MD5

出典しゅってんは列挙れっきょするだけでなく、脚注きゃくちゅうなどを用もちいてどの記述きじゅつの情報じょうほう源げんであるかを明記めいきしてください。 記事きじの信頼しんらい性せい向上こうじょうにご協力きょうりょくをお願ねがいいたします。（2012年ねん6月がつ）

MD5

一般いっぱん
設計せっけい者しゃ	ロナルド・リベスト
初版しょはん発行はっこう日び	1992年ねん4月がつ
シリーズ	MD2, MD4, MD5, MD6
詳細しょうさい
ダイジェスト長ちょう	128 bit
構造こうぞう	Merkle-Damgård construction
ラウンド数すう	4 [1]
最良さいりょうの暗号あんごう解読かいどく法ほう
2009年ねんにTao Xie、Dengguo Fengによって強つよ衝突しょうとつ耐たい性せいが破やぶられている (220.96 time)。通常つうじょうのコンピュータで数すう秒びょうで可能かのう[2]。

MD5（エムディーファイブ、英えい: message digest algorithm 5）は、暗号あんごう学がく的てきハッシュ関数かんすうのひとつである。ハッシュ値ちは128ビット。

MD4が前身ぜんしんであり、安全あんぜん性せいを向上こうじょうさせたもの。1991年ねんに開発かいはつされた。開発かいはつ者しゃはMD4と同おなじくロナルド・リベスト。

d41d8cd98f00b204e9800998ecf8427e

のようなハッシュ値ちが得えられる。

一般いっぱん的てきな暗号あんごう学がく的てきハッシュ関数かんすうと同様どうように使用しようできる。ただし、後述こうじゅつの脆弱ぜいじゃく性せいがあり強度きょうどが必要ひつような場合ばあいには使つかってはいけない。

FreeBSDはインストール可能かのうなCDイメージと、それのMD5値ちを同時どうじに配布はいふしている。（MD5値ちの改変かいへんはないと仮定かていして）インストール可能かのうなCDイメージが、途中とちゅうで改変かいへんされていないことを確認かくにんしてみる。

1. md5 コマンドを、イメージファイルに実行じっこうする。

   localhost% md5 5.1-RELEASE-i386-miniinst.iso

   MD5 (5.1-RELEASE-i386-miniinst.iso) = 646da9ae5d90e6b51b06ede01b9fed67

2. CHECKSUM.MD5の中身なかみを確認かくにんし、一致いっちしていれば破損はそんの可能かのう性せいは極きわめて低ひくいことが分わかる。

   localhost% cat CHECKSUM.MD5

   MD5 (5.1-RELEASE-i386-disc1.iso) = 3b6619cffb5f96e1acfa578badae372f

   MD5 (5.1-RELEASE-i386-disc2.iso) = 2cfa746974210d68e96ee620bf842fb6

   MD5 (5.1-RELEASE-i386-miniinst.iso) = 646da9ae5d90e6b51b06ede01b9fed67

MD5、およびRIPEMDとよばれるハッシュ関数かんすうには理論りろん的てきな弱点じゃくてんが存在そんざいすることが明あきらかとなっている^[3][4]。

2004年ねん8月がつ、暗号あんごうの国際こくさい会議かいぎ CRYPTO （のランプセッション）にて、MD5のコリジョンを求もとめることができたという報告ほうこくがあった。理論りろん的てき可能かのう性せいとして、MD5を用もちいて改竄かいざんされないことを確認かくにんする場合ばあい、あらかじめ正規せいきのファイルと不正ふせいなファイルを用意よういしておき、正規せいきのファイルを登録とうろくしておきながら、実際じっさいには同おなじMD5を持もつ不正ふせいなファイルに摩すり替かえる攻撃こうげきがありえることを意味いみする。また2007年ねん11月、2つの全まったく異ことなる実行じっこうファイルを元もとに、各々おのおのの末尾まつびにデータブロックを付加ふかし、その部分ぶぶんを変更へんこうしながら探索たんさくを行おこなうことにより、同一どういつのMD5を持もたせることに成功せいこうしたという報告ほうこくがあった。この攻撃こうげき方法ほうほうは実証じっしょうされたことになる。

アメリカ合衆国あめりかがっしゅうこく政府せいふでは、MD5ではなく、Secure Hash Algorithm (SHA)を標準ひょうじゅんのハッシュとして使用しようしている。 日本にっぽんのCRYPTRECでは、MD5を政府せいふ推奨すいしょう暗号あんごうリストから外はずし、SHA-256 (SHA-2のバリエーション) 以上いじょうを推奨すいしょうしている。

