[要約] RFC 4383は、SRTPでのTESLAの使用に関するガイドラインです。TESLAは、リアルタイム通信における認証の信頼性を向上させるための技術です。このRFCの目的は、SRTPでのTESLAの実装と使用に関する指針を提供することです。

Network Working Group                                         M. Baugher
Request for Comments: 4383                                         Cisco
Category: Standards Track                                     E. Carrara
                                           Royal Institute of Technology
                                                           February 2006
        

The Use of Timed Efficient Stream Loss-Tolerant Authentication (TESLA) in the Secure Real-time Transport Protocol (SRTP)

安全なリアルタイムトランスポートプロトコル(SRTP)でのタイミングの効率的なストリーム損失耐性認証(TESLA)の使用

Status of This Memo

本文書の位置付け

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The Internet Society (2006).

Copyright(c)The Internet Society(2006)。

Abstract

概要

This memo describes the use of the Timed Efficient Stream Loss-tolerant Authentication (RFC 4082) transform within the Secure Real-time Transport Protocol (SRTP), to provide data origin authentication for multicast and broadcast data streams.

このメモは、マルチキャストおよびブロードキャストデータストリームのデータ起源認証を提供するために、Secureリアルタイムトランスポートプロトコル(SRTP)内で、時限効率の高いストリーム損失耐性認証(RFC 4082)変換の使用について説明しています。

Table of Contents

目次

   1. Introduction ....................................................2
      1.1. Notational Conventions .....................................3
   2. SRTP ............................................................3
   3. TESLA ...........................................................4
   4. Usage of TESLA within SRTP ......................................5
      4.1. The TESLA Extension ........................................5
      4.2. SRTP Packet Format .........................................6
      4.3. Extension of the SRTP Cryptographic Context ................7
      4.4. SRTP Processing ............................................8
           4.4.1. Sender Processing ...................................9
           4.4.2. Receiver Processing .................................9
      4.5. SRTCP Packet Format .......................................11
      4.6. TESLA MAC .................................................13
      4.7. PRFs ......................................................13
   5. TESLA Bootstrapping and Cleanup ................................14
   6. SRTP TESLA Default Parameters ..................................14
   7. Security Considerations ........................................15
   8. Acknowledgements ...............................................16
   9. References .....................................................17
      9.1. Normative References ......................................17
      9.2. Informative References ....................................17
        
1. Introduction
1. はじめに

Multicast and broadcast communications introduce some new security challenges compared to unicast communication. Many multicast and broadcast applications need "data origin authentication" (DOA), or "source authentication", in order to guarantee that a received message had originated from a given source, and was not manipulated during the transmission. In unicast communication, a pairwise security association between one sender and one receiver can provide data origin authentication using symmetric-key cryptography (such as a message authentication code, MAC). When the communication is strictly pairwise, the sender and receiver agree upon a key that is known only to them.

マルチキャストおよびブロードキャスト通信は、ユニキャスト通信と比較していくつかの新しいセキュリティ上の課題を導入します。多くのマルチキャストおよびブロードキャストアプリケーションには、受信したメッセージが特定のソースから発信され、送信中に操作されなかったことを保証するために、「Data Origin Authentication」または「Source Authentication」が必要です。ユニキャスト通信では、1つの送信者と1つのレシーバーとの間のペアワイズセキュリティアソシエーションは、対称キー暗号化(メッセージ認証コード、MACなど)を使用してデータ起源認証を提供できます。通信が厳密にペアワイズである場合、送信者と受信者は、彼らだけに知られているキーに同意します。

In groups, however, a key is shared among more than two members, and this symmetric-key approach does not guarantee data origin authentication. When there is a group security association [RFC4046] instead of a pairwise security association, any of the members can alter the packet and impersonate any other member. The MAC in this case only guarantees that the packet was not manipulated by an attacker outside the group (and hence not in possession of the group key), and that the packet was sent by a source within the group.

ただし、グループでは、キーが2人以上のメンバーの間で共有されており、この対称キーアプローチはデータ起源の認証を保証しません。ペアワイズセキュリティ協会の代わりにグループセキュリティ協会[RFC4046]がある場合、メンバーのいずれかがパケットを変更し、他のメンバーになりすまします。この場合のMACは、グループの外側の攻撃者によってパケットが操作されなかった(したがってグループキーを所有していない)、およびグループ内のソースによってパケットが送信されたことを保証します。

Some applications cannot tolerate source ambiguity and need to identify the true sender from any other group member. A common way to solve the problem is by use of asymmetric cryptography, such as digital signatures. This method, unfortunately, suffers from high overhead in terms of time (to sign and verify) and bandwidth (to convey the signature in the packet).

一部のアプリケーションは、ソースのあいまいさを容認することができず、他のグループメンバーから真の送信者を特定する必要があります。問題を解決する一般的な方法は、デジタル署名などの非対称暗号化を使用することです。残念ながら、この方法は、時間(署名と検証)と帯域幅(パケットの署名を伝えるため)の点で高いオーバーヘッドに苦しんでいます。

Several schemes have been proposed to provide efficient data origin authentication in multicast and broadcast scenarios. The Timed Efficient Stream Loss-tolerant Authentication (TESLA) is one such scheme.

マルチキャストおよびブロードキャストシナリオで効率的なデータ起源認証を提供するために、いくつかのスキームが提案されています。タイミングの効率的なストリーム損失耐性認証(TESLA)は、そのようなスキームの1つです。

This memo specifies TESLA authentication for SRTP. SRTP TESLA can provide data origin authentication to RTP applications that use group security associations (such as multicast RTP applications) so long as receivers abide by the TESLA security invariants [RFC4082].

このメモは、SRTPのTesla認証を指定します。SRTP TESLAは、受信機がTESLAセキュリティ不変剤[RFC4082]を順守する限り、グループセキュリティ関連(マルチキャストRTPアプリケーションなど)を使用するRTPアプリケーションにデータ起源認証を提供できます。

1.1. Notational Conventions
1.1. 表記規則

The keywords "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

キーワードは「必要」、「必要」、「必須」、「shall」、「shall "、" sulld "、" nove "、" becommended "、" "、" optional "は、[RFC2119]で説明されているように解釈されます。

This specification assumes that the reader is familiar with both SRTP and TESLA. Few of their details are explained in this document, and the reader can find them in their respective specifications, [RFC3711] and [RFC4082]. This specification uses the same definitions as TESLA for common terms and assumes that the reader is familiar with the TESLA algorithms and protocols [RFC4082].

