[要約] 要約:RFC 4772は、データ暗号化標準(DES)のセキュリティに関する問題を議論し、改善策を提案しています。 目的:DESの使用に関連するセキュリティ上のリスクを理解し、より安全な暗号化手法の採用を促進することです。
Network Working Group S. Kelly
Request for Comments: 4772 Aruba Networks
Category: Informational December 2006
Security Implications of Using the Data Encryption Standard (DES)
データ暗号化標準(DES)を使用することのセキュリティへの影響
Status of This Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2006).
Copyright(c)The IETF Trust(2006)。
Abstract
概要
The Data Encryption Standard (DES) is susceptible to brute-force attacks, which are well within the reach of a modestly financed adversary. As a result, DES has been deprecated, and replaced by the Advanced Encryption Standard (AES). Nonetheless, many applications continue to rely on DES for security, and designers and implementers continue to support it in new applications. While this is not always inappropriate, it frequently is. This note discusses DES security implications in detail, so that designers and implementers have all the information they need to make judicious decisions regarding its use.
データ暗号化標準(DES)は、控えめな資金調達された敵の範囲内にあるブルートフォース攻撃の影響を受けやすいです。その結果、DEは非推奨になり、高度な暗号化標準(AES)に置き換えられました。それにもかかわらず、多くのアプリケーションは引き続きセキュリティに依存しており、設計者と実装者は新しいアプリケーションでそれをサポートし続けています。これは必ずしも不適切ではありませんが、頻繁にそうです。このメモは、DESセキュリティへの影響を詳細に説明しているため、設計者と実装者は、その使用に関して賢明な決定を下すために必要なすべての情報を持っています。
Table of Contents
目次
1. Introduction ....................................................3
1.1. Executive Summary of Findings and Recommendations ..........4
1.1.1. Recommendation Summary ..............................4
2. Why Use Encryption? .............................................5
3. Real-World Applications and Threats .............................6
4. Attacking DES ...................................................8
4.1. Brute-Force Attacks ........................................9
4.1.1. Parallel and Distributed Attacks ...................10
4.2. Cryptanalytic Attacks .....................................10
4.3. Practical Considerations ..................................12
5. The EFF DES Cracker ............................................12
6. Other DES-Cracking Projects ....................................13
7. Building a DES Cracker Today ...................................14
7.1. FPGAs .....................................................15
7.2. ASICs .....................................................16
7.3. Distributed PCs ...........................................16
7.3.1. Willing Participants ...............................17
7.3.2. Spyware and Viruses and Botnets (oh my!) ...........18
8. Why is DES Still Used? .........................................19
9. Security Considerations ........................................20
10. Acknowledgements ..............................................21
Appendix A. What About 3DES? .....................................22
A.1. Brute-Force Attacks on 3DES ...............................22
A.2. Cryptanalytic Attacks Against 3DES ........................23
A.2.1. Meet-In-The-Middle (MITM) Attacks ..................23
A.2.2. Related Key Attacks ................................24
A.3. 3DES Block Size ...........................................25
Informative References ............................................25
The Data Encryption Standard [DES] is the first encryption algorithm approved by the U.S. government for public disclosure. Brute-force attacks became a subject of speculation immediately following the algorithm's release into the public sphere, and a number of researchers published discussions of attack feasibility and explicit brute-force attack methodologies, beginning with [DH77].
データ暗号化標準[DES]は、公開のために米国政府によって承認された最初の暗号化アルゴリズムです。ブルートフォース攻撃は、公共圏へのアルゴリズムのリリースの直後に推測の対象となり、多くの研究者が[DH77]から始まる攻撃の実現可能性と明示的なブルートフォース攻撃方法論の議論を発表しました。
In the early to mid 1990s, numerous additional papers appeared, including Wiener's "Efficient DES Key Search" [WIEN94], and "Minimal Key Lengths for Symmetric Ciphers to Provide Adequate Commercial Security" [BLAZ96]. While these and various other papers discussed the theoretical aspects of DES-cracking machinery, none described a specific implementation of such a machine. In 1998, the Electronic Frontier Foundation (EFF) went much further, actually building a device and freely publishing the implementation details for public review [EFF98].
1990年代初期から半ばに、Wienerの「効率的なDESキー検索」[Wien94]や、「適切な商業セキュリティを提供する対称的な暗号の最小限のキー長」[BLAZ96]など、多数の追加論文が登場しました。これらおよび他のさまざまな論文では、Des-Cracking機械の理論的側面について議論しましたが、そのような機械の特定の実装については誰も説明していません。1998年、Electronic Frontier Foundation(EFF)はさらに進み、実際にデバイスを構築し、公開レビューの実装の詳細を自由に公開しました[Eff98]。
Despite the fact that the EFF clearly demonstrated that DES could be brute-forced in an average of about 4.5 days with an investment of less than $250,000 in 1998, many continue to rely on this algorithm even now, more than 8 years later. Today, the landscape is significantly different: DES can be broken by a broad range of attackers using technologies that were not available in 1998, including cheap Field Programmable Gate Arrays (FPGAs) and botnets [BOT05]. These and other attack methodologies are described in detail below.
EFFは、1998年に250,000ドル未満の投資で、DESが平均約4.5日でブルートフォーチングを行うことができることを明確に実証したにもかかわらず、8年以上後でもこのアルゴリズムに依存し続けています。今日、景観は大きく異なります。DESは、安価なフィールドプログラム可能なゲートアレイ(FPGA)やボットネット[BOT05]など、1998年に利用できなかったテクノロジーを使用して、幅広い攻撃者によって破損する可能性があります。これらおよびその他の攻撃方法については、以下で詳しく説明します。
Given that the Advanced Encryption Standard [AES] has been approved by the U.S. government (under certain usage scenarios) for top-secret applications [AES-NSA], and that triple DES (3DES) is not susceptible to these same attacks, one might wonder: why even bother with DES anymore? Under more ideal circumstances, we might simply dispense with it, but unfortunately, this would not be so simple today. DES has been widely deployed since its release in the 1970s, and many systems rely on it today. Wholesale replacement of such systems would be very costly. A more realistic approach entails gradual replacement of these systems, and this implies a term of backward compatibility support of indefinite duration.
高度な暗号化標準[AES]が、最高級のアプリケーション[AES-NSA]の米国政府(特定の使用シナリオの下で)によって承認されており、トリプルDE(3DE)はこれらの同じ攻撃の影響を受けにくくないことを考えると、不思議:なぜもうDesを気にするのですか?より理想的な状況では、単にそれを分配するかもしれませんが、残念ながら、これは今日それほど単純ではありません。DEは1970年代のリリース以来広く展開されており、多くのシステムが今日それに依存しています。そのようなシステムの卸売交換は非常に費用がかかります。より現実的なアプローチは、これらのシステムの徐々に置換されることを伴い、これは不定期間の後方互換性サポートの用語を意味します。
In addition to backward compatibility, in isolated instances there may be other valid arguments for continued DES support. Still, reliance upon this deprecated algorithm is a serious error from a security design perspective in many cases. This note aims to clarify the security implications of this choice given the state of technology today, so that developers can make an informed decision as to whether or not to implement this algorithm.
後方互換性に加えて、孤立した事例では、継続的なDESサポートのための他の有効な引数があるかもしれません。それでも、この非推奨アルゴリズムへの依存は、多くの場合、セキュリティ設計の観点から深刻なエラーです。このメモは、今日の技術状態を考慮して、この選択のセキュリティへの影響を明確にすることを目的としており、開発者はこのアルゴリズムを実装するかどうかについて情報に基づいた決定を下すことができます。
For many years now, DES usage has been actively discouraged by the security area of the IETF, but we nevertheless continue to see it in use. Given that there are widely published accounts of real attacks and that we have been vocally discouraging its use, a question arises: why aren't people listening? We can only speculate, but one possibility is that they simply do not understand the extent to which DES has been marginalized by advancing cryptographic science and technology. Another possibility is that we have not yet been appropriately explicit and aggressive about this. With these particular possibilities in mind, this note sets out to dispel any remaining illusions.
長年にわたり、DESの使用はIETFのセキュリティエリアによって積極的に落胆していますが、それでもそれが使用されているのを見続けています。実際の攻撃の広く公開されている説明があり、その使用を声に出して声を落としていることを考えると、疑問が生じます。なぜ人々は聞いていないのですか?推測することしかできませんが、1つの可能性は、暗号科学と技術を進めることによってDESが疎外された程度を単に理解していないということです。もう1つの可能性は、これについてまだ適切に明示的かつ攻撃的ではないということです。これらの特定の可能性を念頭に置いて、このメモは、残りの幻想を払拭するために設定されています。
The depth of background knowledge required to truly understand and fully appreciate the security risks of using DES today is somewhat daunting, and an extensive survey of the literature suggests that there are very few published materials encompassing more than a fraction of the considerations all in one place, with [CURT05] being one notable exception. However, even that work does not gather all of the pieces in such a way as to inform an implementer of the current real-world risks, so here we try to fill in any remaining gaps.
今日のDESを使用することのセキュリティリスクを真に理解し、完全に評価するために必要な背景知識の深さはやや困難であり、文献の広範な調査は、考慮事項のほんの一部を1か所以上含む公開された資料が非常に少ないことを示唆しています。、[CURT05]は顕著な例外の1つです。ただし、その作業でさえ、現在の現実世界のリスクを実装者に通知するような方法ですべてのピースを集めるわけではないため、ここでは残りのギャップを記入しようとします。
For convenience, the next section contains a brief summary of recommendations. If you don't know the IETF's current position on DES, and all you want is a summary, you may be content to simply read the recommendation summary section, and skip the rest of the document. If you want a more detailed look at the history and current state-of-the-art with respect to attacking DES, you will find that in subsequent sections.
便宜上、次のセクションには推奨事項の簡単な要約が含まれています。DESでのIETFの現在の位置がわからない場合、必要なのは要約だけである場合、推奨要約セクションを読んで、文書の残りの部分をスキップすることに満足する場合があります。DESの攻撃に関して歴史と現在の最先端をより詳細に調べたい場合は、後続のセクションでそれを見つけることができます。
There are several ways to attack a cryptographic algorithm, from simple brute force (trying each key until you find the right one) to more subtle cryptanalytic approaches, which take into account the internal structure of the cipher. As noted in the introduction, a dedicated system capable of brute-forcing DES keys in less than 5 days was created in 1998. Current "Moore's Law" estimates suggest that a similar machine could be built today for around $15,000 or less, and for the cost of the original system (~$250,000) we could probably build a machine capable of cracking DES keys in a few hours.
シンプルなブルートフォース(適切なキーを見つけるまで各キーを試す)から、より微妙な暗号化アプローチまで、暗号化アルゴリズムを攻撃する方法はいくつかあります。これは、暗号の内部構造を考慮しています。導入部で述べたように、1998年には5日以内にブルートを強化するDESキーができる専用システムが作成されました。現在の「ムーア法」の推定では、同様のマシンが今日約15,000ドル以下で構築できることを示唆しています。元のシステムのコスト(〜$ 250,000)おそらく、数時間でDESキーを割ることができるマシンを構築できます。
Additionally, there have been a number of successful distributed attacks on DES [CURT05], and with the recent arrival of botnets [BOT05], these results are all the more onerous. Furthermore, there are a number of cryptanalytic attacks against DES, and while some of these remain purely theoretical in nature at present, at least one was recently implemented using a FPGA that can deduce a DES key in 12-15 hours [FPL02]. Clearly, DES cannot be considered a "strong" cryptographic algorithm by today's standards.
さらに、DES [CURT05]に対する分布攻撃が多数成功しており、最近のボットネット[BOT05]の到着により、これらの結果はさらに面倒です。さらに、DESに対する暗号化攻撃が多数あり、これらのいくつかは現在本質的に純粋に理論的であり続けていますが、最近、12〜15時間でDESキーを推定できるFPGAを使用して少なくとも1つが実装されました[FPL02]。明らかに、DESは、今日の基準では「強力な」暗号化アルゴリズムと見なすことはできません。
To summarize current recommendations on using DES, the simple answer is "don't use it - it's not safe." While there may be use cases for which the security of DES would be sufficient, it typically requires a security expert to determine when this is true. Also, there are much more secure algorithms available today (e.g., 3DES, AES) that are much safer choices. The only general case in which DES should still be supported is when it is strictly required for backward compatibility, and when the cost of upgrading outweighs the risk of exposure. However, even in these cases, recommendations should probably be made to phase out such systems.
