[要約] 要約:RFC 3566は、AES-XCBC-MAC-96アルゴリズムとそのIPsecでの使用について説明しています。 目的:このRFCの目的は、AES-XCBC-MAC-96アルゴリズムをIPsecに適用するためのガイドラインを提供することです。

Network Working Group                                         S. Frankel
Request for Comments: 3566                                          NIST
Category: Standards Track                                     H. Herbert
                                                                   Intel
                                                          September 2003
        

The AES-XCBC-MAC-96 Algorithm and Its Use With IPsec

AES-XCBC-MAC-96アルゴリズムとIPSECでの使用

Status of this Memo

本文書の位置付け

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The Internet Society (2003). All Rights Reserved.

Copyright(c)The Internet Society(2003)。無断転載を禁じます。

Abstract

概要

A Message Authentication Code (MAC) is a key-dependent one way hash function. One popular way to construct a MAC algorithm is to use a block cipher in conjunction with the Cipher-Block-Chaining (CBC) mode of operation. The classic CBC-MAC algorithm, while secure for messages of a pre-selected fixed length, has been shown to be insecure across messages of varying lengths such as the type found in typical IP datagrams. This memo specifies the use of AES in CBC mode with a set of extensions to overcome this limitation. This new algorithm is named AES-XCBC-MAC-96.

メッセージ認証コード(MAC)は、キー依存の片道ハッシュ関数です。MACアルゴリズムを構築する1つの一般的な方法は、Cipher-Block-Chaining(CBC)動作モードと組み合わせてブロック暗号を使用することです。古典的なCBC-MACアルゴリズムは、事前に選択された固定長のメッセージに対して安全ですが、典型的なIPデータグラムに見られるタイプなど、さまざまな長さのメッセージ全体で安全であることが示されています。このメモは、この制限を克服するために、拡張機能のセットを備えたCBCモードでのAEの使用を指定します。この新しいアルゴリズムの名前はAES-XCBC-MAC-96です。

Table of Contents

目次

   1.  Introduction . . . . . . . . . . . . . . . . . . . . . . .   2
   2.  Specification of Requirements  . . . . . . . . . . . . . .   2
   3.  Basic CBC-MAC with Obligatory 10* Padding  . . . . . . . .   3
   4.  AES-XCBC-MAC-96  . . . . . . . . . . . . . . . . . . . . .   3
       4.1.  Keying Material. . . . . . . . . . . . . . . . . . .   5
       4.2.  Padding  . . . . . . . . . . . . . . . . . . . . . .   6
       4.3.  Truncation . . . . . . . . . . . . . . . . . . . . .   6
       4.4.  Interaction with the ESP Cipher Mechanism. . . . . .   6
       4.5.  Performance. . . . . . . . . . . . . . . . . . . . .   6
       4.6.  Test Vectors . . . . . . . . . . . . . . . . . . . .   7
   5.  Security Considerations  . . . . . . . . . . . . . . . . .   8
   6.  IANA Considerations  . . . . . . . . . . . . . . . . . . .   8
   7.  Intellectual Property Rights Statement . . . . . . . . . .   8
      8.  Acknowledgments  . . . . . . . . . . . . . . . . . . . . .   8
   9.  References . . . . . . . . . . . . . . . . . . . . . . . .   9
       9.1.  Normative References . . . . . . . . . . . . . . . .   9
       9.2.  Informative References . . . . . . . . . . . . . . .   9
   10. Authors' Addresses . . . . . . . . . . . . . . . . . . . .  10
   11. Full Copyright Statement . . . . . . . . . . . . . . . . .  11
        
1. Introduction
1. はじめに

Message authentication provides data integrity and data origin authentication with respect to the original message source. A Message Authentication Code (MAC) is a key-dependent one way hash function. One popular way to construct a MAC algorithm is to use a block cipher in conjunction with the Cipher-Block-Chaining (CBC) mode of operation. The classic CBC-MAC algorithm, while secure for messages of a pre-selected fixed length [CBC-MAC-2], has been shown to be insecure across messages of varying lengths such as the type found in typical IP datagrams [CBC-MAC-2, section 5]. In fact, it is trivial to produce forgeries for a second message given the MAC of a prior message. [HANDBOOK, section 9.62, p. 354]

メッセージ認証は、元のメッセージソースに対してデータの整合性とデータ起源の認証を提供します。メッセージ認証コード(MAC)は、キー依存の片道ハッシュ関数です。MACアルゴリズムを構築する1つの一般的な方法は、Cipher-Block-Chaining(CBC)動作モードと組み合わせてブロック暗号を使用することです。事前に選択された固定長[CBC-MAC-2]のメッセージに対して安全なクラシックCBC-MACアルゴリズムは、典型的なIPデータグラム[CBC-Macに見られるタイプなどのさまざまな長さのメッセージ全体で安全ではないことが示されています-2、セクション5]。実際、以前のメッセージのMacを考慮して、2番目のメッセージのためにForgeriesを作成することは些細なことです。[ハンドブック、セクション9.62、p。354]

