交通違反画像の真正性は MD5 ハッシュ値の確認では不十分? 68
これは夢が広がる 部門より
ある Anonymous Coward 曰く、
6 年も前の話題ではあるが、オーストラリアではスピード違反の取り締まりに使われる監視カメラ画像が改竄されていない事を示すのに MD5 ハッシュ値が使われていた。ある時、スピード違反をした被告とその弁護士がこの事を指摘し「MD5 では任意のハッシュ値を持つデータ列を生成可能なことが学会で報告されているので (参考: ちょうどその頃の/.J 記事) 、スピード違反の証拠として監視カメラ画像は無効である」と主張したところ、交通裁判所がこれを認めた、という事があったらしい (当時の CNET News の記事、ITmedia エンタープライズの記事より) 。
ITmedia エンタープライズの記事で萩原栄幸氏は、
MD5 のハッシュ値については、今の PC で数十分もあれば同一ハッシュ値のデータ X と Y を生成できてしまうというレベルにある (前述の強衝突耐性の突破が可能) 。しかし、学会では「弱衝突耐性の突破」という話題すら聞くことがない。そのような状態で、原本データ M のハッシュ値 S と同じハッシュ値を持ちながら、原本と錯誤するような偽の原本データ N を容易に作成できてしまうというのは、甚だ眉唾ものである。天文学的な可能性が存在するとはいえ、裁判で証拠画像を認定しないのはどうみてもおかしいと筆者は感じるのである。それを言えば、現在の高度な科学捜査全体を否定することになってしまう。
と述べており、MD5 に脆弱性があるとは言っても現状では指紋が偶然一致する確率があるので指紋は証拠にならないといっているようなものだとして疑問を呈しているのだが、いつ頃までこの疑問は有効だろうか? あるいは 6 年前のオーストラリアの事例は運良く辣腕弁護士に裁判官が騙されただけのことか、あるいは頭の悪い裁判官にあたってしまっただけのことなのだろうか?
過剰反応 (スコア:2)
記事にもある通り、強い衝突性(ハッシュが同じ値になる二つのデータを発見する)はあっても、
弱い衝突性(あるデータと同じハッシュ値を持つデータを生成することができること)は
未だ発見されていなかったはずです。
もし弱い衝突性が見つかっているのなら、裁判官を擁護する余地もあると思います。
もっとも、私はsha256sumを使っています。確かまだsha256sumは衝突性は強弱どちらも
見つかっていなかったと記憶しています。
話は違いますが、上の強弱の衝突性の概念を知ったとき、どっちかというと弱い衝突性の方を
破られた方がまずいと思い、こっちを弱いと表現するのは変じゃないかと思いました。
私ごときが用語を批判したところで変わりはしませんが、どうでしょ?
Re:過剰反応 (スコア:2)
狙って衝突させることができるのを弱い衝突性と呼ぶと考えてみてはどうでしょう
ハッシュの衝突を望む人がいないという性善説的前提があれば強い衝突性の方がまずいのです
しかし残念ながら現実は非情でした
Re:過剰反応 (スコア:1)
狙って衝突できるなら、狙わずに衝突してしまうこともありうるので、
弱い衝突が起こるなら、強い衝突も起こるはずかと。
1を聞いて0を知れ!
Re:過剰反応 (スコア:2)
PS3で米大統領選の結果を「正確に」予知?…実はMD5脆弱性への問題提起 [srad.jp]
Re:過剰反応 (スコア:1)
強弱で表現しているのは、衝突性ではなく衝突耐性ではないでしょうか。
というように、強弱の表現はあっていると思います。
# <ul>がきれいに表示されない…
Re:過剰反応 (スコア:1)
なるほど。そうなるとやはり用語の選択が間違ってたという結論になりそうですね。
Re:過剰反応 (スコア:1)
