\( \def\vector#1{\boldsymbol{#1}} \)

ハッシュ関数

2019年2月4日

概要

ハッシュ関数 (hash function) は任意長のビット列をある固定の長さのビット列に変換する関数。\(k\) ビット値への変換を行うハッシュ関数 \(h\) は数学記号で \(h: \{0,1\}^* \to \{0,1\}^k\) と記述することができる。ここで出力ビット長 \(k\) は 256 や 512 といった比較的小さな値である。

概要
暗号論的ハッシュ関数
1. 攻撃耐性
パフォーマンス評価
参照

暗号論的ハッシュ関数

セキュリティの文脈で以下の特性を満たすハッシュ関数は暗号論的ハッシュ関数 (cryptographically-secure hash function) と呼ばれる。

原像耐性 (preimage resistance) - ハッシュ関数 \(h\) のある出力 \(y\) が与えられたとき、\(y=h(x)\) となるような値 \(x \in \{0,1\}^*\) を見つけることが計算上不可能であること。
第二原像耐性 (2nd preimage resistance) - ハッシュ関数へのある入力 \(x\) が与えられたとき、\(h(x)=h(x')\) となるような値 \(x' \in \{0,1\}^*\) を見つけることが計算上不可能であること。
衝突耐性 (collision resistance) - \(h(x)=h(x')\) となるような 2 つの値 \(x\), \(x'\) を見つけることが計算上不可能であること。

原像耐性 (第一、第二) と衝突耐性 (弱衝突、強衝突) は似ているが、原像耐性が「与えられたある値 \(x\) に対して」であるのに対して衝突耐性は「任意の値 \(x\) に対して」であるという違いがある。

\(k\) ビットの理想的な暗号論的ハッシュ関数に対して原像攻撃を成功させるには \(O(2^k)\) 回の試行を行う必要がある。しかし、同等の確率で \(h(x)=h(x')\) となるような衝突攻撃を成功させるためには、バースデーパラドックス (birthday paradox) と同じ理由により、より少ない \(O(2^{k/2})\) 回程度の試行で済む。言い換えると、出力値が \(k\) ビットの理想的な暗号論的ハッシュ関数は \(k/2\) ビットセキュリティを持つ。

攻撃耐性

コンピュータの性能向上や新しいアルゴリズムの報告などによって、かつて暗号論的ハッシュ関数として扱われていたアルゴリズムのいくつかはすでに安全ではないと認識されている。MD2 は早い時期に原像攻撃と衝突攻撃の両方が見つかっている。MD5 も同様に現在では短時間で衝突を発見することができており、また SHA-1 は \(2^{63}\) 程度の操作で衝突が報告されている。

\(y=h(x)\) となるようなハッシュ値 \(y\) が与えられたとき、ある入力 \(x'\) に対して \(y'=h(x \ || \ x')\) となるような \(y'\) が計算可能であることを利用した攻撃を伸長攻撃 (length extension attach) と呼ぶ。MD5, SHA-1, RIPEMD-160, Whirlpool, SHA-2 (SHA-224～512) など多くの暗号論的ハッシュ関数は Merkle–Damgård 構成法に基づいているが、Merkle–Damgård 構成法の完全な出力を使用すると伸長攻撃に対して脆弱となる。SHA-3 や BLAKE2, BLAKE3、または SHA-2 でも出力の切り捨てを伴うタイプは伸長攻撃に対して安全である。

パフォーマンス評価

Table 1 は、すべてのバイト値が 0 に初期化されている 1MB のバイト配列を入力 \(x\) とし、それぞれのアルゴリズムを適用してハッシュ値 \(y=h(x)\) の算出にかかった時間を表している。ここでは暗号論的ハッシュ関数だけではなく、単純なチェックサムの CRC や非暗号論的ハッシュ関数の MurmurHash、AES 拡張命令を使用する aHash を比較の目的で挙げている。

Ryzen 3900XT (Win10)
Core i7-8569U (macOS)

