ネットワークワーキンググループ
Request for Comments: 1852
分類: 実験的

P. Metzger
Piermont
W. Simpson
Daydreamer

1995年9月

鍵付 SHA を用いた IP 認証
(IP Authentication using Keyed SHA)

このメモの位置付け

この文書は、インターネットコミュニティに対して実験的プロトコルを規定するものである。
これは、インターネットのいかなる種類の標準をも指定するものではない。
改良のための議論や提言を求めるものである。
このメモの配布に制限はない。
要旨
この文書では、IP 認証ヘッダにおける鍵付 SHA の利用法について記述する。
目次
1. はじめに
1.1 鍵
1.2 データ長
1.3 処理能力

2. 計算

セキュリティに関する考慮事項
謝辞
参考文献
著者の連絡先

1. はじめに
認証ヘッダ(Authentication Header:AH)[RFC-1826] は、IP データグラムにインテグリティと認証を提供するものである。
この仕様では、AH における Secure Hash Algorithm (SHA) [FIPS-180-1] を用いた鍵の利用法について記述する。

この文書では、[FIPS-180-1] に記述されている欠点のあるバージョンよりも新しいバージョンの SHA を指定する。
古いバージョンのものは、新しいバージョンのものとは互換性がない。

この文書では、読者が関連文書の "Security Architecture for the Internet Protocol" [RFC-1825] を深く理解していることを前提としている。
その文書では、IP のためのセキュリティ方式の全体について定義されており、この仕様の重要な背景について記述されている。

1.1. 鍵
通信する組織の間で共有される秘密の認証鍵は、推測できる文字列であってはならず、暗号的に強固な乱数を使用する必要がある(SHOULD)。

この変換によって、共有鍵はある特定の長さに制限されることはない。
これより短い鍵も存在するかもしれないが、実装は最大 160 ビットまでの長さをサポートしなくてはならない(MUST)。
より長い鍵の使用を推奨する。

1.2. データ長
SHA の 160 ビットの出力は、自然に 32 ビット毎に並べられる。
しかしながら、多くの実装では次に続くヘッダが 64 ビット毎に並ぶように要求される。
そのような場合には、SHA の出力の前後に 32 ビットのパディングが付加される。
1.3. 処理能力
予備試験の結果では、SHA は MD5 の速さの 62%、DES ハッシングの速さの 80% であることが示された。
つまり、以下の通りとなる。

SHA < DES < MD5

Nota Bene:
さらに高速なスループットを持ち、特許の影響を受けることのない、適切な暗号強度を保有する代替認証アルゴリズムの提案が求められている。
2. 計算
[FIPS-180-1] に記述されているように、160 ビットのダイジェストが計算される。
執筆時点では、SHA の簡易な C 言語による実装が、 ftp://rand.org/pub/jim/sha.tar.gz から FTP 経由で入手可能である。

認証されるメッセージの形式は以下の通りである。

鍵、keyfill、データグラム、鍵、SHAfill

最初に、可変長の秘密の認証鍵が、SHA で定義されているパディング技術によって次の 512 ビットの境界まで同一のパディングで満たされる。

その後、パディングによって満たされた鍵は、IP データグラム全体の不変フィールド(変化するフィールドはゼロにされる)に連結され(すぐ後に続く)、再びもとの可変長の鍵に連結される(すぐ後に続く)。

全体のメッセージに対する次の 512 ビットの境界まで、SHA によってパディングで満たされる。
そして 160 ビットの SHA ダイジェストが計算され、その結果が認証データフィールドに挿入される。

議論:
先頭に置かれる鍵は、次に続くデータグラムが再配置することなくマシン境界単位で容易にコピーが行なえるようにパディングされる。

パディングの技術は、絶対長鍵を保護する長さを含んでいる。
SHA のブロックサイズまで満たしておくことによって、ある実装では鍵の物理的なコピーを防ぐために、鍵を事前にハッシュしておくことが可能となる。

