[要約] RFC 2444は、ワンタイムパスワード(OTP)SASLメカニズムに関する仕様です。このRFCの目的は、OTPを使用して認証を行うためのセキュアなメカニズムを提供することです。
Network Working Group C. Newman
Request for Comments: 2444 Innosoft
Updates: 2222 October 1998
Category: Standards Track
The One-Time-Password SASL Mechanism
ワンタイムパスワードSASLメカニズム
Status of this Memo
本文書の状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (1998). All Rights Reserved.
Copyright(C)The Internet Society(1998)。全著作権所有。
Abstract
概要
OTP [OTP] provides a useful authentication mechanism for situations where there is limited client or server trust. Currently, OTP is added to protocols in an ad-hoc fashion with heuristic parsing. This specification defines an OTP SASL [SASL] mechanism so it can be easily and formally integrated into many application protocols.
OTP [OTP]は、クライアントまたはサーバーの信頼が制限されている状況で役立つ認証メカニズムを提供します。現在、OTPはヒューリスティック解析を使用してアドホックな方法でプロトコルに追加されています。この仕様はOTP SASL [SASL]メカニズムを定義しているため、簡単かつ正式に多くのアプリケーションプロトコルに統合できます。
The key words "MUST", "MUST NOT", "REQUIRED", "SHOULD", "SHOULD NOT", "RECOMMENDED" and "MAY" in this document are to be interpreted as defined in "Key words for use in RFCs to Indicate Requirement Levels" [KEYWORDS].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、および「MAY」は、「RFCで使用するキーワード」で定義されていると解釈されます要件レベルを示してください」[キーワード]。
This memo assumes the reader is familiar with OTP [OTP], OTP extended responses [OTP-EXT] and SASL [SASL].
このメモは、読者がOTP [OTP]、OTP拡張応答[OTP-EXT]、およびSASL [SASL]に精通していることを前提としています。
The OTP SASL mechanism replaces the SKEY SASL mechanism [SASL]. OTP is a good choice for usage scenarios where the client is untrusted (e.g., a kiosk client), as a one-time password will only give the client a single opportunity to act on behalf of the user. OTP is also a good choice for situations where interactive logins are permitted to the server, as a compromised OTP authentication database is only subject to dictionary attacks, unlike authentication databases for other simple mechanisms such as CRAM-MD5 [CRAM-MD5].
OTP SASLメカニズムは、SKEY SASLメカニズム[SASL]を置き換えます。 OTPは、クライアントが信頼されていない(キオスククライアントなど)使用シナリオに適しています。ワンタイムパスワードは、クライアントにユーザーに代わって動作する機会を1つだけ与えるためです。侵害されたOTP認証データベースは、CRAM-MD5 [CRAM-MD5]などの他の単純なメカニズムの認証データベースとは異なり、辞書攻撃のみを受けやすいため、OTPはサーバーへのインタラクティブログインが許可されている状況にも適しています。
It is important to note that each use of the OTP mechanism causes the authentication database entry for a user to be updated.
OTPメカニズムを使用するたびに、ユーザーの認証データベースエントリが更新されることに注意してください。
This SASL mechanism provides a formal way to integrate OTP into SASL-enabled protocols including IMAP [IMAP4], ACAP [ACAP], POP3 [POP-AUTH] and LDAPv3 [LDAPv3].
このSASLメカニズムは、OTPをSASL対応プロトコル(IMAP [IMAP4]、ACAP [ACAP]、POP3 [POP-AUTH]、LDAPv3 [LDAPv3]など)に統合する正式な方法を提供します。
OTP [OTP] and OTP extended responses [OTP-EXT] offer a number of options. However, for authentication to succeed, the client and server need compatible option sets. This specification defines a single SASL mechanism: OTP. The following rules apply to this mechanism:
OTP [OTP]およびOTP拡張応答[OTP-EXT]には、いくつかのオプションがあります。ただし、認証が成功するには、クライアントとサーバーに互換性のあるオプションセットが必要です。この仕様では、単一のSASLメカニズムであるOTPを定義しています。このメカニズムには、次の規則が適用されます。
o The extended response syntax MUST be used.
