List of nist - Baldanders.info
tag:Baldanders.info,2015-08-06:/tags
2015-08-06T09:00:00+00:00
バルトアンデルスは連続的な怪物,時間の怪物である。(ホルヘ・ルイス・ボルヘス 『幻獣辞典』より)
https://baldanders.info/images/avatar.jpg
https://baldanders.info/images/avatar.jpg
SHA-3 が正式リリース: あれから10年も...
tag:Baldanders.info,2015-08-06:/blog/000865/
2015-08-06T09:00:00+00:00
2015-08-06T09:00:00+00:00
というわけで,イマイチ不遇な感じの SHA-3 だが,決まったからには緩々と実装が始まると思われる。OpenPGP にもそのうち組み込まれるだろう(現在,次期仕様について議論中)。
Spiegel
/profile/
<p>
<a href="https://twitter.com/hyuki">結城浩さん</a>の tweet 経由で
</p>
<figure class="block-center center">
<blockquote class="twitter-tweet" lang="ja"><p lang="ja" dir="ltr">FIPS 202がドラフトではなくなった模様。ギリギリで私の『暗号技術入門 第3版』に反映できそうだ。 / "<a href="http://t.co/gTmr6dekCX">http://t.co/gTmr6dekCX</a> - Computer Security Division - Comput..." <a href="http://t.co/7PqEIt76Lg">http://t.co/7PqEIt76Lg</a></p>— 結城浩 (@hyuki) <a href="https://twitter.com/hyuki/status/629231659146067968">2015, 8月 6</a></blockquote>
</figure>
<p>
おおっ! ついに SHA-3 が正式リリースですか。
</p><ul>
<li><a href="http://csrc.nist.gov/groups/ST/hash/sha-3/sha-3_standardization.html">SHA-3 Standardization</a></li>
<li><a href="https://www.federalregister.gov/articles/2015/08/05/2015-19181/announcing-approval-of-federal-information-processing-standard-fips-202-sha-3-standard">Federal Register | Announcing Approval of Federal Information Processing Standard (FIPS) 202, SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions, and Revision of the Applicability Clause of FIPS 180-4, Secure Hash Standard</a></li>
<li><a href="http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.202.pdf">FIPS PUB 202: SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions<sup><i class="far fa-file-pdf"></i></sup></a></li>
<li><a href="http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.180-4.pdf">FIPS PUB 180-4: Secure Hash Standard (SHS)<sup><i class="far fa-file-pdf"></i></sup></a></li>
</ul><p>
そもそもの始まりは,2004年に SHA-1 の脆弱性が見つかったことである。
</p>
<figure>
<blockquote>
<q>例えば SHA-1 のハッシュ値のサイズは160ビットなので,確率は 2 の 80 乗分の 1,つまり 2 の 80 乗回試せばひとつは同じハッシュ値を持つデータの組を見つけることができる(これをハッシュ値の衝突(Collision)と呼びます)ということになります。
しかし件の論文によると,それよりも大きな 2 の 69 乗分の 1 の確率で衝突を起こす攻略方法があるらしいのです。
この論文の内容については現在も検証が行われていますが,専門家の間では概ね正しいだろうと言われています。</q>
</blockquote>
<figcaption><q><a href="https://baldanders.info/blog/000204/">暗号の危殆化と新しいアルゴリズム -- 戯れ言++</a></q>より</figcaption>
</figure>
<p>
もともと SHA-1 は2010年までに運用を終了する予定(いわゆる2010年問題)だったが,この問題は SHA-2 (SHA-2 は SHA-1 の改良版。両方共 NSA が関わっていることで知られている)まで波及しそうな勢いだったため,早急に SHA-2 に代わる新しい hash 関数が求められるようになった。
</p><ul>
<li><a href="https://baldanders.info/blog/000267/">"NIST's Plan for New Cryptographic Hash Functions" -- Baldanders.info</a></li>
<li><a href="https://baldanders.info/blog/000608/">SHA-3 が決まった -- Baldanders.info</a></li>
<li><a href="https://baldanders.info/blog/000702/">FIPS PUB 202 (SHA-3 Standard) Draft -- Baldanders.info</a></li>
</ul><p>
ところがこの competition のあいだに SHA-3 の位置づけが変わってきた。
</p>
<figure>
<blockquote>
<q>もともと SHA-3 は SHA-1 の危殆化に伴い SHA-1/SHA-2 に代わる新しいアルゴリズムをコンペ形式で選定しようというものだった。 SHA-3 のコンペは現在も続いているが(だよね?),その位置づけが変わってきているようなのだ。
<br/>たとえば FIPS PUB 180-4 のドラフトでは64ビット CPU 向けの実装(SHA-512/224, SHA-512/256, SHA-512)が示されている。
これは SHA-1 の危殆化が2005年当時に言われていたほどではないのではないか,という判断があるらしい(実際, SHA-1 のハッシュの衝突例も見つかっていない)。
上述の「2010年問題」の期限延長も,この辺の判断が働いたのではないかという気がする。</q>
</blockquote>
<figcaption><q><a href="https://baldanders.info/blog/000586/">『暗号をめぐる最近の話題』 -- Baldanders.info</a></q>より</figcaption>
</figure>
<p>
というわけで,イマイチ不遇な感じの SHA-3 だが,決まったからには緩々と実装が始まると思われる。
OpenPGP にもそのうち組み込まれるだろう(現在,次期仕様について議論中)。
</p><p>
SP800-57 によると暗号強度と hash 関数の組み合わせは以下のようになっている。