Table 1. アルゴリズムの公開されているハッシュ関数のパフォーマンス。
アルゴリズム	算出時間 [μsec/1MB] (±95%信頼区間)	出力サイズ \(k\)	🔒
CRC32	1,876.894 (±1.9%)	32-bit (4B)
MurmurHash64A	185.309 (±2.1%)	64-bit (8B)
MurmurHash3-128 (x64)	229.250 (±4.5%)	128-bit (16B)
aHash	87.792 (±1.6%)	64-bit (8B)
MD2	84,781.845 (±1.2%)	128-bit (16B)	☔
MD5	1,444.497 (±2.3%)	128-bit (16B)	☔
MD6	6,479.074 (±1.7%)	512-bit (64B)	🌞
SHA-1	438.087 (±2.1%)	160-bit (20B)	☔
RIPEMD-160	2,840.412 (±1.7%)	160-bit (20B)	⛅
RIPEMD-320	2,570.902 (±1.9%)	320-bit (40B)	⛅
Whirlpool	6,020.282 (±1.4%)	512-bit (64B)	⛅
SHA-224	467.485 (±2.5%)	224-bit (28B)	⛅
SHA-256	468.305 (±1.9%)	256-bit (32B)	⛅
SHA-386	2,038.623 (±3.1%)	384-bit (48B)	⛅
SHA-512	2,076.962 (±4.4%)	512-bit (64B)	⛅
SHA-512/224	2,032.270 (±2.2%)	224-bit (28B)	🌞
SHA-512/256	2,026.481 (±2.1%)	256-bit (32B)	🌞
SHA3-224	2,356.973 (±2.8%)	224-bit (28B)	🌞
SHA3-256	2,511.481 (±3.8%)	256-bit (32B)	🌞
SHA3-384	3,240.217 (±2.2%)	384-bit (48B)	🌞
SHA3-512	4,688.776 (±2.0%)	512-bit (64B)	🌞
Keccak-256	2,489.182 (±2.2%)	256-bit (32B)	🌞
Keccak-512	4,654.524 (±1.6%)	512-bit (64B)	🌞
BLAKE2b	921.216 (±1.6%)	512-bit (64B)	🌞
BLAKE2s	2,501.755 (±1.4%)	256-bit (32B)	🌞
BLAKE3	211.464 (±2.2%)	256-bit (32B)	🌞
SipHash	363.023 (±1.8%)	64-bit (8B)	🌞
SipHash128	364.992 (±2.0%)	128-bit (16B)	🌞
HighwayHash64	59.312 (±1.5%)	64-bit (8B)	🌞
HighwayHash128	59.413 (±1.2%)	128-bit (16B)	🌞
HighwayHash256	59.500 (±1.3%)	256-bit (32B)	🌞

# AMD Ryzen 9 3900XT 12C/24T 3.8GHz + Windows 10 Pro
> rustc --version
rustc 1.50.0 (cb75ad5db 2021-02-10)

Table 2. アルゴリズムの公開されているハッシュ関数のパフォーマンス。
アルゴリズム	算出時間 [μsec/1MB] (±95%信頼区間)	出力サイズ \(k\)	🔒
CRC32	2,039.248 (±5.0%)	32-bit (4B)
MurmurHash64A	284.636 (±6.0%)	64-bit (8B)
MurmurHash3-128 (x64)	311.602 (±3.7%)	128-bit (16B)
aHash	102.361 (±4.9%)	64-bit (8B)
MD2	85,453.103 (±2.4%)	128-bit (16B)	☔
MD5	1,827.365 (±4.1%)	128-bit (16B)	☔
MD6	7,848.815 (±6.5%)	512-bit (64B)	🌞
SHA-1	1,726.049 (±5.1%)	160-bit (20B)	☔
RIPEMD-160	3,528.334 (±4.3%)	160-bit (20B)	⛅
RIPEMD-320	3,220.246 (±11.6%)	320-bit (40B)	⛅
Whirlpool	7,337.722 (±6.3%)	512-bit (64B)	⛅
SHA-224	4,555.092 (±6.8%)	224-bit (28B)	⛅
SHA-256	4,504.360 (±4.5%)	256-bit (32B)	⛅
SHA-386	2,378.131 (±4.0%)	384-bit (48B)	⛅
SHA-512	2,357.841 (±4.0%)	512-bit (64B)	⛅
SHA-512/224	2,397.882 (±7.8%)	224-bit (28B)	🌞
SHA-512/256	2,369.942 (±4.3%)	256-bit (32B)	🌞
SHA3-224	3,036.547 (±6.1%)	224-bit (28B)	🌞
SHA3-256	3,243.020 (±7.4%)	256-bit (32B)	🌞
SHA3-384	4,253.709 (±9.3%)	384-bit (48B)	🌞
SHA3-512	6,020.349 (±5.9%)	512-bit (64B)	🌞
Keccak-256	3,175.690 (±5.2%)	256-bit (32B)	🌞
Keccak-512	5,980.489 (±4.7%)	512-bit (64B)	🌞
BLAKE2b	1,185.160 (±5.9%)	512-bit (64B)	🌞
BLAKE2s	2,858.685 (±8.4%)	256-bit (32B)	🌞
BLAKE3	237.569 (±3.9%)	256-bit (32B)	🌞
SipHash	413.324 (±6.1%)	64-bit (8B)	🌞
SipHash128	412.154 (±9.8%)	128-bit (16B)	🌞
HighwayHash64	67.815 (±4.3%)	64-bit (8B)	🌞
HighwayHash128	68.272 (±9.3%)	128-bit (16B)	🌞
HighwayHash256	69.092 (±7.9%)	256-bit (32B)	🌞

