[要約] RFC 6149は、MD2ハッシュ関数を歴史的なステータスに移行するためのものであり、セキュリティ上の脆弱性があるため使用を推奨しないことを示しています。目的は、MD2の使用を減らし、より安全なハッシュ関数への移行を促進することです。
Internet Engineering Task Force (IETF) S. Turner
Request for Comments: 6149 IECA
Obsoletes: 1319 L. Chen
Category: Informational NIST
ISSN: 2070-1721 March 2011
MD2 to Historic Status
歴史的なステータスへのMD2
Abstract
概要
This document retires MD2 and discusses the reasons for doing so. This document moves RFC 1319 to Historic status.
このドキュメントはMD2を廃止し、そうする理由について説明します。このドキュメントは、RFC 1319を歴史的なステータスに移動します。
Status of This Memo
本文書の位置付け
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントは、インターネット標準の追跡仕様ではありません。情報目的で公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補者ではありません。RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6149.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc6149で取得できます。
Copyright Notice
著作権表示
Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2011 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。
MD2 [MD2] is a message digest algorithm that takes as input a message of arbitrary length and produces as output a 128-bit "fingerprint" or "message digest" of the input. This document retires MD2. Specifically, this document moves RFC 1319 [MD2] to Historic status. The reasons for taking this action are discussed.
MD2 [MD2]は、入力として任意の長さのメッセージを入力し、入力の128ビットの「指紋」または「メッセージダイジェスト」を出力として生成するメッセージダイジェストアルゴリズムです。このドキュメントはMD2を廃止します。具体的には、このドキュメントはRFC 1319 [MD2]を歴史的なステータスに移動します。この行動をとる理由について説明します。
[HASH-Attack] summarizes the use of hashes in many protocols and discusses how attacks against a message digest algorithm's one-way and collision-free properties affect and do not affect Internet protocols. Familiarity with [HASH-Attack] is assumed.
[Hash-Attack]は、多くのプロトコルでのハッシュの使用を要約し、メッセージダイジェストアルゴリズムの一方向および衝突のないプロパティに対する攻撃がどのように影響し、インターネットプロトコルに影響しないかについて説明します。[ハッシュ攻撃]に精通していることが想定されています。
MD2 was published in 1992 as an Informational RFC. Since its publication, MD2 has been shown to not be collision-free [ROCH1995] [KNMA2005] [ROCH1997], albeit successful collision attacks for properly implemented MD2 are not that damaging. Successful pre-image and second pre-image attacks against MD2 have been shown [KNMA2005] [MULL2004] [KMM2010].
MD2は1992年に情報RFCとして公開されました。その出版以来、MD2は衝突のない[ROCH1995] [KNMA2005] [ROCH1997]ではないことが示されています。MD2に対するイメージ前の成功と2回目の画像前攻撃が示されています[KNMA2005] [MULL2004] [KMM2010]。
Use of MD2 has been specified in the following RFCs:
MD2の使用は、次のRFCで指定されています。
Proposed Standard (PS):
提案された標準(PS):
o [RFC3279] Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.
o [RFC3279]インターネットX.509公開キーインフラストラクチャ証明書および証明書取消リスト(CRL)プロファイルのアルゴリズムと識別子。
o [RFC4572] Connection-Oriented Media Transport over the Transport Layer Security (TLS) Protocol in the Session Description Protocol (SDP).
o [RFC4572]セッション説明プロトコル(SDP)の輸送層セキュリティ(TLS)プロトコルを介した接続指向のメディアトランスポート。
Informational:
情報:
o [RFC1983] Internet Users' Glossary.
o [RFC1983]インターネットユーザーの用語集。
o [RFC2315] PKCS #7: Cryptographic Message Syntax Version 1.5.
o [RFC2315] PKCS#7:暗号化メッセージ構文バージョン1.5。
o [RFC2898] PKCS #5: Password-Based Cryptography Specification Version 2.0.
o [RFC2898] PKCS#5:パスワードベースの暗号化仕様バージョン2.0。
o [RFC3447] Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1.
o [RFC3447]パブリックキー暗号化標準(PKCS)#1:RSA暗号仕様バージョン2.1。
Experimental:
実験:
o [RFC2660] The Secure HyperText Transfer Protocol.
o [RFC2660]安全なハイパーテキスト転送プロトコル。
There are other RFCs that refer to MD2, but they have been either moved to Historic status or obsoleted by a later RFC. References and discussions about these RFCs are omitted. The exceptions are:
MD2を参照する他のRFCがありますが、それらは歴史的なステータスに移動するか、後のRFCによって廃止されました。これらのRFCに関する参照と議論は省略されています。例外は次のとおりです。
o [RFC2313] PKCS #1: RSA Encryption Version 1.5.
o [RFC2313] PKCS#1:RSA暗号化バージョン1.5。
o [RFC2437] PKCS #1: RSA Cryptography Specifications Version 2.0.
o [RFC2437] PKCS#1:RSA暗号仕様バージョン2.0。
The impact of moving MD2 to Historic on the RFCs specified in Section 3 is minimal, as described below.
