ネットワークワーキンググループ
Request for Comments: 3664
分類: スタンダードトラック
P. Hoffman
VPN Consortium
2004年1月

インターネット鍵交換プロトコル(IKE)のための AES-XCBC-PRF-128 アルゴリズム
(The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE))

このメモの位置付け 
この文書は、インターネットコミュニティに対してインターネットスタンダードトラックのプロトコルを定義するとともに、それを改良するための議論や提言を求めるものである。
このプロトコルの標準化状態およびステータスについては、「Internet Official Protocol Standards」(STD 1) の最新版を参照すること。
このメモの配布に制限はない。
著作権
Copyright (C) The Internet Society (2004). All Rights Reserved.
要旨 
IPセキュリティ(IPsec)の実装の中には、AES(Advanced Encryption Standard)から派生した擬似乱数発生関数を使用したいものがあるかもしれない。
この文書では、AES-XCBC-PRF-128 と呼ばれる、このようなアルゴリズムについて記述する。
1. はじめに 
[AES-XCBC-MAC] には、96 ビットの長さの出力を持つメッセージ認証コード(MAC)として、AES(Advanced Encryption Standard)を使用する方法が記述されている。
96 ビットは、MAC には適当であると考えられているが、IKE バージョン 1 または IKE バージョン 2 において、長期に渡って利用する擬似乱数発生関数(PRF)としては短すぎる。
IKE の両バージョンでは、PRF の出力の長さに依存する形で鍵を生成する。
96 ビットの出力を持つ PRF を使用すると、128 ビットの出力を使用する PRF より総当たり攻撃が容易な鍵が生成されてしまう。

幸運にも、128 ビットの出力を持つ PRF として、128 ビットの値を 96 ビットに切り詰めるステップを省略するだけで、[AES-XCBC-MAC] の大部分を使用する非常に単純な方法が存在する。

2. AES-XCBC-PRF-128 アルゴリズム 
AES-XCBC-PRF-128 アルゴリズムは、[AES-XCBC-MAC] の 4.3 節の切り詰めのステップを「行わない」こと以外は、[AES-XCBC-MAC] と同一である。
つまり、[AES-XCBC-MAC] の 4.2 節より後の処理は存在しない。

4.6 節のテストベクトルは、AES-XCBC-PRF-128 用に利用できる。
しかし、「AES-XCBC-MAC-96」ではなく、「AES-XCBC-MAC」として記述されている部分のみを利用する。

3. セキュリティに関する考慮事項 
AES-XCBC-MAC-PRF によって提供されるセキュリティは、AES の強度がもととなっている。
この文書の執筆時点では、AES または AES-XCBC-MAC-PRF に対する実用的な暗号攻撃は知られていない。

あらゆる暗号アルゴリズムにも言えることであるが、その強度の一部は、鍵管理の仕組みのセキュリティ、使用される秘密鍵の強度、参加するすべてのシステムにおける実装の正確さに依存している。
[AES-XCBC-MAC] には、AES-XCBC-MAC-PRF のコードの正確さの検証を補助するためのテストベクトルが記述されている。
このテストベクトルには、すべて、96 ビットに省略される前の完全な MAC 値が示されている。
この PRF では、省略されたものではなく、完全な MAC 値を使用する。

4. 知的財産権表示 
この文書に記述される技術の実装および使用に関係すると主張される、知的財産権およびその他の権利の有効性または範囲に関して、またこのような権利の下でのあらゆる権利が効力を持つ範囲に関して、IETF はいかなる立場もとらず、また、IETF はそのような権利を確認するためのいかなる取り組みを行ったことも表明しない。
スタンダードトラックおよび標準関連文書における権利に関する IETF の手続きは、BCP-11 で見ることができる。
出版を目的に利用可能な権利主張のコピーおよび利用可能となるライセンス保証のコピー、あるいは、この仕様の実装者やユーザによる所有権の使用に対する一般的な権利や許可を得るために行われた試みの結果は、IETF 事務局から入手可能である。

IETF は、どのような利害関係者に対しても、この標準を実行するために必要な技術をカバーする著作権や特許、特許出願、その他の所有権に対して注意を払うように依頼する。
どうか IETF の Executive Director に情報を伝えてください。

5. 参考文献 
5.1. 基準としている参考文献 
[AES-XCBC-MAC] Frankel, S. and H. Herbert, "The AES-XCBC-MAC-96 Algorithm and Its Use With IPsec", RFC 3566, September 2003.
6. 著者の連絡先 
Paul Hoffman
VPN Consortium
127 Segre Place
Santa Cruz, CA 95060 USA
 
EMail: paul.hoffman@vpnc.org
 
 
翻訳者
 
東京都中央区新川1-21-2 茅場町タワー
株式会社 NTTデータ
技術開発本部
馬場 達也
 
EMail: babatt@nttdata.co.jp
7. 著作権表示全文 
Copyright (C) The Internet Society (2004). All Rights Reserved.

本文書とその翻訳は、複製および他に提供することができる。
また、この文書に論評や説明を加えたり、その実装を補助するものは、上記の著作権表示およびこの節を付加していれば、全体あるいは一部であっても一切の制約を課されることなく作成、複製、発表、配布できる。
ただし、この文書自体に対して、著作権表示やインターネットソサエティもしくは他のインターネット関連団体への参照を取り除くなどの変更を加えてはならない。
インターネット標準化過程で定義されている著作権のための手続きに従って、インターネット標準を開発するために必要な場合や、RFC を英語以外の言語に翻訳する必要がある場合はそのかぎりでない。

上記の制限は永続的なものであり、インターネットソサエティもしくはその継承者や譲渡者によって取り消されることはない。

本文書とここに含まれた情報は「無保証」で提供され、インターネットソサエティおよび IETF はすべての保証を明示的にも暗黙的にもおこなわない。
その中には、この情報がいかなる権利も侵害していないという保証や、商用利用および特定目的における適合性への保証が含まれる。

謝辞 
現在、RFC エディタの機能に対する資金は、インターネットソサエティによって提供されている。