This memo specifies the use of AES [AES] in CBC mode [MODES] with a set of extensions [XCBC-MAC-1] to overcome this limitation. This new algorithm is named AES-XCBC-MAC-96. Using the AES block cipher, with its increased block size (128 bits) and increased key length (128 bits), provides the new algorithm with the ability to withstand continuing advances in crypto-analytic techniques and computational capability. AES-XCBC-MAC-96 is used as an authentication mechanism within the context of the IPsec Encapsulating Security Payload (ESP) and the Authentication Header (AH) protocols. For further information on ESP, refer to [ESP] and [ROADMAP]. For further information on AH, refer to [AH] and [ROADMAP].

このメモは、この制限を克服するために、拡張機能[XCBC-MAC-1]のセットを使用したCBCモード[モード]でのAES [AES]の使用を指定します。この新しいアルゴリズムの名前はAES-XCBC-MAC-96です。AESブロック暗号を使用して、ブロックサイズ(128ビット)とキー長の増加(128ビット)を使用すると、暗号分析技術と計算能力の継続的な進歩に耐える機能を新しいアルゴリズムに提供します。AES-XCBC-MAC-96は、セキュリティペイロード(ESP)と認証ヘッダー(AH)プロトコルをカプセル化するIPSECのコンテキスト内で認証メカニズムとして使用されます。ESPの詳細については、[ESP]と[ロードマップ]を参照してください。AHの詳細については、[AH]と[ロードマップ]を参照してください。

The goal of AES-XCBC-MAC-96 is to ensure that the datagram is authentic and cannot be modified in transit. Data integrity and data origin authentication as provided by AES-XCBC-MAC-96 are dependent upon the scope of the distribution of the secret key. If the key is known only by the source and destination, this algorithm will provide both data origin authentication and data integrity for datagrams sent between the two parties. In addition, only a party with the identical key can verify the hash.

AES-XCBC-MAC-96の目標は、データグラムが本物であり、輸送中に変更できないことを確認することです。AES-XCBC-MAC-96によって提供されるデータの整合性とデータ起源認証は、シークレットキーの分布の範囲に依存します。キーがソースと宛先によってのみわかっている場合、このアルゴリズムは、2つのパーティ間で送信されたデータグラムのデータ起源認証とデータの整合性の両方を提供します。さらに、同一のキーを持つパーティーのみがハッシュを確認できます。

2. Specification of Requirements
2. 要件の仕様

The keywords "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" that appear in this document are to be interpreted as described in BCP 14, RFC 2119 [RFC-2119].

キーワードは「必要はない」、「必要」、「必須」、「shall」、「shall "、" bood "、" nove "、" becommended "、"、 "、" optional "、" optional "BCP 14、RFC 2119 [RFC-2119]に記載されているように解釈されます。

3. Basic CBC-MAC with Obligatory 10* Padding
3. 義務的な10*パディングを備えた基本的なCBC-MAC

CBC-MAC uses a block cipher for encryption; the block cipher transforms b bits of plaintext to b bits of ciphertext. The basic CBC-MAC [CBC-MAC-1, CBC-MAC-2] with Obligatory 10* Padding over a b-bit block cipher is calculated as follows for a message M:

CBC-MACは、暗号化にブロック暗号を使用します。ブロック暗号は、プレーンテキストのBビットを暗号文のBビットに変換します。義務的な10* Bビットブロック暗号のパディングを備えた基本的なCBC-MAC [CBC-MAC-1、CBC-MAC-2]は、メッセージmの場合に次のように計算されます。

(1) Append a single 1 bit to M. Then append the minimum number of 0 bits to M such that the length of M is a multiple of b. [NOTE: This is 1 of several padding schemes that can be used for CBC-MAC. Several others are described in [MODES].]

(1) Mに1ビットを1ビットに追加し、Mの最小ビット数をmに追加して、mの長さがbの倍数になるように追加します。[注:これは、CBC-MACに使用できるいくつかのパディングスキームの1つです。他のいくつかは[モード]で説明されています。

(2) Break M into n blocks, M[1] ... M[n], where the blocksize of blocks M[1] ... M[n] is b bits

(2) mブロック、m [1] ... m [n]にmを壊します。ここで、ブロックのブロックサイズはm [1] ... m [n]はbビットです

   (3)  Define E[0] = 0x00000000000000000000000000000000
        

(4) For each block M[i], where i = 1 ... n: XOR M[i] with E[i-1], then encrypt the result with Key K, yielding E[i].

(4) 各ブロックm [i]について、e = 1 ... n:xor m [i] e [i-1]を使用して、キーkで結果を暗号化し、e [i]を生成します。

(5) E[n] is the b-bit authenticator.