誤解があるようなので、もう一度。
# それとも自分が何か勘違いしているのかなあ?
普通は元記事にあるように、
というように強衝突耐性と言うと思います。衝突に対する耐性の強弱を表す言葉ですね。
それを強い衝突性と言いかえちゃっているから意味がおかしくなっているのだと思います。
# 強い衝突性って表現を初めて聞いた…
Re:過剰反応 (スコア:1)
昔、衝突性と習ったのですが、そっちが間違いということですね。なるほど。
Re: (スコア:0)
話は違いますが、上の強弱の衝突性の概念を知ったとき、どっちかというと弱い衝突性の方を
破られた方がまずいと思い、こっちを弱いと表現するのは変じゃないかと思いました。
強弱で表現しているのは、衝突性ではなく、条件ではないでしょうか。
従って、強衝突性が破られても、限定的な攻撃しかできない。
従って、弱衝突性が破られると、より広範な攻撃が可能になる。
というように、強弱の表現が脆弱性に関しては逆になってるんだと思います。
改竄されていない事の保障 (スコア:2)
これって結構難しい問題で
改竄されていない事を証明しないといけない
わけですよね。
衝突の強弱についての説明があったかどうかは不明ですけど、確かに裁判官からすれば「複製が出来る可能性」があるのであれば
証拠として無効とするのは何となく分かります。
# 確率としては凄い低いわけですが、そこは検察と弁護側の腕と、
# 裁判官の技術への理解力でこういう結果になったのかな~と・・・
Re:改竄されていない事の保障 (スコア:1)
># 確率としては凄い低いわけですが、そこは検察と弁護側の腕と、
># 裁判官の技術への理解力でこういう結果になったのかな~と・・・
科学(量子力学)的には、同一の物体が、2箇所に存在することがあり、実験で確認もされているのですが、
これと、存在証明(いわゆる「アリバイ」)のことを考えると、とても面白いことになりそうです。
#実際に、イギリスかどこかでそういう主張をした弁護士がいて、そのときは裁判官が量子力学主張を蹴った
#という話を聞いたことがあるのですが、ソースが見つからなかった…。
Re:改竄されていない事の保障 (スコア:1)
ものすごく低い確率さえも無視できないとなると、逆に、確実に犯罪が証明されているケースがどれくらいあるのかさえ疑問です。
あるいは、仮に、確かに犯行が行われていたとしても、事件当時、何者かにマインドコントロールがされていて、完全に責任能力がない状態でなかったとどうして言いきれましょう?
1を聞いて0を知れ!
Re: (スコア:0)
私もこのコメントに賛成です。
今回の証拠が証拠能力を持つかどうかは、指紋が証拠能力を持つということと比較して考えてみるとよくわかります。
指紋の証拠能力は、「終生不変」・「万人不同」の両方が認められているから証拠たりえるもので、
監視カメラの画像が「終生不変」(つまり改ざんされていない)かどうかに疑問を呈する弁護側の立場はもっともなものです。
MD5が同じであるだけでは、それは証明されていない(ただし具体的な画像は出せないが)。
となれば改ざんされていないことを証明するのは、検察側の手番になります。
# 要するにどっちが証明すべきかについて、弁護側が証明が足りないとの、求釈明になります
Re:改竄されていない事の保障 (スコア:1)
指紋の証拠能力は、「終生不変」・「万人不同」の両方が認められているから証拠たりえるもので
指紋は誤魔化せます。整形手術とかグミとかで。
今回の件は、検察側の説明不足でしょう。MD5を誤魔化すのがどのくらい難しいか。
Re:改竄されていない事の保障 (スコア:1)
>指紋は誤魔化せます。整形手術とかグミとかで。
整形手術で、指紋変えたけどバレた例もありますしね。
紋様変えても、汗腺が変わらないから下から浮き出てくるんだって。
Copyright (c) 2001-2014 Parsley, All rights reserved.
MD5のハッシュ値でどうやって改竄されていない事を証明するの? (スコア:2)
電子署名ではなくて?
改竄した後にハッシュ値を再計算すればいくらでも誤魔化せますが?