o 拡張応答構文を使用する必要があります。
o Servers MUST support the following four OTP extended responses: "hex", "word", "init-hex" and "init-word". Servers MUST support the "word" and "init-word" responses for the standard dictionary and SHOULD support alternate dictionaries. Servers MUST NOT require use of any additional OTP extensions or options.
o サーバーは、「hex」、「word」、「init-hex」、「init-word」の4つのOTP拡張応答をサポートする必要があります。サーバーは、標準辞書の「単語」および「初期単語」応答をサポートする必要があり、代替辞書をサポートする必要があります(SHOULD)。サーバーは、追加のOTP拡張またはオプションの使用を要求してはなりません(MUST NOT)。
o Clients SHOULD support display of the OTP challenge to the user and entry of an OTP in multi-word format. Clients MAY also support direct entry of the pass phrase and compute the "hex" or "word" response.
o クライアントは、ユーザーへのOTPチャレンジの表示とマルチワード形式でのOTPの入力をサポートする必要があります(SHOULD)。クライアントは、パスフレーズの直接入力もサポートし、「16進数」または「単語」の応答を計算する場合があります。
o Clients MUST indicate when authentication fails due to the sequence number getting too low and SHOULD offer the user the option to reset the sequence using the "init-hex" or "init-word" response.
o クライアントは、シーケンス番号が低くなりすぎて認証が失敗したことを示す必要があり、「init-hex」または「init-word」応答を使用してシーケンスをリセットするオプションをユーザーに提供する必要があります(SHOULD)。
Support for the MD5 algorithm is REQUIRED, and support for the SHA1 algorithm is RECOMMENDED.
MD5アルゴリズムのサポートは必須であり、SHA1アルゴリズムのサポートは推奨されています。
The mechanism does not provide any security layer.
このメカニズムはセキュリティ層を提供しません。
The client begins by sending a message to the server containing the following two pieces of information.
クライアントは、次の2つの情報を含むメッセージをサーバーに送信することから始めます。
(1) An authorization identity. When the empty string is used, this defaults to the authentication identity. This is used by system administrators or proxy servers to login with a different user identity. This field may be up to 255 octets and is terminated by a NUL (0) octet. US-ASCII printable characters are preferred, although UTF-8 [UTF-8] printable characters are permitted to support international names. Use of character sets other than US-ASCII and UTF-8 is forbidden.
(1)認可アイデンティティ。空の文字列が使用される場合、これはデフォルトで認証IDになります。これは、システム管理者またはプロキシサーバーが別のユーザーIDでログインするために使用します。このフィールドは最大255オクテットで、NUL(0)オクテットで終了します。 US-ASCII印刷可能文字が推奨されますが、UTF-8 [UTF-8]印刷可能文字は国際名をサポートすることが許可されています。 US-ASCIIおよびUTF-8以外の文字セットの使用は禁止されています。
(2) An authentication identity. The identity whose pass phrase will be used. This field may be up to 255 octets. US-ASCII printable characters are preferred, although UTF-8 [UTF-8] printable characters are permitted to support international names. Use of character sets other than US-ASCII and UTF-8 is forbidden.
(2)認証ID。パスフレーズが使用されるID。このフィールドは最大255オクテットです。 US-ASCII印刷可能文字が推奨されますが、UTF-8 [UTF-8]印刷可能文字は国際名をサポートすることが許可されています。 US-ASCIIおよびUTF-8以外の文字セットの使用は禁止されています。
The server responds by sending a message containing the OTP challenge as described in OTP [OTP] and OTP extended responses [OTP-EXT].