(5) E [n]はBビット認証器です。

Basic CBC-MAC with obligatory 10* padding has been shown to be secure for messages up to (but not including) a pre-selected fixed length, in which the length is a multiple of the blocksize. This algorithm is not suitable for IPsec for the following reasons:

義務的な10*パディングを備えた基本的なCBC-MACは、事前に選択された固定長のメッセージに対して安全であることが示されています。このアルゴリズムは、次の理由でIPSECには適していません。

+ Any IPsec authenticator must be able to handle messages of arbitrary length. However, the basic CBC-MAC cannot securely handle messages that exceed the pre-selected fixed length.

+ IPSEC Authenticatorは、任意の長さのメッセージを処理できる必要があります。ただし、基本的なCBC-MACは、事前に選択された固定長を超えるメッセージを安全に処理することはできません。

+ For messages shorter than the pre-selected fixed length, padding the message to the pre-selected fixed length may necessitate additional encryption operations, adding an unacceptable computational penalty.

+ 事前に選択された固定長より短いメッセージの場合、メッセージを事前に選択された固定長にパディングすると、追加の暗号化操作が必要になる場合があり、容認できない計算ペナルティが追加されます。

4. AES-XCBC-MAC-96
4. AES-XCBC-MAC-96

[AES] describes the underlying AES algorithm, while [CBC-MAC-1] and [XCBC-MAC-1] describe the AES-XCBC-MAC algorithm.

[AES]は、基礎となるAESアルゴリズムを説明し、[CBC-MAC-1]および[XCBC-MAC-1]はAES-XCBC-MACアルゴリズムを記述します。

The AES-XCBC-MAC-96 algorithm is a variant of the basic CBC-MAC with obligatory 10* padding; however, AES-XCBC-MAC-96 is secure for messages of arbitrary length. The AES-XCBC-MAC-96 calculations require numerous encryption operations; this encryption MUST be accomplished using AES with a 128-bit key. Given a 128-bit secret key K, AES-XCBC-MAC-96 is calculated as follows for a message M that consists of n blocks, M[1] ... M[n], in which the blocksize of blocks M[1] ... M[n-1] is 128 bits and the blocksize of block M[n] is between 1 and 128 bits:

AES-XCBC-MAC-96アルゴリズムは、義務的な10*パディングを備えた基本的なCBC-MACのバリアントです。ただし、AES-XCBC-MAC-96は、任意の長さのメッセージに対して安全です。AES-XCBC-MAC-96計算には、多数の暗号化操作が必要です。この暗号化は、128ビットキーを持つAEを使用して達成する必要があります。128ビットのシークレットキーKが与えられると、AES-XCBC-MAC-96は、ブロックM [1] ... m [n]で構成されるメッセージmで次のように計算されます。1] ... m [n-1]は128ビットで、ブロックM [n]のブロックサイズは1〜128ビットです。

(1) Derive 3 128-bit keys (K1, K2 and K3) from the 128-bit secret key K, as follows: K1 = 0x01010101010101010101010101010101 encrypted with Key K K2 = 0x02020202020202020202020202020202 encrypted with Key K K3 = 0x03030303030303030303030303030303 encrypted with Key K

(1) 次のように、128ビットシークレットキーKから3 128ビットキー(K1、K2、K3)を導き出します:K1 = 0x0101010101010101010101010101010101010101010101010x0202020202020202020202020202

   (2)  Define E[0] = 0x00000000000000000000000000000000
        

(3) For each block M[i], where i = 1 ... n-1: XOR M[i] with E[i-1], then encrypt the result with Key K1, yielding E[i].

(3) 各ブロックm [i]について、i = 1 ... n-1:xor m [i] e [i-1]を使用して、キーK1で結果を暗号化し、E [i]を生成します。

(4) For block M[n]:

(4) ブロックM [n]の場合:

a) If the blocksize of M[n] is 128 bits: XOR M[n] with E[n-1] and Key K2, then encrypt the result with Key K1, yielding E[n].

a) m [n]のブロックサイズが128ビットの場合:e [n-1]とキーK2を使用してxor m [n]、キーK1で結果を暗号化し、E [n]を生成します。

b) If the blocksize of M[n] is less than 128 bits:

b) m [n]のブロックサイズが128ビット未満の場合:

i) Pad M[n] with a single "1" bit, followed by the number of "0" bits (possibly none) required to increase M[n]'s blocksize to 128 bits.

i) 単一の「1」ビットを持つパッドM [n]、続いて、M [n]のブロックサイズを128ビットに増やすために必要な「0」ビット(おそらくなし)の数が続きます。

ii) XOR M[n] with E[n-1] and Key K3, then encrypt the result with Key K1, yielding E[n].

ii)e [n-1]およびキーK3を使用したxor m [n]、次に結果をキーK1で暗号化し、E [n]を生成します。

(5) The authenticator value is the leftmost 96 bits of the 128-bit E[n].