以下で説明するように、セクション3で指定されたRFCに対するMD2を歴史的に移動することの影響は最小限です。
Regarding PS RFCs:
PS RFCについて:
o MD2 support in TLS was dropped in TLS 1.1.
o TLSでのMD2サポートは、TLS 1.1でドロップされました。
o MD2 support is optional in [RFC4572], and SHA-1 is specified as the preferred algorithm.
o MD2サポートは[RFC4572]でオプションであり、SHA-1は優先アルゴリズムとして指定されています。
o MD2 is included in the original PKIX certificate profile and the PKIX algorithm document [RFC3279] for compatibility with older applications, but its use is discouraged. SHA-1 is identified as the preferred algorithm for the Internet PKI.
o MD2は、古いアプリケーションとの互換性のために、元のPKIX証明書プロファイルとPKIXアルゴリズムドキュメント[RFC3279]に含まれていますが、その使用は落胆しています。SHA-1は、インターネットPKIの優先アルゴリズムとして識別されます。
Regarding Informational RFCs:
情報RFCについて:
o The Internet Users' Guide [RFC1983] provided a definition for Message Digest and listed MD2 as one example.
o インターネットユーザーガイド[RFC1983]は、メッセージダイジェストの定義を提供し、MD2を一例としてリストしました。
o PKCS#1 v1.5 [RFC2313] stated that there are no known attacks against MD2. PKCS#1 v2.0 [RFC2437] updated this stance to indicate that MD2 should only be supported for backward compatibility and to mention the attacks in [ROCH1995]. PKCS#1 [RFC3447] indicates that support of MD2 is only retained for compatibility with existing applications.
o PKCS#1 V1.5 [RFC2313]は、MD2に対する既知の攻撃はないと述べました。PKCS#1 V2.0 [RFC2437]は、このスタンスを更新して、MD2が後方互換性のみをサポートし、[ROCH1995]の攻撃に言及する必要があることを示しています。PKCS#1 [RFC3447]は、MD2のサポートが既存のアプリケーションとの互換性のためにのみ保持されることを示しています。
o PKCS#5 [RFC2898] recommends that the Password-Based Encryption Scheme (PBES) that uses MD2 not be used for new applications.
o PKCS#5 [RFC2898]は、MD2を使用するパスワードベースの暗号化スキーム(PBE)を新しいアプリケーションに使用しないことを推奨しています。
o PKCS#7 [RFC2315] was replaced by a series of Standards Track publications, "Cryptographic Message Syntax" [RFC2630] [RFC3369] [RFC5652] and "Cryptographic Message Syntax (CMS) Algorithms" [RFC3370]. Support for MD2 was dropped in [RFC3370].
o PKCS#7 [RFC2315]は、「暗号化メッセージの構文」[RFC3369] [RFC5652]および「暗号化メッセージSyntax(CMS)アルゴリズム」[RFC3370]、「暗号化メッセージの構文」[RFC2630] [RFC2630] [RFC3369] [RFC3370]の一連の標準に置き換えられました。MD2のサポートは[RFC3370]で削除されました。
RFC 2818, "HTTP Over TLS", which does not reference MD2, largely supplanted implementation of [RFC2660]. [RFC2660] specified MD2 for use both as a digest algorithm and as a MAC (Message Authentication Code) algorithm [RFC2104]. Note that this is the only reference to HMAC-MD2 found in the RFC repository.
RFC 2818、「TLSを超えるHTTP」は、MD2を参照していません。[RFC2660] MD2は、DigestアルゴリズムとしておよびMAC(メッセージ認証コード)アルゴリズム[RFC2104]の両方として使用するために指定しました。これは、RFCリポジトリにあるHMAC-MD2への唯一の参照であることに注意してください。
MD2 has also fallen out of favor because it is slower than both MD4 [MD4] and MD5 [MD5]. This is because MD2 was optimized for 8-bit machines, while MD4 and MD5 were optimized for 32-bit machines. MD2 is also slower than the Secure Hash Standard (SHS) [SHS] algorithms: SHA-1, SHA-224, SHA-256, SHA-384, and SHA-512.
