Hash Functions Explained for Developers (MD5, SHA-256, bcrypt)

私は今でも、なぜ我々のユーザーデータベース全体が侵害されたのかを当社のCEOに説明しなければならなかった日のことを覚えています。それは2016年のことで、私は8年間セキュリティエンジニアをしており、自分が何をしているのか分かっていると思っていました。私たちはMD5を使用してパスワードをハッシュしていました—私が参加する数年前に下された決定です—攻撃者は340,000のユーザーパスワードの87％を48時間以内に解読しました。この侵害により、我々は230万ドルの修復費用と数えきれないほどのエンジニアリング時間を失い、ほぼ私たちの評判が壊滅的な状態になりました。この事件は、私がハッシュ関数について考える方法を変え、今日これを書く理由です。

ハッシュ関数は現代ソフトウェアセキュリティの目に見えない守護者ですが、私が指導する多くの開発者はそれを真に理解していません。彼らはそれを使用すべきことは知っていますが、なぜ1つが別のものと異なるのか、また、速度が資産ではなく負債になるのはいつかを把握していません。この記事はそれを変えます。MD5、SHA-256、bcryptという、あなたが直面する3つの最も重要なハッシュ関数について説明し、それらがどのように機能するかだけでなく、いつそれぞれを使用し、さらに重要なのは、いつ完全に避けるべきかを説明します。

ハッシュ関数の実際の機能 (なぜ気にする必要があるのか)

ハッシュ関数は任意のサイズの入力を受け取り、ハッシュまたはダイジェストと呼ばれる固定サイズの出力を生成します。数学的なミートグラインダーのように考えてみてください：丸ごとの牛を入れることもできれば、1つのハンバーガーパティを入れることもできますが、出てくるものは常に同じサイズです。このプロセスは決定論的で、同じ入力は常に同じ出力を生成しますが、逆転させることはほぼ不可能です。

良い暗号ハッシュ関数の条件は次のとおりです。まず、決定論的である必要があります。「password123」を100万回ハッシュすれば、毎回同じ結果が得られます。次に、片方の方向への計算は迅速でなければなりませんが、逆にすることは計算上実行不可能でなければなりません。3つ目は、入力のわずかな変更がまったく異なる出力を生成する必要があること—これを「雪崩効果」と呼びます。入力の1ビットを変更すると、出力のビットの約50％が反転するはずです。

4つ目は、衝突耐性が必要です。衝突は、2つの異なる入力が同じハッシュ出力を生成するときに発生します。衝突は数学的に避けられない（無限の可能な入力があるが、有限の可能な出力がある）ですが、良いハッシュ関数は衝突を見つけるのが非常に難しいため、事実上不可能にします。最後に、出力はランダムに見え、均一に分布している必要がありますが、完全に決定論的です。

開発者がハッシュ関数を暗号化と混同するのを見てきましたので、はっきりさせておきます：暗号化は正しいキーがあれば逆転可能ですが、ハッシュ化はそうではありません。データを暗号化する場合、後で復号化することを意図しています。データをハッシュ化する場合、一方向の指紋を生成しています。この区別は非常に重要で、どのツールをどの仕事に使用するかを決定します。

私の日常的な金融アプリケーションのセキュリティ作業では、ハッシュ関数を次の3つの主要目的で使用しています：データの整合性の検証（ファイルが改ざんされていないことを確認する）、デジタル署名の作成、パスワードの保存。各ユースケースには異なる要件があるため、ハッシュ関数の違いを理解することが非常に重要です。

MD5: 機能しなくなったハッシュ関数

MD5（Message Digest Algorithm 5）は1991年にロナルド・リベストによって設計され、128ビット（16バイト）のハッシュ値を生成します。これは通常32文字の16進数文字列として表されます。一時期、パスワードの保存からファイルの整合性確認まで、すべてのものに対するデフォルトのハッシュ関数でした。今日では、暗号的に破損していますが、私は毎月少なくとも1回はプロダクションコードで見かけます。

"最も速いハッシュ関数は、しばしばセキュリティのための最悪の選択です—暗号学における速度は脆弱性であり、機能ではありません。"

MD5に対する最初の深刻な衝突攻撃は、2004年にシャオユン・ワンと彼の同僚によって発表されました。彼らは、衝突を見つけることが理論上必要な2^64回の操作よりもはるかに簡単であることを示しました。2008年までに、研究者たちは同じMD5ハッシュを生成する2つの全く異なる実行可能ファイルを作成しました。2012年、FlameマルウェアはMD5の衝突を悪用してMicrosoftのデジタル証明書を偽造しました。その警告は単なる糸ではなく、ネオンの文字でスプレーされたようなものでした。

実際のMD5の動作はこうなります。「Hello, World!」という文字列は、MD5ハッシュ65a8e27d8879283831b664bd8b7f0ad4を生成します。たった1文字を「Hello, World?」に変更すると、次のようになります：7f138a09169b250e9dcb378140907378。出力がまったく異なることに注目してください—それが正しく機能する雪崩効果です。問題はMD5がこの基本的な要件を満たさないことではなく、アルゴリズムが攻撃者が衝突をはるかに早く見つけることを可能にする数学的な弱点があることです。

では、なぜ開発者は今もMD5を使用し続けるのでしょうか？速度と親しみやすさです。MD5は非常に高速で、私の開発マシンでは毎秒約4億のMD5ハッシュを計算できます。また、ほぼすべてのプログラミング言語とフレームワークで利用可能です。私はすべての言い訳を聞いています：「私たちはただチェックサムのために使用しているだけで、セキュリティではない」とか、「私たちのシステムは攻撃されるほど重要ではない」とか、私のお気に入りの「私たちはいつもこの方法を使ってきた」です。

率直に言わせてください。2026年におけるMD5の許容される使用法は正確に2つです。第一に、衝突耐性が重要でないキャッシュキーの作成やデータのパーティショニングのような非暗号的目的に使用することができます。第二に、積極的に置き換えようとしているレガシーシステムとの後方互換性のために必要になるかもしれません。それだけです。セキュリティ関連—パスワード、デジタル署名、証明書確認など—のためにMD5を使用している場合、あなたは最終的にあなたにコストをかける誤りを犯しています。

パフォーマンスの議論はもはや通用しません。SHA-256のような現代の代替手段は、ほぼすべてのユースケースに対して十分に速く、セキュリティの利点はわずかなパフォーマンスの違いを大きく上回ります。私が働いている金融システムでは、毎日何百万件のトランザクションを処理しており、MD5からSHA-256に切り替えることで、トランザクションごとに2ミリ秒未満の遅延が追加されました—ユーザーには完全に知覚できないものですが、はるかに安全です。

SHA-256: 現代暗号学の働き者

SHA-256（Secure Hash Algorithm 256-bit）はSHA-2ファミリーの一部で、NSAによって設計され、2001年に発表されました。256ビット（32バイト）のハッシュ値を生成し、通常は64文字の16進数文字列として表されます。MD5とは異なり、SHA-256には実際の衝突攻撃は知られておらず、ほとんどの暗号アプリケーションの現在の標準となっています。