(5) 認証因子値は、128ビットE [n]の左端96ビットです。

NOTE1: If M is the empty string, pad and encrypt as in (4)(b) to create M[1] and E[1]. This will never be the case for ESP or AH, but is included for completeness sake.

注1:mが空の文字列である場合、(4)(b)のようにパッドと暗号化を行い、m [1]およびE [1]を作成します。これはESPまたはAHの場合は決してありませんが、完全性のために含まれています。

NOTE2: [CBC-MAC-1] defines K1 as follows: K1 = Constant1A encrypted with Key K | Constant1B encrypted with Key K.

Note2:[CBC-MAC-1]はK1を次のように定義します。K1=キーKで暗号化されたconstant1aconstant1bキーKで暗号化されました。

However, the second encryption operation is only needed for AES-XCBC-MAC with keys greater than 128 bits; thus, it is not included in the definition of AES-XCBC-MAC-96.

ただし、2番目の暗号化操作は、128ビットを超えるキーを持つAES-XCBC-MACでのみ必要です。したがって、AES-XCBC-MAC-96の定義には含まれていません。

AES-XCBC-MAC-96 verification is performed as follows: Upon receipt of the AES-XCBC-MAC-96 authenticator, the entire 128-bit value is computed and the first 96 bits are compared to the value stored in the authenticator field.

AES-XCBC-MAC-96検証は次のように実行されます。AES-XCBC-MAC-96認証器を受信すると、128ビット値全体が計算され、最初の96ビットが認証器フィールドに保存されている値と比較されます。

4.1. Keying Material
4.1. キーイング素材

AES-XCBC-MAC-96 is a secret key algorithm. For use with either ESP or AH a fixed key length of 128-bits MUST be supported. Key lengths other than 128-bits MUST NOT be supported (i.e., only 128-bit keys are to be used by AES-XCBC-MAC-96).

AES-XCBC-MAC-96は秘密のキーアルゴリズムです。ESPまたはAHのいずれかで使用するには、128ビットの固定キーの長さをサポートする必要があります。128ビット以外のキー長をサポートしてはなりません(つまり、AES-XCBC-MAC-96で使用する128ビットキーのみ)。

AES-XCBC-MAC-96 actually requires 384 bits of keying material (128 bits for the AES keysize + 2 times the blocksize). This keying material can either be provided through the key generation mechanism or it can be generated from a single 128-bit key. The latter approach has been selected for AES-XCBC-MAC-96, since it is analogous to other authenticators used within IPsec. The reason AES-XCBC-MAC-96 uses 3 keys is so the length of the input stream does not need to be known in advance. This may be useful for systems that do one-pass assembly of large packets.

AES-XCBC-MAC-96には、実際には384ビットのキーイング材料が必要です(AESの場合、ブロックサイズの2倍のキー化に128ビット)。このキーイング材料は、キー生成メカニズムを介して提供するか、単一の128ビットキーから生成することができます。後者のアプローチは、IPSEC内で使用される他の認証器に類似しているため、AES-XCBC-MAC-96に対して選択されています。AES-XCBC-MAC-96が3つのキーを使用する理由は、入力ストリームの長さを事前に知っている必要はありません。これは、大きなパケットのワンパスアセンブリを実行するシステムに役立つ場合があります。

A strong pseudo-random function MUST be used to generate the required 128-bit key. This key, along with the 3 derived keys (K1, K2 and K3), should be used for no purposes other than those specified in the algorithm. In particular, they should not be used as keys in another cryptographic setting. Such abuses will invalidate the security of the authentication algorithm.

必要な128ビットキーを生成するために、強力な擬似ランダム関数を使用する必要があります。このキーは、3つの派生キー(K1、K2、K3)とともに、アルゴリズムで指定されているもの以外の目的で使用する必要があります。特に、別の暗号化設定のキーとして使用しないでください。このような虐待は、認証アルゴリズムのセキュリティを無効にします。

At the time of this writing there are no specified weak keys for use with AES-XCBC-MAC-96. This does not mean to imply that weak keys do not exist. If, at some point, a set of weak keys for AES-XCBC-MAC-96 are identified, the use of these weak keys MUST be rejected followed by a request for replacement keys or a newly negotiated Security Association.

この執筆時点では、AES-XCBC-MAC-96で使用するための指定された弱いキーはありません。これは、弱いキーが存在しないことを暗示することを意味するものではありません。ある時点で、AES-XCBC-MAC-96の弱いキーのセットが特定されている場合、これらの弱いキーの使用を拒否する必要があり、その後、交換キーまたは新たに交渉されたセキュリティ協会のリクエストが必要です。

[ARCH] describes the general mechanism for obtaining keying material when multiple keys are required for a single SA (e.g., when an ESP SA requires a key for confidentiality and a key for authentication).