MD2は、MD4 [MD4]とMD5 [MD5]の両方よりも遅いため、好意から落ちています。これは、MD2が8ビットマシン用に最適化され、MD4とMD5が32ビットマシン用に最適化されたためです。MD2は、安全なハッシュ標準(SHS)[SHS]アルゴリズム:SHA-1、SHA-224、SHA-256、SHA-384、およびSHA-512よりも遅いです。
MD2 is different from MD4 and MD5 in that is not a straight Merkle-Damgaard design. For a padded message with t blocks, it generates a nonlinear checksum as its t+1 block. The checksum is considered as the final block input of MD2.
MD2はMD4やMD5とは異なり、まっすぐなMerkle-Damgaardデザインではありません。Tブロックを含むパッド入りのメッセージの場合、T 1ブロックとして非線形チェックサムを生成します。チェックサムは、MD2の最終ブロック入力と見なされます。
As confirmed in 1997 by Rogier et al. [ROCH1997], the collision resistance property of MD2 highly depends on the nonlinear checksum. Without the checksum, a collision can be found in 2^12 MD2 operations, while with the checksum, the best collision attack takes 2^63.3 operations with 2^50 memory complexity [MULL2004], which is not significantly better than the birthday attack.
1997年にRogierらによって確認されたように。[ROCH1997]、MD2の衝突抵抗特性は、非線形チェックサムに大きく依存しています。チェックサムがなければ、2^12 MD2操作で衝突を見つけることができますが、チェックサムを使用すると、最高の衝突攻撃は2^50のメモリの複雑さ[MULL2004]で2^63.3操作を行います。
Even though collision attacks on MD2 are not significantly more powerful than the birthday attack, MD2 was found not to be one-way. In [KMM2010], a pre-image can be found with 2^104 MD2 operations. In an improved attack described in [KMM2010], a pre-image can be found in 2^73 MD2 operations. Because of this "invertible" property of MD2, when using MD2 in HMAC, it may leak information of the keys.
MD2への衝突攻撃は誕生日攻撃よりも有意に強力ではありませんが、MD2は一方通行ではないことがわかりました。[KMM2010]では、2^104 MD2操作で事前イメージを見つけることができます。[KMM2010]に記載されている改善された攻撃では、2^73 MD2操作に事前イメージがあります。MD2のこの「反転可能な」特性のため、HMACでMD2を使用する場合、キーの情報が漏れている可能性があります。
Obviously, the pre-image attack can be used to find a second pre-image. The second pre-image attack is even more severe than a collision attack to digital signatures. Therefore, MD2 must not be used for digital signatures.
明らかに、イメージ前の攻撃を使用して、2回目の前イメージを見つけることができます。2回目のイメージ前攻撃は、デジタル署名に対する衝突攻撃よりもさらに深刻です。したがって、MD2はデジタル署名に使用してはなりません。
Some may find the guidance for key lengths and algorithm strengths in [SP800-57] and [SP800-131] useful.
[SP800-57]および[SP800-131]の主要な長さとアルゴリズム強度のガイダンスが便利であると思う人もいます。
Despite MD2 seeing some deployment on the Internet, this specification recommends obsoleting MD2. MD2 is not a reasonable candidate for further standardization and should be deprecated in favor of one or more existing hash algorithms (e.g., SHA-256 [SHS]).
MD2がインターネット上でいくらかの展開を見ているにもかかわらず、この仕様はMD2の廃止を推奨しています。MD2は、さらなる標準化の合理的な候補ではなく、1つ以上の既存のハッシュアルゴリズム(SHA-256 [SHS]など)を支持して非推奨する必要があります。
RSA Security considers it appropriate to move the MD2 algorithm to Historic status.
RSAセキュリティは、MD2アルゴリズムを歴史的なステータスに移動することが適切であると考えています。
It takes a number of years to deploy crypto and it also takes a number of years to withdraw it. Algorithms need to be withdrawn before a catastrophic break is discovered. MD2 is clearly showing signs of weakness, and implementations should strongly consider removing support and migrating to another hash algorithm.