DESの使用に関する現在の推奨事項を要約すると、簡単な答えは「使用しないでください - 安全ではありません」です。DESのセキュリティで十分であるユースケースがあるかもしれませんが、通常、これがいつ真実であるかを判断するためにセキュリティの専門家が必要です。また、はるかに安全な選択である今日利用可能なより安全なアルゴリズム(3DE、AEなど)があります。DESがまだサポートされるべき唯一の一般的なケースは、それが後方互換性に厳密に必要である場合、およびアップグレードのコストが暴露のリスクを上回る場合です。ただし、これらの場合でも、おそらくそのようなシステムを段階的に廃止するための推奨事項を作成する必要があります。
If you are simply interested in the current recommendations, there you have it: don't use DES. If you are interested in understanding how we arrive at this conclusion, read on.
あなたが単に現在の推奨事項に興味があるなら、あなたはそれを持っています:DESを使用しないでください。この結論に到達する方法を理解することに興味がある場合は、読んでください。
In order to assess the security implications of using DES, it is useful and informative to review the basic rationale for using encryption. In general, we encrypt information because we desire confidentiality. That is, we want to limit access to information, to keep something private or secret. In some cases, we want to share the information within a limited group, and in other cases, we may want to be the sole owner of the information in question.
DESを使用することのセキュリティへの影響を評価するために、暗号化を使用するための基本的な根拠を確認することは有用で有益です。一般に、機密性を望んでいるため、情報を暗号化します。つまり、情報へのアクセスを制限して、プライベートまたは秘密を維持したいと考えています。場合によっては、限られたグループ内で情報を共有したいと考えています。また、他のケースでは、問題の情報の唯一の所有者になりたい場合があります。
Sometimes, the information we want to protect has value only to the individual (e.g., a diary), and a loss of confidentiality, while potentially damaging in some limited ways, would typically not be catastrophic. In other cases, the information might have significant financial implications (e.g., a company's strategic marketing plan). And in yet others, lives could be at stake.
時には、私たちが保護したい情報は、個人(日記など)のみに価値があり、機密性の損失は、いくつかの限られた方法で損害を与える可能性がありますが、通常は壊滅的ではありません。それ以外の場合、情報は重要な財務上の意味を持つ可能性があります(たとえば、企業の戦略的マーケティング計画など)。そして、他の人では、人生は危機にatしている可能性があります。
In order to gauge our confidentiality requirements in terms of encryption strength, we must assess the value of the information we are trying to protect, both to us and to a potential attacker. There are various metrics we can employ for this purpose:
暗号化強度の観点から機密性の要件を評価するには、保護しようとしている情報の価値を、当社と潜在的な攻撃者の両方に評価する必要があります。この目的のために採用できるさまざまなメトリックがあります。
o Cost of confidentiality loss: What could we lose if an adversary were to discover our secret? This gives some measure of how much effort we should be willing to expend to protect the secret.
o 機密性の損失のコスト:敵が私たちの秘密を発見した場合、私たちは何を失う可能性がありますか?これは、秘密を保護するために私たちがどの程度の労力を費やすべきかを何らかの尺度を与えます。
o Value to adversary: What does the attacker have to gain by discovering our secret? This gives some measure of how much an adversary might reasonably be willing to spend to learn the secret.
o 敵にとっての価値:攻撃者は私たちの秘密を発見することで何を得なければなりませんか?これは、敵が秘密を学ぶために合理的に費やすことをどれだけ合理的に費やすかについての尺度を与えます。
o Window of opportunity: How long does the information have value to an adversary? This gives some measure of how acceptable a weakness might be. For example, if the information is valuable to an attacker for months and it takes only days to break the encryption, we probably need much stronger encryption. On the other hand, if the window of opportunity is measured in seconds, then an encryption algorithm that takes days to break may be acceptable.
o 機会の窓:情報はどのくらいの期間敵にとって価値がありますか?これは、弱点がどれほど受け入れられるかについての尺度を与えます。たとえば、情報が数ヶ月間攻撃者にとって価値があり、暗号化を破るのに数日しかかからない場合、おそらくより強力な暗号化が必要です。一方、機会の窓が数秒で測定される場合、壊れるのに数日かかる暗号化アルゴリズムは受け入れられる場合があります。
There are certainly other factors we would consider in conducting a comprehensive security analysis, but these are enough to give a general sense of important questions to answer when evaluating DES as a candidate encryption algorithm.
包括的なセキュリティ分析を実施する際に考慮する他の要因は確かにありますが、これらは、DESを候補暗号化アルゴリズムとして評価する際に答えるために重要な質問の一般的な感覚を与えるのに十分です。
Numerous commonly used applications rely on encryption for confidentiality in today's Internet. To evaluate the sufficiency of a given cryptographic algorithm in this context, we should begin by asking some basic questions: what are the real-world risks to these applications, i.e., how likely is it that an application might actually be attacked, and by whom, and for what reasons?
多数の一般的に使用されるアプリケーションは、今日のインターネットの機密性について暗号化に依存しています。このコンテキストで特定の暗号化アルゴリズムの十分性を評価するには、いくつかの基本的な質問をすることから始める必要があります。これらのアプリケーションに対する現実世界のリスクは何ですか、つまり、アプリケーションが実際に攻撃される可能性があり、誰によって、そしてどのような理由で?
While it is difficult to come up with one-size-fits-all answers based on general application descriptions, we can easily get some sense of the relative threat to many of these applications. It is important to note that what follows is not an exhaustive enumeration of all likely threats and attacks, but rather, a sampling that illustrates that real threats are more prevalent than intuition might suggest.
一般的なアプリケーションの説明に基づいて、すべてのサイズにぴったりの回答を思い付くことは困難ですが、これらのアプリケーションの多くに対する相対的な脅威の感覚を簡単に得ることができます。以下は、すべての脅威や攻撃の徹底的な列挙ではなく、実際の脅威が直感が示唆するよりも一般的であることを示すサンプリングであることに注意することが重要です。
Here are some examples of common applications and related threats:
一般的なアプリケーションと関連する脅威の例をいくつか紹介します。
o Site-to-site VPNs: Often, these are used to connect geographically separate corporate offices. Data traversing such links is often business critical, and sometimes highly confidential. The FBI estimates that every year, billions of U.S. dollars are lost to foreign competitors who deliberately target economic intelligence in U.S. industry and technologies [FBI06]. Searching for 'corporate espionage' in Google yields many interesting links, some of which indicate that foreign competitors are not the only threat to U.S. businesses. Obviously, this threat can be generalized to include businesses of any nationality.
o サイトからサイトへのVPN:多くの場合、これらは地理的に独立した本社を接続するために使用されます。このようなリンクを通過するデータは、多くの場合ビジネス上重要であり、時には非常に機密があります。FBIは、毎年、米国の産業と技術における経済情報を故意に標的とする外国の競合他社に数十億ドルが失われていると推定しています[FBI06]。Googleで「企業のスパイ」を検索すると、多くの興味深いリンクが得られます。その一部は、外国の競合他社が米国企業にとって唯一の脅威ではないことを示しています。明らかに、この脅威は、あらゆる国籍の企業を含めるように一般化することができます。
o Remote network access for business: See previous item.
o ビジネスのためのリモートネットワークアクセス:以前のアイテムを参照してください。
o Webmail/email encryption: See Site-to-site VPNs.
o WebMail/Email暗号化:サイトからサイトへのVPNを参照してください。
o Online banking: Currently, the most common threat to online banking is in the form of "phishing", which does not rely on breaking session encryption, but instead relies on tricking users into providing their account information. In general, direct attacks on session encryption for this application do not scale well. However, if a particular bank were known to use a weak encryption algorithm for session security, it might become worthwhile to develop a broader attack against that bank. Given that organized criminal elements have been found behind many phishing attacks, it is not difficult to imagine such scenarios.
o オンラインバンキング:現在、オンラインバンキングに対する最も一般的な脅威は「フィッシング」の形であり、セッションの暗号化の破壊に依存せず、代わりにユーザーのトリックにアカウント情報を提供することに依存しています。一般に、このアプリケーションのセッション暗号化に対する直接的な攻撃は、十分にスケーリングしません。ただし、特定の銀行がセッションセキュリティのために弱い暗号化アルゴリズムを使用することが知られている場合、その銀行に対するより広範な攻撃を開発する価値があるかもしれません。組織化された犯罪要素が多くのフィッシング攻撃の背後にあることを考えると、そのようなシナリオを想像することは難しくありません。
o Electronic funds transfers (EFTs): The ability to replay or otherwise modify legitimate EFTs has obvious financial incentives (and implications). Also, an industrial spy might see a great deal of intelligence value in the financial transactions of a target company.
o 電子ファンド転送(EFTS):合法的なEFTSを再生または変更する能力には、明らかな財政的インセンティブ(および意味)があります。また、産業のスパイは、ターゲット企業の金融取引に多くのインテリジェンス価値を見るかもしれません。
o Online purchases (E-commerce): The FBI has investigated a number of organized attacks on e-commerce applications [FBI01]. If an attacker has the ability to monitor e-commerce traffic directed to a large merchant that relies on weak encryption, the attacker could harvest a great deal of consumer credit information. This is the sort of data "phishers" currently harvest on a much smaller scale, so one can easily imagine the value of such a target.
o オンライン購入(eコマース):FBIは、eコマースアプリケーションに対する多くの組織化された攻撃を調査しました[FBI01]。攻撃者が、弱い暗号化に依存している大規模な商人に向けられた電子商取引トラフィックを監視する能力を持っている場合、攻撃者は多くの消費者クレジット情報を収穫することができます。これは、現在はるかに小規模で収穫されている「フィッシャー」のようなデータであるため、そのようなターゲットの価値を簡単に想像できます。
o Internet-based VoIP applications (e.g., Skype): While many uses of this technology are innocuous (e.g., long distance calls to family members), VoIP technology is also used for business purposes (see discussion of FBI estimates regarding corporate espionage above).
o インターネットベースのVoIPアプリケーション(例:Skype):このテクノロジーの多くの使用は無害ですが(例:家族への長距離呼び出し)、VoIPテクノロジーはビジネス目的でも使用されます(上記の企業スパイに関するFBIの推定値の議論を参照)。
o Cellular telephony: Cell phones are very common, and are frequently used for confidential conversations in business, medicine, law enforcement, and other applications.
o 携帯電話:携帯電話は非常に一般的であり、ビジネス、医学、法執行機関、およびその他のアプリケーションでの機密の会話に頻繁に使用されます。
o Wireless LAN: Wireless technology is used by many businesses, including the New York Stock Exchange [NYSE1]. The financial incentives for an attacker are significant in some cases.
o ワイヤレスLAN:ワイヤレステクノロジーは、ニューヨーク証券取引所[NYSE1]を含む多くの企業で使用されています。攻撃者の財政的インセンティブは、場合によっては重要です。
o Personal communications (e.g., secure instant messaging): Such communication may be used for corporate communications (see industrial espionage discussion above), and may also be used for financial applications such as stock/securities trading. This has both corporate/industrial espionage and financial implications.
o パーソナルコミュニケーション(セキュアなインスタントメッセージングなど):このようなコミュニケーションは、コーポレートコミュニケーションに使用される場合があり(上記の産業用スパイの議論を参照)、株式/証券取引などの金融アプリケーションにも使用できます。これには、企業/産業用のスパイ活動と経済的影響の両方があります。
o Laptop hard-drive encryption: See discussion on corporate/ industrial espionage above. Also, consider that stolen and lost laptops have been cited for some of the more significant losses of control over sensitive personal information in recent years, notably the Veterans Affairs data loss [VA1].
o ラップトップハードドライブ暗号化:上記の企業/産業用スパイに関する議論を参照してください。また、近年、特に退役軍人問題のデータ損失[VA1]である敏感な個人情報に対するより重大なコントロールのいくつかのために、盗まれた失われたラップトップが引用されていることを考慮してください。
There are real-world threats to everyday encryption applications, some of which could be very lucrative to an attacker (and by extension, very costly to the victim). It is important to note that if some of these attacks are infrequent today, it is precisely because the threats are recognized, and appropriately strong cryptographic algorithms are used. If "weak" cryptographic algorithms were to be used instead, the implications are indeed thought-provoking.