この仕様は、読者がSRTPとTeslaの両方に精通していることを前提としています。このドキュメントで説明されている詳細はほとんどなく、読者はそれぞれの仕様[RFC3711]および[RFC4082]でそれらを見つけることができます。この仕様は、一般的な用語でTeslaと同じ定義を使用し、読者がTeslaアルゴリズムとプロトコル[RFC4082]に精通していると想定しています。

2. SRTP
2. srtp

The Secure Real-time Transport Protocol (SRTP) [RFC3711] is a profile of RTP, which can provide confidentiality, message authentication, and replay protection to the RTP traffic and to the RTP control protocol, the Real-time Transport Control Protocol (RTCP). Note that the term "SRTP" may often be used to indicate SRTCP as well.

安全なリアルタイムトランスポートプロトコル(SRTP)[RFC3711]は、RTPのプロファイルであり、RTPトラフィックとRTPコントロールプロトコル、リアルタイムトランスポートコントロールプロトコル(RTCPに機密性、メッセージ認証、およびリプレイ保護を提供できます。)。「srtp」という用語は、しばしばSRTCPを示すために使用される場合があることに注意してください。

SRTP is a framework that allows new security functions and new transforms to be added. SRTP currently does not define any mechanism to provide data origin authentication for group security associations. Fortunately, it is straightforward to add TESLA to the SRTP cryptographic framework.

SRTPは、新しいセキュリティ関数と新しい変換を追加できるフレームワークです。SRTPは現在、グループセキュリティ協会にデータ起源認証を提供するメカニズムを定義していません。幸いなことに、SRTP暗号化フレームワークにテスラを追加するのは簡単です。

The TESLA extension to SRTP is defined in this specification, which assumes that the reader is familiar with the SRTP specification [RFC3711], its packet structure, and its processing rules. TESLA is an alternative message-authentication algorithm that authenticates messages from the source when a key is shared among two or more receivers.

SRTPへのTesla拡張は、この仕様で定義されています。これは、読者がSRTP仕様[RFC3711]、そのパケット構造、およびその処理ルールに精通していることを前提としています。Teslaは、キーが2つ以上のレシーバー間で共有されているときにソースからのメッセージを認証する代替メッセージ認証アルゴリズムです。

3. TESLA
3. テスラ

TESLA provides delayed per-packet data authentication and is specified in [RFC4082].

Teslaは、パケットごとのデータ認証の遅延を提供し、[RFC4082]で指定されています。

In addition to its SRTP data-packet definition given here, TESLA needs an initial synchronization protocol and initial bootstrapping procedure. The synchronization protocol allows the sender and the receiver to compare their clocks and determine an upper bound of the difference. The synchronization protocol is outside the scope of this document.

ここに示されているSRTPデータパケット定義に加えて、Teslaは初期同期プロトコルと初期ブートストラップ手順を必要とします。同期プロトコルにより、送信者と受信機は時計を比較し、差の上限を決定できます。同期プロトコルは、このドキュメントの範囲外です。

TESLA also requires an initial bootstrapping procedure to exchange needed parameters and the initial commitment to the key chain [RFC4082]. For SRTP, it is assumed that the bootstrapping is performed out-of-band, possibly using the key management protocol that is exchanging the security parameters for SRTP, e.g., [RFC3547, RFC3830]. Initial bootstrapping of TESLA is outside the scope of this document.

Teslaでは、必要なパラメーターを交換するための初期ブートストラップ手順と、キーチェーンへの最初のコミットメント[RFC4082]も必要です。SRTPの場合、ブートストラップは帯域外で実行されると想定されており、おそらく[RFC3547、RFC3830]のSRTPのセキュリティパラメーターを交換している主要な管理プロトコルを使用しています。テスラの最初のブートストラップは、このドキュメントの範囲外です。

4. Usage of TESLA within SRTP
4. SRTP内のテスラの使用

The present specification is an extension to the SRTP specification [RFC3711] and describes the use of TESLA with only a single key chain and delayed-authentication [RFC4082].

現在の仕様は、SRTP仕様[RFC3711]の拡張であり、単一のキーチェーンと遅延告発[RFC4082]のみでテスラの使用を説明しています。

4.1. The TESLA Extension
4.1. テスラエクステンション

TESLA is an OPTIONAL authentication transform for SRTP. When used, TESLA adds the fields shown in Figure 1 per-packet. The fields added by TESLA are called "TESLA authentication extensions," whereas "authentication tag" or "integrity protection tag" indicate the normal SRTP integrity protection tag, when the SRTP master key is shared by more than two endpoints [RFC3711].

Teslaは、SRTPのオプションの認証変換です。使用すると、テスラはパケットごとに図1に示すフィールドを追加します。Teslaによって追加されたフィールドは「Tesla認証拡張機能」と呼ばれますが、「認証タグ」または「整合性保護タグ」は、SRTPマスターキーが2つのエンドポイント[RFC3711]で共有される場合の通常のSRTP整合性保護タグを示します。

   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                              i                                |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   ~                         Disclosed Key                         ~
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   ~                           TESLA MAC                           ~
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        

Figure 1. The "TESLA authentication extension".

図1.「テスラ認証拡張機能」。

i: 32 bit, MANDATORY Identifier of the time interval i, corresponding to the key K_i, which is used to calculate the TESLA MAC of the current packet (and other packets sent in the current time interval i).

I:32ビット、現在のパケットのテスラMAC(および現在の時間間隔Iで送信されたその他のパケット)の計算に使用されるキーK_Iに対応する時間間隔Iの必須識別子。

Disclosed Key: variable length, MANDATORY The disclosed key (K_(i-d)), which can be used to authenticate previous packets from earlier time intervals [RFC4082]. A Section 4.3 parameter establishes the size of this field.

開示されたキー:可変長さ、必須の開示キー(k_(i-d))に必須。これは、以前の時間間隔から以前のパケットを認証するために使用できます[RFC4082]。セクション4.3パラメーターは、このフィールドのサイズを確立します。

TESLA MAC (Message Authentication Code): variable length, MANDATORY The MAC computed using the key K'_i (derived from K_i) [RFC4082], which is disclosed in a subsequent packet (in the Disclosed Key field). The MAC coverage is defined in Section 4.6. A Section 4.3 parameter establishes the size of this field.

Tesla Mac(メッセージ認証コード):可変長さ、必須のMac(K_Iから派生)[RFC4082]を使用して計算されたMacは、後続のパケット(開示されたキーフィールドで)で開示されています。MACカバレッジは、セクション4.6で定義されています。セクション4.3パラメーターは、このフィールドのサイズを確立します。

4.2. SRTP Packet Format
4.2. SRTPパケット形式

Figure 2 illustrates the format of the SRTP packet when TESLA is applied. When applied to RTP, the TESLA authentication extension SHALL be inserted before the (optional) SRTP MKI and (recommended) authentication tag (SRTP MAC).