MD5 のハッシュ値ちについては、パソコンレベルでも数すう10分ふん程度ていどで、同どう一いちハッシュ値ちの非ひユニークなデータ列れつを生成せいせいできる実装じっそうが広ひろまっている。すなわち、強つよ衝突しょうとつ耐たい性せいは容易よういに突破とっぱされうる状態じょうたいにある（SHA-0/SHA-1アルゴリズムについても、MD5ほど容易よういではないが突破とっぱされる脆弱ぜいじゃく性せいが発見はっけんされている）。

一方いっぽう、任意にんいに与あたえられたハッシュ値ちに対たいして、（何なんらかの別べつの）データを生成せいせいする実装じっそうが広ひろまっているわけではない。すなわち、弱じゃく衝突しょうとつ耐たい性せいが容易よういに突破とっぱされうる訳わけではない。また、任意にんいに与あたえられたハッシュ値ちに対たいして、改竄かいざん者しゃの意図いとどおりのデータ列れつを容易よういに生成せいせいできる訳わけでもない（もしそうならば、それは既すでに暗号あんごうではない）。

強つよ衝突しょうとつ耐たい性せいの突破とっぱとは例たとえば、同一どういつのハッシュ値ちを持もつ非ひユニークな2つのデータ列れつD1とD2のペアを1つ発見はっけんできた、ということである。なお、この場合ばあいD1やD2が意味いみを持もつデータであるかどうかは問とわれない。また、データ列れつD3のハッシュ値ちがHであったとして、この"特定とくていの"ハッシュ値ちHに対たいして、同一どういつのハッシュ値ちを持もつような他ほかのデータ列れつD4を発見はっけんできたとしたら、それは弱じゃく衝突しょうとつ耐たい性せいを突破とっぱされた事ことを意味いみする（即すなわち、D3とHの組くみ合あわせで無む改竄かいざん性せいを証明しょうめいできなくなる）。

そのため、直ただちにこれらのハッシュアルゴリズムを用もちいている暗号あんごう化か通信つうしんが盗聴とうちょう・改竄かいざんされたり、電子でんし署名しょめいの有効ゆうこう性せいが無なくなると言いうわけではない。しかし、強つよ衝突しょうとつ耐たい性せいが突破とっぱされたという事ことは、将来しょうらい的てきには攻撃こうげき手法しゅほうや計算けいさん能力のうりょくの進化しんかにより、弱じゃく衝突しょうとつ耐たい性せいも突破とっぱされうるという事ことを暗示あんじする。もし弱じゃく衝突しょうとつ耐たい性せいが突破とっぱされたとしたら、もはや暗号あんごう化か通信つうしんや電子でんし署名しょめいの無む改竄かいざん性せいを証明しょうめいできなくなり、その暗号あんごう化か・署名しょめいシステムは（半なかば）死しを意味いみする。

また、暗号あんごう化か・署名しょめいシステムのintegrity（例たとえば最良さいりょう攻撃こうげき手法しゅほうに対たいして十分じゅうぶんに頑強がんきょうであるという事こと）にハッシュ強きょう衝突しょうとつ耐たい性せいの突破とっぱが困難こんなんであるという前提ぜんていがもし有あった場合ばあいには、そのシステムのintegrityも当然とうぜんに失うしなわれる事ことになる。Integrityを要求ようきゅうされるシステムでは、その再さい検証けんしょうが最低限さいていげん必要ひつようとなる。

2007年ねん4月がつIPAはAPOPの脆弱ぜいじゃく性せいについて警告けいこくした^[5]。これは電気通信大学でんきつうしんだいがくの太田おおた和夫かずお（暗号あんごう理論りろん）らが発見はっけんしたもので^[6]、APOPのプロトコル上じょうの弱点じゃくてんを利用りようして、MD5ハッシュから理論りろん的てきに元もとのパスワードを求もとめることが出来できるというものである。これの対策たいさくとしては、SSLの利用りようが推奨すいしょうされている。（総そう当あたり攻撃こうげき法ほうによるツールは既すでに公表こうひょうされている）

2012年ねん4月がつに発覚はっかくした「Flame攻撃こうげき」（Microsoft Updateに対たいするなりすまし攻撃こうげき）において、一部いちぶのデジタル証明しょうめい書しょの署名しょめいアルゴリズムにMD5が使つかわれていたことから、MD5 の衝突しょうとつ耐たい性せいに関かんする脆弱ぜいじゃく性せいをついて、デジタル証明しょうめい書しょの偽造ぎぞうが行おこなわれたように一部いちぶ媒体ばいたいでは報道ほうどうされている^[7]。

