ネットワークワーキンググループ
Request for Comments: 1828
分類: スタンダードトラック

P. Metzger
Piermont
W. Simpson
Daydreamer

1995年8月

鍵付 MD5 を用いた IP 認証
(IP Authentication using Keyed MD5)

このメモの位置付け

この文書は、インターネットコミュニティに対してインターネットスタンダードトラックのプロトコルを規定するとともに、それを改良するための議論や提言を求めるものである。
このプロトコルの標準化状態、およびステータスについては、"Internet Official Protocol Standards" (STD 1) の最新版を参照すること。
このメモの配布に制限はない。
要旨
この文書では、IP 認証ヘッダにおける鍵付 MD5 の利用法について記述する。
目次
1. はじめに
1.1 鍵
1.2 データ長
1.3 処理能力

2. 計算

セキュリティに関する考慮事項
謝辞
参考文献
著者の連絡先

1. はじめに
認証ヘッダ(Authentication Header:AH)[RFC-1826] は、IP データグラムにインテグリティと認証を提供するものである。
この仕様では、AH における Message Digest 5 (MD5) [RFC-1321] を用いた鍵の利用法について記述する。

認証ヘッダの仕様に準拠するすべての実装は、この鍵付 MD5 の仕組みを実装しなければならない(MUST)。

この文書では、読者が関連文書の "Security Architecture for the Internet Protocol" [RFC1825] を深く理解していることを前提としている。
その文書では、IP のためのセキュリティ方式の全体について定義されており、この仕様の重要な背景について記述されている。

1.1. 鍵
通信する組織の間で共有される秘密の認証鍵は、推測できる文字列であってはならず、暗号的に強固な乱数を使用する必要がある(SHOULD)。

この変換によって、共有鍵はある特定の長さに制限されることはない。
これより短い鍵も存在するかもしれないが、実装は最大 128 ビットまでの長さをサポートしなくてはならない(MUST)。
より長い鍵の使用を推奨する。

1.2. データ長
MD5 の 128 ビットの出力は、自然に 64 ビット毎に並べられる。
認証データフィールドに、さらにパディングをする必要は特にない。
1.3. 処理能力
ソフトウェアでの MD5 のスピードは、一般に配備された LAN および WAN 回線にとっては十分なものであるが、より新しい回線技術には遅過ぎると報告されている [RFC-1810]

Nota Bene:
さらに高速なスループットを持ち、特許の影響を受けることのない、適切な暗号強度を保有する代替認証アルゴリズムの提案が求められている。
2. 計算
[RFC-1321] に記述されているように、128 ビットのダイジェストが計算される。
MD5 の仕様書には、C プログラミング言語による簡易な MD5 アルゴリズムについての説明が付属している。

認証されるメッセージの形式は以下の通りである。

鍵、keyfill、データグラム、鍵、MD5fill

最初に、可変長の秘密の認証鍵が、MD5 で定義されているパディング技術によって次の 512 ビットの境界まで同一のパディングで満たされる。

その後、パディングによって満たされた鍵は、IP データグラム全体の不変フィールド(変化するフィールドはゼロにされる)に連結され(すぐ後に続く)、再びもとの可変長の鍵に連結される(すぐ後に続く)。

全体のメッセージに対する次の 512 ビットの境界まで、MD5 によってパディングで満たされる。
そして 128 ビットの MD5 ダイジェストが計算され、その結果が認証データフィールドに挿入される。

議論:
実装が IP データグラムの前後の適所に鍵やパディングを追加する際に、その鍵やパディングがデータリンク層のドライバによってリンク上に送られないように注意しなければならない。
セキュリティに関する考慮事項
利用者は、この仕様によって提供されるセキュリティの品質は、完全に、MD5 ハッシュ関数の強度、そのアルゴリズムの実装の正確さ、鍵管理の仕組みとその実装のセキュリティ、鍵の強度 [CN94]、そして、すべての参加ノードにおける実装の正確さに依存しているということを理解する必要がある。

この文書の執筆時点では、MD5 の圧縮関数は衝突を起こす可能性があることが知られている [dBB93]
この衝突を利用した実際の MD5 の攻撃方法はまだ知られていないが、この事実は数人の著者を不安にさせている [Schneier94]