図2は、Teslaが適用されたときのSRTPパケットの形式を示しています。RTPに適用する場合、Tesla認証拡張機能は(オプションの)SRTP MKIおよび(推奨)認証タグ(SRTP MAC)の前に挿入されます。

     0                   1                   2                   3
   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<+<+
  |V=2|P|X|  CC   |M|     PT      |       sequence number         | | |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
  |                           timestamp                           | | |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
  |           synchronization source (SSRC) identifier            | | |
  +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | |
  |            contributing source (CSRC) identifiers             | | |
  |                               ....                            | | |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
  |                   RTP extension (OPTIONAL)                    | | |
+>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| |                          payload  ...                         | | |
| |                               +-------------------------------+ | |
| |                               | RTP padding   | RTP pad count | | |
+>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<+ |
| |                            i                                  | | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~                      Disclosed Key                            ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~                          TESLA MAC                            ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<|-+
| ~                            MKI                                ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~                            MAC                                ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
|                                                                   | |
+- Encrypted Portion                 TESLA Authenticated Portion ---+ |
                                                                      |
                                             Authenticated Portion ---+
        

Figure 2. The format of the SRTP packet when TESLA is applied.

図2. Teslaが適用されたときのSRTPパケットの形式。

As in SRTP, the "Encrypted Portion" of an SRTP packet consists of the encryption of the RTP payload (including RTP padding when present) of the equivalent RTP packet.

SRTPと同様に、SRTPパケットの「暗号化された部分」は、同等のRTPパケットのRTPペイロード(存在する場合のRTPパディングを含む)の暗号化で構成されています。

The "Authenticated Portion" of an SRTP packet consists of the RTP header, the Encrypted Portion of the SRTP packet, and the TESLA authentication extension. Note that the definition is extended from [RFC3711] by the inclusion of the TESLA authentication extension.

SRTPパケットの「認証された部分」は、RTPヘッダー、SRTPパケットの暗号化された部分、およびTesla認証拡張機能で構成されています。定義は、Tesla認証拡張機能を含めることにより、[RFC3711]から拡張されていることに注意してください。

The "TESLA Authenticated Portion" of an SRTP packet consists of the RTP header and the Encrypted Portion of the SRTP packet. As shown in Figure 2, the SRTP MAC covers up to the MKI field but does not include the MKI. It is necessary for packet integrity that the SRTP-TESLA MAC tag be covered by the SRTP integrity check. SRTP does not cover the MKI field (because it does not need to be covered for SRTP packet integrity). In order to make the two tags (SRTP-TESLA MAC and SRTP-MAC) contiguous, we would need to redefine the SRTP specification to include the MKI in SRTP-MAC coverage. This change is impossible, so the MKI field separates the TESLA MAC from the SRTP MAC in the packet layout of Figure 2. This change to the packet format presents no problem to an implementation that supports the new SRTP-TESLA authentication transform.

SRTPパケットの「テスラ認証部分」は、RTPヘッダーとSRTPパケットの暗号化された部分で構成されています。図2に示すように、SRTP MACはMKIフィールドまでカバーしていますが、MKIは含まれていません。パケットの整合性には、SRTP-Tesla MacタグがSRTP Integrity Checkでカバーされることが必要です。SRTPはMKIフィールドをカバーしていません(SRTPパケットの整合性のためにカバーする必要はないため)。2つのタグ(SRTP-TESLA MACおよびSRTP-MAC)を連続させるには、SRTP-MACカバレッジにMKIを含めるためにSRTP仕様を再定義する必要があります。この変更は不可能なため、MKIフィールドは、図2のパケットレイアウトでTesla MacをSRTP Macから分離します。このパケット形式の変更は、新しいSRTP-Tesla認証変換をサポートする実装に問題はありません。

The lengths of the Disclosed Key and TESLA MAC fields are Section 4.3 parameters. As in SRTP, fields that follow the packet payload are not necessarily aligned on 32-bit boundaries.

開示されたキーとテスラMACフィールドの長さは、セクション4.3パラメーターです。SRTPと同様に、パケットペイロードに続くフィールドは、必ずしも32ビット境界に並べられているわけではありません。

4.3. Extension of the SRTP Cryptographic Context
4.3. SRTP暗号化コンテキストの拡張

When TESLA is used, the definition of cryptographic context in Section 3.2 of SRTP SHALL include the following extensions.

Teslaを使用する場合、SRTPのセクション3.2の暗号化コンテキストの定義には、以下の拡張が含まれます。

Transform-Dependent Parameters

変換依存パラメーター

1. an identifier for the PRF (TESLA PRF), implementing the one-way function F(x) in TESLA (to derive the keys in the chain), and the one-way function F'(x) in TESLA (to derive the keys for the TESLA MAC, from the keys in the chain), e.g., to indicate HMAC-SHA1. See Section 6 for the default value.

1. PRF(Tesla PRF)の識別子、テスラに一方向関数f(x)を実装(チェーン内のキーを導出する)、一方向関数f '(x)はテスラ(キーを導出するために)テスラMACの場合、チェーン内のキーから)、たとえば、HMAC-SHA1を示すため。デフォルト値については、セクション6を参照してください。

2. a non-negative integer, n_p, determining the length of the F output; i.e., the length of the keys in the chain (that is also the key disclosed in an SRTP packet). See Section 6 for the default value.

2. f出力の長さを決定する非陰性整数n_p。つまり、チェーン内のキーの長さ(つまり、SRTPパケットで開示されているキーでもあります)。デフォルト値については、セクション6を参照してください。

3. a non-negative integer, n_f, determining the length of the output of F', i.e., of the key for the TESLA MAC. See Section 6 for the default value.

3. 非陰性整数n_f、f 'の出力の長さ、つまりテスラMACのキーの決定。デフォルト値については、セクション6を参照してください。

4. an identifier for the TESLA MAC that accepts the output of F'(x) as its key, e.g., to indicate HMAC-SHA1. See Section 6 for the default value.

4. f '(x)の出力をキーとして受け入れるテスラMACの識別子、たとえば、HMAC-Sha1を示すために。デフォルト値については、セクション6を参照してください。

5. a non-negative integer, n_m, determining the length of the output of the TESLA MAC. See Section 6 for the default value.

5. 非陰性整数N_M、テスラMACの出力の長さを決定します。デフォルト値については、セクション6を参照してください。

6. the beginning of the session T_0.

6. セッションT_0の開始。

7. the interval duration T_int (in msec).

7. 間隔期間t_int(MSEC)。

8. the key disclosure delay d (in number of intervals).

8. キー開示遅延D(間隔数)。

9. the upper bound D_t (in sec) on the lag of the receiver clock relative to the sender clock (this quantity has to be calculated by the peers out-of-band).

9. 送信者クロックに対するレシーバークロックの遅れの上限d_t(秒)(この数量は、ピアの帯域外で計算する必要があります)。

10. a non-negative integer, n_c, determining the length of the key chain, K_0...K_n-1 of [RFC4082] (see also Section 6 of this document), which is determined based upon the expected duration of the stream.