[Arch]は、単一のSAに複数のキーが必要な場合にキーイング材料を取得するための一般的なメカニズムを説明します(たとえば、ESP SAが機密性のためのキーと認証の鍵を必要とする場合)。

In order to provide data origin authentication, the key distribution mechanism must ensure that unique keys are allocated and that they are distributed only to the parties participating in the communication.

データ起源認証を提供するために、重要な分布メカニズムは、一意のキーが割り当てられ、通信に参加している当事者にのみ配布されることを保証する必要があります。

Current attacks do not necessitate a specific recommended frequency for key changes. However, periodic key refreshment is a fundamental security practice that helps against potential weaknesses of the function and the keys, reduces the information available to a cryptanalyst, and limits the damage resulting from a compromised key.

現在の攻撃では、重要な変更に特定の推奨頻度を必要としません。ただし、定期的なキーリフレッシュメントは、関数とキーの潜在的な弱点に役立ち、暗号化された情報を減らし、侵害されたキーから生じる損傷を制限する基本的なセキュリティ慣行です。

4.2. Padding
4.2. パディング

AES-XCBC-MAC-96 operates on 128-bit blocks of data. Padding requirements are specified in [CBC-MAC-1] and are part of the XCBC algorithm. If you build AES-XCBC-MAC-96 according to [CBC-MAC-1] you do not need to add any additional padding as far as AES-XCBC-MAC-96 is concerned. With regard to "implicit packet padding" as defined in [AH], no implicit packet padding is required.

AES-XCBC-MAC-96は、128ビットブロックのデータで動作します。パディング要件は[CBC-MAC-1]で指定されており、XCBCアルゴリズムの一部です。[CBC-MAC-1]に従ってAES-XCBC-MAC-96を構築する場合、AES-XCBC-MAC-96に関する限り、追加のパディングを追加する必要はありません。[AH]で定義されている「暗黙のパケットパディング」に関しては、暗黙のパケットパディングは必要ありません。

4.3. Truncation
4.3. 切り捨て

AES-XCBC-MAC produces a 128-bit authenticator value. AES-XCBC-MAC-96 is derived by truncating this 128-bit value as described in [HMAC] and verified in [XCBC-MAC-2]. For use with either ESP or AH, a truncated value using the first 96 bits MUST be supported. Upon sending, the truncated value is stored within the authenticator field. Upon receipt, the entire 128-bit value is computed and the first 96 bits are compared to the value stored in the authenticator field. No other authenticator value lengths are supported by AES-XCBC-MAC-96.

AES-XCBC-MACは、128ビットの認証因子値を生成します。AES-XCBC-MAC-96は、[HMAC]で説明されているように、この128ビット値を切り捨て、[XCBC-MAC-2]で検証することにより導出されます。ESPまたはAHのいずれかで使用するには、最初の96ビットを使用した切り捨てられた値をサポートする必要があります。送信すると、切り捨てられた値が認証装置フィールドに保存されます。受領すると、128ビット値全体が計算され、最初の96ビットが認証装置フィールドに保存されている値と比較されます。AES-XCBC-MAC-96によって他の認証値の長さはサポートされていません。

The length of 96 bits was selected because it is the default authenticator length as specified in [AH] and meets the security requirements described in [XCBC-MAC-2].

96ビットの長さは、[ah]で指定されているデフォルトの認証機の長さであり、[xcbc-mac-2]で説明されているセキュリティ要件を満たしているため、選択されました。

4.4. Interaction with the ESP Cipher Mechanism
4.4. ESP暗号メカニズムとの相互作用

As of this writing, there are no known issues which preclude the use of AES-XCBC-MAC-96 with any specific cipher algorithm.

この執筆時点では、特定の暗号アルゴリズムでAES-XCBC-MAC-96の使用を妨げる既知の問題はありません。

4.5. Performance
4.5. パフォーマンス

For any CBC MAC variant, the major computational effort is expended in computing the underlying block cipher. This algorithm uses a minimum number of AES invocations, one for each block of the message or fraction thereof, resulting in performance equivalent to classic CBC-MAC.

CBC Macバリアントの場合、基礎となるブロック暗号の計算に主要な計算努力が費やされます。このアルゴリズムは、メッセージの各ブロックまたはその分数に最小のAESの呼び出しを使用し、クラシックCBC-MACに相当するパフォーマンスをもたらします。

The key expansion requires 3 additional AES encryption operations, but these can be performed once in advance for each secret key.

キーの拡張には3つの追加のAES暗号化操作が必要ですが、これらは各シークレットキーに対して1回前に実行できます。

4.6. Test Vectors
4.6. テストベクトル

These test cases were provided by John Black, co-author of the XCBC-MAC algorithm, who verified them with 2 independent implementations. All values are hexadecimal numbers.

