パスワードを忘れた? アカウント作成
790289 story
暗号

交通違反画像の真正性は MD5 ハッシュ値の確認では不十分? 68

ストーリー by reo
これは夢が広がる 部門より

ある Anonymous Coward 曰く、

6 年も前の話題ではあるが、オーストラリアではスピード違反の取り締まりに使われる監視カメラ画像が改竄されていない事を示すのに MD5 ハッシュ値が使われていた。ある時、スピード違反をした被告とその弁護士がこの事を指摘し「MD5 では任意のハッシュ値を持つデータ列を生成可能なことが学会で報告されているので (参考: ちょうどその頃の/.J 記事) 、スピード違反の証拠として監視カメラ画像は無効である」と主張したところ、交通裁判所がこれを認めた、という事があったらしい (当時の CNET News の記事ITmedia エンタープライズの記事より) 。

ITmedia エンタープライズの記事で萩原栄幸氏は、

MD5 のハッシュ値については、今の PC で数十分もあれば同一ハッシュ値のデータ X と Y を生成できてしまうというレベルにある (前述の強衝突耐性の突破が可能) 。しかし、学会では「弱衝突耐性の突破」という話題すら聞くことがない。そのような状態で、原本データ M のハッシュ値 S と同じハッシュ値を持ちながら、原本と錯誤するような偽の原本データ N を容易に作成できてしまうというのは、甚だ眉唾ものである。天文学的な可能性が存在するとはいえ、裁判で証拠画像を認定しないのはどうみてもおかしいと筆者は感じるのである。それを言えば、現在の高度な科学捜査全体を否定することになってしまう。

と述べており、MD5 に脆弱性があるとは言っても現状では指紋が偶然一致する確率があるので指紋は証拠にならないといっているようなものだとして疑問を呈しているのだが、いつ頃までこの疑問は有効だろうか? あるいは 6 年前のオーストラリアの事例は運良く辣腕弁護士に裁判官が騙されただけのことか、あるいは頭の悪い裁判官にあたってしまっただけのことなのだろうか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 記事にもある通り、強い衝突性(ハッシュが同じ値になる二つのデータを発見する)はあっても、
    弱い衝突性(あるデータと同じハッシュ値を持つデータを生成することができること)は
    未だ発見されていなかったはずです。

    もし弱い衝突性が見つかっているのなら、裁判官を擁護する余地もあると思います。

    もっとも、私はsha256sumを使っています。確かまだsha256sumは衝突性は強弱どちらも
    見つかっていなかったと記憶しています。

    話は違いますが、上の強弱の衝突性の概念を知ったとき、どっちかというと弱い衝突性の方を
    破られた方がまずいと思い、こっちを弱いと表現するのは変じゃないかと思いました。
    私ごときが用語を批判したところで変わりはしませんが、どうでしょ?

    • by unclear (16660) on 2011年09月14日 13時28分 (#2019415)
      狙わないのにハッシュが衝突してしまうのを強い衝突性
      狙って衝突させることができるのを弱い衝突性と呼ぶと考えてみてはどうでしょう
      ハッシュの衝突を望む人がいないという性善説的前提があれば強い衝突性の方がまずいのです
      しかし残念ながら現実は非情でした
      親コメント
    • by k-hello (13137) on 2011年09月14日 21時08分 (#2019708)
      2007年の時点でファイルフォーマットの限定はあるものの突破されていると思いましたが。
      PS3で米大統領選の結果を「正確に」予知?…実はMD5脆弱性への問題提起 [srad.jp]
      親コメント
    • by doda (31157) on 2011年09月14日 13時22分 (#2019411) 日記

      話は違いますが、上の強弱の衝突性の概念を知ったとき、どっちかというと弱い衝突性の方を
      破られた方がまずいと思い、こっちを弱いと表現するのは変じゃないかと思いました。

      強弱で表現しているのは、衝突性ではなく衝突耐性ではないでしょうか。

      • 強衝突耐性が守られていれば、衝突に対して強い耐性がある。
      • 強衝突耐性が破られても弱衝突耐性が守られていれば、衝突に対して弱い耐性がある。
      • 弱衝突耐性が破られると、衝突に対して弱い耐性すらない。

      というように、強弱の表現はあっていると思います。
      # <ul>がきれいに表示されない…

      親コメント
      • なるほど。そうなるとやはり用語の選択が間違ってたという結論になりそうですね。

        親コメント
        • by doda (31157) on 2011年09月14日 16時44分 (#2019537) 日記

          誤解があるようなので、もう一度。
          # それとも自分が何か勘違いしているのかなあ?