Cryptoの展開には何年もかかり、それを撤回するには何年もかかります。壊滅的な休憩が発見される前に、アルゴリズムを撤回する必要があります。MD2は明らかに弱さの兆候を示しており、実装はサポートを削除し、別のハッシュアルゴリズムに移行することを強く検討する必要があります。
We'd like to thank RSA for publishing MD2. We'd also like to thank all the cryptographers who studied the algorithm. For their contributions to this document, we'd like to thank Ran Atkinson, Alfred Hoenes, John Linn, and Martin Rex.
MD2を公開してくれたRSAに感謝します。また、アルゴリズムを研究したすべての暗号師に感謝したいと思います。この文書への貢献については、Ran Atkinson、Alfred Hoenes、John Linn、Martin Rexに感謝します。
[HASH-Attack] Hoffman, P. and B. Schneier, "Attacks on Cryptographic Hashes in Internet Protocols", RFC 4270, November 2005.
[ハッシュアタック] Hoffman、P。and B. Schneier、「インターネットプロトコルにおける暗号化ハッシュへの攻撃」、RFC 4270、2005年11月。
[KMM2010] Knudsen, L., Mathiassen, J., Muller, F., and Thomsen, S., "Cryptanalysis of MD2", Journal of Cryptology, 23(1):72-90, 2010.
[KMM2010] Knudsen、L.、Mathiassen、J.、Muller、F。、およびThomsen、S。、「Md2の暗号化」、Journal of Cryptology、23(1):72-90、2010。
[KNMA2005] Knudsen, L., and J. Mathiassen, "Preimage and Collision Attacks on MD2", FSE 2005.
[KNMA2005] Knudsen、L。、およびJ. Mathiassen、「MD2に対するプリイメージと衝突攻撃」、FSE 2005。
[MD2] Kaliski, B., "The MD2 Message-Digest Algorithm", RFC 1319, April 1992.
[MD2] Kaliski、B。、「The MD2 Message-Digest Algorithm」、RFC 1319、1992年4月。
[MD4] Rivest, R., "The MD4 Message-Digest Algorithm", RFC 1320, April 1992.
[MD4] Rivest、R。、「MD4 Message-Digest Algorithm」、RFC 1320、1992年4月。
[MD5] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.
[MD5] Rivest、R。、「MD5メッセージダイジェストアルゴリズム」、RFC 1321、1992年4月。
[MULL2004] Muller, F., "The MD2 Hash Function Is Not One-Way", ASIACRYPT, LNCS 3329, pp. 214-229, Springer, 2004.
[Mull2004] Muller、F。、「MD2ハッシュ関数は一方向ではない」、AsiacRypt、LNCS 3329、pp。214-229、Springer、2004。
[RFC1983] Malkin, G., Ed., "Internet Users' Glossary", FYI 18, RFC 1983, August 1996.
[RFC1983] Malkin、G.、ed。、「Internet Users 'Glossary」、FYI 18、RFC 1983、1996年8月。
[RFC2104] Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.
[RFC2104] Krawczyk、H.、Bellare、M。、およびR. CaNetti、「HMAC:メッセージ認証のためのキー付きハッシング」、RFC 2104、1997年2月。
[RFC2313] Kaliski, B., "PKCS #1: RSA Encryption Version 1.5", RFC 2313, March 1998.
[RFC2313] Kaliski、B。、「PKCS#1:RSA暗号化バージョン1.5」、RFC 2313、1998年3月。
[RFC2315] Kaliski, B., "PKCS #7: Cryptographic Message Syntax Version 1.5", RFC 2315, March 1998.
[RFC2315] Kaliski、B。、「PKCS#7:Cryptographic Message Syntaxバージョン1.5」、RFC 2315、1998年3月。
[RFC2437] Kaliski, B. and J. Staddon, "PKCS #1: RSA Cryptography Specifications Version 2.0", RFC 2437, October 1998.
[RFC2437] Kaliski、B。and J. Staddon、「PKCS#1:RSA暗号仕様バージョン2.0」、RFC 2437、1998年10月。
[RFC2630] Housley, R., "Cryptographic Message Syntax", RFC 2630, June 1999.
[RFC2630] Housley、R。、「暗号化メッセージ構文」、RFC 2630、1999年6月。
[RFC2660] Rescorla, E. and A. Schiffman, "The Secure HyperText Transfer Protocol", RFC 2660, August 1999.
[RFC2660] Rescorla、E。およびA. Schiffman、「The Secure HyperText Transfer Protocol」、RFC 2660、1999年8月。
[RFC2898] Kaliski, B., "PKCS #5: Password-Based Cryptography Specification Version 2.0", RFC 2898, September 2000.