これらのテストケースは、XCBC-MACアルゴリズムの共著者であるジョンブラックによって提供され、2つの独立した実装でそれらを検証しました。すべての値は16進数です。

   Test Case #1   : AES-XCBC-MAC-96 with 0-byte input
   Key (K)        : 000102030405060708090a0b0c0d0e0f
   Message (M)    : <empty string>
   AES-XCBC-MAC   : 75f0251d528ac01c4573dfd584d79f29
   AES-XCBC-MAC-96: 75f0251d528ac01c4573dfd5
        

Test Case #2 : AES-XCBC-MAC-96 with 3-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 000102 AES-XCBC-MAC : 5b376580ae2f19afe7219ceef172756f AES-XCBC-MAC-96: 5b376580ae2f19afe7219cee

テストケース#2:3バイト入力キー(k)を備えたAES-XCBC-MAC-96:000102030405060708090A0B0C0D0E0Fメッセージ(M):000102 AES-XCBC-MAC:5B376580AE2F19AFE7219CEEF172756F AES-MAC-MAC-MAC-MAC-MAC-MAC-MAC-MAC-MAC-MAC AE2F19AFE7219cee

Test Case #3 : AES-XCBC-MAC-96 with 16-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 000102030405060708090a0b0c0d0e0f AES-XCBC-MAC : d2a246fa349b68a79998a4394ff7a263 AES-XCBC-MAC-96: d2a246fa349b68a79998a439

テストケース#3:16バイト入力キー(k)を備えたAES-XCBC-MAC-96:000102030404060708090A0B0C0D0E0Fメッセージ(M):00010203040406070809090A0A0B0C0CD0E0E0F AES-XCBC-MAC:D2A2468A 7A263 AES-XCBC-MAC-96:D2A246FA349B68A7998A439

Test Case #4 : AES-XCBC-MAC-96 with 20-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 000102030405060708090a0b0c0d0e0f10111213 AES-XCBC-MAC : 47f51b4564966215b8985c63055ed308 AES-XCBC-MAC-96: 47f51b4564966215b8985c63

テストケース#4:20バイト入力キーを備えたAES-XCBC-MAC-96(k):000102030404060708090A0B0C0D0E0Fメッセージ(M):00010203030405060708090A0A0A0B0CC0CD0E0P11121213 AES-XCBC-MAC:47F51625162516251625162562562562562562562562562562562562562562562562562562551255121213 5C63055ED308 AES-XCBC-MAC-96:47F51B4564966215B8985C63

Test Case #5 : AES-XCBC-MAC-96 with 32-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 000102030405060708090a0b0c0d0e0f10111213141516171819 1a1b1c1d1e1f AES-XCBC-MAC : f54f0ec8d2b9f3d36807734bd5283fd4 AES-XCBC-MAC-96: f54f0ec8d2b9f3d36807734b

ケース#5:32バイト入力キー(k)を備えたAES-XCBC-MAC-96:000102030405060708090A0B0C0D0E0Fメッセージ(M):00010203030406070808090A0A0A0B0C0CD0E0E0111111111115111111111118118118118118118118118118118118118118118118118118118118118118118181181181181181181181181181181181181181181181181181181181181181181181181181 BC-MAC:F54F0EC8D2B9F3D36807734BD5283FD4 AES-XCBC-MAC-96:F54F0EC8D2B9F3D3680734B

Test Case #6 : AES-XCBC-MAC-96 with 34-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 000102030405060708090a0b0c0d0e0f10111213141516171819 1a1b1c1d1e1f2021 AES-XCBC-MAC : becbb3bccdb518a30677d5481fb6b4d8 AES-XCBC-MAC-96: becbb3bccdb518a30677d548

Test Case #6 : AES-XCBC-MAC-96 with 34-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 000102030405060708090a0b0c0d0e0f10111213141516171819 1a1b1c1d1e1f2021 AES-XCBC-MAC : becbb3bccdb518a30677d5481fb6b4d8 AES-XCBC-MAC-96: becbb3bccdb518a30677d548

Test Case #7 : AES-XCBC-MAC-96 with 1000-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 00000000000000000000 ... 00000000000000000000 [1000 bytes]

テストケース#7:AES-XCBC-MAC-96 1000-byte入力キー(k):000102030405060708090A0B0C0D0E0Fメッセージ(M):00000000000000000000 ... 00000000000000000000 [1000 butes]

AES-XCBC-MAC : f0dafee895db30253761103b5d84528f AES-XCBC-MAC-96: f0dafee895db30253761103b

AES-XCBC-MAC:F0DAFEE895DB30253761103B5D84528F AES-XCBC-MAC-96:F0DAFEE895DB30253761103B

5. Security Considerations
5. セキュリティに関する考慮事項

The security provided by AES-XCBC-MAC-96 is based upon the strength of AES. At the time of this writing there are no practical cryptographic attacks against AES or AES-XCBC-MAC-96.