しかし、米べいソフォス (Sophos) 社しゃの記事きじによると^[8]、マイクロソフトがコード署名しょめいに使用しようできるデジタル証明しょうめい書しょであって、ターミナルサーバーライセンスインフラストラクチャ（中間なかまCertificate Authenticity）上じょうで使用しようできるものを、誤あやまって発行はっこうしていた事ことが原因げんいんとされている。また、Flameマルウェアが攻撃こうげきに使用しようしたデジタル証明しょうめい書しょを入手にゅうしゅした経路けいろ、また前述ぜんじゅつの MD5 で署名しょめいされた証明しょうめい書しょをクラックして偽造ぎぞうしたものであるか否ひかは明あきらかになっていないとしている。一方いっぽうマイクロソフトは、Windows Vista以降いこうのバージョンにおけるコード署名しょめいの検証けんしょうを回避かいひするためには攻撃こうげき者しゃが MD5 の衝突しょうとつを利用りようして特定とくていの拡張かくちょうフィールドを削除さくじょする必要ひつようがあったとしている^[9]。

マイクロソフトは2012年ねん6月5日にちに、問題もんだいとなったターミナルサーバーライセンスインフラストラクチャの中なか間あいだCertificate Authenticityを無効むこう化かするセキュリティアップデートを公開こうかいしている^[10]。

MD5は可変長かへんちょうの入力にゅうりょくを処理しょりして、128ビット固定こてい長ちょうの値ねを出力しゅつりょくする。入力にゅうりょくメッセージは512ビット（32ビットのワードが16個こ）ごとに切きり分わけられるが、長ながさが512の倍数ばいすうとなるようにパディングが行おこなわれる。 パディングとしてはまずメッセージの最後さいごに1ビットの1を足たして、その後ごには長ながさが512で割わって448余あまる（つまり、512の倍数ばいすうに64足たりない）長ながさになるようにひたすら0を付つけ足たしていく。そして、残のこった64ビットには元もとのメッセージの長ながさ（の下位かい64ビット）を入いれることとなる。

MD5のメイン部分ぶぶんのアルゴリズムは32ビット×4ワード（それぞれのワードをA、B、C、Dと表あらわす） = 128ビットの状態じょうたいを持もって進行しんこうしていく。初期しょき状態じょうたいでは、この4ワードは決きまった定数ていすうで初期しょき化かされており、 512ビットのブロックを順次じゅんじ使つかってこの状態じょうたいを変化へんかさせていくのがMD5の中核ちゅうかくとなっている。1回かいの処理しょりでは非線形ひせんけいな関数かんすうF、2³²を法ほうとした加算かさん、左ひだりへのビットローテートが行おこなわれる。 そして、16回かいの操作そうさを1ラウンドとして、512ビットの入力にゅうりょくブロックを処理しょりするのに4ラウンドの処理しょりが行おこなわれる。Fには4通とおりの関数かんすうがあり、ラウンドごとに異ことなるものが使つかわれる。

${\displaystyle F(B,C,D)=(B\wedge {C})\vee (\neg {B}\wedge {D})}$

${\displaystyle G(B,C,D)=(B\wedge {D})\vee (C\wedge \neg {D})}$

${\displaystyle H(B,C,D)=B\oplus C\oplus D}$

${\displaystyle I(B,C,D)=C\oplus (B\vee \neg {D})}$

${\displaystyle \oplus ,\wedge ,\vee ,\neg }$はそれぞれXOR、AND、OR、NOT演算えんざんを意味いみする。

MD5ハッシュは、以下いかの擬似ぎじコードで書かいたアルゴリズムで算出さんしゅつされる。値ねはすべてリトルエンディアンとする。

function md5 (message : array[0..*] of bit) returns array[0..15] of unsignedInt8 is
    //左ひだりローテート関数かんすう
    function leftRotate (x : unsignedInt32, c : integer range 0..31) returns unsignedInt32 is
    begin leftRotate := (x leftShift c) bitOr (x rightShift (32-c)) end ;

    function makeK (i : integer range 0..63) returns unsignedIt32 is
    begin makeK := floor(232×abs(sin(i + 1))) end ;

begin
//注ちゅう: すべての変数へんすうは符号ふごうなし32ビット値ちで、桁けたがあふれた時ときは232を法ほうとして演算えんざんされるものとする。

//ラウンドごとのローテート量りょう sを指定していする
const s : array[0..63] of unsignedInt32 :=
  {
   7, 12, 17, 22,  7, 12, 17, 22,  7, 12, 17, 22,  7, 12, 17, 22,
   5,  9, 14, 20,  5,  9, 14, 20,  5,  9, 14, 20,  5,  9, 14, 20,
   4, 11, 16, 23,  4, 11, 16, 23,  4, 11, 16, 23,  4, 11, 16, 23,
   6, 10, 15, 21,  6, 10, 15, 21,  6, 10, 15, 21,  6, 10, 15, 21
  } ;