[RFC2898] Kaliski、B。、「PKCS#5:パスワードベースの暗号化仕様バージョン2.0」、RFC 2898、2000年9月。
[RFC3279] Bassham, L., Polk, W., and R. Housley, "Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 3279, April 2002.
[RFC3279] Bassham、L.、Polk、W。、およびR. Housley、「インターネットX.509公開キーインフラストラクチャ証明書および証明書取消リスト(CRL)プロファイルのアルゴリズムと識別子」、RFC 3279、2002年4月。
[RFC3369] Housley, R., "Cryptographic Message Syntax (CMS)", RFC 3369, August 2002.
[RFC3369] Housley、R。、「暗号化メッセージ構文(CMS)」、RFC 3369、2002年8月。
[RFC3370] Housley, R., "Cryptographic Message Syntax (CMS) Algorithms", RFC 3370, August 2002.
[RFC3370] Housley、R。、「暗号化メッセージ構文(CMS)アルゴリズム」、RFC 3370、2002年8月。
[RFC3447] Jonsson, J. and B. Kaliski, "Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1", RFC 3447, February 2003.
[RFC3447] Jonsson、J。およびB. Kaliski、「Public-Key Cryptography Standards(PKCS)#1:RSA暗号仕様バージョン2.1」、RFC 3447、2003年2月。
[RFC4572] Lennox, J., "Connection-Oriented Media Transport over the Transport Layer Security (TLS) Protocol in the Session Description Protocol (SDP)", RFC 4572, July 2006.
[RFC4572] Lennox、J。、「セッション説明プロトコル(SDP)の輸送層セキュリティ(TLS)プロトコルを介した接続指向のメディアトランスポート」、RFC 4572、2006年7月。
[RFC5652] Housley, R., "Cryptographic Message Syntax (CMS)", STD 70, RFC 5652, September 2009.
[RFC5652] Housley、R。、「暗号化メッセージ構文(CMS)」、STD 70、RFC 5652、2009年9月。
[ROCH1995] Rogier, N., and P. Chauvaud, "The compression function of MD2 is not collision free", Presented at Selected Areas in Cryptography '95, Carleton University, Ottawa, Canada. May 18-19, 1995.
[ROCH1995]ロジャー、N。、およびP.チャウヴォー、「MD2の圧縮関数は衝突がない」、カナダ、オタワのカールトン大学95年の選択された地域で提示された。1995年5月18〜19日。
[ROCH1997] Rogier, N. and P. Chauvaud, "MD2 is not secure without the checksum byte", Des. Codes Cryptogr. 12(3), 245-251 (1997).
[Roch1997] Rogier、N。およびP. Chauvaud、「MD2はチェックサムバイトなしでは安全ではありません」、Des。コードCryptogr。12(3)、245-251(1997)。
[SHS] National Institute of Standards and Technology (NIST), FIPS Publication 180-3: Secure Hash Standard, October 2008.
[SHS]国立標準技術研究所(NIST)、FIPS Publication 180-3:Secure Hash Standard、2008年10月。
[SP800-57] National Institute of Standards and Technology (NIST), Special Publication 800-57: Recommendation for Key Management - Part 1 (Revised), March 2007.
[SP800-57]国立標準技術研究所(NIST)、特別出版800-57:キー管理の推奨 - パート1(改訂)、2007年3月。
[SP800-131] National Institute of Standards and Technology (NIST), Special Publication 800-131: DRAFT Recommendation for the Transitioning of Cryptographic Algorithms and Key Sizes, June 2010.
[SP800-131]国立標準技術研究所(NIST)、特別出版800-131:2010年6月、暗号化アルゴリズムとキーサイズの移行に関する草案の推奨。
Authors' Addresses
著者のアドレス
Sean Turner IECA, Inc. 3057 Nutley Street, Suite 106 Fairfax, VA 22031 USA
Sean Turner IECA、Inc。3057 Nutley Street、Suite 106 Fairfax、VA 22031 USA
EMail: turners@ieca.com
Lily Chen National Institute of Standards and Technology 100 Bureau Drive, Mail Stop 8930 Gaithersburg, MD 20899-8930 USA
リリーチェン国立標準技術研究所100ビューロードライブ、メールストップ8930ゲーサーズバーグ、MD 20899-8930 USA
EMail: lily.chen@nist.gov