日常の暗号化アプリケーションには実世界の脅威がありますが、その一部は攻撃者にとって非常に有利になる可能性があります(ひいては、被害者にとって非常にコストがかかります)。これらの攻撃の一部が今日まれである場合、それはまさに脅威が認識されており、適切に強い暗号化アルゴリズムが使用されているためであることに注意することが重要です。代わりに「弱い」暗号化アルゴリズムを使用する場合、その意味は実際に考えさせられます。
In keeping with the objectives of this document, it is important to note that the U.S. government has never approved the use of DES for anything but unclassified applications. While DES is still approved for unclassified uses until May 19, 2007, the U.S. government clearly sees the need to move to higher ground. For details on the National Institute of Standards and Technology (NIST) DES Transition plan, see [NIST-TP]. Despite this fact, DES is still sometimes chosen to protect some of the applications described above. Below, we discuss why this should, in many cases, be remedied.
この文書の目的に沿って、米国政府が未分類のアプリケーション以外のDESの使用を承認したことがないことに注意することが重要です。DESは2007年5月19日まで未分類の使用についてまだ承認されていますが、米国政府は高地に移動する必要性を明確に考えています。国立標準技術研究所(NIST)DES遷移計画の詳細については、[NIST-TP]を参照してください。この事実にもかかわらず、DESは、上記のいくつかのアプリケーションを保護するためにまだ選択されることがあります。以下では、これが多くの場合、なぜ修復されるべきかについて説明します。
DES is a 64-bit block cipher having a key size of 56 bits. The key actually has 64 bits (matching the block size), but 1 bit in each byte has been designated a 'parity' bit, and is not used for cryptographic purposes. For a full discussion of the history of DES along with an accessible description of the algorithm, see [SCHN96].
DESは、56ビットのキーサイズを持つ64ビットブロック暗号です。キーには実際には64ビット(ブロックサイズに一致)がありますが、各バイトの1ビットは「パリティ」ビットに指定されており、暗号化の目的には使用されていません。DESの歴史の完全な議論とアルゴリズムのアクセス可能な説明については、[Schn96]を参照してください。
A detailed description of the various types of attacks on cryptographic algorithms is beyond the scope of this document, but for clarity, we provide the following brief descriptions. There are two general aspects of attacks we must consider: the form of the inputs/outputs along with how we might influence them, and the internal function of the cryptographic operations themselves.
暗号化アルゴリズムに対するさまざまな種類の攻撃の詳細な説明は、このドキュメントの範囲を超えていますが、明確にするために、次の簡単な説明を提供します。考慮する必要がある攻撃には、入力/出力の形式とそれらに影響を与える方法と暗号化操作自体の内部機能です。
In terms of input/output form, some of the more commonly discussed attack characteristics include the following:
入力/出力形式の観点から、より一般的に議論される攻撃特性の一部には、以下が含まれます。
o known plaintext - the attacker knows some of the plaintext corresponding to some of the ciphertext
o 既知のプレーンテキスト - 攻撃者は、暗号文の一部に対応するプレーンテキストの一部を知っています
o ciphertext-only - only ciphertext is available to the attacker, who has little or no information about the plaintext
o ciphertextのみ - 攻撃者は攻撃者のみが利用できます。
o chosen plaintext - the attacker can choose which plaintext is encrypted, and obtain the corresponding ciphertext
o 選択されたプレーンテキスト - 攻撃者は、どのプレーンテキストが暗号化されているかを選択して、対応するciphertextを取得できます
o birthday attacks - relies on the fact that for N elements, collisions can be expected in ~sqrt(N) randomly chosen samples; for systems using CBC mode with random Initialization Vectors (IVs), ciphertext collisions can be expected in about 2^28 samples. Such collisions leak information about the corresponding plaintexts: if the same cryptographic key is used, then the xor of the IVs is equal to the xor of the plaintexts.
o 誕生日攻撃 - n要素の場合、〜SQRT(n)ランダムに選択されたサンプルで衝突が予想されるという事実に依存しています。ランダムな初期化ベクトル(IV)を備えたCBCモードを使用するシステムの場合、約2^28のサンプルで暗号文の衝突が予想されます。このような衝突は、対応する平文に関する情報を漏らします。同じ暗号化キーが使用されている場合、IVのXORはプレーンテキストのXORに等しくなります。
o meet-in-the-middle attacks - leverages birthday characteristic to precompute potential key collision values
o ミートインザミドル攻撃 - 潜在的なキー衝突値を事前に計算するために誕生日特性を活用する
Due to the limited scope of this document, these are very brief descriptions of very complex subject matter. For more detailed discussions on these and many related topics, see [SCHN96], [HAC], or [FERG03].
このドキュメントの範囲が限られているため、これらは非常に複雑な主題の非常に簡単な説明です。これらおよび多くの関連トピックに関するより詳細な議論については、[Schn96]、[HAC]、または[FERG03]を参照してください。
As for attack characteristics relating to the operational aspects of cipher algorithms, there are essentially two broad classes we consider: cryptanalytic attacks, which exploit some internal structure or function of the cipher algorithm, and brute-force attacks, in which the attacker systematically tries keys until the right one is found. These could alternatively be referred to as white box and black box attacks, respectively. These are discussed further below.
暗号アルゴリズムの運用上の側面に関連する攻撃特性に関しては、私たちが考慮する2つの広範なクラスがあります。暗号化攻撃は、暗号アルゴリズムの内部構造または関数を活用し、攻撃者がキーを体系的に試しているブルートフォース攻撃があります。正しいものが見つかるまで。これらは、それぞれホワイトボックスとブラックボックスの攻撃と呼ばれる可能性があります。これらについては、以下でさらに説明します。
In general, a brute-force attack consists of trying each possible key until the correct key is found. In the worst case, this will require 2^n steps for a key size of n bits, and on average, it will require 2^n-1 steps. For DES, this implies 2^56 encryption operations in the worst case, and 2^55 encryption operations on average, if we assume no shortcuts exist. As it turns out, the complementation property of DES provides an attack that yields a reduction by a factor of 2 for a chosen plaintext attack, so this attack requires an average of 2^54 encryption operations.
一般に、ブルートフォース攻撃は、正しいキーが見つかるまで各可能なキーを試すことで構成されます。最悪の場合、これにはnビットのキーサイズに2^nのステップが必要になり、平均して2^n-1ステップが必要です。DESの場合、これは、最悪の場合に2^56暗号化操作、およびショートカットが存在しないと仮定した場合、平均して2^55暗号化操作を意味します。結局のところ、DESの補完特性は、選択したプレーンテキスト攻撃に対して2倍の削減をもたらす攻撃を提供するため、この攻撃には平均2^54暗号化操作が必要です。
Above, we refer to 2^n 'steps'; note that what a 'step' entails depends to some extent on the first attack aspect described above, i.e., what influence and knowledge we have with respect to input/ output forms. Remember, in the worst case, we will be performing 72,057,594,037,927,936 -- over 72 quadrillion -- of these 'steps'. In the most difficult case, we have ciphertext only, and no knowledge of the input, and this is very important.
上記では、2^n 'ステップ'を参照します。「ステップ」が伴うものは、上記の最初の攻撃の側面、つまり入力/出力形式に関してどのような影響と知識があるかにある程度依存することに注意してください。最悪の場合、これらの「ステップ」のうち72,057,594,037,927,927,927,936を実行することを忘れないでください。最も難しいケースでは、暗号文のみがあり、入力に関する知識はありません。これは非常に重要です。
If the input is effectively random, we cannot tell by simply looking at a decrypted block whether we've succeeded or not. We may have to resort to other potentially expensive computation to make this determination. While the effect of any additional computation will be linear across all keys, repeating a large amount of added computation up to 72 quadrillion times could have a significant impact on the cost of a brute-force attack against the algorithm. For example, if it takes 1 additional microsecond per computation, this will add almost 101 days to our worst-case search time, assuming a serial key search.
入力が効果的にランダムである場合、成功したかどうかにかかわらず、復号化されたブロックを見るだけではわかりません。この決定を行うには、他の潜在的に高価な計算に頼らなければならない場合があります。追加の計算の効果はすべてのキーにわたって線形になりますが、最大72倍の追加の計算を繰り返すと、アルゴリズムに対するブルートフォース攻撃のコストに大きな影響を与える可能性があります。たとえば、計算ごとに1マイクロ秒の追加のマイクロ秒が必要な場合、シリアルキー検索を想定して、最悪の検索時間にほぼ101日が追加されます。
On the other hand, if we can control the input to the encryption function (known plaintext), we know precisely what to expect from the decryption function, so detecting that we've found the key is straightforward. Alternatively, even if we don't know the exact input, if we know something about it (e.g., that it's ASCII), with limited additional computation we can infer that we've most likely found a key. Obviously, which of these conditions holds may significantly influence attack time.
一方、暗号化関数(既知のプレーンテキスト)への入力を制御できる場合、復号化関数から何を期待するかを正確に知っているため、キーが簡単であることがわかったことを検出します。あるいは、正確な入力がわからなくても、それについて何かを知っていれば(たとえば、ASCIIであること)、追加の計算が限られていると、おそらくキーが見つかった可能性が高いと推測できます。明らかに、これらの条件のどれが攻撃時間に大きな影響を与える可能性があります。
Given that a brute-force attack involves systematically trying keys until we find the right one, it is obviously a good candidate for parallelization. If we have N processors, we can find the key roughly N times faster than if we have only 1 processor. This requires some sort of centralized control entity that distributes the work and monitors the search process, but is quite straightforward to implement.
ブルートフォース攻撃には、適切な攻撃が見つかるまで体系的にキーを試すことが含まれることを考えると、それは明らかに並列化の良い候補です。nプロセッサがある場合、1つのプロセッサしかない場合よりもn倍速いキーを見つけることができます。これには、作業を配布し、検索プロセスを監視するが、実装が非常に簡単なある種の集中管理エンティティが必要です。
There are at least two approaches to parallelization of a brute-force attack on a block cipher: the first is to build specialized high-speed hardware that can rapidly cycle through keys while performing the cryptographic and comparison operations, and then replicate that hardware many times, while providing for centralized control. The second involves using many copies of general purpose hardware (e.g., a PC), and distributing the load across these while placing them under the control of one or more central systems. Both of these approaches are discussed further in sections 5 and 6.
ブロック暗号へのブルートフォース攻撃の並列化には少なくとも2つのアプローチがあります。1つ目は、暗号化と比較操作を実行しながらキーを迅速にサイクリングできる専門の高速ハードウェアを構築し、そのハードウェアを何度も複製することです。、集中制御を提供しながら。2つ目は、一般的な目的ハードウェア(PCなど)の多くのコピーを使用し、1つ以上の中央システムの制御下に配置しながら、これらに負荷を配布することを含みます。これらのアプローチは両方とも、セクション5および6でさらに説明します。
Brute-force attacks are so named because they don't require much intelligence in the attack process -- they simply try one key after the other, with little or no intelligent keyspace pruning. Cryptanalytic attacks, on the other hand, rely on application of some intelligence ahead of time, and by doing so, provide for a significant reduction of the search space.
ブルートフォース攻撃は、攻撃プロセスで多くのインテリジェンスを必要としないため、そのように名前が付けられています。彼らは、インテリジェントなキースペースの剪定がほとんどまたはまったくなく、次々と一方のキーを試してみるだけです。一方、暗号分析攻撃は、事前に何らかのインテリジェンスの適用に依存しており、そうすることで、検索スペースの大幅な削減を提供します。
While an in-depth discussion of cryptanalytic techniques and the resulting attacks is well beyond the scope of this document, it is important to briefly touch on this area in order to set the stage for subsequent discussion. It is also important to note that, in general, cryptanalysis can be applied to any cryptographic algorithm with varying degrees of success. However, we confine ourselves here to discussing specific results with respect to DES.
