Argon2とは何か?概要・歴史・設計特徴・バリアントとパラメータ設定・運用ガイド
エバープレイ編集部Argon2とは:概要と歴史
Argon2はパスワードハッシュや鍵導出(KDF:Key Derivation Function)を目的に設計されたメモリ中心(memory-hard)なハッシュ関数の一つです。2015年に開催されたパスワードハッシングコンペティション(Password Hashing Competition, PHC)で優勝し、その後広く採用されるようになりました。設計者はAlex Biryukov、Daniel Dinu、Dmitry Khovratovichで、公式な仕様はRFC 9106として文書化されています。
設計目的と特徴
- メモリ耐性(memory-hardness):計算を高速化するために大量のメモリを必要とすることで、GPUやASICといった並列化での効率向上を抑え、ブルートフォース攻撃のコストを上げることを目指しています。
- パラメータ柔軟性:時間コスト(反復回数)、メモリコスト(消費メモリ量)、並列度(スレッド数)を調節でき、運用環境に応じた調整が可能です。
- 複数のモード:データ依存/非依存のメモリアクセスを組み合わせた複数のバリアントを提供し、安全性と副作用(サイドチャネル)のトレードオフを選べます。
- 内部ハッシュ関数:内部で高速かつ安全なハッシュである BLAKE2 を利用した設計を取り入れています。
Argon2のバリアント
- Argon2d:メモリアクセスがデータ依存(passwordや内部状態に依存して参照先を決定)です。GPU/ASICに対して高いコストを強いる設計ですが、メモリアクセスパターンが入力依存になるためタイミング攻撃やキャッシュサイドチャネルに対して脆弱になり得ます。主に暗号学的な用途や副作用が許容される環境向け。
- Argon2i:メモリアクセスがデータ非依存(あらかじめ定められたパターン)で行われるため、サイドチャネル漏洩(タイミングやキャッシュ)に強い設計です。ただしデータ依存型に比べて一部のメモリトレードオフ攻撃に対する耐性が劣る可能性があります。
- Argon2id:ハイブリッド方式で、最初のパスはデータ非依存(Argon2i風)、残りのパスはデータ依存(Argon2d風)で処理します。現在は一般的なパスワードハッシュ用途に対する推奨デフォルトとされています(サイドチャネル防御と攻撃耐性のバランスを取るため)。
主なパラメータ
Argon2の挙動は主に下記のパラメータで制御されます。適切な値は利用環境(サーバのメモリ・CPU、許容する認証レイテンシ、攻撃想定)に依存します。
- メモリコスト(m):使用するメモリ量。RFCや実装ではKiB単位(例:m=65536 は 64 MiB)で指定することが一般的です。
- 時間コスト(t)/反復回数:パスの数、つまりメモリを何回「掃き直し」するか。増やすほど総計算時間が増えます。
- 並列度(p):並列処理するレーン(スレッド)の数。ハードウェアのコア数に応じて設定します。
- 出力長(len):ハッシュ(タグ)として出力するバイト数。アプリ用途に応じてキー長や格納長を指定します。
- バージョン(v):実装間互換性を保つためのバージョン番号。RFCで推奨されるバージョンは 0x13(10進で19)です。
動作の概要(高レベル)
Argon2は大きなメモリ領域をブロック単位で割り当て、各ブロックを暗号的な圧縮・混合関数で埋めていきます。並列度に応じてレーン(stripe)に分割して同時に処理し、各ブロックは過去に作られた他のブロック(データ依存/非依存に応じた参照)と混ぜられます。最終的に各レーンの最終ブロックをまとめてさらにハッシュ化し、指定された長さの出力を得ます。
出力形式(エンコード例)
多くの実装は可読なエンコード形式をサポートしており、保存・移行が容易です。例:
$argon2id$v=19$m=65536,t=3,p=4$BASE64_SALT$BASE64_HASH
この例の意味:Argon2id、バージョン19、メモリ=65536 KiB(=64 MiB)、反復回数=3、並列度=4、続いて base64 のソルトとハッシュが続きます。
安全性の評価と注意点
- PHCでの評価とその後の検討:Argon2はPHCで勝者となり、設計上の革新と実用性が高く評価されました。しかし、その後の学術的解析でトレードオフ攻撃や細かな設計上の考察が続けられており、常に最新の研究や実装パッチを追うことが重要です。