          普通は元記事にあるように、

          MD5 のハッシュ値については、今の PC で数十分もあれば同一ハッシュ値のデータ X と Y を生成できてしまうというレベルにある (前述の強衝突耐性の突破が可能) 。しかし、学会では「弱衝突耐性の突破」という話題すら聞くことがない。

          というように強衝突耐性と言うと思います。衝突に対する耐性の強弱を表す言葉ですね。
          それを強い衝突性と言いかえちゃっているから意味がおかしくなっているのだと思います。
          # 強い衝突性って表現を初めて聞いた…

          親コメント
    • by Anonymous Coward

      話は違いますが、上の強弱の衝突性の概念を知ったとき、どっちかというと弱い衝突性の方を
      破られた方がまずいと思い、こっちを弱いと表現するのは変じゃないかと思いました。

      強弱で表現しているのは、衝突性ではなく、条件ではないでしょうか。

      • 強衝突性は、強い(厳しい)条件下のみで衝突させることができる。

        従って、強衝突性が破られても、限定的な攻撃しかできない。

      • 弱衝突性は、弱い(緩い)条件下で衝突させることができる。

        従って、弱衝突性が破られると、より広範な攻撃が可能になる。

      というように、強弱の表現が脆弱性に関しては逆になってるんだと思います。

  • これって結構難しい問題で
    改竄されていない事を証明しないといけない
    わけですよね。
    衝突の強弱についての説明があったかどうかは不明ですけど、確かに裁判官からすれば「複製が出来る可能性」があるのであれば
    証拠として無効とするのは何となく分かります。

    # 確率としては凄い低いわけですが、そこは検察と弁護側の腕と、
    # 裁判官の技術への理解力でこういう結果になったのかな~と・・・

    • by Anonymous Coward on 2011年09月14日 16時17分 (#2019518)

      ># 確率としては凄い低いわけですが、そこは検察と弁護側の腕と、
      ># 裁判官の技術への理解力でこういう結果になったのかな~と・・・

        科学(量子力学)的には、同一の物体が、2箇所に存在することがあり、実験で確認もされているのですが、
      これと、存在証明(いわゆる「アリバイ」)のことを考えると、とても面白いことになりそうです。

      #実際に、イギリスかどこかでそういう主張をした弁護士がいて、そのときは裁判官が量子力学主張を蹴った
      #という話を聞いたことがあるのですが、ソースが見つからなかった…。

      親コメント
    • ものすごく低い確率さえも無視できないとなると、逆に、確実に犯罪が証明されているケースがどれくらいあるのかさえ疑問です。
      あるいは、仮に、確かに犯行が行われていたとしても、事件当時、何者かにマインドコントロールがされていて、完全に責任能力がない状態でなかったとどうして言いきれましょう?

      --
      1を聞いて0を知れ!
      親コメント
    • by Anonymous Coward

      私もこのコメントに賛成です。
      今回の証拠が証拠能力を持つかどうかは、指紋が証拠能力を持つということと比較して考えてみるとよくわかります。
      指紋の証拠能力は、「終生不変」・「万人不同」の両方が認められているから証拠たりえるもので、
      監視カメラの画像が「終生不変」(つまり改ざんされていない)かどうかに疑問を呈する弁護側の立場はもっともなものです。
      MD5が同じであるだけでは、それは証明されていない(ただし具体的な画像は出せないが)。
      となれば改ざんされていないことを証明するのは、検察側の手番になります。

      # 要するにどっちが証明すべきかについて、弁護側が証明が足りないとの、求釈明になります

  • 電子署名ではなくて?

    改竄した後にハッシュ値を再計算すればいくらでも誤魔化せますが?

  • by gabill (29206) on 2011年09月14日 19時33分 (#2019651)
    技術が高度に発達し、過去のあらゆる暗号化技術が法的効力を失った。

    いっぽう印鑑は使われ続けた。
  • by Anonymous Coward on 2011年09月14日 17時28分 (#2019563)
    検事A:おぃ、あっちは学会がどうとか言ってるぞ。ハッシュ値が付いてるから大丈夫じゃなかったのか?!
    検事B:あ、いや、はい、そのはずなんですが・・・

    裁判官:弁護側は証拠写真は無効と主張していますが、これに対して反論はありますか?

    検事A:あー、いや、その・・・・・

    裁判官:ありますか?ありませんか?

    検事A:あ、ありますが、弁護側の主張について検討する時間を・・・・・・

    裁判官:却下します。本件は即日結審ですので反論が無ければこれで結審します。反論はありますか?

    検事A:あ、ありません・・・・・

    裁判官:ではこれにて結審します。判決、被告人は無罪。以上、閉廷します。

    裁判官がバカとか無知とかいう話じゃないと思うんだ。
    言うなら、準備不足の検察の大失態、って感じで。
  • 画像ファイルの
      サイズ
      日付
      MD5
      SHA1系(256とか)
    のセットで保存すべきかな?