10. 非陰性整数N_C、キーチェーンの長さ、K_0 ... K_N-1 [RFC4082](このドキュメントのセクション6も参照)は、ストリームの予想される期間に基づいて決定されます。

11. the initial key of the chain to which the sender has committed himself.

11. 送信者が自分自身をコミットしたチェーンの最初のキー。

F(x) is used to compute a keychain of keys in SRTP TESLA, as defined in Section 6. Also according to TESLA, F'(x) computes a TESLA MAC key with inputs as defined in Section 6.

F(x)は、セクション6で定義されているように、SRTPテスラのキーのキーチェーンを計算するために使用されます。Teslaによると、F '(x)は、セクション6で定義されている入力を含むTesla Macキーを計算します。

Section 6 of this document defines the default values for the transform-specific TESLA parameters.

このドキュメントのセクション6では、変換固有のTESLAパラメーターのデフォルト値を定義しています。

4.4. SRTP Processing
4.4. SRTP処理

The SRTP packet processing is described in Section 3.3 of the SRTP specification [RFC3711]. The use of TESLA slightly changes the processing, as the SRTP MAC is checked upon packet arrival for DoS prevention, but the current packet is not TESLA-authenticated. Each packet is buffered until a subsequent packet discloses its TESLA key. The TESLA verification itself consists of some steps, such as tests of TESLA security invariants, that are described in Sections 3.5-3.7 of [RFC4082]. The words "TESLA computation" and "TESLA verification" hereby imply all those steps, which are not all spelled out in the following. In particular, notice that the TESLA verification implies checking the safety condition (Section 3.5 of [RFC4082]).

SRTPパケット処理は、SRTP仕様[RFC3711]のセクション3.3で説明されています。Teslaの使用は、SRTP MacがDOS予防のためにパケット到着時にチェックされるため、処理をわずかに変更しますが、現在のパケットはテスラ認証ではありません。各パケットは、後続のパケットがテスラキーを開示するまでバッファリングされます。テスラの検証自体は、[RFC4082]のセクション3.5〜3.7で説明されているテスラセキュリティ不変剤のテストなどのいくつかの手順で構成されています。「テスラ計算」と「テスラ検証」という言葉は、これらすべての手順を意味します。特に、テスラの検証が安全条件をチェックすることを意味することに注意してください([RFC4082]のセクション3.5)。

As pointed out in [RFC4082], if the packet is deemed "unsafe", then the receiver considers the packet unauthenticated. It should discard unsafe packets, but, at its own risk, it may choose to use them unverified. Hence, if the safe condition does not hold, it is RECOMMENDED to discard the packet and log the event.

[RFC4082]で指摘されているように、パケットが「安全でない」とみなされる場合、受信者はパケットを認識していないと考えます。安全でないパケットを廃棄する必要がありますが、独自の責任で、それらを未検証を使用することを選択する場合があります。したがって、安全な状態が保持されない場合は、パケットを破棄してイベントを記録することをお勧めします。

4.4.1. Sender Processing
4.4.1. 送信者処理

The sender processing is as described in Section 3.3 of [RFC3711], up to step 5, inclusive. After that, the following process is followed:

送信者処理は、[RFC3711]のセクション3.3で説明されているとおり、ステップ5まで、包括的です。その後、次のプロセスに従います。

6. When TESLA is applied, identify the key in the TESLA chain to be used in the current time interval, and the TESLA MAC key derived from it. Execute the TESLA computation to obtain the TESLA authentication extension for the current packet, by appending the current interval identifier (as i field), the disclosed key of the chain for the previous disclosure interval (i.e., the key for interval i is disclosed in interval i+d), and the TESLA MAC under the current key from the chain. This step uses the related TESLA parameters from the crypto context as for Step 4.

6. テスラが適用されたら、現在の時間間隔で使用するテスラチェーンのキーと、そこから派生したテスラMACキーを特定します。Tesla計算を実行して、現在のインターバル識別子(Iフィールドとして)を追加することにより、現在のパケットのTesla認証拡張機能を取得します。I d)、およびチェーンの現在のキーの下のテスラMac。このステップでは、ステップ4のように、暗号コンテキストの関連するテスラパラメーターを使用します。

7. If the MKI indicator in the SRTP crypto context is set to one, append the MKI to the packet.

7. SRTP CryptoコンテキストのMKIインジケーターが1つに設定されている場合、MKIをパケットに追加します。

8. When TESLA is applied, and if the SRTP authentication (external tag) is required (for DoS), compute the authentication tag as described in step 7 of Section 3.3 of the SRTP specification, but with coverage as defined in this specification (see Section 4.6).

8. Teslaが適用され、SRTP認証(外部タグ)が必要な場合(DOSの場合)、SRTP仕様のセクション3.3のステップ7で説明されているように認証タグを計算しますが、この仕様で定義されているカバレッジを使用して(セクション4.6を参照してください。)。

9. If necessary, update the rollover counter (step 8 in Section 3.3 of [RFC3711]).

9. 必要に応じて、ロールオーバーカウンターを更新します([RFC3711]のセクション3.3のステップ8)。

4.4.2. Receiver Processing
4.4.2. 受信機処理

The receiver processing is as described in Section 3.3 of [RFC3711], up to step 4, inclusive.

受信機処理は、[RFC3711]のセクション3.3で説明されているとおり、ステップ4までの包括的です。

To authenticate and replay-protect the current packet, the processing is as follows:

現在のパケットを認証および再生するために、処理は次のとおりです。

First, check if the packet has been replayed (as per Section 3.3 of [RFC3711]). Note, however, that the SRTP replay list contains SRTP indices of recently received packets that have been authenticated by TESLA (i.e., replay list updates MUST NOT be based on SRTP MAC). If the packet is judged to be replayed, then the packet MUST be discarded, and the event SHOULD be logged.

まず、パケットが再生されているかどうかを確認します([RFC3711]のセクション3.3に従って)。ただし、SRTPリプレイリストには、Teslaによって認証された最近受信したパケットのSRTPインデックスが含まれていることに注意してください(つまり、リプレイリストの更新はSRTP Macに基づいてはなりません)。パケットが再生されると判断された場合、パケットを破棄し、イベントを記録する必要があります。

Next, perform verification of the SRTP integrity protection tag (not the TESLA MAC), if present, using the rollover counter from the current packet, the authentication algorithm indicated in the cryptographic context, and the session authentication key. If the verification is unsuccessful, the packet MUST be discarded from further processing, and the event SHOULD be logged.