AES-XCBC-MAC-96が提供するセキュリティは、AESの強度に基づいています。この執筆時点では、AESまたはAES-XCBC-MAC-96に対する実用的な暗号攻撃はありません。

As is true with any cryptographic algorithm, part of its strength lies in the correctness of the algorithm implementation, the security of the key management mechanism and its implementation, the strength of the associated secret key, and upon the correctness of the implementation in all of the participating systems. This document contains test vectors to assist in verifying the correctness of AES-XCBC-MAC-96 code.

暗号化アルゴリズムに当てはまるように、その強度の一部は、アルゴリズムの実装の正しさ、キー管理メカニズムのセキュリティとその実装、関連する秘密鍵の強度、およびすべての実装の正しさにあります。参加システム。このドキュメントには、AES-XCBC-MAC-96コードの正確性の確認を支援するテストベクトルが含まれています。

6. IANA Considerations
6. IANAの考慮事項

IANA has assigned AH Transform Identifier 9 to AH_AES-XCBC-MAC. IANA has assigned AH/ESP Authentication Algorithm Value 9 to AES-XCBC-MAC.

IANAは、AH変換識別子9をAH_AES-XCBC-MACに割り当てました。IANAは、AH/ESP認証アルゴリズム値9をAES-XCBC-MACに割り当てました。

7. Intellectual Property Rights Statement
7. 知的財産の正当な声明

The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF Secretariat.

IETFは、知的財産またはその他の権利の有効性または範囲に関して、この文書に記載されているテクノロジーの実装または使用に関連すると主張される可能性のある他の権利、またはそのような権利に基づくライセンスがどの程度であるかについての程度に関連する可能性があるという立場はありません。利用可能;また、そのような権利を特定するために努力したことも表明していません。標準トラックおよび標準関連のドキュメントの権利に関するIETFの手順に関する情報は、BCP-11に記載されています。出版のために利用可能にされた権利の請求のコピーと、利用可能になるライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できますIETF事務局から。

8. Acknowledgments
8. 謝辞

Portions of this text were unabashedly borrowed from [HMAC-SHA].

このテキストの一部は、[hmac-sha]からab然と借用されました。

Thanks to the XCBC-MAC authors for their expert advice and rapid response to our queries: to Phil Rogaway for providing values for the XCBC-MAC constants; and to John Black for detailed corrections to the algorithm specifications and for providing the test cases. Thanks also to Andrew Krywaniuk for insisting on (and providing wording for) a rationale for the 3-key approach.

XCBC-MAC Authorsの専門家のアドバイスとクエリへの迅速な対応に感謝します。XCBC-MAC定数の価値を提供してくれたPhil Rogawayに。ジョンブラックに、アルゴリズムの仕様の詳細な修正と、テストケースを提供するために。また、3キーアプローチの理論的根拠を主張して(そして文言を提供する)ことをしてくれたAndrew Krywaniukにも感謝します。

9. References
9. 参考文献
9.1. Normative References
9.1. 引用文献

[AES] NIST, FIPS PUB 197, "Advanced Encryption Standard (AES)," November 2001. http://csrc.nist.gov/publications/fips/fips197/ fips-197.{ps,pdf}

[AES] Nist、Fips Pub 197、「Advanced Encryption Standard(AES)」、2001年11月。http://csrc.nist.gov/publications/fips/fips197/ fips-197。{ps、pdf}

[AH] Kent, S. and R. Atkinson, "IP Authentication Header", RFC 2402, November 1998.

[AH] Kent、S。およびR. Atkinson、「IP認証ヘッダー」、RFC 2402、1998年11月。

[CBC-MAC-1] Black, J. and P. Rogaway, "CBC MACs for Arbitrary-Length Messages: The Three-Key Constructions," in M. Bellare, editor, Advances in Cryptology -- CRYPTO '00, volume 1880 of Lecture Notes in Computer Science, p. 0197, August 2000, Springer-Verlag. http://www.cs.ucdavis.edu/~rogaway/papers/3k.ps

[CBC-MAC-1] Black、J。およびP. Rogaway、「任意の長さのメッセージのCBC Mac:The Three-Key Constructions」、M。Bellareの編集者、Cryptogy-Crypto '00、Volume 1880コンピューターサイエンスの講義ノート、p。0197、2000年8月、Springer-Verlag。http://www.cs.ucdavis.edu/~rogaway/papers/3k.ps

[ESP] Kent, S. and R. Atkinson, "IP Encapsulating Security Payload (ESP)", RFC 2406, November 1998.