# Intel(R) Core(TM) i7-8569U CPU 4C/8T 2.80GHz + MacOS 10.15.7 Catalina
% rustc --version
rustc 1.50.0 (cb75ad5db 2021-02-10)

// $ cargo +nightly run --release
//
#![feature(test)]
extern crate test;

use std::fs;
use std::io;
use std::io::prelude::*;
use test::stats::Summary;

enum Secure {
  None,
  Broken(&'static str),
  Weak(&'static str),
  Fine,
}

fn main() {
  let summaries = &[
    bench("CRC32", bench_crc32, Secure::None),
    bench("MurmurHash64A", bench_murmur64a, Secure::None),
    bench("MurmurHash3-128 (x64)", bench_murmur3_x64_128, Secure::None),
    bench("aHash", bench_ahash, Secure::None),
    bench("MD2", bench_md2, Secure::Broken("preimage attack")),
    bench("MD5", bench_md5, Secure::Broken("collision attack")),
    bench("MD6", bench_md6, Secure::Fine),
    bench("SHA-1", bench_sha1, Secure::Broken("collision attack")),
    bench("RIPEMD-160", bench_ripemd_160, Secure::Weak("length extension attack")),
    bench("RIPEMD-320", bench_ripemd_320, Secure::Weak("length extension attack")),
    bench("Whirlpool", bench_whirlpool, Secure::Weak("length extension attack")),
    bench("SHA-224", bench_sha_224, Secure::Weak("length extension attack")),
    bench("SHA-256", bench_sha_256, Secure::Weak("length extension attack")),
    bench("SHA-386", bench_sha_384, Secure::Weak("length extension attack")),
    bench("SHA-512", bench_sha_512, Secure::Weak("length extension attack")),
    bench("SHA-512/224", bench_sha_512_224, Secure::Fine),
    bench("SHA-512/256", bench_sha_512_256, Secure::Fine),
    bench("SHA3-224", bench_sha3_224, Secure::Fine),
    bench("SHA3-256", bench_sha3_256, Secure::Fine),
    bench("SHA3-384", bench_sha3_384, Secure::Fine),
    bench("SHA3-512", bench_sha3_512, Secure::Fine),
    bench("Keccak-256", bench_keccak_256, Secure::Fine),
    bench("Keccak-512", bench_keccak_512, Secure::Fine),
    bench("BLAKE2b", bench_blake2b, Secure::Fine),
    bench("BLAKE2s", bench_blake2s, Secure::Fine),
    bench("BLAKE3", bench_blake3, Secure::Fine),
    bench("SipHash", bench_siphash64, Secure::Fine),
    bench("SipHash128", bench_siphash128, Secure::Fine),
    bench("HighwayHash64", bench_highwayhash64, Secure::Fine),
    bench("HighwayHash128", bench_highwayhash128, Secure::Fine),
    bench("HighwayHash256", bench_highwayhash256, Secure::Fine),
  ][..];

  let arch = std::env::consts::ARCH;
  let os = std::env::consts::OS;
  let file_name = format!("hash-performance_{}-{}.xml", os, arch);