次に、現在のパケットからのロールオーバーカウンター、暗号化のコンテキストで示されている認証アルゴリズム、およびセッション認証キーを使用して、存在する場合は、SRTP整合性保護タグ(Tesla Macではなく)の検証を実行します。検証が失敗した場合、パケットはさらなる処理から破棄され、イベントを記録する必要があります。

If the verification is successful, remove and store the MKI (if present) and authentication tag fields from the packet. The packet is buffered, awaiting disclosure of the TESLA key in a subsequent packet.

検証が成功した場合は、MKI(存在する場合)と認証タグフィールドをパケットから削除および保存します。パケットはバッファリングされており、後続のパケットでテスラキーの開示を待っています。

TESLA authentication is performed on a packet when the key is disclosed in a subsequent packet. Recall that a key for interval i is disclosed during interval i+d, i.e., the same key is disclosed in packets sent over d intervals of length t_int. If the interval identifier i from the packet (Section 4.1) has advanced more than d intervals from the highest value of i that has been received, then packets have been lost, and one or more keys MUST be computed as described in Section 3.2, second paragraph, of the TESLA specification [RFC4082]. The computation is performed recursively for all disclosed keys that have been lost, from the newly-received interval to the last-received interval.

Tesla認証は、キーが後続のパケットで開示されたときにパケットで実行されます。間隔Iのキーは、間隔I d中に開示されていることを思い出してください。つまり、同じキーが長さt_intのd間隔で送信されたパケットで開示されています。パケットからの間隔識別子I(セクション4.1)が受信されたIの最高値からD間隔を超えた場合、パケットが失われ、セクション3.2で説明されているように1つ以上のキーを計算する必要があります。テスラ仕様[RFC4082]の段落。計算は、新たに推測された間隔から最後に記録された間隔まで、失われたすべての開示されたキーに対して再帰的に実行されます。

When a newly-disclosed key is received or computed, perform the TESLA verification of the packet using the rollover counter from the packet, the TESLA security parameters from the cryptographic context, and the disclosed key. If the verification is unsuccessful, the packet MUST be discarded from further processing, and the event SHOULD be logged. If the TESLA verification is successful, remove the TESLA authentication extension from the packet.

新しく展開されたキーを受信または計算したら、パケットからロールオーバーカウンター、暗号化コンテキストからのテスラセキュリティパラメーター、および開示されたキーを使用して、パケットのテスラ検証を実行します。検証が失敗した場合、パケットはさらなる処理から破棄され、イベントを記録する必要があります。Teslaの検証が成功した場合は、PacketからTesla認証拡張機能を削除します。

To decrypt the current packet, the processing is as follows:

現在のパケットを復号化するために、処理は次のとおりです。

Decrypt the Encrypted Portion of the packet, using the decryption algorithm indicated in the cryptographic context, the session encryption key, and salt (if used) found in Step 4 with the index from Step 2.

暗号化のコンテキスト、セッション暗号化キー、およびステップ4にあるインデックスをステップ2のインデックスを含む塩(使用する場合)に示されている復号化アルゴリズムを使用して、パケットの暗号化された部分を復号化します。

(Note that the order of decryption and TESLA verification is not mandated. It is RECOMMENDED that the TESLA verification be performed before decryption. TESLA application designers might choose to implement optimistic processing techniques such as notification of TESLA verification results after decryption or even after plaintext processing. Optimistic verification is beyond the scope of this document.)

(復号化とテスラの検証の順序は義務付けられていないことに注意してください。テスラの検証を復号化する前に実行することをお勧めします。Teslaアプリケーションデザイナーは、復号化後または脱く後またはプラーンテキスト処理後でさえ、テスラ検証結果の通知などの楽観的な処理技術を実装することを選択する場合があります。。楽観的な検証は、このドキュメントの範囲を超えています。)

Update the rollover counter and highest sequence number, s_l, in the cryptographic context, using the packet index estimated in Step 2. If replay protection is provided, also update the Replay List (i.e., the Replay List is updated after the TESLA authentication is successfully verified).

ロールオーバーカウンターと最高のシーケンス番号、S_Lは、ステップ2で推定されたパケットインデックスを使用して、暗号化コンテキストでS_Lを更新します。リプレイ保護が提供されている場合は、リプレイリストも更新します(つまり、TESLA認証が正常に更新された後にリプレイリストが更新されます。検証)。

4.5. SRTCP Packet Format
4.5. SRTCPパケット形式

Figure 3 illustrates the format of the SRTCP packet when TESLA is applied. The TESLA authentication extension SHALL be inserted before the MKI and authentication tag. Recall from [RFC3711] that in SRTCP the MKI is OPTIONAL, while the E-bit, the SRTCP index, and the authentication tag are MANDATORY. This means that the SRTP (external) MAC is MANDATORY also when TESLA is used.

図3は、Teslaが適用されたときのSRTCPパケットの形式を示しています。Tesla認証拡張機能は、MKIおよび認証タグの前に挿入するものとします。[RFC3711]からのリコールは、SRTCPではMKIがオプションであり、eビット、SRTCPインデックス、および認証タグが必須であることを思い出してください。これは、Teslaを使用する場合にもSRTP(外部)Macが必須であることを意味します。

As in SRTP, the "Encrypted Portion" of an SRTCP packet consists of the encryption of the RTCP payload of the equivalent compound RTCP packet, from the first RTCP packet, i.e., from the ninth (9) byte to the end of the compound packet.

SRTPと同様に、SRTCPパケットの「暗号化された部分」は、最初のRTCPパケットから、つまり9番目のバイトから化合物パケットの最後まで、同等の化合物RTCPパケットのRTCPペイロードの暗号化で構成されています。。

The "Authenticated Portion" of an SRTCP packet consists of the entire equivalent (eventually compound) RTCP packet, the E flag, the SRTCP index (after any encryption has been applied to the payload), and the TESLA extension. Note that the definition is extended from [RFC3711] by the inclusion of the TESLA authentication extension.

SRTCPパケットの「認証された部分」は、同等の(最終的には化合物)RTCPパケット、Eフラグ、SRTCPインデックス(暗号化がペイロードに適用された後)、およびTesla拡張機能で構成されています。定義は、Tesla認証拡張機能を含めることにより、[RFC3711]から拡張されていることに注意してください。

We define the "TESLA Authenticated Portion" of an SRTCP packet as consisting of the RTCP header (first 8 bytes) and the Encrypted Portion of the SRTCP packet.

SRTCPパケットの「テスラ認証部分」を、RTCPヘッダー(最初の8バイト)とSRTCPパケットの暗号化された部分で構成されるものとして定義します。

Processing of an SRTCP packets is similar to the SRTP processing (Section 4.3), but there are SRTCP-specific changes described in Section 3.4 of the SRTP specification [RFC3711] and in Section 4.6 of this memo.