暗号化技術と結果として生じる攻撃の詳細な議論は、このドキュメントの範囲をはるかに超えていますが、その後の議論の段階を設定するために、この領域に簡単に触れることが重要です。また、一般に、暗号化はさまざまな程度の成功を収めたすべての暗号化アルゴリズムに適用できることに注意することも重要です。ただし、DESに関して特定の結果について議論することに、ここで自分自身を限定しています。
Here is a very brief summary of the currently known cryptanalytic attacks on DES:
DESに対する現在知られている暗号化攻撃の非常に簡単な要約を次に示します。
o Differential Cryptanalysis - First discussed by Biham and Shamir, this technique (putting it very simply) analyzes how differences in plaintext correspond to differences in ciphertext. For more detail, see [BIH93].
o 微分暗号化 - 最初にBihamとShamirによって議論されたこの手法(非常に単純に言えます)は、平文の違いが暗号文の違いにどのように対応するかを分析します。詳細については、[bih93]を参照してください。
o Linear Cryptanalysis - First described by Matsui, this technique uses linear approximations to describe the internal functions of DES. For more detail, see [MAT93].
o 線形暗号化 - Matsuiによって最初に記述されたこの手法は、線形近似を使用してDESの内部関数を記述します。詳細については、[MAT93]を参照してください。
o Interpolation Attack - This technique represents the S-boxes of DES with algebraic functions, and then estimates the coefficients of the functions. For more information, see [JAK97].
o 補間攻撃 - この手法は、代数関数を使用したDESのSボックスを表し、関数の係数を推定します。詳細については、[Jak97]を参照してください。
o Key Collision Attack - This technique exploits the birthday paradox to produce key collisions [BIH96].
o 主要な衝突攻撃 - この手法は、誕生日のパラドックスを活用して重要な衝突を生み出します[BIH96]。
o Differential Fault Analysis - This attack exploits the electrical characteristics of the encryption device, selectively inducing faults and comparing the results with uninfluenced outputs. For more information, see [BIH96-2].
o 微分障害分析 - この攻撃は、暗号化デバイスの電気特性を活用し、障害を選択的に誘導し、結果を影響を受けない出力と比較します。詳細については、[bih96-2]を参照してください。
Currently, the best publicly known cryptanalytic attacks on DES are linear and differential cryptanalysis. These attacks are not generally considered practical, as they require 2^43 and 2^47 known plaintext/ciphertext pairs, respectively. To get a feel for what this means in practical terms, consider the following:
現在、DESに対する最もよく知られている暗号化攻撃は、線形および微分暗号化です。これらの攻撃は、それぞれ2^43および2^47が既知のプレーンテキスト/暗号文のペアを必要とするため、一般的に実用的とは見なされません。これが実際的に意味することを感じるには、以下を検討してください。
o For linear cryptanalysis (the more efficient of the two attacks), the attacker must pre-compute and store 2^43 ciphertexts; this requires 8,796,093,022,208 (almost 9 trillion) encryption operations.
o 線形暗号化(2つの攻撃のうち、より効率的)の場合、攻撃者は2^43の暗号文を事前計算して保存する必要があります。これには、8,796,093,022,208(ほぼ9兆)の暗号化操作が必要です。
o Each ciphertext block is 8 bytes, so the total required storage is 70,368,744,177,664 bytes, or about 70,369 gigabytes of storage. If the plaintext blocks cannot be automatically derived, they too must be stored, potentially doubling the storage requirements.
o 各暗号文ブロックは8バイトであるため、必要なストレージの合計は70,368,744,744,177,664バイト、または約70,369ギガバイトのストレージです。プレーンテキストブロックを自動的に導出できない場合、それらも保存する必要があり、ストレージ要件を2倍にする可能性があります。
o The 2^43 known plaintext blocks must be somehow fed to the device under attack, and that device must not change the encryption key during this time.
o 2^43の既知のプレーンテキストブロックは、何らかの形で攻撃を受けているデバイスに供給する必要があり、このデバイスはこの間に暗号化キーを変更してはなりません。
Clearly, there are practical issues with this attack. Still, it is sobering to look at how much more realistic 70,000 gigabytes of storage is today than it must have seemed in 1993, when Matsui first proposed this attack. Today, 400-GB hard drives can be had for around $0.35/gigabyte. If we only needed to store the known ciphertext, this amounts to ~176 hard drives at a cost of less than $25,000. This is probably practical with today's technology for an adversary with significant financial resources, though it was difficult to imagine in 1993. Still, numerous other practical issues remain.
明らかに、この攻撃には実際的な問題があります。それでも、松井がこの攻撃を最初に提案した1993年に思われたに違いないよりも、今日の70,000ギガバイトのストレージがどれほど現実的であるかを見るのは落ち着いています。今日、400 GBのハードドライブは約0.35ドル/ギガバイトで使用できます。既知の暗号文を保存する必要がある場合、これは25,000ドル未満のコストで約176のハードドライブに相当します。これは、1993年に想像することは困難でしたが、これはおそらく重要な財源を備えた敵のための今日のテクノロジーでは実用的です。それでも、他の多くの実際的な問題は残っています。
Above, we described several types of attacks on DES, some of which are more practical than others, but it's very important to recognize that brute force represents the very worst case, and cryptanalytic attacks can only improve on this. If a brute-force attack against a given DES application really is feasible, then worrying about the practicality of the other theoretical attack modes is just a distraction. The bottom line is this: if DES can be brute-forced at a cost the attacker can stomach today, this cost will invariably come down as technology advances.
上記では、DESに対するいくつかのタイプの攻撃について説明しましたが、その一部は他の攻撃よりも実用的ですが、ブルートフォースが非常に最悪のケースを表していることを認識することは非常に重要であり、暗号化攻撃はこれについてのみ改善できます。特定のDESアプリケーションに対するブルートフォース攻撃が本当に実現可能である場合、他の理論的攻撃モードの実用性を心配することは、単なる注意散漫です。一番下の行は次のとおりです。DESが攻撃者が今日胃を悩ませるコストでブルート強化することができれば、このコストはテクノロジーが進むにつれて常に低下します。
On the question as to whether DES is susceptible to brute-force attack from a practical perspective, the answer is a resounding and unequivocal "yes". In 1998, the Electronic Frontier Foundation financed the construction of a "DES Cracker", and subsequently published "Cracking DES" [EFF98]. For a cost of less than $250,000, this system can find a 56-bit DES key in the worst-case time of around 9 days, and in 4.5 days on average.
DESが実際的な観点からブルートフォース攻撃を受けやすいかどうかについての質問について、答えは圧倒的で明確な「はい」です。1998年、Electronic Frontier Foundationは「Des Cracker」の建設に資金を提供し、その後「Cracking Des」[Eff98]を公開しました。250,000ドル未満の費用で、このシステムは、最悪の時期の9日間、平均4.5日で56ビットのDEキーを見つけることができます。
Quoting from [EFF98],
[Eff98]から引用して、
"The design of the EFF DES Cracker is simple in concept. It consists of an ordinary personal computer connected with a large array of custom chips. Software in the personal computer instructs the custom chips to begin searching, and interacts with the user. The chips run without further help from the software until they find a potentially interesting key, or need to be directed to search a new part of the key space. The software periodically polls the chips to find any potentially interesting keys that they have turned up.
「Eff Des Crackerの設計は、概念がシンプルです。カスタムチップの大量に接続された通常のパーソナルコンピューターで構成されています。パーソナルコンピューターのソフトウェアは、カスタムチップに検索を開始するように指示し、ユーザーと対話します。チップソフトウェアが潜在的に興味深いキーを見つけるか、キースペースの新しい部分を検索するように指示する必要があるまで、ソフトウェアの支援なしで実行します。ソフトウェアは定期的に、潜在的に興味深いキーを見つけた潜在的に興味深いキーを見つけるために定期的に投票します。
The hardware's job isn't to find the answer. but rather to eliminate most of the answers that are incorrect. Software is then fast enough to search the remaining potentially-correct keys, winnowing the false positives from the real answer. The strength of the machine is that it replicates a simple but useful search circuit thousands of times, allowing the software to find the answer by searching only a tiny fraction of the key space.
ハードウェアの仕事は答えを見つけることではありません。むしろ、間違っているほとんどの答えを排除するため。ソフトウェアは、残りの潜在的に修正されたキーを検索するのに十分な速さであり、実際の答えから誤った陽性を恐れます。マシンの強さは、シンプルだが便利な検索回路を数千回複製し、キースペースのごく一部のみを検索することでソフトウェアが答えを見つけることができることです。
As long as there is a small bit of software to coordinate the effort, the problem of searching for a DES key is 'highly parallelizable'. This means the problem can be usefully solved by many machines working in parallel, simultaneously. For example, a single DES-Cracker chip could find a key by searching for many years. A thousand DES-Cracker chips can solve the same problem in one thousandth of the time. A million DES-Cracker chips could theoretically solve the same problem in about a millionth of the time, though the overhead of starting each chip would become visible in the time required. The actual machine we built contains 1536 chips."
努力を調整するための少量のソフトウェアがある限り、DESキーを検索する問題は「非常に並行可能」です。これは、問題が同時に並行して動作する多くのマシンによって有用に解決できることを意味します。たとえば、1つのDes-Crackerチップは、長年検索することでキーを見つけることができます。1000個のDes-Crackerチップは、1000分の1回で同じ問題を解決できます。100万のDes-Crackerチップは、理論的には約100万回の時間で同じ問題を解決できますが、各チップを開始するオーバーヘッドは必要な時間に見えるようになります。私たちが構築した実際のマシンには、1536個のチップが含まれています。」
This project clearly demonstrated that a practical system for brute force DES attacks was well within reach of many more than previously assumed. Practically any government in the world could easily produce such a machine, and in fact, so could many businesses. And that was in 1998; the technological advances since then have greatly reduced the cost of such a device. This is discussed further below.
このプロジェクトは、ブルートフォースDES攻撃のための実用的なシステムが、以前に想定されていたよりも多くの範囲内にあることを明確に実証しました。実質的に、世界の政府はそのような機械を簡単に生産することができ、実際、多くの企業もそうでした。そしてそれは1998年でした。それ以来、技術の進歩により、このようなデバイスのコストが大幅に削減されました。これについては、以下でさらに説明します。
In the mid-1990s, many were interested in whether or not DES was breakable in a practical sense. RSA sponsored a series of DES Challenges over a 3-year period beginning January of 1997. These challenges were created in order to help underscore the point that cryptographic strength limitations imposed by the U.S. government's export policies were far too modest to meet the security requirements of many users.
1990年代半ば、多くの人は、DESが実際的な意味で壊れやすいかどうかに興味がありました。RSAは、1997年1月から3年間の期間にわたって一連のDESチャレンジを後援しました。これらの課題は、米国政府の輸出政策によって課される暗号化の強さの制限があまりにも控えめであるという点を強調するために作成されました。多くのユーザー。
The first DES challenge was solved by the DESCHALL group, led by Rocke Verser, Matt Curtin, and Justin Dolske [CURT05][RSA1]. They created a loosely-knit distributed effort staffed by volunteers and backed by Universities and corporations all over the world who donated their unused CPU cycles to the effort. They found the key in 90 days.
最初のDESチャレンジは、Rocke Verser、Matt Curtin、Justin Dolske [CURT05] [RSA1]が率いるDeschallグループによって解決されました。彼らは、ボランティアが配置し、未使用のCPUサイクルを努力に寄付した世界中の大学や企業に支援された、大まかに編まれた分散努力を作成しました。彼らは90日で鍵を見つけました。
The second DES challenge was announced on December 19, 1997 [RSA2][CURT05], and on February 26, 1998, RSA announced a winner. This time, the challenge was solved by group called distributed.net working together with the EFF, in a total of 39 days [RSA3] [CURT05]. This group coordinated 22,000 participants and over 50,000 CPUs.
2番目のDESチャレンジは、1997年12月19日[RSA2] [CURT05]に発表され、1998年2月26日にRSAが勝者を発表しました。今回、課題は、effと協力して、合計39日間[RSA3] [CURT05]と協力して、distributed.netと呼ばれるグループによって解決されました。このグループは、22,000人の参加者と50,000を超えるCPUを調整しました。
The third DES challenge was announced on December 22, 1998 [RSA4][CURT05], and on January 19, 1999, RSA announced the winner. This time, the challenge was again solved by distributed.net working together with the EFF, in a total of 22 hours [RSA5]. This was a dramatic improvement over the second challenge, and should give some idea of where we're headed with respect to DES.
3番目のDESチャレンジは、1998年12月22日[RSA4] [CURT05]に発表され、1999年1月19日にRSAが勝者を発表しました。今回、課題は、effと一緒に協力して合計22時間でdistributed.netによって再び解決されました[RSA5]。これは、2番目の課題よりも劇的な改善であり、DESに関してどこに向かっているのかについてのアイデアを与えるはずです。
We've seen what was done in the late 1990s -- what about today? A survey of the literature might lead one to conclude that this topic is no longer interesting to cryptographers. Hence, we are left to infer the possibilities based on currently available technologies. One way to derive an approximation is to apply a variation on "Moore's Law": assume that the cost of a device comparable to the one built by the EFF would be halved roughly every N months. If we take N=18, then for a device costing $250,000 at the end of 1998, this would predict the following cost curve:
1990年代後半に行われたことを見てきました - 今日はどうですか?文献の調査は、このトピックが暗号作成者にとってもはや興味深いものではないと結論付けることにつながる可能性があります。したがって、現在利用可能なテクノロジーに基づいて可能性を推測する必要があります。近似を導き出す1つの方法は、「ムーアの法則」にバリエーションを適用することです。EFFによって構築されたものに匹敵するデバイスのコストが、ほぼ毎月半分になると仮定します。n = 18を服用した場合、1998年の終わりに250,000ドルのデバイスの場合、これは次のコスト曲線を予測します。
o mid-2000............: $125,000
o beginning of 2002...: $62,500
o 2002年の初め...:62,500ドル
o mid-2003............: $31,250
o beginning of 2006...: $15,625
o 2006年の初め...:$ 15,625
It's important to note that strictly speaking, "Moore's Law" is more an informal approximation than a law, although it has proven to be uncannily accurate over the last 40 years or so. Also, some would disagree with the use of an 18-month interval, preferring a more conservative 24 months instead. So, these figures should be taken with the proverbial grain of salt. Still, it's important to recognize that this is the cost needed not to crack one key, but to get into the key-cracking business. Offering key-cracking services and keeping the machine relatively busy would dramatically decrease the cost to a few hundred dollars per unit or less.