  let file = fs::File::create(file_name).unwrap();
  let mut writer = io::BufWriter::new(file);
  writer.write(b"<?xml version=\"1.0\" encoding=\"utf-8\"?>\n").unwrap();
  writer.write(format!("<table id=\"tbl1_{}-{}\" class=\"wikitable\">\n", os, arch).as_bytes()).unwrap();
  writer.write("  <tr><th>アルゴリズム</th><th>算出時間  [μsec/1MB] (±95%信頼区間)</th><th>出力サイズ \\(k\\)</th><th class=\"text-center\">🔒</th></tr>\n".as_bytes()).unwrap();
  for (name, secure, summary, result, hex) in summaries.iter() {
    let security = match secure {
      Secure::Fine => "🌞".to_string(),
      Secure::Weak(reason) => format!("<span title=\"{}\">⛅</span>", reason),
      Secure::Broken(reason) => format!("<span title=\"{}\">☔</span>", reason),
      Secure::None => "".to_string(),
    };
    writer.write(format!("  <tr title=\"{}\">\
    <th>{}</th>\
    <td class=\"number\">{} (±{:.1}%)</td>\
    <td class=\"number\">{}-bit ({}B)</td>\
    <td class=\"text-center\">{}</td>\
  </tr>\n",
                         hex, name, comma(summary.mean / 1000.0, 3), 1.96 * summary.std_dev_pct, result.len() * 8, result.len(), security).as_bytes()
    ).unwrap();
  }
  writer.write("<caption><span class=\"table-label\">Table 1</span>. アルゴリズムの公開されているハッシュ関数のパフォーマンス。</caption>\n".as_bytes()).unwrap();
  writer.write(b"</table>\n").unwrap();
}

fn comma(value: f64, place_after_the_decimal_point: usize) -> String {
  let n = format!("{:.*}", place_after_the_decimal_point, value);
  let (mut n, digits) = match n.find('.') {
    Some(i) => (n[0..i].to_string(), n[i + 1..].to_string()),
    None => (n, "".to_string())
  };
  for i in (1..n.len() - 2).rev().step_by(3) {
    n.insert(i, ',');
  }
  format!("{}.{}", n, digits)
}

fn bench(name: &'static str, b: fn(&[u8]) -> Vec<u8>, secure: Secure) -> (&'static str, Secure, Summary, Vec<u8>, String) {
  let buffer: Vec<u8> = (0..(1024 * 1024)).map(|_| 0u8).collect();
  let result = b(&buffer);
  let summary = test::bench::iter(&mut || b(&buffer));
  let hex: String = result.iter().map(|i| format!("{:02X}", i)).collect();
  let short_hex = if hex.len() > 16 { hex[0..16].to_string() } else { hex.to_string() };
  println!("{:<11}: {:>9} (±{:.1}%) {}-bits: {}", name, comma(summary.mean / 1000.0, 3), 1.96 * summary.std_dev_pct, result.len() * 8, short_hex);
  (name, secure, summary, result, hex)
}

macro_rules! bench {
  ($id:ident, $package:path, $name:ident) => {
    fn $id(buffer: &[u8]) -> Vec<u8> {
      use $package::{$name, Digest};
      let mut hasher = $name::new();
      hasher.update(buffer);
      hasher.finalize().to_vec()
    }
  }
}

bench!(bench_md2, md2, Md2);
bench!(bench_md5, md5, Md5);
bench!(bench_sha1, sha1, Sha1);

bench!(bench_whirlpool, whirlpool, Whirlpool);
bench!(bench_ripemd_160, ripemd160, Ripemd160);
bench!(bench_ripemd_320, ripemd320, Ripemd320);

bench!(bench_sha_224, sha2, Sha224);
bench!(bench_sha_256, sha2, Sha256);
bench!(bench_sha_384, sha2, Sha384);
bench!(bench_sha_512, sha2, Sha512);
bench!(bench_sha_512_224, sha2, Sha512Trunc224);
bench!(bench_sha_512_256, sha2, Sha512Trunc256);

bench!(bench_sha3_224, sha3, Sha3_224);
bench!(bench_sha3_256, sha3, Sha3_256);
bench!(bench_sha3_384, sha3, Sha3_384);
bench!(bench_sha3_512, sha3, Sha3_512);
bench!(bench_keccak_256, sha3, Keccak256);
bench!(bench_keccak_512, sha3, Keccak512);

bench!(bench_blake2b, blake2, Blake2b);
bench!(bench_blake2s, blake2, Blake2s);

