第３５号コラム「ハッシュ関数の安全性とオーストラリアの裁判事例 　―　カント・ヒルベルト的世界観からゲーデル・ブラウアー的世界観へ　―　」

第３５号コラム：辻井 重男 会長（情報セキュリティ大学院大学 学長）
題：「ハッシュ関数の安全性とオーストラリアの裁判事例
　　―　カント・ヒルベルト的世界観からゲーデル・ブラウアー的世界観へ　―　」

皆様、明けましておめでとうございます。
　昨年、１２月１５日、１６日のコミュニティ２００８は深い内容の講演・パネルを中心に素晴らしい盛り上がりを見せ大成功でした。ご支援頂いた関係各位、講師の方々にお礼申し上げるとともに、丸谷局長の指揮の下、献身的に努力された事務局の皆さんに深く感謝する次第です。

　私は、現在、総務省で、公的個人認証用暗号の世代交代の進め方に関する検討会の座長を務めていますが、その中で、デジタル・フォレンジックの基盤技術であるハッシュ関数に関係する、次のようなオーストラリアでの交通違反に関する裁判の事例が話題になりました。

　「スピード違反取締用に設置されていた交通カメラでハッシュ関数のMD５が利用されていた。当時、MD５は暗号学会において衝突計算攻撃が成功する事例が報告されていたため、交通違反の証拠は無効だという被告側の主張を認める判決が下された。」

　これは、技術と法律、風評被害・リスクコミュニケーションなどが深く絡み合う、デジタル・フォレンジックにとって深刻な現代的問題を孕む判決です。

　先ず、技術について考えて見ましょう。ハッシュ（Hash）関数というのは、長い文章やデータをランダムに、例えば、１２８ビット、或いは２５６ビットなどに圧縮する１方向性の関数で、圧縮された値をハッシュ値と呼びます。この技術は、ハッシュ値にデジタル署名を付して、本人性と文書の真正性の証明に利用したり、証拠の保全・開示に広く利用されていることはご存知の通りです。
　例えば、１万円のハッシュ値と１００万円のハッシュ値が同じ値になっては困りますので、ハッシュ関数に求められることは、異なる二つの文書が、同じハッシュ値にならないこと、即ち、衝突しないことです。尤も、長い文書を短くするのですから、数学的には衝突は起こりますが、現実に問題がない程度の頻度（例えば、１億年に１回とか）なら衝突は無いと約束します。邪な人は、取引相手の文書A（例えば、「１万円支払う」という文書）を文書B（「１００万円支払う」という文書）に改ざんすることを目論見、文書AとBが同じハッシュ値になるような攻撃を仕掛けるかも知れません。我々、暗号研究者は、このような攻撃が成功しないよう、攻撃法とその対策を研究しています。そのため、先ず、次の２種類の攻撃法を定義しています。

①衝突計算攻撃　無限に近いほど多くある文書の中で、ハッシュ値が偶々一致するような２つ文書を
見つけるという攻撃
②第２原像攻撃　上に述べたように、１万円を１００万円に改ざんできるような攻撃

　上の呼び方は非専門化には分り難いので、私は、①を偶々一致攻撃、②を成りすまし攻撃と呼んでいます。

　お分かりのように、①の偶々一致攻撃が成功しても、実際上の被害にはなりません。しかし暗号研究者は、手堅く、このような攻撃法についても検討しているのです。

　次に、ハッシュ関数の安全性と法的効力の関係について考えてみたいと思います。
　上に述べたオーストラリアの裁判では「MD５の衝突計算攻撃が学会で報告された」ことが、交通違反の証拠にならないという根拠にされたということです。MD５の場合は、衝突計算攻撃に弱いことが、使い方との組み合わせで、成り済ましに繋がる可能性もありますが、一般に、暗号の学会での議論を裁判所の判決に直結させるのは行き過ぎです。現在、電子政府では、SHA１から次世代のハッシュ関数への世代交代を議論していますが、SHA１については、衝突計算攻撃を受ける可能性は高まりつつありますが、それが成りすましに繋がるおそれは今のところありません。
　いずれにしても暗号の専門家と法律家の壁を低くし、知識疎通を図る手立てが必要です。裁判に際して、専門家の意見を聞くことが必要です。

　風評被害・リスクコミューニケーション
　学会は安全サイドに立って、厳し過ぎるとも言える評価基準の下に研究を進めています。それを直ぐに、裁判の現場に使われるのは、上にも述べたように見当違いです。暗号は解読されたというとニュースになり易いのも困ったものです。悪いニュースが７割、良いニュースが３割だと新聞がよく売れると聞いたことがありますが、人間の愚かな性の為せる業でしょうか。

　さて、ハッシュ関数を含む暗号の安全性に話題を広げましょう。暗号の安全性と一口に言っても、（１）理論（アルゴリズム）が破られた、（２）あるいはＩＣカードなどに対する物理的・電磁波的攻撃などで解読された、（３）更には、プロトコルや運用の不備を衝かれたなど、いろいろな面を考える必要がありますが、最も被害が広範囲に及ぶのは、理論的に解読された場合です。絶対安全には出来ないのかと仰るかも知れませんが、それは、人間の理性の限界、あるいは造物主の不完全さに係わることで、無理な注文です。

　正月から、難しい話になって恐縮ですが、その辺の歴史的経緯を振り返って見ましょう。数学史上の巨人、ヒルベルトは、数学は論理的に無矛盾かつ完全に記述できるという信念を持ってヒルベルト計画を進めました。ヒルベルトは、哲学者カントと同じケーニヒスクベルク（現在ロシア領）に生まれ、母親共々、カントを尊敬し影響を受けたと言われています。しかし、この大数学者の「数学は知らねばならない。知るであろう」という信念は、天才ゲーデルが、１９３１年に構築した不完全性定理によって覆されました。
　無矛盾な体系の中に、真であるとも偽であるとも証明できない問題があることが示されたわけです。この定理は、哲学を始め多くの分野の興味を惹きました。原子物理学者オッペンハイマーは、この定理は人間理性の限界を示すものと評しました。逆に、多くの数学者は、ゲーデルの不完全性定理など国境紛争くらいにしか意識せず、日々の研究に勤しんでいるように見えます。
　むしろ我々、暗号や情報セキュリティの専門家の方が、ゲーデルの不完全性定理そのものではありませんが、それと類似の不可解性と、日々、悩み楽しみながら付き合わねばならない状況にいるというわけです。
　私と同じく「量子コンピュータでも解読されない多変数公開鍵暗号理論」を研究している外国のある学者は、
　「It is an original sin that no list of possible attacks can be exhaustive 」
(暗号の解読法を全て列挙できないのは原罪である)と述べています。私はキリスト教徒ではないので、原罪とは思っていませんが、いずれにしても、安全か安全でないか、真か偽かの二律背反ではなく、常にグレーゾーンがあることを認識することが、根源的な理論の世界でも避けられないわけです。
　村田　全という数理哲学者が、「カントの二律背反もゲーデルの不完全性定理が明らかになった現在から見ると、コンニャク問答のように見える」と書いていますが、我々は
　「カント・ヒルベルト的世界観からゲーデル・ブラウワー的世界観へ」
という認識で、情報セキュリティを高めいかねばならないようです。

　新年早々、お屠蘇気分を壊すような話になってしまい申し訳ありませんでした。
　意思的楽観主義で経済不況を克服して、今年を良い年にしましょう。