Re:MD5のハッシュ値でどうやって改竄されていない事を証明するの? (スコア:1)
送り手と受け手のファイルが同一かどうかを判断するのに役立つのがコレですよね。
だから元システムに記録された電子ファイルのMD5と、検察が提出した電子ファイルのMD5を比較して同一、というのを見せることで
検察が提出した電子ファイルは改竄されてない証明となる。
しかし検察が例えば写真に写ってたナンバープレートを改竄し、ハッシュ値が同一になるよう電子ファイルにオマケつけたりして「改竄したけど同じハッシュ値」を作成できるなら証拠能力は無いよ、と。
(システム内部でデータ改竄できるということはこの際棚上げする)
しかし詳しい人なら「世の中に同じハッシュ値を持つファイルが複数存在すること」は当然有り得ることだけど
「写真を好きなように改竄し、その後のファイルのハッシュ値を元のハッシュ値と同じになるよういじる」のはとんでもなく難しいことが分かってる。
(世の中から「同じハッシュ値のファイル」を拾ってくることはできるかもしれないけど、それが「容疑者が犯罪を犯した証拠」である可能性はほぼゼロだよね)
だからニュースになってるんだ。
Re:MD5のハッシュ値でどうやって改竄されていない事を証明するの? (スコア:2)
写真とハッシュ値を証拠として提出したのは検察ではないのですか?
写真とハッシュ値の入手経路が別でないとなんの証明にもならないかと。
カメラも警察?の管理下でしょうし。
それともハッシュ値は被告が提出したのかな?
Re:MD5のハッシュ値でどうやって改竄されていない事を証明するの? (スコア:2)
カメラのハッシュ値は一定期間記録させ第三者が照会できる。
外部からの変更は不可能って仕様は入ってますかね?
近未来、 (スコア:2)
いっぽう印鑑は使われ続けた。
たぶんこんな感じ (スコア:1)
検事B:あ、いや、はい、そのはずなんですが・・・
裁判官:弁護側は証拠写真は無効と主張していますが、これに対して反論はありますか?
検事A:あー、いや、その・・・・・
裁判官:ありますか?ありませんか?
検事A:あ、ありますが、弁護側の主張について検討する時間を・・・・・・
裁判官:却下します。本件は即日結審ですので反論が無ければこれで結審します。反論はありますか?
検事A:あ、ありません・・・・・
裁判官:ではこれにて結審します。判決、被告人は無罪。以上、閉廷します。
裁判官がバカとか無知とかいう話じゃないと思うんだ。
言うなら、準備不足の検察の大失態、って感じで。
Re:たぶんこんな感じ (スコア:2)
判ってる奴程、こんな質問が来る可能性は、逆に盲点になっちまうよ〜な気もする。
とりあえず、安く安全にするには (スコア:1)
画像ファイルの
サイズ
日付
MD5
SHA1系(256とか)
のセットで保存すべきかな?
# 1つで突破される可能性より2つ両方満すほうが面倒そうだ、というだけですが
## SHA1もどこまで持つか不明だけど、両方を突破するのは当分無理だと思うので。
M-FalconSky (暑いか寒い)
Re:とりあえず、安く安全にするには (スコア:1)
おっとSHA-224以降がSHA-2系なのか
これは失敬
M-FalconSky (暑いか寒い)
画像データ形式 (スコア:0)
画像データが圧縮形式であれば同一ハッシュの有効な画像データを生成するのって
難しそうだけど無圧縮であればそれなりになんとかなりそうな気もしないでもない。
Re: (スコア:0)
頭やお尻に適当なデータくっつけても大丈夫な形式ならいけますね
Re:画像データ形式 (スコア:2)
耳とかしっぽとか?
Re:画像データ形式 (スコア:2)
例えば png 形式であればテキストチャンクにデータを入れればいけそうな気はしますね。
jpeg だと exif フォーマットのコメントあたり?