    # 1つで突破される可能性より2つ両方満すほうが面倒そうだ、というだけですが
    ## SHA1もどこまで持つか不明だけど、両方を突破するのは当分無理だと思うので。

    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Coward on 2011年09月14日 12時42分 (#2019373)

    画像データが圧縮形式であれば同一ハッシュの有効な画像データを生成するのって
    難しそうだけど無圧縮であればそれなりになんとかなりそうな気もしないでもない。

    • by Anonymous Coward

      頭やお尻に適当なデータくっつけても大丈夫な形式ならいけますね

      • by flutist (16098) on 2011年09月14日 12時56分 (#2019387)

        耳とかしっぽとか?

        親コメント
      • by denchu (6847) on 2011年09月14日 13時53分 (#2019434)

        例えば png 形式であればテキストチャンクにデータを入れればいけそうな気はしますね。
        jpeg だと exif フォーマットのコメントあたり?

        親コメント
        • by Anonymous Coward

          それで同じハッシュ値が生成できたとしても、法廷でexif フォーマットのコメントエリアに通常想定していないデータがあることが示されれば、無理やり作ってますってバレバレじゃん。

          この程度じゃ、(たぶんコメントエリアには監視システム側で生成した通常値しか入っていないであろう)元データの真正性が崩れるとはとても思えません。

      • by Anonymous Coward

        この手の話題でいつも思うのだが、ファイルサイズをチェックするだけでもかなり堅牢になるだろうと。
        GNUのmd5sumでもサイズ出力しないんだよな・・・

        • by Anonymous Coward

          もし改ざんするなら、ファイルサイズや更新日付などは偽装するだろうから意味がないと思います。
          md5なら、たとえファイルサイズが同じでも違う値がでるので、まず偽装は難しくなるでしょう。

          特に画像だと・・・全く同じmd5の値を持つ画像を作り出せたとしても(その方法はまだないが、今後CPUが飛躍的にアップすれば可能になる?)それはただの変な画像の可能性が高いです。
          さらに人間の目で見て意味のある画像を作り出すことは無理だろうって話ですね。

          ちなみに画像ではなく通常のファイルで中身は何でもOKのシステムの場合は、md5のみだと改ざんの可能性もあります。
          その時は通常のmd5と別のもの、例えばファイルサイズと何かキーワード(推測されにくいもの)を追加したものでもう1個md5を計算しておいて、この2つが同じだったら改ざんされていないとするというなら・・・情報処理の試験にあった気がするw

          • by Anonymous Coward

            恐らく親コメントは、
            「頭やお尻に適当なデータくっつけてmd5を詐称するなら、md5とファイルサイズを同時にチェックするようにすれば良いのに」
            と言ってるんだと思います。

  • by Anonymous Coward on 2011年09月14日 13時11分 (#2019402)

    「原本データ M のハッシュ値 S と同じハッシュ値を持ちながら、原本と錯誤するような偽の原本データ N を容易に作成できてしまうというのは、甚だ眉唾ものである。」とあるが、意図的に画像を捏造できる可能性がゼロで無いことは間違いない. 法律の実務家的にはそれをもって証拠画像の信頼性に欠けると判断するのは何の問題もないはず.

    「指紋が偶然一致する確率があるので指紋は証拠にならないといっているようなものだ」とあるが、逆に言えば犯人と思われる人間の集団の中から犯人で無い人間(指紋が一致しない人間)を確実にリジェクトすることは出来る. したがって、法律の実務家的にはリジェクトされなかった人間を犯人と断定することに問題は無い.

    要は法律家は法律業界の前提条件でもって物事を判断するから、科学的常識に基づいた確率論の話をしても科学・技術業界の人間が持っている常識が通用しない場合があるということ.

    • 意図的に画像を捏造できる可能性がゼロで無いことは間違いない

      法律家なら、そこには蓋然性というものを判断に入れるはずです。だからこそ、指紋は有効に証拠とされているのです。

      親コメント
    • by Anonymous Coward

      >科学的常識に基づいた確率論の話をしても科学・技術業界の人間が持っている常識が通用しない場合がある

      こんな条例を思い出した

      「オーストラリアの当局は胸の小さい女性の adult publications and films を禁止するとのこと。税関では没収。見かけが18歳未満とAカップは児童とみなすとのこと」

    • by Anonymous Coward

      じゃあDNA鑑定はすべて無効ということでよろしいですね。
      偶然一致する可能性はゼロじゃありませんから。

  • by Anonymous Coward on 2011年09月14日 13時25分 (#2019412)