厳密に言えば、「ムーアの法律」は法律よりも非公式の近似であることに注意することが重要ですが、過去40年ほどで不可解に正確であることが証明されています。また、一部は18か月の間隔の使用に反対し、代わりにより保守的な24か月を好むでしょう。したがって、これらの数字は、塩のことわざで摂取する必要があります。それでも、これが1つのキーをクラックするのではなく、キークラッキングビジネスに入るために必要なコストであることを認識することが重要です。キークラッキングサービスを提供し、マシンを比較的忙しく保つことで、コストが1ユニットあたり数百ドル以下に劇的に減少します。
Given that such calculations roughly hold for other computing technologies over the same time interval, the estimate above does not seem too unreasonable, and is probably within a factor of two of today's costs. Clearly, this would seem to indicate that DES-cracking hardware is within reach of a much broader group than in 1998, and it is important to note that this assumes no design or algorithm improvements since then.
そのような計算は、同じ時間間隔で他のコンピューティングテクノロジーに対して大まかに保持されていることを考えると、上記の推定値はあまり不合理ではなく、おそらく今日の2倍のコストの範囲内です。明らかに、これは、DESクラッキングハードウェアが1998年よりもはるかに広いグループの範囲内にあることを示しているように思われます。これは、それ以来、設計やアルゴリズムの改善を想定していないことに注意することが重要です。
To put this in a slightly different light, let's consider the typical rendition of Moore's Law for such discussions. Rather than considering shrinking cost for the same capability, consider instead increasing capability for the same cost (i.e., doubling circuit densities every N months). Again choosing N=18, our DES-cracking capability (in worst-case time per key) could be expected to have approximately followed this performance curve over the last 7 or so years:
これを少し異なる光にするために、そのような議論のためにムーアの法律の典型的な演出を考えてみましょう。同じ機能のコストの縮小を検討するのではなく、代わりに同じコスト(つまり、回路密度がnヶ月ごとに2倍になる)で機能を増やすことを検討してください。再びn = 18を選択すると、私たちのdes-cracking機能(キーごとに最悪の時間)は、過去7年ほどでこのパフォーマンス曲線にほぼ従うと予想される場合があります。
o 1998................: 9 days
o mid-2000............: 4.5 days
o beginning of 2002...: 2.25 days
o 2002年の初め...:2。25日
o mid-2003............: 1.125 days
o beginning of 2006...: 0.5625 days
o 2006年の初め...:0.5625日
That's just over a half-day in the worst case for 2006, and under 7 hours on average. And this, for an investment of less than $250,000. It's also very important to note that we are talking about worst-case and average times here - sometimes, keys will be found much more quickly. For example, using such a machine, 1/4 of all possible DES keys will be found within 3.375 hours. 1/8 of the keys will be found in less than 1 hour and 42 minutes. And this assumes no algorithmic improvements have occurred. And again, this is an estimate; your actual mileage may vary, but the estimate is probably not far from reality.
これは、2006年の最悪の場合は半日を超え、平均7時間以内です。これは、250,000ドル未満の投資のためです。また、ここでは最悪の場合と平均時間について話していることに注意することも非常に重要です。時には、キーがはるかに速く見つかることがあります。たとえば、このようなマシンを使用して、可能なすべてのDESキーの1/4が3.375時間以内に見つかります。キーの1/8は、1時間42分以内に見つかります。そして、これはアルゴリズムの改善が発生していないことを前提としています。繰り返しますが、これは推定です。実際の走行距離は異なる場合がありますが、見積もりはおそらく現実からそれほど遠くないでしょう。
Since the EFF device first appeared, Field Programmable Gate Arrays (FPGAs) have become quite common, and far less costly than they were in 1998. These devices allow low-level logic programming, and are frequently used to prototype new logic designs prior to the creation of more expensive custom chips (also known as Application Specific Integrated Circuits, or ASICs). They are also frequently used in place of ASICs due to their lower cost and/or flexibility. In fact, a number of embedded systems implementing cryptography have employed FPGAs for this purpose.
EFFデバイスが最初に表示されたため、フィールドプログラム可能なゲートアレイ(FPGA)は非常に一般的であり、1998年よりもはるかにコストがかかりません。これらのデバイスは、低レベルのロジックプログラミングを許可し、頻繁に新しいロジック設計のプロトタイプに使用されます。より高価なカスタムチップ(アプリケーション固有の統合回路、またはASICとも呼ばれる)の作成。また、コストや柔軟性が低いため、ASICの代わりに頻繁に使用されます。実際、暗号化を実装する多くの組み込みシステムがこの目的のためにFPGAを採用しています。
Due to their generalized nature, FPGAs are naturally slower than ASICs. While the speed difference varies based on many factors, it is reasonable for purposes of this discussion to say that well-designed FPGA implementations typically perform cryptographic operations at perhaps 1/4 the speed of well-designed ASICs performing the same operations, and sometimes much slower than that. The significance of this comparison will become obvious shortly.
それらの一般的な性質のため、FPGAはASICよりも自然に遅くなっています。速度の違いは多くの要因に基づいて異なりますが、この議論の目的では、よく設計されたFPGA実装が通常、同じ操作を実行する適切に設計されたASICの速度1/4で暗号化操作を実行すると言うことは合理的です。それより遅い。この比較の重要性はまもなく明らかになります。
In our Moore's Law estimate above, we noted that the cost extrapolation assumes no design or algorithm improvements since 1998. It also implies that we are still talking about a brute-force attack. In section 4 ("Attacking DES"), we discussed several cryptanalytic attacks, including an attack that employs linear cryptanalysis [MAT93]. In general, this attack has been considered impractical, but in 2002, a group at Universite Catholique de Louvain in Belgium built a DES cracker based on linear cryptanalysis, which, employing a single FPGA, returns a DES key in 12-15 hours [FPL02].
上記のムーアの法律の推定では、コストの外挿が1998年以降の設計やアルゴリズムの改善を想定していないことに注目しました。また、まだブルートフォース攻撃について話していることを意味します。セクション4(「攻撃DES」)では、線形暗号化[MAT93]を使用する攻撃を含むいくつかの暗号化攻撃について説明しました。一般に、この攻撃は非現実的であると考えられていますが、2002年には、ベルギーのユニバーシティカトリックデルヴァンのグループが線形暗号化に基づいてDESクラッカーを構築しました。]。
While there are still some issues of practicality in terms of applying this attack in the real world (i.e., the required number of known plaintext-ciphertext pairs), this gives a glimpse of where technology is taking us with respect to DES attack capabilities.
現実世界でこの攻撃を適用するという点で実用性のいくつかの問題がまだありますが(つまり、既知のPlantext-Ciphertextペアの必要な数)、これはDES攻撃機能に関してテクノロジーが私たちを採用している場所を垣間見ることができます。
Application Specific Integrated Circuits are specialized chips, typically optimized for a particular set of operations (e.g., encryption). There are a number of companies that are in the business of designing and selling cryptographic ASICs, and such chips can be had for as little as $15 each at the low end. But while these chips are potentially much faster than FPGAs, they usually do not represent a proportionally higher threat when it comes to DES-cracking system construction.
アプリケーション固有の統合回路は特殊なチップであり、通常、特定の操作セット(暗号化など)に最適化されています。暗号化アシックスを設計および販売するビジネスにいる多くの企業があり、そのようなチップは、それぞれローエンドでそれぞれわずか15ドルで摂取できます。しかし、これらのチップは潜在的にFPGAよりもはるかに高速ですが、通常、システムの構築に関しては、比例して高い脅威を表していません。
The primary reason for this is cost: it currently costs more than $1,000,000 to produce an ASIC. There is no broad commercial market for crypto-cracking ASICs, so the number a manufacturer could expect to sell is probably small. Likewise, a single attacker is not likely to require more than a few of these. The bottom line: per-chip costs would be very high; when compared to the costs of FPGAs capable of similar performance, the FPGAs are clear winners. This doesn't mean such ASICs have never been built, but the return is probably not worth the investment for the average attacker today, given the other available options.
これの主な理由はコストです。現在、ASICを生産するのに1,000,000ドル以上かかります。暗号化されたアシックスの幅広い商業市場はないため、メーカーが販売することを期待できる数はおそらく小さいでしょう。同様に、単一の攻撃者は、これらのいくつかをより多く必要とする可能性は低いです。結論:チップごとのコストは非常に高くなります。同様のパフォーマンスが可能なFPGAのコストと比較すると、FPGAは明確な勝者です。これは、そのようなASICが構築されたことがないという意味ではありませんが、他の利用可能なオプションを考えると、今日の平均的な攻撃者の投資の価値はおそらくないでしょう。
Parallel processing is a powerful tool for conducting brute-force attacks against a block cipher. Since each key can be tested independently, the keyspace can easily be carved up and distributed across an arbitrary number of processors, all of which are running identical code. A central "control" processor is required for distributing tasks and evaluating results, but this is straightforward to implement, and this paradigm has been applied to many computing problems.
並列処理は、ブロック暗号に対してブルートフォース攻撃を実施するための強力なツールです。各キーを個別にテストできるため、キースペースは任意の数のプロセッサに簡単に刻まれて分散できます。これらはすべて同一のコードを実行しています。タスクの配布と結果の評価には、中央の「コントロール」プロセッサが必要ですが、これは実装が簡単であり、このパラダイムは多くのコンピューティングの問題に適用されています。
While the EFF demonstrated that a purpose-built system is far superior to general purpose PCs when applied to cracking DES, the DESCHALL effort [CURT05][RSA1] aptly demonstrated that the idle cycles of everyday users' PCs could be efficiently applied to this problem. As noted above, distributed.net teamed with the EFF group to solve the third RSA DES Challenge using a combination of PCs and the EFF's "Deep Crack" machine to find a DES key in 22 hours. And that was using 1999 technologies.
EFFは、DESの亀裂に適用されると、専用のシステムが汎用PCよりもはるかに優れていることを実証しましたが、Deschallの努力[CURT05] [RSA1]は、日常のユーザーのPCのアイドルサイクルがこの問題に効率的に適用できることを適切に実証しました。。上記のように、分散型。NETはEFFグループと協力して、PCとEFFの「ディープクラック」マシンの組み合わせを使用して、22時間でDESキーを見つける3番目のRSA DESチャレンジを解決しました。そして、それは1999年のテクノロジーを使用していました。
Clearly, PCs have improved dramatically since 1999. At that time, state-of-the-art desktops ran at around 800MHz. Today, desktop PCs commonly run at 3-4 times that speed, and supporting technologies (memory, cache, storage) offer far higher performance as well. Since the distributed.net effort used a broad spectrum of computers (from early 1990s desktops to state-of-the-art (in 1999) multiprocessors, according to [DIST99]), it is difficult to do a direct comparison with today's technologies. Still, we know that performance has, in general, followed the prediction of Moore's Law, so we should expect an improvement on the order of a factor of 8-16 by now, even with no algorithmic improvements
明らかに、PCは1999年以来劇的に改善されています。当時、最先端のデスクトップは約800MHzで実行されました。今日、デスクトップPCは一般にその速度3〜4倍で実行され、サポートテクノロジー(メモリ、キャッシュ、ストレージ)もはるかに高いパフォーマンスを提供します。分散型努力は、幅広いコンピューターを使用していたため(1990年代初頭のデスクトップから最先端(1999年)マルチプロセッサ、[DIST99]によると)。今日のテクノロジーと直接比較することは困難です。それでも、パフォーマンスは一般的にムーアの法律の予測に従っていることを知っているので、アルゴリズムの改善がなくても、今では8〜16倍の順序の改善が期待すべきです。
It is important to note that the distributed.net efforts have relied upon willing participants. That is, participants must explicitly and voluntarily join the effort. It is equally important to note that only the idle cycles of the enrolled systems are used. Depending on the way in which "idle" is defined, along with the user's habits and computing requirements, this could have a significant effect on the contribution level of a given system.