サーバーは、OTP [OTP]およびOTP拡張応答[OTP-EXT]で説明されているように、OTPチャレンジを含むメッセージを送信して応答します。
If a client sees an unknown hash algorithm name it will not be able to process a pass phrase input by the user. In this situation the client MAY prompt for the six-word format, issue the cancel sequence as specified by the SASL profile for the protocol in use and try a different SASL mechanism, or close the connection and refuse to authenticate. As a result of this behavior, a server is restricted to one OTP hash algorithm per user.
クライアントが不明なハッシュアルゴリズム名を見つけた場合、ユーザーが入力したパスフレーズを処理できません。この状況では、クライアントは6ワード形式のプロンプトを出し、使用中のプロトコルのSASLプロファイルで指定されているキャンセルシーケンスを発行して別のSASLメカニズムを試すか、接続を閉じて認証を拒否します。この動作の結果、サーバーはユーザーごとに1つのOTPハッシュアルゴリズムに制限されます。
On success, the client generates an extended response in the "hex", "word", "init-hex" or "init-word" format. The client is not required to terminate the response with a space or a newline and SHOULD NOT include unnecessary whitespace.
成功すると、クライアントは「hex」、「word」、「init-hex」、または「init-word」形式で拡張応答を生成します。クライアントは、スペースや改行で応答を終了する必要はなく、不要な空白を含めないでください。
Servers MUST tolerate input of arbitrary length, but MAY fail the authentication if the length of client input exceeds reasonable size.
サーバーは任意の長さの入力を許容する必要がありますが、クライアント入力の長さが妥当なサイズを超えると認証に失敗する場合があります。
In these example, "C:" represents lines sent from the client to the server and "S:" represents lines sent from the server to the client. The user name is "tim" and no authorization identity is provided. The "<NUL>" below represents an ASCII NUL octet.
これらの例では、「C:」はクライアントからサーバーに送信される行を表し、「S:」はサーバーからクライアントに送信される行を表します。ユーザー名は「tim」で、認証IDは提供されていません。以下の「<NUL>」は、ASCII NULオクテットを表します。
The following is an example of the OTP mechanism using the ACAP [ACAP] profile of SASL. The pass phrase used in this example is: This is a test.
SASLのACAP [ACAP]プロファイルを使用したOTPメカニズムの例を次に示します。この例で使用されているパスフレーズは次のとおりです。これはテストです。
C: a001 AUTHENTICATE "OTP" {4}
C: <NUL>tim
S: + "otp-md5 499 ke1234 ext"
C: "hex:5bf075d9959d036f"
S: a001 OK "AUTHENTICATE completed"
Here is the same example using the six-words response:
これは、6ワードの応答を使用した同じ例です。
C: a001 AUTHENTICATE "OTP" {4}
C: <NUL>tim
S: + "otp-md5 499 ke1234 ext"
C: "word:BOND FOGY DRAB NE RISE MART"
S: a001 OK "AUTHENTICATE completed"
Here is the same example using the OTP-SHA1 mechanism:
OTP-SHA1メカニズムを使用した同じ例を次に示します。
C: a001 AUTHENTICATE "OTP" {4}
C: <NUL>tim
S: + "otp-sha1 499 ke1234 ext"
C: "hex:c90fc02cc488df5e"
S: a001 OK "AUTHENTICATE completed"
Here is the same example with the init-hex extended response
これは、init-hex拡張応答を使用した同じ例です。
C: a001 AUTHENTICATE "OTP" {4}
C: <NUL>tim
S: + "otp-md5 499 ke1234 ext"
C: "init-hex:5bf075d9959d036f:md5 499 ke1235:3712dcb4aa5316c1"
S: a001 OK "OTP sequence reset, authentication complete"
The following is an example of the OTP mechanism using the IMAP [IMAP4] profile of SASL. The pass phrase used in this example is: this is a test
SASLのIMAP [IMAP4]プロファイルを使用したOTPメカニズムの例を次に示します。この例で使用されているパスフレーズは、これはテストです
C: a001 AUTHENTICATE OTP
S: +
C: AHRpbQ==
S: + b3RwLW1kNSAxMjMga2UxMjM0IGV4dA==
C: aGV4OjExZDRjMTQ3ZTIyN2MxZjE=
S: a001 OK AUTHENTICATE completed
Note that the lack of an initial client response and the base64 encoding are characteristics of the IMAP profile of SASL. The server challenge is "otp-md5 123 ke1234 ext" and the client response is "hex:11d4c147e227c1f1".