//整数せいすうラジアンのときの三角さんかく関数かんすうからKの値ねを生成せいせいする
const K : array[0..63] of unsignedInt32 := range 0..63 map makeK  ;

//（Kを事前じぜんに計算けいさんして、テーブルとしておくこともできる）
//
//const K : array[0..63] of unsignedInt32 :=
//  {
//  D76AA478(16進数しんすう), E8C7B756(16進数しんすう), 242070DB(16進数しんすう), C1BDCEEE(16進数しんすう),
//  F57C0FAF(16進数しんすう), 4787C62A(16進数しんすう), A8304613(16進数しんすう), FD469501(16進数しんすう),
//  698098D8(16進数しんすう), 8B44F7AF(16進数しんすう), FFFF5BB1(16進数しんすう), 895CD7BE(16進数しんすう),
//  6B901122(16進数しんすう), FD987193(16進数しんすう), A679438E(16進数しんすう), 49B40821(16進数しんすう),
//  F61E2562(16進数しんすう), C040B340(16進数しんすう), 265E5A51(16進数しんすう), E9B6C7AA(16進数しんすう),
//  D62F105D(16進数しんすう), 02441453(16進数しんすう), D8A1E681(16進数しんすう), E7D3FBC8(16進数しんすう),
//  21E1CDE6(16進数しんすう), C33707D6(16進数しんすう), F4D50D87(16進数しんすう), 455A14ED(16進数しんすう),
//  A9E3E905(16進数しんすう), FCEFA3F8(16進数しんすう), 676F02D9(16進数しんすう), 8D2A4C8A(16進数しんすう),
//  FFFA3942(16進数しんすう), 8771F681(16進数しんすう), 6D9D6122(16進数しんすう), FDE5380C(16進数しんすう),
//  A4BEEA44(16進数しんすう), 4BDECFA9(16進数しんすう), F6BB4B60(16進数しんすう), BEBFBC70(16進数しんすう),
//  289B7EC6(16進数しんすう), EAA127FA(16進数しんすう), D4EF3085(16進数しんすう), 04881D05(16進数しんすう),
//  D9D4D039(16進数しんすう), E6DB99E5(16進数しんすう), 1FA27CF8(16進数しんすう), C4AC5665(16進数しんすう),
//  F4292244(16進数しんすう), 432AFF97(16進数しんすう), AB9423A7(16進数しんすう), FC93A039(16進数しんすう),
//  655B59C3(16進数しんすう), 8F0CCC92(16進数しんすう), FFEFF47D(16進数しんすう), 85845DD1(16進数しんすう),
//  6FA87E4F(16進数しんすう), FE2CE6E0(16進数しんすう), A3014314(16進数しんすう), 4E0811A1(16進数しんすう),
//  F7537E82(16進数しんすう), BD3AF235(16進数しんすう), 2AD7D2BB(16進数しんすう), EB86D391(16進数しんすう)
//  } ;

//A、B、C、Dの初期しょき値ち
var a0 : unsignedInt32 := 67452301(16進数しんすう) ; // A
var b0 : unsignedInt32 := EFCDAB89(16進数しんすう) ; // B
var c0 : unsignedInt32 := 98BADCFE(16進数しんすう) ; // C
var d0 : unsignedInt32 := 10325476(16進数しんすう) ; // D

//パディング処理しょり: 1ビットのデータ「1」を追加ついかする
message[message.length] = (bit) 1 ;
//注ちゅう: 入力にゅうりょくのバイト値ちは、最高さいこう位いビットが先さきのビットであるビット列びっとれつとして解釈かいしゃくするものとする[11]。

const initial_message_length : integer := message.length ;

//パディング処理しょり: 残のこりは「0」で埋うめる
repeat
    message[message.length] := (bit) 0
until (message.length mod 512) ＝ 448 ; //448 ＝ 512 － 64
message[message.length .. message.length+63] := split (initial_message_length mod 264, 1bit) ;

