/256は2012年のFIPS 180-4で追加された。SHA-3については、2014年4月にNISTがSecure Hash Standard (SHS) とは独立した標準としてSHA-3を含むFIPS 202の草稿を発表している。

もっともよく使われる関数SHA-1でTLS、SSL、PGP、SSH、S/MIME、IPSecなど、さまざまなセキュリティアプリケーションプロトコルに採用されている。 SHA-1は、以前から広範囲に使われているハッシュ関数であるMD5に代わるものであると考えられている。SHA-2までは国家安全保障局 (NSA) によって開発され、アメリカ政府の標準として発表された。グループのメンバーで1993年にはじめに発表されたものは、公式にはSHAと呼ばれている。しかしその後のものと区別するためにしばしばSHA-0と呼ばれている。2年後、SHAに初めての後継となるSHA-1が発表された。

さらにSHA-224SHA-256SHA-384SHA-512と4つの変形が、増加する出力の範囲とわずかなデザインの違いで2001年に発行されている。2012年に加えられたSHA-512/224SHA-512/256と合わせてそれらはまとめてSHA-2といわれている。

また、SHA-3としてKeccakが、アメリカ国立標準技術研究所 (NIST) が公募した新しいハッシュ関数アルゴリズムとして、2012年10月2日に選出された。

SHA-0、SHA-1のアルゴリズムはMD4を元にしており、MD5よりも攻撃に対して強いと考えられている。SHA-0、SHA-1ともに、対象とした攻撃(ハッシュ値の強衝突耐性突破)が見つかっているが、SHA-2、SHA-3には攻撃された報告はまだない。「MD5」の「ハッシュの衝突耐性について」の項も参照。

SHA-0[編集]

SHA-0はSHAシリーズの最初の規格である。発表から間もなくして脆弱性が発見された。ハッシュキーの長さは、160ビット

SHA-1[編集]

脆弱性が発見されたため、SHA-0の改訂版としてSHA-1が発表された。SHA-1のハッシュキーの長さは、SHA-0と同じく160ビット

実際の攻撃に成功した例はないものの理論的な脆弱性が指摘されており、2014年現在ではSHA-1からSHA-2への移行が進んでいる。

SHA-2[編集]

SHA-1に多くの改良を加え、出力されるハッシュ長を大きくしたのがSHA-2である。

SHA-256、SHA-512は、それぞれ32ビット、64ビットのワードサイズを持ち、出力されるハッシュ値の長さは256ビット、512ビットである。SHA-224、SHA-384はそれぞれSHA-256、SHA-512を切り詰めたものであり、ワードサイズはそれぞれ32ビット、64ビット、出力長はそれぞれ224ビット、384ビットである。SHA-512/224、SHA-512/256はSHA-512を切り詰めたものであり、ワードサイズは64ビット、出力長はそれぞれ224ビット、256ビットである。

SHA-3[編集]

SHA-3としてKeccakが、アメリカ国立標準技術研究所 (NIST) が公募した新しいハッシュ関数アルゴリズムとして、2012年10月2日に選出された[1]。2014年4月に、FIPS 202として草稿が発表された。

SHAシリーズでは初めて開発に国家安全保障局 (NSA) が関わっていない。

SHA-3は64ビットのワードサイズを持ち、出力されるハッシュ値の長さは224ビット、256ビット、384ビット、512ビットの4種類である。SHA-2と同様、SHA3-224はSHA3-256を、SHA3-384はSHA3-512を切り詰めたものである。

SHAシリーズの比較[編集]

SHAシリーズの比較 [編集]
アルゴリズムとバリエーション 出力長
(bits)
内部状態長
(bits)
ブロック長
(bits)
最大メッセージ長
(bits)
ラウンド数 ビット演算 セキュリティ強度
(bits)
パフォーマンスの例[3]
(MiB/s)
MD5(参照) 128 128
(4 × 32)
512 264 − 1 64 And, Xor, Rot,
Add (mod 232),
Or
<64(強衝突 335
SHA-0 160 160
(5 × 32)
512 264 − 1 80 And, Xor, Rot,
Add (mod 232),
Or
<80(強衝突 -
SHA-1 160 160
(5 × 32)
512 264 − 1 80 <80
(261の試行で理論的に可能[4]
192
SHA-2 SHA-224
SHA-256
224
256
256
(8 × 32)
512 264 − 1 64 And, Xor, Rot,
Add (mod 232),
Or, Shr
112
128
139
SHA-384
SHA-512
SHA-512/224
SHA-512/256
384
512
224
256
512
(8 × 64)
1024 2128 − 1 80 And, Xor, Rot,
Add (mod 264),
Or, Shr
192
256
112
128
154
SHA-3 SHA3-224
SHA3-256
SHA3-384
SHA3-512
224
256
384
512
1600
(5 × 5 × 64)
1152
1088
832
576
24 And, Xor, Rot,
Not
112
128
192
256
-
SHAKE128
SHAKE256
d(可変長)
d(可変長)
1344
1088
d/2と128のいずれか小さい方
d/2と256のいずれか小さい方
-

関連項目[編集]

脚注[編集]

  1. ^ NIST Selects Winner of Secure Hash Algorithm (SHA-3) Competition”. NIST. 2012年10月2日閲覧。
  2. ^ Crypto++ 5.6.0 Benchmarks”. 2014年1月1日閲覧。
  3. ^ AMD Opteron 8354 2.2 GHzプロセッサと64ビット版Linuxによる計測[2]
  4. ^ Cryptanalysis of MD5 & SHA-1 (PDF)”. 2014年1月1日閲覧。

外部リンク[編集]