初期クライアント応答の欠如とbase64エンコーディングは、SASLのIMAPプロファイルの特性であることに注意してください。サーバーのチャレンジは「otp-md5 123 ke1234 ext」であり、クライアントの応答は「hex:11d4c147e227c1f1」です。
This specification introduces no security considerations beyond those those described in SASL [SASL], OTP [OTP] and OTP extended responses [OTP-EXT]. A brief summary of these considerations follows:
この仕様では、SASL [SASL]、OTP [OTP]、およびOTP拡張応答[OTP-EXT]で説明されているものを超えるセキュリティ上の考慮事項は導入されていません。これらの考慮事項の概要は次のとおりです。
This mechanism does not provide session privacy, server authentication or protection from active attacks.
このメカニズムでは、セッションのプライバシー、サーバー認証、アクティブな攻撃からの保護は提供されません。
This mechanism is subject to passive dictionary attacks. The severity of this attack can be reduced by choosing pass phrases well.
このメカニズムは、受動的な辞書攻撃の影響を受けます。この攻撃の深刻度は、パスフレーズを適切に選択することで軽減できます。
The server authentication database necessary for use with OTP need not be plaintext-equivalent.
OTPでの使用に必要なサーバー認証データベースは、平文と同等である必要はありません。
Server implementations MUST protect against the race attack [OTP].
サーバーの実装は、競合攻撃[OTP]から保護する必要があります。
As remote access is a crucial service, users are encouraged to restrict user names and pass phrases to the US-ASCII character set. However, if characters outside the US-ASCII chracter set are used in user names and pass phrases, then they are interpreted according to UTF-8 [UTF-8].
リモートアクセスは重要なサービスであるため、ユーザー名とパスフレーズをUS-ASCII文字セットに制限することをお勧めします。ただし、US-ASCII文字セット外の文字がユーザー名とパスフレーズで使用されている場合、それらはUTF-8 [UTF-8]に従って解釈されます。
Server support for alternate dictionaries is strongly RECOMMENDED to permit use of the six-word format with non-English words.
代替辞書のサーバーサポートでは、英語以外の単語で6単語形式を使用できるようにすることを強くお勧めします。
Here is the registration template for the OTP SASL mechanism:
OTP SASLメカニズムの登録テンプレートは次のとおりです。
SASL mechanism name: OTP Security Considerations: See section 6 of this memo Published specification: this memo Person & email address to contact for futher information: see author's address section below Intended usage: COMMON Author/Change controller: see author's address section below
SASLメカニズム名:OTPセキュリティに関する考慮事項:このメモのセクション6を参照公開された仕様:このメモ詳細については連絡先の個人と電子メールアドレス:以下の作成者のアドレスセクションを参照使用目的:共通の作成者/変更コントローラー:以下の作成者のアドレスセクションを参照
This memo also amends the SKEY SASL mechanism registration [SASL] by changing its intended usage to OBSOLETE.
このメモは、意図された使用法をOBSOLETEに変更することにより、SKEY SASLメカニズム登録[SASL]も修正します。
[ACAP] Newman, C. and J. Myers, "ACAP -- Application Configuration Access Protocol", RFC 2244, November 1997.
[ACAP]ニューマン、C。およびJ.マイヤーズ、「ACAP-Application Configuration Access Protocol」、RFC 2244、1997年11月。
[CRAM-MD5] Klensin, J., Catoe, R. and P. Krumviede, "IMAP/POP AUTHorize Extension for Simple Challenge/Response", RFC 2195, September 1997.