Re: (スコア:0)
それで同じハッシュ値が生成できたとしても、法廷でexif フォーマットのコメントエリアに通常想定していないデータがあることが示されれば、無理やり作ってますってバレバレじゃん。
この程度じゃ、(たぶんコメントエリアには監視システム側で生成した通常値しか入っていないであろう)元データの真正性が崩れるとはとても思えません。
Re: (スコア:0)
この手の話題でいつも思うのだが、ファイルサイズをチェックするだけでもかなり堅牢になるだろうと。
GNUのmd5sumでもサイズ出力しないんだよな・・・
Re: (スコア:0)
もし改ざんするなら、ファイルサイズや更新日付などは偽装するだろうから意味がないと思います。
md5なら、たとえファイルサイズが同じでも違う値がでるので、まず偽装は難しくなるでしょう。
特に画像だと・・・全く同じmd5の値を持つ画像を作り出せたとしても(その方法はまだないが、今後CPUが飛躍的にアップすれば可能になる?)それはただの変な画像の可能性が高いです。
さらに人間の目で見て意味のある画像を作り出すことは無理だろうって話ですね。
ちなみに画像ではなく通常のファイルで中身は何でもOKのシステムの場合は、md5のみだと改ざんの可能性もあります。
その時は通常のmd5と別のもの、例えばファイルサイズと何かキーワード(推測されにくいもの)を追加したものでもう1個md5を計算しておいて、この2つが同じだったら改ざんされていないとするというなら・・・情報処理の試験にあった気がするw
Re: (スコア:0)
恐らく親コメントは、
「頭やお尻に適当なデータくっつけてmd5を詐称するなら、md5とファイルサイズを同時にチェックするようにすれば良いのに」
と言ってるんだと思います。
法律の実務家的には問題ないはず (スコア:0)
「原本データ M のハッシュ値 S と同じハッシュ値を持ちながら、原本と錯誤するような偽の原本データ N を容易に作成できてしまうというのは、甚だ眉唾ものである。」とあるが、意図的に画像を捏造できる可能性がゼロで無いことは間違いない. 法律の実務家的にはそれをもって証拠画像の信頼性に欠けると判断するのは何の問題もないはず.
「指紋が偶然一致する確率があるので指紋は証拠にならないといっているようなものだ」とあるが、逆に言えば犯人と思われる人間の集団の中から犯人で無い人間(指紋が一致しない人間)を確実にリジェクトすることは出来る. したがって、法律の実務家的にはリジェクトされなかった人間を犯人と断定することに問題は無い.
要は法律家は法律業界の前提条件でもって物事を判断するから、科学的常識に基づいた確率論の話をしても科学・技術業界の人間が持っている常識が通用しない場合があるということ.
Re:法律の実務家的には問題ないはず (スコア:1)
意図的に画像を捏造できる可能性がゼロで無いことは間違いない
法律家なら、そこには蓋然性というものを判断に入れるはずです。だからこそ、指紋は有効に証拠とされているのです。
Re: (スコア:0)
>科学的常識に基づいた確率論の話をしても科学・技術業界の人間が持っている常識が通用しない場合がある
こんな条例を思い出した
「オーストラリアの当局は胸の小さい女性の adult publications and films を禁止するとのこと。税関では没収。見かけが18歳未満とAカップは児童とみなすとのこと」
Re: (スコア:0)
じゃあDNA鑑定はすべて無効ということでよろしいですね。
偶然一致する可能性はゼロじゃありませんから。
指紋と比べるのはどうかなー (スコア:0)
同じ指紋を用意するためには、たくさんの指紋をあらかじめ用意しないといけないから、膨大な物理的コストがかかる。
(コンピュータで処理できる指紋データみたいなもんががあれば別だろうけど)
一方MD5の脆弱性を突くには最近のPCがあればできるんだから、コマンド一つ実行したあとは何もしなくても突破できる(可能性がある)。
両者のコストは全然違いますよ。だから、指紋だって脆弱性あるじゃないか!!って言うのはおかしいような気がします。
結局、物理層最強ってことですね。
Re:指紋と比べるのはどうかなー (スコア:2)
> 一方MD5の脆弱性を突くには最近のPCがあればできるんだから、コマンド一つ実行したあとは何もしなくても突破できる(可能性がある)。
そう, 可能性はある。
しかし, タレ込みではその可能性は天文学的に低いとなっている。
であるなら, "原本データのMD5ハッシュ値と同じハッシュ値を持つ別の原本データと錯誤するような偽データ"を作るにはPCなら天文学的な時間=コストがかかるであろう。
正直, 同じ指紋を用意するコストなる意味がわからないよ。
指紋は用意したり, 作ったりするものじゃないからね。
だからそのコストについて考えること自体無意味。
ここではエスパーになって, 同じ指紋の人間が生まれるまで人を増やすということとしよう。
これなら確かにコストとして比較できる。
で, 同ハッシュ別データのコストは同じ指紋のコストと比較できないほど小さいかね?