SRTCPパケットの処理は、SRTP処理(セクション4.3)に似ていますが、SRTP仕様[RFC3711]のセクション3.4およびこのメモのセクション4.6に記載されているSRTCP固有の変更があります。

   0                   1                   2                   3
   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<+<+
  |V=2|P|    RC   |   PT=SR or RR   |             length          | | |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
  |                         SSRC of sender                        | | |
+>+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | |
| ~                          sender info                          ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~                         report block 1                        ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~                         report block 2                        ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~                              ...                              ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| |V=2|P|    SC   |  PT=SDES=202  |             length            | | |
| +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | |
| |                          SSRC/CSRC_1                          | | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~                           SDES items                          ~ | |
| +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | |
| ~                              ...                              ~ | |
+>+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | |
| |E|                         SRTCP index                         | | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<+ |
| |                              i                                | | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~                         Disclosed Key                         ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~                           TESLA MAC                           ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<|-+
| ~                           SRTCP MKI                           ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| :                       authentication tag                      : | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
|                                                                   | |
+-- Encrypted Portion              TESLA Authenticated Portion -----+ |
                                                                      |
                                         Authenticated Portion -------+
        

Figure 3. The format of the SRTCP packet when TESLA is applied.

図3. Teslaが適用されたときのSRTCPパケットの形式。

Note that when additional fields are added to a packet, it will increase the packet size and thus the RTCP average packet size.

追加のフィールドがパケットに追加されると、パケットサイズ、したがってRTCP平均パケットサイズが増加することに注意してください。

4.6. TESLA MAC
4.6. テスラ・マック

Let M' denote packet data to be TESLA-authenticated. In the case of SRTP, M' SHALL consist of the SRTP TESLA Authenticated Portion (RTP header and SRTP Encrypted Portion; see Figure 2) of the packet concatenated with the rollover counter (ROC) of the same packet:

M 'をPacketデータを示し、テスラを認識します。SRTPの場合、M 'は、同じパケットのロールオーバーカウンター(ROC)と連結されたパケットのSRTP Tesla認証部分(RTPヘッダーとSRTP暗号化された部分;図2を参照)で構成されます。

M' = ROC || TESLA Authenticated Portion.

m '= roc ||テスラ認証部分。

In the case of SRTCP, M' SHALL consist of the SRTCP TESLA Authenticated Portion only (RTCP header and SRTCP Encrypted Portion).

SRTCPの場合、M 'はSRTCP Tesla認証部分のみで構成されなければならない(RTCPヘッダーとSRTCP暗号化された部分)。

The normal authentication tag (OPTIONAL for SRTP, MANDATORY for SRTCP) SHALL be applied with the same coverage as specified in [RFC3711]. That is:

[RFC3711]で指定されたのと同じカバレッジで、通常の認証タグ(SRTPのオプション、SRTCPに必須)を適用するものとします。あれは:

- for SRTP: Authenticated Portion || ROC (with the extended definition of SRTP Authentication Portion as in Section 4.2).

- SRTPの場合:認証された部分||ROC(セクション4.2のようにSRTP認証部分の拡張定義を使用)。

- for SRTCP: Authenticated Portion (with the extended definition of SRTCP Authentication Portion as in Section 4.2).

- SRTCPの場合:認証された部分(セクション4.2のようにSRTCP認証部分の拡張定義を使用)。

The predefined authentication transform in SRTP, HMAC-SHA1 [RFC2104], is also used to generate the TESLA MAC. For SRTP (and respectively for SRTCP), the HMAC SHALL be applied to the key in the TESLA chain corresponding to a particular time interval, and to M' as specified above. The HMAC output SHALL then be truncated to the n_m left-most bits. Default values are in Section 6.

SRTPの事前定義された認証変換、HMAC-SHA1 [RFC2104]も使用され、テスラMACを生成します。SRTP(およびそれぞれSRTCPの場合)の場合、HMACは、特定の時間間隔に対応するテスラチェーンのキーに、および上記のM 'に適用されます。その後、HMAC出力は、N_M左端ビットに切り捨てられます。デフォルト値はセクション6にあります。

As with SRTP, the predefined HMAC-SHA1 authentication algorithm MAY be replaced with an alternative algorithm that is specified in a future Internet RFC.

SRTPと同様に、事前定義されたHMAC-SHA1認証アルゴリズムは、将来のインターネットRFCで指定された代替アルゴリズムに置き換えることができます。

4.7. PRFs
4.7. PRFS

TESLA requires a pseudo-random function (PRF) to implement

テスラでは、実装するために擬似ランダム関数(PRF)が必要です

* one one-way function F(x) to derive the key chain, and * one one-way function F'(x) to derive (from each key of the chain) the key that is actually used to calculate the TESLA MAC.

* キーチェーンを導出する1つの一方向関数f(x)、および * 1つの一方向関数f '(x)は、(チェーンの各キーから)テスラMacの計算に実際に使用されるキーを導出します。

When TESLA is used within SRTP, the default choice of the PRF SHALL be HMAC-SHA1. Default values are in Section 6.

TeslaがSRTP内で使用される場合、PRFのデフォルトの選択はHMAC-SHA1でなければなりません。デフォルト値はセクション6にあります。

Other PRFs can be chosen, and their use SHALL follow the common guidelines in [RFC3711] when adding new security parameters.

他のPRFを選択することができ、それらの使用は、新しいセキュリティパラメーターを追加する際に[RFC3711]の一般的なガイドラインに従うものとします。

5. TESLA Bootstrapping and Cleanup
5. テスラブートストラップとクリーンアップ

The extensions to the SRTP cryptographic context include a set of TESLA parameters that are listed in Section 4.3 of this document. Furthermore, TESLA MUST be bootstrapped at session setup (for the parameter exchange and the initial key commitment) through a regular data authentication system (a digital signature algorithm is RECOMMENDED). Key management procedures can take care of this bootstrapping prior to the commencement of an SRTP session where TESLA authentication is used. The bootstrapping mechanism is out of scope for this document (it could, for example, be part of the key management protocol).

SRTP暗号化コンテキストへの拡張には、このドキュメントのセクション4.3にリストされている一連のTESLAパラメーターが含まれます。さらに、Teslaは、通常のデータ認証システム(デジタル署名アルゴリズムが推奨される)を介して、セッションのセットアップ(パラメーター交換と最初の重要なコミットメント用)でブートストラップする必要があります。主要な管理手順は、TESLA認証が使用されるSRTPセッションの開始前に、このブートストラップを処理できます。ブートストラップメカニズムは、このドキュメントの範囲外です(たとえば、主要な管理プロトコルの一部である可能性があります)。

A critical factor for the security of TESLA is that the sender and receiver need to be loosely synchronized. TESLA requires a bound on clock drift to be known (D_t). Use of TESLA in SRTP assumes that the time synchronization is guaranteed by out-of-band schemes (e.g., key management). That is, it is not in the scope of SRTP.