また最近 1000 万ドルで、共通の MD5 ハッシュ値に対して 2 つの異なる選択文を発見することのできる装置を組み立てることが可能であることが [vOW94] において決定付けられた。
しかしながら、この攻撃が鍵付 MD5 変換に効果があるかどうかは不明である。

この攻撃はおよそ 24 日を要する。
同様の攻撃方法は、あらゆる繰り返し N ビットハッシュ関数に対して有効であり、その時間は完全に MD5 ハッシュの 128 ビットの長さに依存する。

IP セキュリティを使用しているほとんどのアプリケーションには、重大な弱点は全く存在しないが、現在の技術が MD5 で使用されている 128 ビットのハッシュ長まで追いついていることを認識するべきである。
非常に高レベルのセキュリティを必要とするアプリケーションは、近い将来、より長いハッシュ長で動作するアルゴリズムに移ろうとするかもしれない。

謝辞
この文書は、Internet Engineering Task Force (IETF) の IP Security Working Group においてレビューされた。
コメントは ipsec@ans.net メーリングリストに提出して頂きたい。

この仕様の文章の一部は、SIP、SIPP、および IPv6 Working Group における Randall Atkinson の成果から得られたものである。

MD5 の基本概念とその利用法については、SNMPv2 [RFC-1446] での成果から大部分を得られた。

Steve Bellovin、Phil Karn、Charles Lynn、Dave Mihelcic、Hilarie Orman、Jeffrey Schiller、Joe Touch、そして David Wagner からは、このドラフトのより初期のバージョンにおいて役に立つ批評を頂いた。

参考文献
[CN94] Carroll, J.M., and Nudiati, S., "On Weak Keys and Weak Data: Foiling the Two Nemeses", Cryptologia, Vol. 18 No. 23 pp. 253-280, July 1994.

[dBB93] den Boer, B., and Bosselaers, A., "Collisions for the Compression function of MD5", Advances in Cryptology -- Eurocrypt '93 Proceedings, Berlin: Springer-Verlag 1994

[KR95] Kaliski, B., and Robshaw, M., "Message authentication with MD5", CryptoBytes (RSA Labs Technical Newsletter), vol.1 no.1, Spring 1995.

[RFC-1321] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, MIT and RSA Data Security, Inc., April 1992.

[RFC-1446] Galvin, J., and K. McCloghrie, "Security Protocols for Version 2 of the Simple Network Management Protocol (SNMPv2)", RFC 1446, TIS, Hughes LAN Systems, April 1993.

[RFC-1700] Reynolds, J., and J. Postel, "Assigned Numbers", STD 2, RFC 1700, USC/Information Sciences Institute, October 1994.

[RFC-1800] Postel, J., "Internet Official Protocol Standards", STD 1, RFC 1800, USC/Information Sciences Institute, July 1995.

[RFC-1810] Touch, J., "Report on MD5 Performance", RFC 1810, USC/Information Sciences Institute, June 1995.

[RFC-1825] Atkinson, R., "Security Architecture for the Internet Protocol", RFC 1825, NRL, August 1995.

[RFC-1826] Atkinson, R., "IP Authentication Header", RFC 1826, NRL August 1995.

[Schneier94] Schneier, B., "Applied Cryptography", John Wiley & Sons, New York, NY, 1994. ISBN 0-471-59756-2

[vOW94] van Oorschot, P. C., and Wiener, M. J., "Parallel Collision Search with Applications to Hash Functions and Discrete Logarithms", Proceedings of the 2nd ACM Conf. Computer and Communications Security, Fairfax, VA, November 1994.

著者の連絡先
このメモに関する質問は、以下の連絡先までお願いする。

Perry Metzger
Piermont Information Systems Inc.
160 Cabrini Blvd., Suite #2
New York, NY 10033

perry@piermont.com

William Allen Simpson
Daydreamer
Computer Systems Consulting Services
1384 Fontaine
Madison Heights, Michigan 48071

Bill.Simpson@um.cc.umich.edu
bsimpson@MorningStar.com

翻訳者

東京都中央区新川1-21-2 茅場町タワー
株式会社 NTTデータ
技術開発本部
馬場 達也

EMail: babatt@nttdata.co.jp

著作権表示全文
Copyright (C) The Internet Society (1995). All Rights Reserved.

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.