//入力にゅうりょくを512ビットのブロックに切きって、順次じゅんじ処理しょりする
//chunk のバイトオーダーは message のバイトオーダーのままである
var chunk : bits512 ;
for each chunk of split (message, 512bit) do
    var M : array [0..15] of unsignedInt32 := split (chunk, 32bit) ;
//内部ないぶ状態じょうたいの初期しょき化か
    var A : unsignedInt32 := a0 ;
    var B : unsignedInt32 := b0 ;
    var C : unsignedInt32 := c0 ;
    var D : unsignedInt32 := d0 ;
//メインループ
    var F : unsignedInt32 ;
    var g : integer range 0..15 ;
    for i from 0 to 63
        switch
            case 0 ≦ i ≦ 15 do
                F := (B bitAnd C) bitOr ((bitNot B) bitAnd D) ;
                g := i
            end case
            case 16 ≦ i ≦ 31 do
                F := (D bitAnd B) bitOr ((bitNot D) bitAnd C) ;
                g := (5×i + 1) mod 16
            end case
            case 32 ≦ i ≦ 47 do
                F := (B bitXor C) bitXor D ;
                g := (3×i + 5) mod 16
            end case
            case 48 ≦ i ≦ 63 do
                F := C bitXor (B bitOr (bitNot D)) ;
                g := (7×i) mod 16
            end case
        end switch
        F := F + A + K[i] + M[g] ;
        (D, C, A) := (C, B, D) ;
        B := B + leftRotate(F, s[i]) ;
    end for ;
//今いままでの結果けっかにこのブロックの結果けっかを足たす
    a0 := a0 + A ;
    b0 := b0 + B ;
    c0 := c0 + C ;
    d0 := d0 + D
end for ;

//16個この8ビット符号ふごうなし整数せいすう型がたデータ列れつがMD5値ちである。
//リトルエンディアンでの出力しゅつりょく
md5[ 0.. 3] := split (a0, 8bit) ;
md5[ 4.. 7] := split (b0, 8bit) ;
md5[ 8..11] := split (c0, 8bit) ;
md5[12..15] := split (d0, 8bit) ;
end.

なお、RFC 1321 にある本来ほんらいの式しきに代かえて、以下いかのように計算けいさんするほうが効率こうりつ的てきな場合ばあいがある（高級こうきゅう言語げんごで書かいている場合ばあい、コンパイラの最適さいてき化かに任まかせるほうがよい。 NANDとANDが並行へいこうして計算けいさんできる環境かんきょうであれば、並列へいれつ演算えんざんのできない以下いかの式しきに比くらべて、元もとのままのほうが速はやいことも多々たたある）。

( 0 ≦ i ≦ 15): F := D bitXor (B bitAnd (C bitXor D))
(16 ≦ i ≦ 31): F := C bitXor (D bitAnd (B bitXor C))

MD5をサポートしているライブラリは以下いかの通とおり。

• Botan
• Bouncy Castle（英語えいご版ばん）
• Cryptlib（英語えいご版ばん）
• Crypto++（英語えいご版ばん）
• Libgcrypt（英語えいご版ばん）
• Nettle（英語えいご版ばん）
• OpenSSL
• wolfSSL

• R. Rivest, "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.
• Hans Dobbertin, "The Status of MD5 After a Recent Attack", CryptoBytes Volume 2, Number 2, pp.1,3-6, Summer 1996. [1]
• Xiaoyun Wang, Dengguo Feng, Xuejia Lai, Hongbo Yu, "Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD", IACR ePrint #199, Augst 17 2004. [2]

• ハッシュ関数かんすう
• MD2
• MD4
• Secure Hash Algorithm - SHA-1 - SHA-2 (SHA-224, SHA-256, SHA-384, SHA-512) - SHA-3
• HMAC
• アメリカサイバー軍ぐん - エンブレムに任務にんむ規定きていのMD5ハッシュが描えがかれている。

• RFC 1321
  • MD5 メッセージダイジェストアルゴリズム (The MD5 Message-Digest Algorithm)（IPAによる日本語にほんご訳やく）
• RFC 6151: RFC 1321のsecurity considerationsについて置おき換かえるものであると規定きていしている。
• MD2, MD4, MD5 Online Calculator Calculate file hashes using an on-line web form.
• Online MD5 crack – Rainbow Tables + big hash database (md5, md5(md5), sha1, mysql)
• MD5 cracking by RainbowTables
• Simple hash calculator
• 高速こうそくにMD5ハッシュの元もとの文字もじを見みつけ出だすツール
• Online MD5 Reverser | Hash cracker
• マイクロソフト セキュリティ アドバイザリ (961509): 研究けんきゅう機関きかんによるMD5対たいする衝突しょうとつ攻撃こうげき(collision attack)の実現じつげん可能かのう性せいにの実証じっしょうに関かんして
• Secure hash calculator