3兆ドルの時価総額が再びゼロに、SHA-256コリジョン攻撃が突破される

著者：OneKey中国語ソース：X、@OneKeyCN

最近、海外の暗号界でこんなツイートが話題になっている。最近、海外の暗号界で話題になったのは、"First practical SHA-256 collision for 31 steps." というツイートで、学術会議のパワーポイント・プレゼンテーションの写真付きです。left;">Solanaの共同創設者であるToly氏は、このような強気相場でなければこのようなニュースは生まれないと言わんばかりに、「We are so back」とリツイートした。

そして実際、暗号通貨の時価総額が以前の最高値である3兆ドルに戻ろうとしている時に、このブレークスルーがあった。もしSHA-256が本当にクラックされたら、あらゆる暗号通貨が共倒れになり、我々はテーブルの上にズボンしか残らなくなるだろう。

このブレークスルーは本物なのか？

率直な答え：はい、本当です、SHA-256衝突攻撃の新記録を更新しました。

この論文はEUROCRYPT 2024でアクセプトされました。論文はEUROCRYPTの公式ウェブサイト（https://eurocrypt.iacr.org/2024/acceptedp）でご覧いただけます。apers.php...) で確認できる。また、元の論文はこちら（https://eprint.iacr.org/2024/349）で、タイトルは「New」である。SHA-2に対する衝突攻撃の新記録」というタイトルで。

このブレークスルーを理解するには？

多くの暗号が関わってきますが、以下はできるだけ平易な言葉で理解するのに役立ち、原理についてはあまり深入りしません。

最初に知っておくべきことは、SHA-256とは何かということです。

SHA-256は、論文のタイトルで細分化されたSHA-2アルゴリズムファミリーに属する暗号アルゴリズムです。暗号、デジタル署名、データ完全性検証などの分野で広く使われており、現代のデジタルセキュリティの要となっている。

ブロックチェーン業界では、マイニング、秘密鍵セキュリティ、L2データ配布（DA）など、ほとんどあらゆるところにその姿があり、「柱」の存在と言えます。

アルゴリズムは、任意の長さの入力を固定長の出力（ハッシュ）に変換するだけです。つまり、入力がどんなに長くても短くても、アルゴリズムが出力するハッシュ値は常に256ビット（32バイト）です。さらに、入力に対して非常に敏感で、入力を少し変えるだけでハッシュ値は大きく変わってしまう。また、不可逆関数であるため、入力に基づいて出力を得るのは簡単ですが、出力に基づいて入力を得るのは効率的ではありません。

例えば、"OneKey Koppel: Cryptographic Security in a Nutshell "というテキストをSHA-256で暗号化すると、"C612FD61C200F9C7DC16565A53C0F96A4DEBD64C21EB40AE5283D4D36433A24A".

「TwoKeyサイエンス：暗号化セキュリティはパス上の2点」など、こっそり中の内容を少し変えてみると。この時点で暗号化され、それは "C3C0E108AD1417259E97E8E913459B9CECD67C3BD20D8DFE938214567FB4EB08 "になり、完全に異なる結果です。

この関係は、人間の指紋や虹彩のようなものです。人はそれぞれ固有の指紋や虹彩を持っているので、それらをパスワードのように認証に使うことができ、SHA-256ハッシュはデータの「指紋」なのです。

SHA-256の衝突攻撃のポイントは、あるデータのフィンガープリントを見つけ、次に攻撃する別のデータを見つけて、同じフィンガープリントを生成できるようにし、データを偽造することです。

SHA-256では、暗号化プロセスは64段階のラウンドロビン暗号化計算であり、アルゴリズム設計者はセキュリティと効率のバランスを取った上でこれを選択した。

SHA-256の最初の31ステップで衝突が見つかったというのは、論文の著者が特殊な方法で2つの異なる入力を見つけたということであり、最初の31ステップの後、内部の中間状態で同じ値が生成され、残りの33ステップの後に同じハッシュ値が生成される確率が高くなったということです。残りの33ステップの後に同じハッシュ値を出力する確率が高い。

もちろん、衝突条件を満たす入力ペアを見つける難しさは、攻撃ステップの数が増えるにつれて指数関数的に増加するのが一般的です。これは、ステップが増えるごとに、より多くの内部状態の変化と伝播効果を攻撃衝突解析で考慮する必要があり、計算と解析の複雑さが大幅に増すためです。そのため、人々はクラックまであと半分しかないと思うかもしれませんが、実際にはまだずっと先なのです。

さらに、ビットコインブロックのハッシュ値は、ブロックヘッダ情報に対して2回のSHA-256演算を行うことで得られ、秘密鍵から公開鍵とアドレスを生成するプロセスでは、楕円曲線デジタル署名アルゴリズム（ECDSA）、RIPEMD-160アルゴリズムが使用される。そのため、ビットコインのブロック情報を改ざんしたり、秘密鍵を自由に攻撃できるようになるまでには、まだ長い道のりがあります。

ビットコインのマイニングについては、基本的に特定の条件を満たすハッシュ値を見つけることがマイニングのプロセスであり、このプロセスは異なるnonce値を繰り返し試すことで達成する必要があります。条件を満たすハッシュ値の衝突をより簡単に見つけられるようになって初めて、理論的にはマイニングの難易度を下げることが可能になり、ビットコインのプルーフ・オブ・ワーク（PoW）メカニズムに影響を与えることができる。

SHA-256の衝突攻撃が成功したからといって、マイニングの難易度に直接影響を与えることができるわけではなく、衝突攻撃がそのような特定のハッシュ値を見つけるプロセスを何らかの方法で高速化できない限り、マイニングへの直接的な影響は限定的です。

もしクラックされたら？

これは必然的に、デジタルセキュリティに対する世界的な信頼の危機につながるでしょう。

ウェブ2のセキュリティ全体がまず崩壊し、あらゆる種類の銀行システムや政府機関がおそらく緊急停止するだろう。暗号通貨の時価総額3兆ドルは、おそらくここでは取るに足らないものになるだろう。

もちろん、暗号通貨がフォークしてアップグレードするのは良いことだ。ビットコインの場合、この恐ろしいシナリオでは、ビットコイン改善提案（BIP）とハードフォークを通じて、アルゴリズムのコア暗号アルゴリズムをアップグレードする必要があるのは確かです。これらの問題は長い間コミュニティ内で広く議論されており、多くの代替案がある。量子コンピューティングが突破したとしても、その時にアップグレードする適切な量子耐性のアルゴリズムがあるでしょう。

一言で言えば

ブレークスルーはあったが、多くはなかった。

これまでの研究を少し進めただけで、学術的には確かにブレークスルーであり、非常に注目に値する。

とはいえ、壊滅的なクラックにはまだ程遠く、暗号通貨への影響は短期的には限定的だろう。ビットコインと暗号通貨は安全なままであり、私たちは私たちのズボンを守り続ける。

セキュリティに敏感なデジタルシステムにとって、新しい暗号の発見に注意を払うことは非常に重要だ。SHA-256 アルゴリズムの重大な弱点が実際に証明されるような発見があれば、信頼の喪失やセキュリティプロトコルの変更など、ビットコインに大きな影響を与える可能性が高いが、それに限定されるものではない。私たちは、ビットコインの開発者とコミュニティの全員が状況を注意深く監視し、必要に応じてセキュリティのアップグレードを行う準備をしていることを信じています。