テスラのセキュリティのための重要な要因は、送信者と受信機をゆるく同期させる必要があることです。テスラでは、既知のクロックドリフト(D_T)が必要です。SRTPでのテスラの使用は、時間同期が帯域外スキーム(例えば、キー管理)によって保証されることを前提としています。つまり、SRTPの範囲内ではありません。

It also should be noted that TESLA has some reliability requirements in that a key is disclosed for a packet in a subsequent packet, which can get lost. Since a key in a lost packet can be derived from a future packet, TESLA is robust to packet loss. This key stream stops, however, when the key-bearing data stream packets stop at the conclusion of the RTP session. To avoid this nasty boundary condition, send null packets with TESLA keys for one entire key-disclosure period following the interval in which the stream ceases: Null packets SHOULD be sent for d intervals of duration t_int (items 8 and 9 of Section 4.3). The rate of null packets SHOULD be the average rate of the session media stream.

また、Teslaには、その後のパケットのパケットのためにキーが開示されているという点で、いくつかの信頼性要件があることに注意する必要があります。紛失したパケットのキーは将来のパケットから派生できるため、テスラはパケットの損失に対して堅牢です。ただし、このキーストリームは、RTPセッションの終了時にキーベアリングデータストリームパケットが停止すると停止します。この厄介な境界条件を回避するために、ストリームが停止する間隔に続いて、1つのキー開示期間全体でTeslaキー付きのNullパケットを送信します。Nullパケットは、期間t_intのd間隔(セクション4.3の項目8および9)のために送信する必要があります。nullパケットのレートは、セッションメディアストリームの平均レートである必要があります。

6. SRTP TESLA Default Parameters
6. srtp teslaデフォルトパラメーター

Key management procedures establish SRTP TESLA operating parameters, which are listed in Section 4.3 of this document. The operating parameters appear in the SRTP cryptographic context and have the default values that are described in this section. In the future, an Internet RFC MAY define alternative settings for SRTP TESLA that are different than those specified here. In particular, note that the settings defined in this memo can have a large impact on bandwidth, as they add 38 bytes to each packet (when the field length values are the default ones). For certain applications, this overhead may represent more than a 50% increase in packet size. Alternative settings might seek to reduce the number and length of various TESLA fields and outputs. No such optimizations are considered in this memo.

主要な管理手順は、このドキュメントのセクション4.3にリストされているSRTP Teslaの動作パラメーターを確立します。操作パラメーターは、SRTP暗号化コンテキストに表示され、このセクションで説明されているデフォルト値を持っています。将来、インターネットRFCは、ここで指定されているものとは異なるSRTPテスラの代替設定を定義する場合があります。特に、このメモで定義されている設定は、各パケットに38バイトを追加するため、帯域幅に大きな影響を与える可能性があることに注意してください(フィールドの長さの値がデフォルトの値である場合)。特定のアプリケーションでは、このオーバーヘッドはパケットサイズの50%以上の増加を表している場合があります。代替設定では、さまざまなテスラフィールドと出力の数と長さを削減しようとする場合があります。このメモでは、このような最適化は考慮されていません。

It is RECOMMENDED that the SRTP MAC be truncated to 32 bits, since the SRTP MAC provides only group authentication and serves only as protection against external DoS.

SRTP Macはグループ認証のみを提供し、外部DOSに対する保護としてのみ機能するため、SRTP Macを32ビットに切り捨てることをお勧めします。

The default values for the security parameters are listed in the following table.

セキュリティパラメーターのデフォルト値は、次の表にリストされています。

   Parameter                        Mandatory-to-support     Default
   ---------                        --------------------     -------
   TESLA PRF                              HMAC-SHA1         HMAC-SHA1
   BIT-OUTPUT LENGTH n_p                     160               160
   BIT-OUTPUT LENGTH n_f                     160               160
        
   TESLA MAC                              HMAC-SHA1         HMAC-SHA1
    (TRUNCATED) BIT-OUTPUT LENGTH n_m         80                80
        

As shown above, TESLA implementations MUST support HMAC-SHA1 [RFC2104] for the TESLA MAC and the TESLA PRF. The TESLA keychain generator is recursively defined as follows [RFC4082].

上記のように、Teslaの実装は、Tesla MacおよびTesla PRFのHMAC-SHA1 [RFC2104]をサポートする必要があります。テスラキーチェーンジェネレーターは、次のように再帰的に定義されています[RFC4082]。

                    K_i=HMAC_SHA1(K_{i+1},0), i=0..N-1
        

where N-1=n_c from the cryptographic context.

ここで、暗号化コンテキストからのn-1 = n_c。

The TESLA MAC key generator is defined as follows [RFC4082].

Tesla Macキージェネレーターは、次のように定義されています[RFC4082]。

K'_i=HMAC_SHA1(K_i,1)

k'_i = hmac_sha1(k_i、1)

The TESLA MAC uses a truncated output of ten bytes [RFC2104] and is defined as follows.

Tesla Macは、10バイトの切り捨てられた出力[RFC2104]を使用しており、次のように定義されています。

HMAC_SHA1(K'_i, M')

hmac_sha1(k'_i、m ')

where M' is as specified in Section 4.6.

ここで、M 'はセクション4.6で指定されています。

7. Security Considerations
7. セキュリティに関する考慮事項

Denial of Service (DoS) attacks on delayed authentication are discussed in [PCST]. TESLA requires receiver buffering before authentication; therefore, the receiver can suffer a denial of service attack due to a flood of bogus packets. To address this problem, the external SRTP MAC, based on the group key, MAY be used in addition to the TESLA MAC. The short size of the SRTP MAC (default 32 bits) is motivated because that MAC is purely for DoS prevention from attackers external to the group. The shorter output tag means that an attacker has a better chance of getting a forged packet accepted, which is about 2^31 attempts on average. As a first line of defense against a denial of service attack, a short tag is probably adequate; a victim will likely have ample evidence that it is under attack before accepting a forged packet, which will subsequently fail the TESLA check. [RFC4082] describes other mechanisms that can be used to prevent DoS, in place of the external group-key MAC. If used, they need to be added as processing steps (following the guidelines of [RFC4082]).

サービス拒否(DOS)の遅延認証に対する攻撃は、[PCST]で議論されています。テスラは、認証前にレシーバーバッファリングを必要とします。したがって、レシーバーは、偽のパケットの洪水のためにサービス拒否攻撃を受ける可能性があります。この問題に対処するために、グループキーに基づいた外部SRTP MACは、テスラMACに加えて使用できます。SRTP MACの短いサイズ(デフォルト32ビット)は、そのMacが純粋にグループの外部攻撃者からのDOS予防のためであるため、動機付けられています。より短い出力タグは、攻撃者が偽造パケットを受け入れる可能性が高いことを意味します。これは平均で約2^31試行です。サービス拒否攻撃に対する防衛の第一線として、短いタグはおそらく適切です。被害者は、偽造パケットを受け入れる前に攻撃を受けているという十分な証拠を持つ可能性があります。これにより、テスラチェックが失敗します。[RFC4082]は、外部グループキーMACの代わりに、DOSを防ぐために使用できる他のメカニズムを説明しています。使用する場合は、処理手順として追加する必要があります([RFC4082]のガイドラインに従ってください)。

The use of TESLA in SRTP defined in this specification is subject to the security considerations discussed in the SRTP specification [RFC3711] and in the TESLA specification [RFC4082]. In particular, the TESLA security is dependent on the computation of the "safety condition" as defined in Section 3.5 of [RFC4082].

