ハッシュ関数の一方向性とチャレンジレスポンス認証について

件名の件、チャレンジレスポンス認証は、ハッシュ関数の一方向性の性質から、暗号化をすることが不要と下記の記事に記載があります。
https://itmanabi.com/challenge-response/#google_ …

疑問点として、仮に攻撃者が盗聴をして、沢山の
(チャレンジコードandハッシュ値)のペアを入手し、
攻撃者がハッシュ関数も知っている(チャレンジレスポンス認証の前段階でハッシュ方式を何にするかパラメータ交換しているのを盗聴されるのかと思っています)とき、一方向性からハッシュ値から、チャレンジコード+パスワード、は導出出来ないと思いますが、上記のような沢山のデータを入手出来ていた時に、ハッシュ関数も分かっていればコンピータでパスワードを推測出来てしまわないのか？疑問に思っております。

勉強不足で恐縮ですが、ご教示のほど、お願い致します。

No.1 回答者： rinkun 回答日時： 2024/03/26 17:02

えーと、チャレンジとレスポンスの組が多数あれば通信路に出てこないパスワードを推測できるか? という問題ですね。

それができるようだとアルゴリズムに脆弱性があるという話ですね。

一方向関数(チャレンジ＋パスワード)→レスポンス
で良いですかね。一方向関数の性質からレスポンスからパスワードを推測することは困難です。なので、チャレンジと適当なパスワード候補からレスポンスを作ってみて一致すればそれが正しいパスワードの候補になるわけですが、これが既に簡単ではなく、なかなか一致しない。
さらに単一のチャレンジに対するレスポンスが一致しても正しいパスワードの候補であって確定ではない。そのパスワード候補が多数のチャレンジに対してすべて正しいレスポンスを返して初めて正しいパスワードなのですが、なかなか上手くいかないし、上手くいっても幾つ一致すればOKか分からない。適当に実機で確認するようだとパスワードリスト攻撃と大差ないわけですし。

この回答へのお礼

ご返答ありがとうございます。
記載頂いた内容は理解致しましたが、MD5のチャレンジレスポンス認証に脆弱性があるという記事がありました。これはご回答の最初の
それができるようだとアルゴリズムに脆弱性がある、
ためということだとすれば、MD5以外でチャレンジレスポンス認証が使える暗号アルゴリズムはあるのでしょうか？
https://xtech.nikkei.com/it/article/NEWS/2007041 …

お礼日時：2024/03/27 21:53