分散型の努力は喜んで参加者に依存していることに注意することが重要です。つまり、参加者は努力に明示的かつ自発的に参加する必要があります。登録されたシステムのアイドルサイクルのみが使用されることに注意することも同様に重要です。「アイドル」が定義される方法に応じて、ユーザーの習慣とコンピューティング要件とともに、これは特定のシステムの貢献レベルに大きな影響を与える可能性があります。
These factors impose significant limitations in terms of scale. While distributed.net was able to enlist over 100,000 computers from around the world for the third RSA DES Challenge, this is actually a rather small number when compared to 2^56 (over 72 quadrillion) possible DES keys. And when you consider the goal (i.e., to prove DES can be cracked), it seems reasonable to assume these same participants would not willingly offer up their compute cycles for a more nefarious use (like attacking the keys used to encrypt your online banking session). Hence, this particular model does not appear to pose a significant threat to most uses of encryption today. However, below, we discuss a variation on this approach that does pose an immediate threat.
これらの要因は、規模の面で大きな制限を課します。distributed.netは、3番目のRSA DESチャレンジのために世界中から100,000件以上のコンピューターを登録することができましたが、これは実際には2^56(72クアドリリオン以上)のDESキーと比較するとかなり少ない数字です。そして、目標を考慮すると(つまり、DESがクラックされる可能性があることを証明する)、これらの同じ参加者がより不気味な使用のためにコンピューティングサイクルを喜んで提供しないと仮定するのは合理的であると思われます(オンラインバンキングセッションに使用されるキーを攻撃するなど)。したがって、この特定のモデルは、今日の暗号化のほとんどの使用に大きな脅威をもたらすようには見えません。ただし、以下では、このアプローチのバリエーションについて説明します。これは、即時の脅威をもたらします。
"Spyware" is a popular topic in security newsfeeds these days. Most of these applications are intended to display context-sensitive advertisements to users, and some actually modify a user's web browsing experience, directing them to sites of the distributor's choice in an effort to generate revenue. There are many names for this type of software, but for our purposes, we will refer to it simply as "spyware". And while there are some instances in which rogue software actually does spy on hapless users and report things back to the issuer, we do not focus here on such distinctions.
「Spyware」は、最近のセキュリティニュースフィードで人気のあるトピックです。これらのアプリケーションのほとんどは、ユーザーにコンテキストに敏感な広告を表示することを目的としており、実際にユーザーのWebブラウジングエクスペリエンスを変更し、収益を生み出すためにディストリビューターの選択肢のサイトに向けます。このタイプのソフトウェアには多くの名前がありますが、私たちの目的のために、単に「スパイウェア」と呼びます。そして、Rogueソフトウェアが実際に不幸なユーザーをスパイし、発行者に物事を報告するいくつかのインスタンスがありますが、このような区別に焦点を合わせていません。
Indeed, what we are more interested in is the broader modality in which this software functions: it is typically installed without the explicit knowledge and/or understanding of the user, and typically runs without the user's knowledge, sometimes slowing the user's PC to a crawl. One might note that such behavior seems quite surprising in view of the fact that displaying ads to users is actually a light-weight task, and wonder what this software is actually doing with all those compute cycles.
実際、私たちがより興味を持っているのは、このソフトウェアが機能するより広範なモダリティです。通常、ユーザーの明示的な知識や理解なしにインストールされ、通常ユーザーの知識なしで実行され、ユーザーのPCをクロールに遅らせることがあります。。ユーザーに広告を表示することが実際に軽量のタスクであるという事実を考慮して、このような動作は非常に驚くべきことになるかもしれません。また、このソフトウェアが実際にこれらすべての計算サイクルで何をしているのか疑問に思うでしょう。
Worms and viruses are also very interesting: like spyware, these are installed without the user's knowledge or consent, and they use the computer in ways the user would not voluntarily allow. And unlike the spyware that is most common today, this malware usually contains explicit propagation technology by which it automatically spreads. It is not difficult to imagine where we are going with this: if you combine these techniques, forcible induction of user machines into an "army" of systems becomes possible. This approach was alluded to in [CURT98] and, in fact, is being done today.
ワームやウイルスも非常に興味深いです。スパイウェアのように、これらはユーザーの知識や同意なしにインストールされ、ユーザーが自発的に許可しない方法でコンピューターを使用します。また、今日最も一般的なスパイウェアとは異なり、このマルウェアには通常、自動的に広がる明示的な伝播テクノロジーが含まれています。私たちがこれをどこに向けているのか想像することは難しくありません。これらの手法を組み合わせると、ユーザーマシンをシステムの「軍隊」に強制的に誘導することが可能になります。このアプローチは[CURT98]で暗示されており、実際には今日行われています。
Botnets [BOT05] represent a relatively recent phenomena. Using various propagation techniques, malware is distributed across a range of systems, where it lies in wait for a trigger of some sort. These "triggers" may be implemented through periodic polling of a centralized authority, the arrival of a particular date, or any of a large number of other events. Upon triggering, the malware executes its task, which may involve participating in a Distributed Denial of Service (DDoS) attack, or some other type of activity.
ボットネット[BOT05]は、比較的最近の現象を表しています。さまざまな伝播技術を使用して、マルウェアはさまざまなシステムに分布しており、ある種のトリガーを待つことにあります。これらの「トリガー」は、中央集権的な当局の定期的な投票、特定の日付の到着、または多数の他のイベントの到着によって実装される場合があります。トリガーすると、マルウェアはタスクを実行します。これには、分散型サービス拒否(DDO)攻撃、または他のタイプのアクティビティへの参加が含まれる場合があります。
Criminal groups are currently renting out botnets for various uses [CERT01]. While reported occurrences have typically involved using these rogue networks for DDoS attacks, we would be naive to think other uses (e.g., breaking encryption keys) have not been considered. Botnets greatly mitigate the scaling problem faced by distributed.net: it is no longer a volunteer-only effort, and user activity no longer significantly impedes the application's progress. This should give us pause.
犯罪グループは現在、さまざまな用途のためにボットネットをレンタルしています[CERT01]。報告された発生は通常、DDOS攻撃にこれらの不正なネットワークを使用することが関与していますが、他の用途(例えば、暗号化キーの破壊)が考慮されていないと考えるのは素朴です。ボットネットは、distributed.netが直面するスケーリング問題を大幅に軽減します。これはもはやボランティアのみの努力ではなく、ユーザーアクティビティはアプリケーションの進捗を大幅に妨げなくなります。これにより、一時停止する必要があります。
It is very important to clearly recognize the implications of this: botnets are cheap, and there are lots of PCs out there. You don't need the $15,625 that we speculated would be enough to build a copy of the EFF system today -- you only need a commodity PC on which to develop the malware, and the requisite skills. Or, you need access to someone with those things, and a relatively modest sum of cash. The game has changed dramatically.
これの意味を明確に認識することは非常に重要です。ボットネットは安く、そこにはたくさんのPCがあります。今日のEFFシステムのコピーを構築するのに十分だと推測した$ 15,625は必要ありません。マルウェアを開発するためのコモディティPCと必要なスキルのみが必要です。または、それらのものを持っている人と、比較的控えめな現金をアクセスする必要があります。ゲームは劇的に変化しました。
Obviously, DES is not secure by most measures -- why is it still used today? There are probably many reasons, but here are perhaps the most common:
明らかに、DESはほとんどの手段で安全ではありません - なぜ今日も使用されているのですか?おそらく多くの理由がありますが、おそらく最も一般的なものがあります。
o Backward compatibility - Numerous deployed systems support DES, and rather than replace those systems, new systems are implemented with compatibility in mind.
o 後方互換性 - 多数の展開されたシステムがDESをサポートし、それらのシステムを置き換えるのではなく、新しいシステムが互換性を念頭に置いて実装されています。
o Performance - Many early VPN clients provided DES as the default cryptographic algorithm, because PCs of the day suffered a noticeable performance hit when applying stronger cryptography (e.g., 3DES).
o パフォーマンス - 多くの初期のVPNクライアントは、DESをデフォルトの暗号化アルゴリズムとして提供しました。これは、より強力な暗号化(3DEなど)を適用するときに顕著なパフォーマンスヒットを受けたためです。
o Ignorance - People simply do not understand that DES is no longer secure for most uses.
o 無知 - 人々は、DESがほとんどの用途でももはや安全ではないことを理解していません。
While there are probably other reasons, these are the most frequently cited.
おそらく他の理由はありますが、これらは最も頻繁に引用されています。
Performance arguments are easily dispensed with today. PCs have more than ample power to implement stronger cryptography with no noticeable performance impact, and for systems that are resource constrained, there are strong algorithms that are far better performers than DES (e.g., AES-128). And while backward compatibility is sometimes a valid argument, this must be weighed carefully. At the point where the risk is higher than the cost of replacement, legacy systems should be abandoned.
パフォーマンスの議論は、今日簡単に分配されます。PCには、顕著なパフォーマンスインパクトのないより強力な暗号化を実装するための十分な力があり、リソースが制約されているシステムには、DESよりもはるかに優れたパフォーマンスのある強力なアルゴリズムがあります(例えば、AES-128)。また、後方互換性は有効な議論であることがありますが、これは慎重に計量する必要があります。リスクが交換のコストよりも高い時点で、レガシーシステムを放棄する必要があります。
With respect to the third reason (ignorance), this note attempts to address this, and we should continue to make every effort to get the word out. DES is no longer secure for most uses, and it requires significant security expertise to evaluate those small number of cases in which it might be acceptable. Technologies exist that put DES-cracking capability within reach of a modestly financed or modestly skilled motivated attacker. There are stronger, cheaper, faster encryption algorithms available. It is time to move on.
3番目の理由(無知)に関して、このメモはこれに対処しようとします。そして、私たちは言葉を明らかにするためにあらゆる努力を続けるべきです。DESはほとんどの用途では安全ではなく、それが受け入れられる可能性のある少数のケースを評価するために重要なセキュリティの専門知識が必要です。控えめな資金調達または控えめな熟練した動機付けられた攻撃者の手の届く範囲内に、des-cracking機能を置く技術が存在します。より強く、安価で、より速い暗号化アルゴリズムが利用可能です。先に進む時が来ました。
This entire document deals with security considerations. Still, it makes sense to summarize a few key points here. It should be clear by now that the DES algorithm offers little deterrence for a determined adversary. While it might have cost $250,000 to build a dedicated DES cracker in 1998, nowadays it can be done for considerably less. Indeed, botnets are arguably free, if you don't count the malware author's time in your cost computation.
このドキュメント全体は、セキュリティ上の考慮事項を扱います。それでも、ここでいくつかの重要なポイントを要約することは理にかなっています。DESアルゴリズムが決定された敵の抑止がほとんどないことは明らかであるはずです。1998年に専用のDESクラッカーを構築するには250,000ドルの費用がかかっているかもしれませんが、今日ではかなり少ない費用で行うことができます。実際、コスト計算でマルウェア作成者の時間を数えない場合、ボットネットは間違いなく無料です。
Does this mean DES should never be used? Well, no - but it does mean that if it is used at all, it should be used with extreme care. It is important to carefully evaluate the value of the information being protected, both to its owner and to an attacker, and to fully grasp the potential risks. In some cases, DES may still provide an acceptable level of security, e.g., when you want to encrypt a file on the family PC, and there are no real threats in your household.