    同じ指紋を用意するためには、たくさんの指紋をあらかじめ用意しないといけないから、膨大な物理的コストがかかる。
    (コンピュータで処理できる指紋データみたいなもんががあれば別だろうけど)
    一方MD5の脆弱性を突くには最近のPCがあればできるんだから、コマンド一つ実行したあとは何もしなくても突破できる(可能性がある)。
    両者のコストは全然違いますよ。だから、指紋だって脆弱性あるじゃないか!!って言うのはおかしいような気がします。

    結局、物理層最強ってことですね。

    • 時間のことを忘れていますよ。

      > 一方MD5の脆弱性を突くには最近のPCがあればできるんだから、コマンド一つ実行したあとは何もしなくても突破できる(可能性がある)。
      そう, 可能性はある。
      しかし, タレ込みではその可能性は天文学的に低いとなっている。
      であるなら, "原本データのMD5ハッシュ値と同じハッシュ値を持つ別の原本データと錯誤するような偽データ"を作るにはPCなら天文学的な時間=コストがかかるであろう。

      正直, 同じ指紋を用意するコストなる意味がわからないよ。
      指紋は用意したり, 作ったりするものじゃないからね。
      だからそのコストについて考えること自体無意味。
      ここではエスパーになって, 同じ指紋の人間が生まれるまで人を増やすということとしよう。
      これなら確かにコストとして比較できる。

      で, 同ハッシュ別データのコストは同じ指紋のコストと比較できないほど小さいかね?

      なので, 現時点ではMD5がだめなら指紋だって脆弱性はあるじゃないか, っていうタレ込みはおかしいと思わないし, 物理層最強っていう主張も理解できないです。

      # なんで確率の問題をコストの問題にすり替えたんだろう?
      # 詭弁のテクニック?
      # それとも日本語として「同じハッシュ値を持つ別データを作る」, を「同じ指紋を作る」と
      # 読み替えてみたのかな?それで別データは作るものでコストがかかるから、
      # じゃぁ指紋でも, 同じ指紋を作るコストを考えてみよう!って思ったのかな?

      # 俺スルー力が足りない?
      親コメント
  • by Anonymous Coward on 2011年09月14日 13時35分 (#2019420)

    弁護士がずる賢いのもデフォ。なので現行の裁判制度を改めて常に各分野の専門家がオブザーバーとして出席するようにしないといけない。

  • by Anonymous Coward on 2011年09月14日 14時00分 (#2019440)
    アナログ写真にはハッシュも何もないわけですが、現代ではアナログ写真は証拠能力ないんですか?

    #デジタル化で余計にコストがかかるならアナログでいいじゃん、的な。
    • 証拠能力がないと思ったのは何故なのか気になりますが、
      友人の親が迷惑行為防止条例違反の証拠をフイルムで提出して受け付けられました。

      アナログ(フイルム)だと劣化するし、合成が不可能なわけではないし
      別コメにもあるように保管場所(劣化しにくい環境)も必要だし
      現像時の強酸液とか強アルカリ液とか処理めんどくさいしお金かかるし
      速報性が必要とされている場合もあったりして。。。

      #デジタルでいいじゃん、見たいになっちゃうよね。
      親コメント
    • by Anonymous Coward

      アナログだと保管場所に困るような。

    • by Anonymous Coward

      先生!マビカはデジタルですか?アナログですか?

  • by Anonymous Coward on 2011年09月14日 16時09分 (#2019511)
    裁判官に専門知識が不足してるから、論破されただけじゃん。
    最高裁判決じゃないし、違う事件なら違う判決になるんでないかい。
    • by Anonymous Coward

      失礼だぞ。論破されたのは、裁判官じゃなくて検察側だ。
      裁判官がそう判断したのは専門知識が不足しているからかもしれないが。

      # お前は法廷侮辱罪で裁かれてこい

  • by Anonymous Coward on 2011年09月14日 16時34分 (#2019527)

    ITメディアの原文にも書いてあるけど、
    ハッシュ関数については、MD5はさっさと捨て、NIST推奨からも外れたSHA-1もできる限りスルーして、
    早くSHA-2に移行するべき。
    また今後作るシステムはSHA-3が出てきたときにプラグインできるようにシステム設計すべき。

    啓蒙のためも含めて、WindowsのエクスプローラにファイルのSHA-256やSHA-512を
    計算するUIをつけてくれないかな。それで世の中がだいぶいろいろ変わるはずなんだが。

    • by Anonymous Coward on 2011年09月14日 17時39分 (#2019571)

      > 啓蒙のためも含めて、WindowsのエクスプローラにファイルのSHA-256やSHA-512を
      > 計算するUIをつけてくれないかな。それで世の中がだいぶいろいろ変わるはずなんだが。

      これは大賛成。
      Windows8で採用してくれるとうれしいんですが。

      # とりあえず、今はHash Tab [impress.co.jp]を使っています。

      親コメント
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...