- サイドチャネル:Argon2dはデータ依存のメモリアクセスのためサイドチャネル(特にタイミングやキャッシュ観測)に対して脆弱になり得ます。これが懸念される環境ではArgon2iやArgon2idを用いるべきです。
- パラメータ設定の重要性:メモリや反復回数を低く設定すると、攻撃コストが下がり安全性が損なわれます。逆に高すぎると正当な認証レイテンシが増えサービスに影響します。環境ごとにベンチマークを取り、適切な値を決定してください。
- ハードウェア最適化:Argon2はメモリボトルネックを利用してGPU/ASICに対する優位性を出す設計ですが、ASIC設計者は依然としてArgon2実装の効率化を進められる場合があり、絶対的な耐性が保証されるわけではありません。
運用上のベストプラクティス
- 標準的なパスワード格納用途ではArgon2idをデフォルトで用いる(OWASPやRFCの推奨に準拠)。
- バージョン情報とパラメータをエンコード文字列に含め、将来のパラメータ変更やマイグレーションを容易にする。
- パラメータは環境ごとにベンチマークし、「攻撃者にとってコストが高いが利用者負担は許容範囲内」となる値を採用する(例:認証にかけられる最大許容レイテンシを基準に測定)。
- ソルトは一意で十分な長さ(推奨は少なくとも16バイト以上)でランダムに生成する。
- 可能なら既存の十分にレビューされたライブラリ(libsodium、libargon2、各言語の公式実装など)を使い、独自実装は避ける。
- パスワードポリシーや多要素認証を併用し、パスワードハッシュのみでの防御に頼りすぎない。
他のKDFとの比較
- PBKDF2:古典的で広くサポートされているが、メモリ消費が低いためGPU/ASICによる並列化に弱い。
- bcrypt:設計が古く専用のハードウェア最適化にはある程度強いが、メモリハードではなく、より現代的な攻撃に対するコスト増が限定的。
- scrypt:メモリハードネスを備えるが、設計が古くArgon2の方が同等あるいは更に洗練されたメモリ使用・並列化制御を提供する点で優位性を持つ。
- 総じて、Argon2(特にArgon2id)は現代の推奨選択肢とされることが多いが、互換性や運用要件により既存の方式を選ぶこともあります。
主要な実装とサポート状況
- libargon2:オリジナルの参照実装。
- libsodium(crypto_pwhash):Argon2idを含む高レベルAPIを提供し、多言語に利用されることが多い。
- 言語別:PHP(7.2以降でArgon2サポート)、Go(golang.org/x/crypto/argon2)、Python(argon2-cffi)、Node.js(npm argon2 ライブラリ)など、多くの言語で利用可能です。
性能チューニングの考え方
パラメータ選定は次の観点で行います。
- 許容できる認証レイテンシ(ユーザ体感)
- サービスが許容できる総メモリ負荷(同時認証数 × メモリコスト)
- サーバの物理リソース(メモリ帯域幅、CPUコア数)
まずは環境でベンチマークを実施し、メモリコストを段階的に上げていきつつユーザ体験とコストのバランスを確認することが推奨されます。さらに、将来の要件変化を見据えて、ハッシュアルゴリズムやパラメータを変更できるよう、保存フォーマットにバージョンやパラメータを含めておくことが重要です。
まとめ
Argon2は現代的なパスワードハッシュ関数として広く評価されており、メモリハードネスやパラメータの柔軟性を備えています。Argon2d/i/id の特性を理解し、運用環境に合わせたパラメータ選定と既存の堅牢なライブラリを使用することで、高い実用的な安全性を確保できます。ただし、サイドチャネルや専用ハードウェアの進化など、常に変化する脅威に注意して最新のガイドラインと実装を追うことが必要です。
参考文献
- Argon2: the memory-hard function for password hashing and other applications(PHC 提出論文)
- RFC 9106 - Argon2: Memory-Hard Function for Password Hashing and Other Applications
- Password Hashing Competition(PHC)公式サイト
- OWASP Password Storage Cheat Sheet
- libargon2 / Argon2 リポジトリ(GitHub)
- libsodium - password hashing(Argon2id を含むドキュメント)
- Argon2 PHC 論文(設計者による追加資料)