これは、DEが使用されるべきではないということですか?まあ、いいえ - しかし、それはそれがまったく使用されている場合、それは非常に注意して使用する必要があることを意味します。保護されている情報の価値を、所有者と攻撃者の両方に慎重に評価し、潜在的なリスクを完全に把握することが重要です。場合によっては、DESが家族のPCでファイルを暗号化する場合、たとえば許容レベルのセキュリティを提供する場合があり、家庭に実際の脅威はありません。
However, it is important to recognize that, in such cases, DES is much like a cheap suitcase lock: it usually helps honest people remain honest, but it won't stop a determined thief. Given that strong, more efficient cryptographic algorithms (e.g., AES) are available, it seems the only rational reason to continue using DES today is for compulsory backward compatibility. In such cases, if there is no plan for gradually phasing out such products, then, as a security implementer, you can do the following:
ただし、そのような場合、DEは安価なスーツケースロックのようなものであることを認識することが重要です。通常、正直な人々が正直な状態を維持するのに役立ちますが、断固とした泥棒を止めることはありません。強力で効率的な暗号化アルゴリズム(AEなど)が利用可能であることを考えると、今日DESを使用し続ける唯一の合理的な理由は、強制的な後方互換性のためです。そのような場合、そのような製品を徐々に段階的に廃止する計画がない場合、セキュリティ実装者として、次のことを行うことができます。
o Recommend a phased upgrade approach.
o 段階的アップグレードアプローチをお勧めします。
o If possible, use 3DES rather than DES (and in any case, DO NOT make DES the default algorithm!).
o 可能であれば、DESではなく3DEを使用します(いずれにしても、DESをデフォルトのアルゴリズムにしないでください!)。
o Replace keys before exceeding 2^32 blocks per key (to avoid various cryptanalytic attacks).
o キーごとに2^32ブロックを超える前にキーを交換します(さまざまな暗号化攻撃を避けるため)。
o If there is a user interface, make users aware of the fact that the cryptography in use is not strong, and for your particular application, make appropriate recommendations in this regard.
o ユーザーインターフェイスがある場合、使用中の暗号化が強くないという事実をユーザーに認識させ、特定のアプリケーションでは、この点で適切な推奨事項を作成します。
The bottom line: it is simpler to not use this algorithm than it is to come up with narrow scenarios in which it might be okay. If you have legacy systems relying on DES, it makes sense to begin phasing them out as soon as possible.
結論:このアルゴリズムを使用しないと、大丈夫かもしれない狭いシナリオを思いつくよりも簡単です。DESに依存しているレガシーシステムがある場合は、できるだけ早くそれらをフェースアウトし始めることは理にかなっています。
The author gratefully acknowledges the contributions of Doug Whiting, Matt Curtin, Eric Rescorla, Bob Baldwin, and Yoav Nir. Their reviews, comments, and advice immeasurably improved this note. And of course, we all have the EFF and all those involved with the "Deep Crack", DESCHALL, and distributed.net efforts to thank for their pioneering research and implementations in this area.
著者は、ダグ・ホワイティング、マット・カーティン、エリック・レスコルラ、ボブ・ボールドウィン、ヨーブ・ニールの貢献に感謝します。彼らのレビュー、コメント、アドバイスはこのメモを計り知れないほど改善しました。そしてもちろん、私たちは皆、この分野での先駆的な研究と実装に感謝する「深い亀裂」、Deschall、および分散の努力に関与するEFFとすべての人々を持っています。
Appendix A. What About 3DES?
付録A. 3desはどうですか?
It seems reasonable, given that we recommend avoiding DES, to ask: how about 3DES? Is it still safe? Thankfully, most of the discussion above does not apply to 3DES, and it is still "safe" in general. Below, we briefly explain why this is true, and what caveats currently exist.
DESを避けることをお勧めすることを考えると、3DEはどうですか?それはまだ安全ですか?ありがたいことに、上記の議論のほとんどは3DEには適用されず、一般的にはまだ「安全」です。以下では、なぜこれが真実であるのか、そして現在どのような警告が存在するのかを簡単に説明します。
Recall that for DES there are 2^56 possible keys, and that a brute-force attack consists of trying each key until the right one is found. Since we are equally likely to find the key on the first, second, or even last try, on average we expect to find the key after trying half (2^55) of the keys, or after 36,028,797,018,963,968 decryptions. This doesn't seem completely impossible given current processor speeds, and as we saw above, we can expect with today's technology that such an attack could almost certainly be carried out in around half a day.
DESには2^56の可能なキーがあり、ブルートフォース攻撃は、正しいキーが見つかるまで各キーを試すことで構成されていることを思い出してください。私たちは等しく、第1、2番目、または最後のトライでキーを見つける可能性が高いため、平均して、キーの半分(2^55)を試した後、または36,028,797,018,963,968の復活の後にキーを見つけると予想されます。現在のプロセッサの速度を考えると、これは完全に不可能ではないようであり、上で見たように、今日のテクノロジーでは、そのような攻撃はほぼ確実に半日で実行できると予想できます。
For a brute-force attack on 3DES, however, the outlook is far less optimistic. Consider the problem: we know C (and possibly p), and we are trying to guess k1, k2, and k3 in the following relation:
ただし、3DESに対するブルートフォース攻撃の場合、見通しははるかに楽観的ではありません。問題を考慮してください:私たちはC(およびおそらくP)を知っています、そして、私たちは次の関係でK1、K2、およびK3を推測しようとしています:
C = E_k3(D_k2(E_k1(p)))
In order to guess the keys, we must execute something like the following (assuming k1, k2, and k3 are 64-bit values, as are Ci and p):
キーを推測するには、次のようなものを実行する必要があります(K1、K2、およびK3がCIとPと同様に64ビット値であると仮定します)。
for ( k3 = 0 to 2^56 step 1 )
compute C2 = D_k3(C1)
for ( k2 = 0 to 2^56 step 1 )
compute C3 = E_k2(C2)
for ( k1 = 0 to 2^56 step 1 )
begin
compute p = D_k1(C3) xor IV
if ( p equals p-expected )
exit loop; we found the keys
end
Note that in the worst case the correct key combination will be the last one we try, meaning we will have tried 2^168 crypto operations. If we assume that each 3DES decryption (2 decryptions plus one encryption) takes a single microsecond, this would amount to 1.19 x 10^37 years. That's FAR longer than scientists currently estimate our universe to have been in existence.
最悪の場合、正しいキーの組み合わせが最後のものになることに注意してください。つまり、2^168の暗号操作を試したことを意味します。各3DES復号化(2つの復号化と1つの暗号化)に1つのマイクロ秒かかると仮定すると、これは1.19 x 10^37年になります。それは、科学者が現在私たちの宇宙が存在していると推定していると推定しているよりもはるかに長いです。
While it is important to note that we could slightly prune the key space by assuming that two equal keys would never be used (i.e., k1 != k2, k2 != k3, k1 != k3), this does not result in a significant work reduction when you consider the magnitude of the numbers we're dealing with. And what if we instead assumed that technological advances allow us to apply DES far more quickly?
2つの等しいキーが使用されないと仮定することでキー空間をわずかに剪定できることに注意することが重要です(つまり、k1!= k2、k2!= k3、k1!= k3)。私たちが扱っている数字の大きさを考慮すると、作業削減。代わりに、技術の進歩により、DESをより迅速に適用できると仮定した場合はどうでしょうか。
Today, commercial 3DES chips capable of 10-Gbps encryption are widely available, and this translates to 15,625,000 DES blocks per second. The estimate given above assumed 1,000,000 DES blocks/second, so 10-Gbps hardware is 15 times as fast. This means in the worst case it would take 7.6 x 10^35 years -- not much faster in the larger scheme of things.
今日、10 gbpsの暗号化が可能な商業3DESチップは広く利用可能であり、これは1秒あたり15,625,000のDESブロックに変換されます。上記の推定値は1,000,000 DESブロック/秒を想定しているため、10 gbpsハードウェアは15倍速いです。これは、最悪の場合、7.6 x 10^35年かかることを意味します。
Even if we consider hardware that is 1,000,000 times faster, this would still require 7.6 x 10^29 years - still FAR longer than the universe has been around. Obviously, we're getting nowhere fast here. 3DES, for all practical purposes, is probably safe from brute-force attacks for the foreseeable future.
ハードウェアが1,000,000倍高速であると考えたとしても、これには7.6 x 10^29年が必要です。明らかに、私たちはここではどこにも速くありません。3DEは、すべての実用的な目的のために、おそらく近い将来のブルートフォース攻撃から安全です。
Unlike DES, there are only a few known cryptanalytic attacks against 3DES. Below, we describe those attacks that are currently discussed in the literature.
DESとは異なり、3DEに対する既知の暗号化攻撃はわずかしかありません。以下では、現在文献で議論されている攻撃について説明します。
The most commonly described 3DES attack is MITM, described in [HAC] and elsewhere. It works like this: take a ciphertext value 'C' (with corresponding known plaintext value 'p'), and compute the values of Cx = D_kx(C) for all possible (2^56) keys. Store each Cx,kx pair in a table indexed by Cx.
最も一般的に説明されている3DES攻撃は、[HAC]などで説明されているMITMです。このように機能します。暗号文の値「C」(対応する既知のプレーンテキスト値「P」を使用)を取得し、すべての可能な(2^56)キーに対してCX = D_KX(C)の値を計算します。各CX、KXペアをCXによってインデックス付けされたテーブルに保存します。
Now, compute the values of Cy = D_ki(E_kj(p)) in a nested loop, as illustrated above in our brute-force exercise. For each Cy, do a lookup on the table of Cx's. For each match found, test the triple of keys. It is important to note that a match does not imply you have the right keys - you must test this against additional ciphertext/plaintext pairs to be certain (~3 pairs for a strong measure of certainty with 3DES). Ultimately, there will be exactly one correct key triplet.
ここで、ブルートフォースの演習で上記のように、ネストされたループでcy = d_ki(e_kj(p))の値を計算します。Cyごとに、CXのテーブルを検索します。見つかった各試合について、キーのトリプルをテストします。一致すると、適切なキーがあることを意味するものではないことに注意することが重要です。これを、追加の暗号文/プレーンテキストペアに対して確実にテストする必要があります(3DEでの確実性の強い尺度のために〜3ペア)。最終的に、正確な正しいキートリプレットが1つあります。
Note that computing the initial table of Cx,kx pairs requires 2^56 encryptions and 2^56 blocks of storage (about 576 gigabytes). Computing the lookup elements requires at most 2^112 cryptographic operations (table lookups are negligible by comparison), and 2^111 operations on average. Lucks [LUCKS] has come up with optimizations that reduce this to about 2^108.
CXの初期テーブル、KXペアの計算には、2^56の暗号化と2^56ブロックのストレージ(約576ギガバイト)が必要であることに注意してください。ルックアップ要素を計算するには、最大で2^112暗号化操作が必要です(テーブルルックアップは比較して無視できます)、平均して2^111操作が必要です。Lucks [Lucks]は、これを約2^108に減らす最適化を考案しました。
3DES, even at a strength of 2^108, is still very strong. If we use our brute-force limits from above (15,625,000 blocks per second), this attack will take on the order of 6.586 x 10^17 years to carry out. Make the machine 1 million times faster, and you still need more than 658 BILLION years. We are probably safe from MITM attacks on 3DES for the foreseeable future.
3DESは、2^108の強度でさえ、まだ非常に強いです。上記のブルートフォースの制限(1秒あたり15,625,000ブロック)を使用すると、この攻撃は、実行するのに6.586 x 10^17年のオーダーになります。マシンを100万倍高速にしますが、それでも6億5,800万年以上が必要です。予見可能な将来のために、3DESでのMITM攻撃からおそらく安全です。
For a detailed description of related key attacks against 3DES (and other algorithms), see [KELSEY]. In a nutshell, for this approach the attacker knows the encryption of given plaintext under the original key K, and some related keys K'_i. There are attacks where the attacker chooses how the key is to be changed, and attacks in which the difference is known, but not controlled, by the attacker.
3DES(およびその他のアルゴリズム)に対する関連するキー攻撃の詳細な説明については、[Kelsey]を参照してください。一言で言えば、このアプローチのために、攻撃者は元のキーKの下で与えられたプレーンテキストの暗号化といくつかの関連キーK'_Iを知っています。攻撃者がキーの変更方法を選択し、攻撃者によって違いがわかっているが制御されていない攻撃を選択する攻撃があります。
Here's how it works. Assume the following cryptographic relation:
これがどのように機能しますか。次の暗号化関係を想定してください。
C = E_k3(D_k2(E_k1(p)))
Then, the following defines the key relation:
次に、次のことが重要な関係を定義しています。
K = (k1,k2,k3) and K' = (k1 + d,k2,k3)
with d being a fixed constant. Knowing p and C, we need to decrypt C under K' as follows:
Dは固定定数です。PとCを知っていると、次のようにkの下でCを復号化する必要があります。
Let kx = k1 + d (note: '+' represents xor)
and
と
p' = D_kx(E_k1(p))
Once we have p', we can find kx by exhaustively trying each key until we find a match (2^56 encryptions, worst case). Once we find kx, we can conduct a double-DES MITM attack to find k2 and k3, which requires between 2^56 and 2^72 trial offline encryptions.