</p>
<figure lang="en">
<table>
<thead>
<tr>
<th>Security <br/>Strength</th>
<th>Digital <br/>Signatures and <br/>hash-only <br/>applications</th>
<th>HMAC</th>
<th>Key Derivation <br/>Functions</th>
<th>Random <br/>Number <br/>Generation</th>
</tr>
</thead>
<tbody>
<tr>
<td class="right">80</td>
<td>SHA-1, SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-1, SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-1, SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-1, SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
</tr><tr>
<td class="right">112</td>
<td>SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-1, SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-1, SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-1, SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
</tr><tr>
<td class="right">128</td>
<td>SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-1, SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-1, SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-1, SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
</tr><tr>
<td class="right">192</td>
<td>SHA-384, SHA-512</td>
<td>SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-224, SHA-512/224, SHA-256, SHA-512/256, SHA-384, SHA-512</td>
</tr><tr>
<td class="right">256</td>
<td>SHA-512</td>
<td>SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-256, SHA-512/256, SHA-384, SHA-512</td>
<td>SHA-256, SHA-512/256, SHA-384, SHA-512</td>
</tr>
</tbody>
</table>
<figcaption>Hash function that can be used to provide the targeted security strengths (via <q><a href="http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57_part1_rev3_general.pdf">SP800-57 Part 1 (Revision 3) <sup><i class="far fa-file-pdf"></i></sup></a></q>)</figcaption>
</figure>
<p>
ちなみに2030年を超えて Acceptable なのは 128bits 以上の暗号強度である。
</p>
<figure lang="en">
<table>
<thead>
<tr>
<th colspan="2">Security Strength</th>
<th>2011 through 2013</th>
<th>2014 through 2030</th>
<th>2031 and Beyond</th>
</tr>
</thead>
<tbody>
<tr><td class="right" rowspan="2">80</td> <td>Applying</td> <td>Deprecated</td> <td colspan="2" class="center">Disallowed</td></tr>
<tr> <td>Processing</td> <td colspan="3" class="center">Legacy use</td></tr>
<tr><td class="right" rowspan="2">112</td><td>Applying</td> <td rowspan="2">Acceptable</td><td rowspan="2">Acceptable</td><td>Disallowed</td></tr>
<tr> <td>Processing</td> <td>Legacy use</td></tr>
<tr><td class="right">128</td> <td rowspan="3">Applying/Processing</td><td>Acceptable</td> <td>Acceptable</td> <td>Acceptable</td></tr>
<tr><td class="right">192</td> <td>Acceptable</td> <td>Acceptable</td> <td>Acceptable</td></tr>
<tr><td class="right">256</td> <td>Acceptable</td> <td>Acceptable</td> <td>Acceptable</td></tr>
</tbody>
</table>
<figcaption>Security-strength time frames (via <q><a href="http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57_part1_rev3_general.pdf">SP800-57 Part 1 (Revision 3) <sup><i class="far fa-file-pdf"></i></sup></a></q>)</figcaption>
</figure>
<p>
他の暗号アルゴリズムで言うと 128bits 以上の暗号強度は
</p><ul>
<li>DSA, ElGamal, RSA なら 3072bits 以上</li>
<li>ECDSA なら 256bits 以上</li>
<li>共通鍵暗号なら AES-128 以上</li>
</ul><p>
に相当する。
</p>