fn bench_ahash(buffer: &[u8]) -> Vec<u8> {
  use std::hash::Hasher;
  use ahash::AHasher;
  let mut hasher = AHasher::new_with_keys(0, 0);
  hasher.write(buffer);
  hasher.finish().to_le_bytes().to_vec()
}

fn bench_md6(buffer: &[u8]) -> Vec<u8> {
  let mut result = [0; 64];
  md6::hash(512, buffer, &mut result).unwrap();
  result.to_vec()
}

fn bench_siphash64(buffer: &[u8]) -> Vec<u8> {
  use siphasher::sip::SipHasher;
  use std::hash::Hasher;
  let mut hasher = SipHasher::new();
  hasher.write(buffer);
  hasher.finish().to_le_bytes().to_vec()
}

fn bench_siphash128(buffer: &[u8]) -> Vec<u8> {
  use siphasher::sip128::{SipHasher, Hasher128};
  use std::hash::Hasher;
  let mut hasher = SipHasher::new();
  hasher.write(buffer);
  hasher.finish128().as_bytes().to_vec()
}

fn bench_highwayhash64(buffer: &[u8]) -> Vec<u8> {
  use highway::{HighwayHasher, HighwayHash, Key};
  let res = HighwayHasher::new(Key([0, 0, 0, 0])).hash64(buffer);
  res.to_le_bytes().to_vec()
}

fn bench_highwayhash128(buffer: &[u8]) -> Vec<u8> {
  use highway::{HighwayHasher, HighwayHash, Key};
  let res = HighwayHasher::new(Key([0, 0, 0, 0])).hash128(buffer);
  let mut result = Vec::with_capacity(2 * 8);
  result.append(&mut res[0].to_le_bytes().to_vec());
  result.append(&mut res[1].to_le_bytes().to_vec());
  result
}

fn bench_highwayhash256(buffer: &[u8]) -> Vec<u8> {
  use highway::{HighwayHasher, HighwayHash, Key};
  let res = HighwayHasher::new(Key([0, 0, 0, 0])).hash256(buffer);
  let mut result = Vec::with_capacity(4 * 8);
  result.append(&mut res[0].to_le_bytes().to_vec());
  result.append(&mut res[1].to_le_bytes().to_vec());
  result.append(&mut res[2].to_le_bytes().to_vec());
  result.append(&mut res[3].to_le_bytes().to_vec());
  result
}

fn bench_blake3(buffer: &[u8]) -> Vec<u8> {
  let mut hasher = blake3::Hasher::new();
  hasher.update(buffer);
  hasher.finalize().as_bytes().to_vec()
}

fn bench_murmur64a(buffer: &[u8]) -> Vec<u8> {
  murmurhash64::murmur_hash64a(buffer, 0).to_le_bytes().to_vec()
}

fn bench_murmur3_x64_128(buffer: &[u8]) -> Vec<u8> {
  murmur3::murmur3_x64_128(&mut std::io::Cursor::new(buffer), 0).unwrap().to_le_bytes().to_vec()
}

fn bench_crc32(buffer: &[u8]) -> Vec<u8> {
  crc::crc32::checksum_ieee(buffer).to_le_bytes().to_vec()
}

[package]
name = "hash-pfm-rs"
version = "0.1.0"
authors = ["TAKAMI Torao <koiroha@gmail.com>"]
edition = "2018"

# See more keys and their definitions at https://doc.rust-lang.org/cargo/reference/manifest.html

[dependencies]
md2 = "0.9"
md-5 = "0.9"
md6 = "2.0"
sha-1 = "0.9"
sha2 = "0.9"
sha3 = "0.9"
whirlpool = "0.9"
ripemd128 = "0.1"
ripemd160 = "0.9"
ripemd320 = "0.9"
blake2 = "0.9"
blake3 = "0.3"
murmur3 = "0.5"
murmurhash64 = "0.3"
ahash = "0.7"
siphasher = "0.3"
highway = "0.6"
crc = "1.8"

計測結果では AVX/SSE 拡張命令を使用する HighwayHash や AES 拡張命令を使用する aHash の高いパフォーマンスが目を引く。また Ryzen 3900XT と Core i7-8569U での SHA-1, SHA-224, SHA-256 の速度差は CPU が Intel SHAX 拡張命令をサポートしているかの違いによるものと思われる。

このような結果から分かるように、近年のハッシュ関数ではハードウェアアクセラレーション