MD5

出典: フリー百科事典『ウィキペディア（Wikipedia）』

MD5（エムディーファイブ、Message Digest Algorithm 5）とは、与えられた入力に対して128ビットのハッシュ値を出力するハッシュ関数である。

[編集] 概要

1991年に開発されたMD5は、前身であるMD4の安全性を向上させたものである。開発者はMD4と同じく、MIT教授のロナルド・リベスト。

Linuxでは md5sum、FreeBSDでは md5 というコマンドが用意されており、これを用いてメッセージダイジェストを出力することが出来る。出力されるメッセージダイジェストは、

d41d8cd98f00b204e9800998ecf8427e （入力データ長が0バイトの場合）

の様に16進数の数字が並んだテキスト形式で出力され、これをフィンガプリント（指紋）やハッシュ値、あるいは単にMD5値と呼ぶ。「MD5チェックサム」とも良く言われる。

[編集] 用途

MD5は、電子署名を必要とするアプリケーション向けに開発された。RSAで署名を生成する際に、メッセージを直接対象として署名を生成するのではなく、メッセージのハッシュ値を生成し、ハッシュ値に対して署名を生成する。

フリーソフトウェアの世界に於いては、ファイルをダウンロードする際にそのファイルが破損していないことを確認する為にも用いられる。配布する側は、ファイル配布時にそのファイルのMD5ハッシュ値（いわゆるMD5チェックサム）も同時に配布する。ダウンロードしたユーザは手元でファイルのMD5値を計算して、配布者の提示したMD5値と一致することを確認すれば良い。このような目的にCRCを用いることもあるが、CRCは標準が複数存在するため現在ではあまり見られない。

またファイルが改竄されていないことを証明するためにも用いられる。これにより、作成者以外によるトロイの木馬やコンピュータウイルスなどの混入を防ぐことが出来る。しかしながら、この場合MD5値は手元で計算できるのだから、改竄済みのファイルのMD5値が同梱されている可能性がある。従って、改竄の恐れがある場合には、ファイルに同封されているMD5値と比較するのではなく、MD5値だけは何かしら信頼できる方法で配布者から入手する必要がある。

[編集] 実際の使用例

FreeBSDはインストール可能なCDイメージと、それのMD5値を同時に配布している。（MD5値の改変はないと仮定して）インストール可能なCDイメージが、途中で改変されていないことを確認してみる。

配布サイトから、ここでは 5.1-RELEASE-i386-miniinst.iso という最小構成のインストールイメージファイルと、CHECKSUM.MD5 というMD5値（いわゆるMD5チェックサム）の書かれたテキストファイルをダウンロードする。
md5 コマンドを、イメージファイルに実行する。

localhost% md5 5.1-RELEASE-i386-miniinst.iso

MD5 (5.1-RELEASE-i386-miniinst.iso) = 646da9ae5d90e6b51b06ede01b9fed67
CHECKSUM.MD5の中身を確認し、一致していれば破損の可能性は低いことが分かる。

localhost% cat CHECKSUM.MD5

MD5 (5.1-RELEASE-i386-disc1.iso) = 3b6619cffb5f96e1acfa578badae372f

MD5 (5.1-RELEASE-i386-disc2.iso) = 2cfa746974210d68e96ee620bf842fb6

MD5 (5.1-RELEASE-i386-miniinst.iso) = 646da9ae5d90e6b51b06ede01b9fed67

[編集] 安全性

MD5、およびRIPEMDとよばれるハッシュ関数には理論的な弱点が存在することが明らかとなっている（外部リンク参照）。

2004年8月、暗号の国際会議 CRYPTO （のランプセッション）にて、MD5のコリジョンを求めることができたという報告があった。理論的可能性として、MD5を用いて改竄されないことを確認する場合、あらかじめ正規のファイルと不正なファイルを用意しておき、正規のファイルを登録しておきながら、実際には不正なファイルに摩り替える攻撃がありえることを意味する。

但し、実際にこの弱点を利用したクラッキングはまだ報告されていない。

アメリカ合衆国政府では、MD5ではなく、SHA（Secure Hash Algorithm）を標準のハッシュとして使用している。日本のCRYPTRECでは、MD5を政府推奨暗号リストから外し、SHA-256以上を推奨している。

[編集] ハッシュの衝突耐性について

MD5のハッシュ値については、パソコンレベルで、数10分程度で、同一ハッシュ値の非ユニークなデータ列を生成できる実装が広まっている。すなわち、強衝突耐性は容易に突破されうる状態にある（SHA-0/SHA-1アルゴリズムについても、MD5ほど容易ではないが突破される脆弱性が発見されている）。

ただし、任意に与えられたハッシュ値に対して、（何らかの別の）データを生成する実装が広まっているわけではないので、弱衝突耐性が容易に突破されうる訳ではない。また、任意に与えられたハッシュ値に対して、改竄者の意図どおりのデータ列を容易に生成できる訳でもない（もしそうならば、それは既に暗号ではない）。

強衝突耐性の突破とは例えば、あるハッシュ値H「A400AEDEF8229...」と、ある非ユニークな（例えば2つの）データ列D1:「がｓｌｆｄぎあｌｓりｔｃ…」とD2:「え０５ｔ９う゛ゅ３０ｔう゛８えもぎｒう゛ｓ…」の組み合わせにおいて、D1とD2から計算したハッシュ値が同一のHとなる組み合わせを1つ発見できた、という事である。また、もしデータ列D3「東京都特許許可局」と言うからあるハッシュ値H'「BBBDE00FF82...」が算出されたとして、当該ハッシュ値H'に対して、同一のハッシュ値を持つような他のデータ列D4:「ｓどおりうおおいじぇｒといｒがｋｊがｍｓ…」を発見できたとしたら、それは弱衝突耐性を突破された事を意味する（即ち、D3とH'の組み合わせで無改竄性を証明できなくなる）。

そのため、直ちにこれらのハッシュアルゴリズムを用いている暗号化通信が盗聴・改竄されたり、電子署名の有効性が無くなると言うわけではない。しかし、強衝突耐性が突破されたという事は、将来的には攻撃手法や計算能力の進化により、弱衝突耐性も突破されうるという事を暗示する。もし弱衝突耐性が突破されたとしたら、もはや暗号化通信や電子署名の無改竄性を証明できなくなり、その暗号化・署名システムは（半ば）死を意味する。

また、暗号化・署名システムのintegrity（例えば最良攻撃手法に対して十分に頑強であるという事）にハッシュ強衝突耐性の突破が困難であるという前提がもし有った場合には、そのシステムのintegriryも当然に失われる事になる。Integrityを要求されるシステムでは、その再検証が最低限必要となる。

[編集] 参考文献

R. Rivest, "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.
Hans Dobbertin, "The Status of MD5 After a Recent Attack", CryptoBytes Volume 2, Number 2, pp.1,3-6, Summer 1996. [1]
Xiaoyun Wang, Dengguo Feng, Xuejia Lai, Hongbo Yu, "Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD", IACR ePrint #199, Augst 17 2004. [2]