なので, 現時点ではMD5がだめなら指紋だって脆弱性はあるじゃないか, っていうタレ込みはおかしいと思わないし, 物理層最強っていう主張も理解できないです。
# なんで確率の問題をコストの問題にすり替えたんだろう?
# 詭弁のテクニック?
# それとも日本語として「同じハッシュ値を持つ別データを作る」, を「同じ指紋を作る」と
# 読み替えてみたのかな?それで別データは作るものでコストがかかるから、
# じゃぁ指紋でも, 同じ指紋を作るコストを考えてみよう!って思ったのかな?
# 俺スルー力が足りない?
Re:指紋と比べるのはどうかなー (スコア:2)
たぶんmd5をDBに入れてクエリ投げたら重複結果が複数見つかったんじゃないかな。
#1件だけとかだとどうするんだろ
裁判官の頭が悪いのはデフォ (スコア:0)
弁護士がずる賢いのもデフォ。なので現行の裁判制度を改めて常に各分野の専門家がオブザーバーとして出席するようにしないといけない。
Re:裁判官の頭が悪いのはデフォ (スコア:1)
おそらく、ほとんどすべての裁判官は、君より頭がいい。少なくとも弁護士がずる賢いのと同程度には頭がいい。どっちも司法試験に合格してるんだから。
ただ、法律以外の知識に優れているというわけではない、というのは本当だね。
Re: (スコア:0)
検察官などいなかった
ハッシュ値以前の単純な疑問 (スコア:0)
#デジタル化で余計にコストがかかるならアナログでいいじゃん、的な。
Re:ハッシュ値以前の単純な疑問 (スコア:2)
友人の親が迷惑行為防止条例違反の証拠をフイルムで提出して受け付けられました。
アナログ(フイルム)だと劣化するし、合成が不可能なわけではないし
別コメにもあるように保管場所(劣化しにくい環境)も必要だし
現像時の強酸液とか強アルカリ液とか処理めんどくさいしお金かかるし
速報性が必要とされている場合もあったりして。。。
#デジタルでいいじゃん、見たいになっちゃうよね。
Re: (スコア:0)
アナログだと保管場所に困るような。
Re: (スコア:0)
先生!マビカはデジタルですか?アナログですか?
論破されただけ (スコア:0)
最高裁判決じゃないし、違う事件なら違う判決になるんでないかい。
Re: (スコア:0)
失礼だぞ。論破されたのは、裁判官じゃなくて検察側だ。
裁判官がそう判断したのは専門知識が不足しているからかもしれないが。
# お前は法廷侮辱罪で裁かれてこい
MD5を捨てよう (スコア:0)
ITメディアの原文にも書いてあるけど、
ハッシュ関数については、MD5はさっさと捨て、NIST推奨からも外れたSHA-1もできる限りスルーして、
早くSHA-2に移行するべき。
また今後作るシステムはSHA-3が出てきたときにプラグインできるようにシステム設計すべき。
啓蒙のためも含めて、WindowsのエクスプローラにファイルのSHA-256やSHA-512を
計算するUIをつけてくれないかな。それで世の中がだいぶいろいろ変わるはずなんだが。
Re:MD5を捨てよう (スコア:1)
> 啓蒙のためも含めて、WindowsのエクスプローラにファイルのSHA-256やSHA-512を
> 計算するUIをつけてくれないかな。それで世の中がだいぶいろいろ変わるはずなんだが。
これは大賛成。
Windows8で採用してくれるとうれしいんですが。
# とりあえず、今はHash Tab [impress.co.jp]を使っています。