後ろに置かれる鍵は、IP データグラムが既に全パケット長フィールドを含んでいるので、付加攻撃に対する保護には必ずしも必要なものではない。
非常に長いか、あるいは非常に短いデータグラムに対する最小限の保護と IP の長さフィールド自身への予想される攻撃に対する最小限の耐久性を提供するために、再び鍵全体が混ぜられる。

実装が IP データグラムの前後の適所に鍵やパディングを追加する際に、その鍵やパディングがデータリンク層のドライバによってリンク上に送られないように注意しなければならない。

セキュリティに関する考慮事項
利用者は、この仕様によって提供されるセキュリティの品質は、完全に、SHA ハッシュ関数の強度、そのアルゴリズムの実装の正確さ、鍵管理の仕組みとその実装のセキュリティ、鍵の強度 [CN94]、そして、すべての参加ノードにおける実装の正確さに依存しているということを理解する必要がある。

SHA アルゴリズムは、もともとは MD4 アルゴリズム [RFC-1320] から派生したものである。
もとの SHA の仕様 [FIPS-180] は欠陥が明らかになったため、この文書では訂正済みのバージョン [FIPS-180-1] の使用を指定している。

この文書の執筆時点では、SHA アルゴリズムには欠陥が見つかっていない。
つまり、SHA やその構成要素に対する、鍵の総当たり攻撃よりも有効な攻撃は知られていない。
この SHA の 160 ビットのハッシュ出力は、MD4 や MD5 の 128 ビットのハッシュ長よりも、総当たり攻撃に対して十分に抵抗力がある。

しかしながら、もとの SHA アルゴリズムの欠陥が示すように、暗号学者は誤りを犯しやすいものであり、アルゴリズムにまだ発見されていない重大な欠陥があるかもしれない。

謝辞
この仕様の文章の一部は、SIP、SIPP、および IPv6 Working Group における Randall Atkinson の成果から得られたものである。

事前の性能分析は、Joe Touch によって提供された。

コメントは ipsec@ans.net メーリングリストに提出して頂きたい。

参考文献
[CN94] John M. Carroll & Sri Nudiati, "On Weak Keys and Weak Data: Foiling the Two Nemeses", Cryptologia, Vol. 18 No. 23 pp. 253-280, July 1994.

[FIPS-180] "Secure Hash Standard", Computer Systems Laboratory, National Institute of Standards and Technology, U.S. Department Of Commerce, May 1993.

Also known as: 58 Fed Reg 27712 (1993).

[FIPS-180-1] "Secure Hash Standard", National Institute of Standards and Technology, U.S. Department Of Commerce, April 1995.

Also known as: 59 Fed Reg 35317 (1994).

[RFC-1320] Ronald Rivest, "The MD4 Message-Digest Algorithm", RFC-1320, April 1992.

[RFC-1700] Reynolds, J., and J. Postel, "Assigned Numbers", STD 2, RFC 1700, USC/Information Sciences Institute, October 1994.

[RFC-1825] Atkinson, R., "Security Architecture for the Internet Protocol", RFC-1825, Naval Research Laboratory, July 1995.

[RFC-1826] Atkinson, R., "IP Authentication Header", RFC-1826, Naval Research Laboratory, July 1995.

著者の連絡先
このメモに関する質問は、以下の連絡先までお願いする。

Perry Metzger
Piermont Information Systems Inc.
160 Cabrini Blvd., Suite #2
New York, NY 10033

perry@piermont.com

William Allen Simpson
Daydreamer
Computer Systems Consulting Services
1384 Fontaine
Madison Heights, Michigan 48071

Bill.Simpson@um.cc.umich.edu
bsimpson@MorningStar.com

翻訳者

東京都中央区新川1-21-2 茅場町タワー
株式会社 NTTデータ
技術開発本部
馬場 達也

EMail: babatt@nttdata.co.jp

著作権表示全文
Copyright (C) The Internet Society (1995). All Rights Reserved.

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.