P 'ができたら、マッチが見つかるまで各キーを徹底的に試すことでKXを見つけることができます(2^56暗号化、最悪の場合)。KXを見つけたら、2^56から2^72のオフライン暗号化を必要とするK2とK3を見つけるためにDouble-DES MITM攻撃を実施できます。
From a practical standpoint, it's very important to recognize the "what-if" nature of this attack: the adversary must know the plaintext/ciphertext pair, he must be able to influence a subsequent encryption key in a highly controlled fashion (or at least, know exactly how the key changes), and then have the cryptographic cooperation required to compute p'. This is clearly a very difficult attack in the real world.
実用的な観点から、この攻撃の「what-if」の性質を認識することは非常に重要です。敵は、プレーンテキスト/ciphertextペアを知っている必要があります。、キーがどのように変化するかを正確に把握し、P 'を計算するために必要な暗号化協力を得ます。これは明らかに現実の世界で非常に難しい攻撃です。
While the effective key length for 3DES is clearly much larger than for DES, the block size is, unfortunately, still only 64 bits. For CBC mode (the most commonly deployed mode in Internet security protocols), this means that, due to the birthday paradox, information about the plaintext begins to leak after around 2^32 blocks have been encrypted. For this reason, 3DES may not be the best choice for high-throughput links, or other high-density encryption applications. At minimum, care should be taken to refresh keys frequently enough to minimize ciphertext collisions in such scenarios.
3DESの有効なキー長はDESよりもはるかに大きいですが、残念ながらブロックサイズはまだ64ビットしかありません。CBCモード(インターネットセキュリティプロトコルで最も一般的に展開されているモード)の場合、これは、誕生日のパラドックスのために、約2^32ブロックが暗号化された後、プレーンテキストに関する情報が漏れ始めることを意味します。このため、3DESは、ハイスループットリンクやその他の高密度暗号化アプリケーションに最適な選択肢ではない場合があります。少なくとも、このようなシナリオでの暗号文の衝突を最小限に抑えるのに十分頻繁にキーを更新するように注意する必要があります。
Informative References
参考引用
[AES] "The Advanced Encryption Standard", November 2001, <http://csrc.nist.gov/publications/fips/fips197/ fips-197.pdf>.
[AES]「Advanced Encryption Standard」、2001年11月、<http://csrc.nist.gov/publications/fips/fips197/ fips-197.pdf>。
[AES-NSA] "CNSS Policy No. 15, Fact Sheet No. 1", June 2003, <http://csrc.nist.gov/cryptval/CNSS15FS.pdf>.
[AES-NSA]「CNSSポリシーNo. 15、ファクトシートNo. 1」、2003年6月、<http://csrc.nist.gov/cryptval/cnss15fs.pdf>。
[BIH93] Biham, E. and A. Shamir, "Differential Cryptanalysis of the Data Encryption Standard", 1993.
[Bih93] Biham、E。およびA. Shamir、「データ暗号化標準の微分暗号化」、1993。
[BIH96] Biham, E., "How to Forge DES-Encrypted Messages in 2^28 Steps", 1996.
[Bih96] Biham、E。、「2^28ステップでdes-dryptedメッセージを偽造する方法」、1996。
[BIH96-2] Biham, E. and A. Shamir, "A New Cryptanalytic Attack on DES", 1996.
[Bih96-2] Biham、E。およびA. Shamir、「DESに対する新しい暗号化攻撃」、1996。
[BLAZ96] Blaze, M., Diffie, W., Rivest, R., Schneier, B., Shimomura, T., Thompson, E., and M. Wiener, "Minimal Key Lengths for Symmetric Ciphers to Provide Adequate Commercial Security", January 1996.
[Blaz96] Blaze、M.、Diffie、W.、Rivest、R.、Schneier、B.、Shimomura、T.、Thompson、E.、およびM. Wiener、「対称的な暗号の最小限のキー長さ「、1996年1月。
[BOT05] "Know Your Enemy: Tracking Botnets", March 2005, <http://www.honeynet.org/papers/bots/>.
[bot05]「敵を知る:botnetsを追跡する」、2005年3月<http://www.honeynet.org/papers/bots/>。
[CERT01] Ianelli, N. and A. Hackworth, "Botnets as a Vehicle for Online Crime", December 2005, <http://www.cert.org/archive/pdb/Botnets.pdf>.
[CERT01] Ianelli、N。およびA. Hackworth、「オンライン犯罪の手段としてのボットネット」、2005年12月、<http://www.cert.org/archive/pdb/botnets.pdf>。
[CURT05] Curtin, M., "Brute Force: Cracking the Data Encryption Standard", 2005.
[Curt05] Curtin、M。、「ブルートフォース:データ暗号化標準の亀裂」、2005年。
[CURT98] Curtin, M. and J. Dolske, "A Brute Force Search of DES Keyspace", 1998, <http://www.interhack.net/pubs/des-key-crack/>.
[Curt98] Curtin、M。and J. Dolske、「Des Keyspaceのブルートフォース検索」、1998、<http://www.interhack.net/pubs/des-key-crack/>。
[DES] "Data Encryption Standard", January 1977, <http://www.nist.gov>.
[des]「データ暗号化標準」、1977年1月、<http://www.nist.gov>。
[DH77] Hellman, M. and W. Diffie, "Exhaustive Cryptanalysis of the NBS Data Encryption Standard", June 1977.
[DH77] Hellman、M。およびW. Diffie、「NBSデータ暗号化標準の徹底的な暗号化」、1977年6月。
[DIST99] Press Release, distributed., "US GOVERNMENT'S ENCRYPTION STANDARD BROKEN IN LESS THAN A DAY", 1999, <http://www1.distributed.net/des/release-desiii.txt>.
[DIST99]プレスリリース、配布。「米国政府の暗号化標準は1日未満で壊れています」、1999年、<http://www1.distributed.net/des/release-desii.txt>。
[EFF98] EFF, "Cracking DES", July 1998.
[EFF98] EFF、「Cracking Des」、1998年7月。
[FBI01] "NIPC Advisory 01-003", March 2001, <http://www.fbi.gov/pressrel/pressrel01/nipc030801.htm>.
[FBI01] "NIPC Advisory 01-003"、2001年3月、<http://www.fbi.gov/pressrel/pressrel01/nipc030801.htm>。
[FBI06] "FBI Webpage: Focus on Economic Espionage", January 2006, <http://www.fbi.gov/hq/ci/economic.htm>.
[FBI06]「FBI Webページ:経済スパイの焦点」、2006年1月、<http://www.fbi.gov/hq/ci/economic.htm>。
[FERG03] Ferguson, N. and B. Schneier, "Practical Cryptography", 2003.
[FERG03] Ferguson、N。およびB. Schneier、「実用的な暗号」、2003年。
[FPL02] Koeune, F., Rouvroy, G., Standaert, F., Quisquater, J., David, J., and J. Legat, "An FPGA Implementation of the Linear Cryptanalysis", FPL 2002, Volume 2438 of Lecture Notes in Computer Science, pages 846-852, Spriger-Verlag, September 2002.
[FPL02] Koeune、F.、Rouvroy、G.、Standaert、F.、Quisquater、J.、David、J。、およびJ. Legat、「線形暗号化のFPGA実装」、FPL 2002、講義の第2438巻2438コンピューターサイエンスのメモ、846〜852ページ、Spriger-Verlag、2002年9月。
[HAC] Menezes, A., van Oorschot, P., and S. Vanstone, "Handbook of Applied Cryptography", 1997.
[HAC] Menezes、A.、Van Oorschot、P。、およびS. Vanstone、「適用された暗号のハンドブック」、1997。
[JAK97] Jakobsen, T. and L. Knudsen, "The Interpolation Attack on Block Ciphers", 1997.
[Jak97] Jakobsen、T。およびL. Knudsen、「ブロック暗号への補間攻撃」、1997。
[KELSEY] Kelsey, J., Schneier, B., and D. Wagner, "Key-Schedule Cryptanalysis of 3-WAY, IDEA, G-DES, RC4, SAFER, and Triple-DES", 1996.
[Kelsey] Kelsey、J.、Schneier、B。、およびD. Wagner、「3ウェイ、アイデア、G-DES、RC4、SAFER、およびTRIPLE-DESのキースケジュール暗号化」、1996。
[LUCKS] Lucks, S., "Attacking Triple Encryption", 1998.
[Lucks] Lucks、S。、「攻撃トリプル暗号化」、1998年。
[MAT93] Matsui, M., "Linear Cryptanalysis Method for DES Cipher", 1993.
[Mat93] Matsui、M。、「Des cipherの線形暗号化法」、1993。
[NIST-TP] "DES Transition Plan", May 2005, <http://csrc.nist.gov/cryptval/DESTranPlan.pdf>.
[nist-tp] "des transition plan"、2005年5月、<http://csrc.nist.gov/cryptval/destranplan.pdf>。
[NYSE1] "Extreme availability: New York Stock Exchange's new IT infrastructure puts hand-held wireless terminals in brokers' hands.", June 2005.
[NYSE1]「極端な可用性:ニューヨーク証券取引所の新しいITインフラストラクチャは、2005年6月にハンドヘルドワイヤレス端子をブローカーの手に渡します。」
[RSA1] Press Release, RSA., "Team of Universities, Companies and Individual Computer Users Linked Over the Internet Crack RSA's 56-Bit DES Challenge", 1997, <http:// www.rsasecurity.com/press_release.asp?doc_id=661&id=1034>.
[RSA1]プレスリリース、RSA。、「大学、企業、および個々のコンピューターユーザーのインターネットクラックRSAの56ビットDEチャレンジ」、1997、<http:// www.rsasecurity.com/press_release.asp?doc_id= 661&id = 1034>。
[RSA2] Press Release, RSA., "RSA to Launch "DES Challenge II" at Data Security Conference", 1998, <http:// www.rsasecurity.com/press_release.asp?doc_id=729&id=1034>.
[RSA2]プレスリリース、RSA。、「データセキュリティ会議で「Des Challenge II」を立ち上げる」、1998年、<http:// www.rsasecurity.com/press_release.asp?doc_id=729&doc_id = 729
[RSA3] Press Release, RSA., "Distributed Team Collaborates to Solve Secret-Key Challenge", 1998, <http:// www.rsasecurity.com/press_release.asp?doc_id=558&id=1034>.
[RSA3]プレスリリース、RSA。、「分散チームは秘密の挑戦を解決するために協力します」、1998、<http:// www.rsasecurity.com/press_release.asp?doc_id=558&id=1034>。
[RSA4] Press Release, RSA., "RSA to Launch DES Challenge III Contest at 1999 Data Security Conference", 1998, <http:// www.rsasecurity.com/press_release.asp?doc_id=627&id=1034>.
[RSA4]プレスリリース、RSA。、「1999年のデータセキュリティ会議でDES Challenge IIIコンテストを開始するRSA」、1998年<http:// www.rsasecurity.com/press_release.asp?doc_id=627&id=1034>。
[RSA5] Press Release, RSA., "RSA Code-Breaking Contest Again Won by Distributed.Net and Electronic Frontier Foundation", 1999, <http://www.rsasecurity.com/ press_release.asp?doc_id=462&id=1034>.
[RSA5]プレスリリース、RSA。、「RSAコードブレイキングコンテストが再びdistributed.net and Electronic Frontier Foundationが獲得しました」、1999年、<http://www.rsasecurity.com/ press_release.asp?doc_id = 462&id = 1034>。
[SCHN96] Schneier, B., "Applied Cryptography, Second Ed.", 1996.
[Schn96] Schneier、B。、「Applied Cryptography、Second ed。」、1996。
[VA1] "Review of Issues Related to the Loss of VA Information Involving the Identities of Millions of Veterans (Report #06-02238-163)", July 2006, <http://www.va.gov/oig/51/ FY2006rpts/VAOIG-06-02238-163.pdf>.
[VA1]「数百万人の退役軍人の身元を含むVA情報の喪失に関連する問題のレビュー(レポート#06-02238-163)」、2006年7月、<http://www.va.gov/oig/51/FY2006RPTS/VAOIG-06-02238-163.PDF>。
[WIEN94] Wiener, M., "Efficient DES Key Search", August 1993.
[Wien94] Wiener、M。、「Efficive Des Key Search」、1993年8月。
Author's Address
著者の連絡先
Scott G. Kelly Aruba Networks 1322 Crossman Ave Sunnyvale, CA 94089 US
Scott G. Kelly Aruba Networks 1322 Crossman Ave Sunnyvale、CA 94089 US
EMail: scott@hyperthought.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2006).
Copyright(c)The IETF Trust(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST, AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースは免責明示的または暗示されたすべての保証。ここでの情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されない。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。