かなりヤバメのニュースが流れてるし。
APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起についてAPOP 方式に、MD5 ハッシュ衝突に基づく攻撃手法が発見されました。このため、ユーザがなりすましたメールサーバに誘導された場合、メールの受信に利用するパスワードが解読され、漏えいする可能性があります。
衝突の話かと思いきや、
メールのパスワード暗号破った…APOP規格を解読 : 経済ニュース : 経済・マネー : YOMIURI ONLINE(読売新聞)太田教授の研究グループは暗号化のカギとなる「MD5」を逆にさかのぼり、暗号化する前のパスワードに戻す手法を見つけた。
この文章が本当なら、衝突困難性とか、第2原像困難性じゃなくて一方向性が破られたことになります。かなり大きなニュースのような気が...
と、確認してみたところ、やっぱり一方向性がまずいっぽいです。
http://fse2007.uni.lu/slides/rump/md5.pdf
http://fse2007.uni.lu/slides/rump/apop.pdf
ついでに、ハッシュ関数の話題として、SHA-1の衝突発見の話まで出てるし。
http://fse2007.uni.lu/slides/rump/sha.pdf
AHSの制定に大きな影響を及ぼすでしょう。
APOP...?使ってませんが(w