<div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4797382228/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/41je9xcsHTL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4797382228/baldandersinf-22/">暗号技術入門 第3版 秘密の国のアリス</a></dt><dd>結城 浩 </dd><dd>SBクリエイティブ 2015-08-15</dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/4627817711/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4627817711.09._SCTHUMBZZZ_.jpg" alt="データ解析の実務プロセス入門"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/479804413X/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/479804413X.09._SCTHUMBZZZ_.jpg" alt="クラウドを支えるこれからの暗号技術"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4797376279/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4797376279.09._SCTHUMBZZZ_.jpg" alt="10年戦えるデータ分析入門 SQLを武器にデータ活用時代を生き抜く (Informatics &IDEA)"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4781701973/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4781701973.09._SCTHUMBZZZ_.jpg" alt="ハッカーの学校"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4798141100/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4798141100.09._SCTHUMBZZZ_.jpg" alt="その数式、プログラムできますか?"/></a> </p>
<p class="description">8月に第3版がでるよ。やっほい!</p>
<p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2015-07-02">2015/07/02</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p>
</div>
<figure class="block-center center">
<iframe width="500" height="281" src="https://www.youtube-nocookie.com/embed/EISwMAsq3BY" frameborder="0" allowfullscreen=""></iframe>
</figure>
FIPS PUB 202 (SHA-3 Standard) Draft
tag:Baldanders.info,2014-06-21:/blog/000702/
2014-06-21T09:00:00+00:00
2014-06-21T09:00:00+00:00
先月5月に FIPS PUB 202 のドラフトが登場している。
Spiegel
/profile/
<p> 先月5月に <a href="http://csrc.nist.gov/publications/PubsDrafts.html#FIPS-202">FIPS PUB 202 のドラフトが登場</a>している。 2014年8月26日(日本時間で27日?)までコメント受付中だそうだ。 </p> <blockquote> “Four fixed-length cryptographic hash algorithms (SHA3-224, SHA3-256, SHA3-384, and SHA3-512) and two closely related, “extendable-output” functions (SHAKE128 and SHAKE256) are specified in Draft FIPS 202; all six algorithms are permutation-based “sponge” functions. The four SHA-3 hash functions provide alternatives to the SHA-2 family of hash functions. The extendable-output functions (XOFs) can be specialized to hash functions, subject to additional security considerations, or used in a variety of other applications. Hash algorithms are used in many information security applications, including (1) the generation and verification of digital signatures, (2) key-derivation functions, and (3) random bit generation.” <br/>(via “<a href="https://www.federalregister.gov/articles/2014/05/28/2014-12336/announcing-draft-federal-information-processing-standard-fips-202-sha-3-standard-permutation-based">Federal Register | Announcing Draft Federal Information Processing Standard (FIPS) 202, SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions, and Draft Revision of the Applicability Clause of FIPS 180-4, Secure Hash Standard, and Request for Comments</a>”) </blockquote> <p> <a href="https://baldanders.info/blog/000586/">前にも紹介した</a>が,当初言われていたのとは異なり, SHA-3 は現行の SHA-2 を置き換えるのではなく SHA-2 の “alternative” として考えられているようだ。 向こうでは<a href="http://csrc.nist.gov/groups/ST/hash/sha-3/Aug2014/index.html">8月にワークショップも開催される</a>らしい。 </p><p> これを知ったのは <a href="https://www.ietf.org/mailman/listinfo/openpgp">OpenPGP のメーリングリスト</a>だが,我ながら感度低くなったなぁ。 まぁ理由ははっきりしていて, RSS の巡回を怠っているせいだ。 だって仕事終わりがしんどいんだもん。 週末に一気に見るのもしんどいし。 というわけで,「遅ればせながら」の記事が多いのは勘弁して下さい。 </p><p> あぁ,それからこれは蛇足だけど,最近 Hash 関数等で「符号化」しただけのものを「暗号化」などと嘯くサービスプロバイダが増えてる気がするが,暗号化と符号化は違うからね(符号化あるいは要約と呼ばれる技術も暗号技術の一部だけどさ)。 暗号とは「アルゴリズム」と「鍵」がセットになってはじめて「暗号」だからね(そして鍵の管理を考慮しない暗号製品やサービスはクズ)。 同様の理由でステガノグラフィのような隠蔽技術も厳密には暗号とは区別されるよ。 </p> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B00H372H18/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51njmeGhpKL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B00H372H18/baldandersinf-22/">新版暗号技術入門 秘密の国のアリス</a></dt><dd>結城 浩 </dd><dd>SBクリエイティブ株式会社 2013-12-04</dd><dd>評価<abbr class="rating" title="5"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-5-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00KRB9U8K/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00KRB9U8K.09._SCTHUMBZZZ_.jpg" alt="詳解UNIXプログラミング 第3版"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00H372H40/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00H372H40.09._SCTHUMBZZZ_.jpg" alt="プログラマの数学"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00KNRBFM2/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00KNRBFM2.09._SCTHUMBZZZ_.jpg" alt="プログラムは技術だけでは動かない ~プログラミングで食べていくために知っておくべきこと"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00I8AT1D6/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00I8AT1D6.09._SCTHUMBZZZ_.jpg" alt="数学ガール/ゲーデルの不完全性定理"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00I8AT1CM/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00I8AT1CM.09._SCTHUMBZZZ_.jpg" alt="数学ガール/フェルマーの最終定理"/></a> </p><p class="gtools">by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a> , <abbr class="dtreviewed" title="2014/06/21">2014/06/21</abbr></p></div>
FIPS PUB 186-3
tag:Baldanders.info,2009-09-28:/blog/000462/
2009-09-28T09:00:00+00:00
2009-09-28T09:00:00+00:00
いやぁ,全く気がつかなかったっス。
Spiegel
/profile/
<p>
いやぁ,
全く気がつかなかったっス。
<a href="http://csrc.nist.gov/groups/ST/toolkit/digital_signatures.html">6月にリリース</a>されてたんだねぇ。
</p><blockquote>
“NIST is proud to announce the publication of FIPS 186-3,
The Digital Signature Standard.
FIPS 186-3 is a revision of FIPS 186-2.
The FIPS specifies three techniques for the generation and verification of digital signatures: DSA, ECDSA and RSA.
This revision increases the length of the keys allowed for DSA,
provides additional requirements for the use of ECDSA and RSA,
and includes requirements for obtaining assurances necessary for valid digital signatures.”
</blockquote><p>
ちうわけで,
以下が FIPS 186-3 だ。
</p><ul>
<li><a href="http://csrc.nist.gov/publications/fips/fips186-3/fips_186-3.pdf">FIPS PUB 186-3, Digital Signature Standard (DSS)</a> (PDF)</li>
</ul><p>
今回のメインはやっぱり DSA (Digital Signature Algorithm)の要件が改良されたことだろう。
詳しくは拙文<a href="https://baldanders.info/blog/000204/">「暗号の危殆化と新しいアルゴリズム」</a>を参照のこと。
当時はドラフト案だったけど,
これで大手を振って使えるわけやね。
(あれから3年かかったんじゃねぇ)
</p><p>
あとは新しいハッシュ関数(SHA-3)か。
現在 SHA-3 コンペは第2ラウンドらしい。
しばらく前に MD6 が手を引いたみたいなニュースが流れていた。
</p><ul>
<li><a href="http://www.schneier.com/blog/archives/2009/07/md6.html">MD6 Withdrawn from SHA-3 Competition</a></li>
<li><a href="http://csrc.nist.gov/groups/ST/hash/sha-3/Round2/submissions_rnd2.html">Second Round Candidates</a></li>
<li><a href="http://www.schneier.com/blog/archives/2009/07/sha-3_second_ro.html">SHA-3 Second Round Candidates Announced</a></li>
</ul><p>
さて,
どうなるか楽しみである。
</p>
"NIST's Plan for New Cryptographic Hash Functions"
tag:Baldanders.info,2007-01-27:/blog/000267/
2007-01-27T09:00:00+00:00
2007-01-27T09:00:00+00:00
ちうわけで,前々から予告のあったハッシュアルゴリズム・コンテストがいよいよ行われるらしい。
Spiegel
/profile/
<p>
ちうわけで,
前々から予告のあったハッシュアルゴリズム・コンテストがいよいよ行われるらしい。
</p><ul>
<li><a href="http://www.csrc.nist.gov/pki/HashWorkshop/index.html">NIST's Plan for New Cryptographic Hash Functions</a></li>
<li><a href="http://itpro.nikkeibp.co.jp/article/NEWS/20070125/259640/">NIST,新ハッシュ関数アルゴリズムの公募コンテストを開催へ</a></li>
</ul><p>
ところで,
FIPS 186-3 (Digital Signature Standard; DSS)はどうなったんだろうと思ったら,
<a href="http://csrc.nist.gov/CryptoToolkit/tkdigsigs.html">「2/23 までにコメント頂戴」</a>(かなり意訳)と書かれていた。
問題なさそうなら今年の春くらいには正式リリースかな?
</p>