この仕様で定義されているSRTPでのTeslaの使用は、SRTP仕様[RFC3711]およびTESLA仕様[RFC4082]で説明されているセキュリティ考慮事項の対象となります。特に、テスラのセキュリティは、[RFC4082]のセクション3.5で定義されている「安全条件」の計算に依存します。

SRTP TESLA depends on the effective security of the systems that perform bootstrapping (time synchronization) and key management. These systems are external to SRTP and are not considered in this specification.

SRTP Teslaは、ブートストラップ(時間同期)と主要な管理を実行するシステムの効果的なセキュリティに依存します。これらのシステムはSRTPの外部であり、この仕様では考慮されていません。

The length of the TESLA MAC is by default 80 bits. RFC 2104 requires the MAC length to be at least 80 bits and at least half the output size of the underlying hash function. The SHA-1 output size is 160 bits, so both of these requirements are met with the 80-bit MAC specified in this document. Note that IPsec implementations tend to use 96 bits for their MAC values to align the header with a 64-bit boundary. Both MAC sizes are well beyond the reach of current cryptanalytic techniques.

Tesla Macの長さは、デフォルトで80ビットです。RFC 2104では、MACの長さを少なくとも80ビット、少なくとも半分の出力サイズの基礎となるハッシュ関数が必要です。SHA-1出力サイズは160ビットなので、これらの要件は両方とも、このドキュメントで指定された80ビットMACで満たされています。IPSECの実装は、MAC値に96ビットを使用して、ヘッダーを64ビットの境界に合わせている傾向があることに注意してください。両方のMacサイズは、現在の暗号化技術の範囲をはるかに超えています。

8. Acknowledgements
8. 謝辞

The authors would like to thank Ran Canetti, Karl Norrman, Mats Naslund, Fredrik Lindholm, David McGrew, and Bob Briscoe for their valuable help.

著者は、Ran Canetti、Karl Norrman、Mats Naslund、Fredrik Lindholm、David McGrew、およびBob Briscoeの貴重な助けに感謝したいと思います。

9. References
9. 参考文献
9.1. Normative References
9.1. 引用文献

[RFC2104] Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.

[RFC2104] Krawczyk、H.、Bellare、M。、およびR. CaNetti、「HMAC:メッセージ認証のためのキー付きハッシング」、RFC 2104、1997年2月。

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC3711] Baugher, M., McGrew, D., Naslund, M., Carrara, E., and K. Norrman, "The Secure Real-time Transport Protocol (SRTP)", RFC 3711, March 2004.

[RFC3711] Baugher、M.、McGrew、D.、Naslund、M.、Carrara、E。、およびK. Norrman、「安全なリアルタイム輸送プロトコル(SRTP)」、RFC 3711、2004年3月。

[RFC4082] Perrig, A., Song, D., Canetti, R., Tygar, J., and B. Briscoe, "Timed Efficient Stream Loss-Tolerant Authentication (TESLA): Multicast Source Authentication Transform Introduction", RFC 4082, June 2005.

[RFC4082] Perrig、A.、Song、D.、Canetti、R.、Tygar、J。、およびB. Briscoe、「タイミング効率の高いストリーム損失耐性認証(TESLA):マルチキャストソース認証変換紹介」、RFC 4082、2005年6月。

9.2. Informative References
9.2. 参考引用

[PCST] Perrig, A., Canetti, R., Song, D., Tygar, D., "Efficient and Secure Source Authentication for Multicast", in Proc. of Network and Distributed System Security Symposium NDSS 2001, pp. 35-46, 2001.

[PCST] Perrig、A.、Canetti、R.、Song、D.、Tygar、D。、「マルチキャストの効率的かつ安全なソース認証」、Proc。ネットワークおよび分散型システムセキュリティシンポジウムNDSS 2001、pp。35-46、2001。

[RFC3547] Baugher, M., Weis, B., Hardjono, T., and H. Harney, "The Group Domain of Interpretation", RFC 3547, July 2003.

[RFC3547] Baugher、M.、Weis、B.、Hardjono、T。、およびH. Harney、「The Group Domain of Strettation」、RFC 3547、2003年7月。

[RFC3830] Arkko, J., Carrara, E., Lindholm, F., Naslund, M., and K. Norrman, "MIKEY: Multimedia Internet KEYing", RFC 3830, August 2004.

[RFC3830] Arkko、J.、Carrara、E.、Lindholm、F.、Naslund、M。、およびK. Norrman、「Mikey:Multimedia Internet Keying」、RFC 3830、2004年8月。

[RFC4046] Baugher, M., Canetti, R., Dondeti, L., and F. Lindholm, "Multicast Security (MSEC) Group Key Management Architecture", RFC 4046, April 2005.

[RFC4046] Baugher、M.、Canetti、R.、Dondeti、L。、およびF. Lindholm、「マルチキャストセキュリティ(MSEC)グループキー管理アーキテクチャ」、RFC 4046、2005年4月。

Authors' Addresses

著者のアドレス

Questions and comments should be directed to the authors and msec@ietf.org.

質問とコメントは、著者とmsec@ietf.orgに送信する必要があります。

Mark Baugher Cisco Systems, Inc. 5510 SW Orchid Street Portland, OR 97219 USA

Mark Baugher Cisco Systems、Inc。5510 SW Orchid Street Portland、または97219 USA

   Phone:  +1 408-853-4418
   EMail:  mbaugher@cisco.com
        

Elisabetta Carrara Royal Institute of Technology Stockholm Sweden

エリザベッタ・カララ・ロイヤル・インスティテュート・オブ・テクノロジー・ストックホルム・スウェーデン

   EMail:  carrara@kth.se
        

Full Copyright Statement

完全な著作権声明

Copyright (C) The Internet Society (2006).

Copyright(c)The Internet Society(2006)。

This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.

この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。

This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。

Intellectual Property

知的財産

The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.

IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスがどの程度であるかについての使用に関連すると主張する可能性があるという立場はありません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。

Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.

IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。

The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.

IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。

Acknowledgement

謝辞

Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).

RFCエディター機能の資金は、IETF管理サポートアクティビティ(IASA)によって提供されます。