[ESP] Kent、S。およびR. Atkinson、「IPカプセル化セキュリティペイロード(ESP)」、RFC 2406、1998年11月。

[RFC-2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC-2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[XCBC-MAC-1] Black, J. and P. Rogaway, "A Suggestion for Handling Arbitrary-Length Messages with the CBC MAC," NIST Second Modes of Operation Workshop, August 2001. http://csrc.nist.gov/encryption/modes/proposedmodes/ xcbc-mac/xcbc-mac-spec.pdf

[XCBC-MAC-1] Black、J。およびP. Rogaway、「CBC MACで任意の長さのメッセージを処理するための提案」、NIST 2番目の操作ワークショップモード、2001年8月。http://csrc.nist.govv/encryption/modes/proposedmodes/xcbc-mac/xcbc-mac-spec.pdf

9.2. Informative References
9.2. 参考引用

[ARCH] Kent, S. and R. Atkinson, "Security Architecture for the Internet Protocol", RFC 2401, November 1998.

[Arch] Kent、S。およびR. Atkinson、「インターネットプロトコルのセキュリティアーキテクチャ」、RFC 2401、1998年11月。

[CBC-MAC-2] Bellare, M., J. Kilian and P. Rogaway, "The Security of the Cipher Block Chaining Message Authentication Code," Journal of Computer and System Sciences (JCSS), Vol. 61, No. 3, December 2000, pp. 362-399. http://www.cse.ucsd.edu/users/mihir/papers/cbc.{ps,pdf}

[CBC-MAC-2] Bellare、M.、J。Kilian and P. Rogaway、「暗号ブロックチェーンメッセージ認証コードのセキュリティ」、Journal of Computer and System Sciences(JCSS)、Vol。61、No。3、2000年12月、pp。362-399。http://www.cse.ucsd.edu/users/mihir/papers/cbc. {pslpdf}

[HMAC] Krawczyk, H., Bellare, M. and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.

[HMAC] Krawczyk、H.、Bellare、M。、およびR. Canetti、「HMAC:メッセージ認証のためのキードハッシング」、RFC 2104、1997年2月。

[HMAC-SHA] Madson, C. and R. Glenn, "The Use of HMAC-SHA-1-96 within ESP and AH", RFC 2404, November 1998.

[HMAC-SHA] Madson、C。およびR. Glenn、「ESPおよびAH内のHMAC-SHA-1-96の使用」、RFC 2404、1998年11月。

[HANDBOOK] Menezes, A., P. Van Oorschot and S. Vanstone, "Handbook of Applied Cryptography", CRC Press, 1997.

[ハンドブック] Menezes、A.、P。VanOorschotおよびS. Vanstone、「Handbook of Applied Cryptography」、CRC Press、1997。

[MODES] Dworkin, M., "Recommendation for Block Cipher Modes of Operation: Methods and Techniques," NIST Special Publication 800-38A, December 2001. http://csrc.nist.gov/publications/nistpubs/800-38a /sp800-38a.pdf

[Modes] Dworkin、M。、「操作のブロックモードの推奨:方法とテクニックの推奨」、NIST Special Publication 800-38A、2001年12月。http://csrc.nist.gov/publications/nistpubs/800-38a/SP800-38A.pdf

[RFC-2026] Bradner, S., "The Internet Standards Process -- Revision 3", BCP 9, RFC 2026, October 1996.

[RFC-2026] Bradner、S。、「インターネット標準プロセス - 改訂3」、BCP 9、RFC 2026、1996年10月。

[ROADMAP] Thayer, R., N. Doraswamy, and R. Glenn, "IP Security Document Roadmap", RFC 2411, November 1998.

[ロードマップ] Thayer、R.、N。Doraswamy、およびR. Glenn、「IP Security Document Roadmap」、RFC 2411、1998年11月。

[XCBC-MAC-2] Rogaway, Phil, email communications, October 2001.

[XCBC-MAC-2] Rogaway、Phil、電子メールコミュニケーション、2001年10月。

10. Authors' Addresses
10. 著者のアドレス

Sheila Frankel NIST - National Institute of Standards and Technology 820 West Diamond Ave. Room 677 Gaithersburg, MD 20899

シーラ・フランケル・ニスト - 国立標準技術研究所820ウェストダイヤモンドアベニュー。ルーム677ゲーサーズバーグ、メリーランド20899

   Phone: +1 (301) 975-3297
   EMail: sheila.frankel@nist.gov
        

Howard C. Herbert Intel Corporation Lan Access Division 5000 West Chandler Blvd. MS-CH7-404 Chandler, Arizona 85226

ハワードC.ハーバートインテルコーポレーションLAN Access Division 5000 West Chandler Blvd.MS-CH7-404チャンドラー、アリゾナ85226

   Phone: +1 (480) 554-3116
   EMail: howard.c.herbert@intel.com
        
11. 完全な著作権声明

Copyright (C) The Internet Society (2003). All Rights Reserved.

Copyright(c)The Internet Society(2003)。無断転載を禁じます。

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

上記の限られた許可は永続的であり、インターネット社会またはその後継者または譲受人によって取り消されることはありません。

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントと本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。

Acknowledgement

謝辞

Funding for the RFC Editor function is currently provided by the Internet Society.

RFCエディター機能の資金は現在、インターネット協会によって提供されています。