[CRAM-MD5] Klensin、J.、Catoe、R。、およびP. Krumviede、「IMAP / POP AUTHorize Extension for Simple Challenge / Response」、RFC 2195、1997年9月。
[IMAP4] Crispin, M., "Internet Message Access Protocol - Version 4rev1", RFC 2060, December 1996.
[IMAP4] Crispin、M。、「インターネットメッセージアクセスプロトコル-バージョン4rev1」、RFC 2060、1996年12月。
[KEYWORDS] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[キーワード] Bradner、S。、「RFCで使用して要件レベルを示すためのキーワード」、BCP 14、RFC 2119、1997年3月。
[LDAPv3] Wahl, M., Howes, T. and S. Kille, "Lightweight Directory Access Protocol (v3)", RFC 2251, December 1997.
[LDAPv3] Wahl、M.、Howes、T。およびS. Kille、「Lightweight Directory Access Protocol(v3)」、RFC 2251、1997年12月。
[MD5] Rivest, R., "The MD5 Message Digest Algorithm", RFC 1321, April 1992.
[MD5] Rivest、R。、「The MD5 Message Digest Algorithm」、RFC 1321、1992年4月。
[OTP] Haller, N., Metz, C., Nesser, P. and M. Straw, "A One-Time Password System", RFC 2289, February 1998.
[OTP]ハラーN.、メッツC.、ネサーP.、M。ストロー、「ワンタイムパスワードシステム」、RFC 2289、1998年2月。
[OTP-EXT] Metz, C., "OTP Extended Responses", RFC 2243, November 1997.
[OTP-EXT] Metz、C。、「OTP Extended Responses」、RFC 2243、1997年11月。
[POP-AUTH] Myers, J., "POP3 AUTHentication command", RFC 1734, December 1994.
[POP-AUTH]マイヤーズJ。、「POP3 AUTHentication command」、RFC 1734、1994年12月。
[SASL] Myers, J., "Simple Authentication and Security Layer (SASL)", RFC 2222, October 1997.
[SASL]マイヤーズ、J。、「Simple Authentication and Security Layer(SASL)」、RFC 2222、1997年10月。
[UTF-8] Yergeau, F., "UTF-8, a transformation format of ISO 10646", RFC 2279, January 1998.
[UTF-8] Yergeau、F。、「UTF-8、ISO 10646の変換フォーマット」、RFC 2279、1998年1月。
Chris Newman Innosoft International, Inc. 1050 Lakes Drive West Covina, CA 91790 USA
Chris Newman Innosoft International、Inc. 1050 Lakes Drive West Covina、CA 91790 USA
EMail: chris.newman@innosoft.com
Copyright (C) The Internet Society (1998). All Rights Reserved.
Copyright(C)The Internet Society(1998)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
このドキュメントとその翻訳はコピーして他のユーザーに提供することができ、コメントまたはその他の方法で説明したり、その実装を支援する二次的著作物は、いかなる種類の制限なしに、全体または一部を準備、コピー、公開、および配布することができますただし、上記の著作権表示とこの段落は、そのようなすべてのコピーと派生物に含まれています。ただし、このドキュメント自体は、著作権に関する通知を削除したり、インターネットソサエティや他のインターネット組織への参照を削除したりするなど、いかなる方法でも変更できません。ただし、インターネット標準を開発する目的で必要な場合は除きます。インターネット標準のプロセスに従うか、または必要に応じて、それを英語以外の言語に翻訳する必要があります。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記で付与された制限付きのアクセス許可は永続的であり、インターネットソサエティまたはその後継者または譲受人によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は「現状有姿」で提供され、インターネット社会およびインターネット技術タスクフォースは、明示または黙示を問わず、ここに記載されている情報の使用が保証するものに限定されないいかなる保証も含め、一切の保証を否認します。商品性または特定の目的への適合性に関する権利または黙示の保証を侵害すること。