[要約] RFC 6151は、ハッシュ関数MD5の安全性評価を更新し、デジタル署名などの衝突耐性が必要な新規設計での使用禁止を明記した文書です。衝突攻撃の進展を分析し、メッセージ認証用のHMAC-MD5は依然として実用上安全であるものの、新規プロトコルでは代替アルゴリズムへの移行を推奨しています。セキュリティ層におけるアルゴリズム選定の指針を示し、MD5の安全な利用限界を定義することを目的としています。
Internet Engineering Task Force (IETF) S. Turner
Request for Comments: 6151 IECA
Updates: 1321, 2104 L. Chen
Category: Informational NIST
ISSN: 2070-1721 March 2011
Updated Security Considerations for the MD5 Message-Digest and the HMAC-MD5 Algorithms
MD5メッセージダイジェストおよびHMAC-MD5アルゴリズムのための更新されたセキュリティに関する考慮事項
Abstract
概要
This document updates the security considerations for the MD5 message digest algorithm. It also updates the security considerations for HMAC-MD5.
このドキュメントは、MD5メッセージダイジェストアルゴリズムのセキュリティに関する考慮事項を更新します。また、HMAC-MD5のセキュリティ上の考慮事項も更新します。
Status of This Memo
本文書の状態
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化トラックの仕様ではありません。情報提供を目的として公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補となるわけではありません。RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6151.
この文書の現在のステータス、正誤表(errata)、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc6151 で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2011 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETF Trustの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらの文書にはこの文書に関する権利と制限が記載されているため、注意深く確認してください。この文書から抽出されたコードコンポーネントには、IETF Trustの法的規定のセクション4.eに記載されているSimplified BSD Licenseのテキストを含める必要があり、Simplified BSD Licenseに記載されている通り、保証なしで提供されます。
MD5 [MD5] is a message digest algorithm that takes as input a message of arbitrary length and produces as output a 128-bit "fingerprint" or "message digest" of the input. The published attacks against MD5 show that it is not prudent to use MD5 when collision resistance is required. This document replaces the security considerations in RFC 1321 [MD5].
MD5 [MD5]は、任意の長さのメッセージを入力として受け取り、その入力に対する128ビットの「フィンガープリント」または「メッセージダイジェスト」を出力として生成するメッセージダイジェストアルゴリズムです。MD5に対して公開された攻撃は、衝突耐性が要求される場合にMD5を使用することは賢明ではないことを示しています。この文書は、RFC 1321 [MD5]におけるセキュリティに関する考慮事項を置き換えるものです。
[HMAC] defined a mechanism for message authentication using cryptographic hash functions. Any message digest algorithm can be used, but the cryptographic strength of HMAC depends on the properties of the underlying hash function. [HMAC-MD5] defined test cases for HMAC-MD5. This document updates the security considerations in [HMAC], which [HMAC-MD5] points to for its security considerations.
[HMAC]は、暗号ハッシュ関数を用いたメッセージ認証メカニズムを定義しています。任意のメッセージダイジェストアルゴリズムを使用できますが、HMACの暗号強度は、基礎となるハッシュ関数の特性に依存します。[HMAC-MD5]は、HMAC-MD5のテストケースを定義しています。この文書は、[HMAC-MD5]がそのセキュリティ上の考慮事項のために参照している[HMAC]におけるセキュリティに関する考慮事項を更新するものです。
[HASH-Attack] summarizes the use of hashes in many protocols and discusses how attacks against a message digest algorithm's one-way and collision-free properties affect and do not affect Internet protocols. Familiarity with [HASH-Attack] is assumed. One of the uses of message digest algorithms in [HASH-Attack] was integrity protection. Where the MD5 checksum is used inline with the protocol solely to protect against errors, an MD5 checksum is still an acceptable use. Applications and protocols need to clearly state in their security considerations what security services, if any, are expected from the MD5 checksum. In fact, any application and protocol that employs MD5 for any purpose needs to clearly state the expected security services from their use of MD5.
[HASH-Attack]は、多くのプロトコルにおけるハッシュの使用を要約し、メッセージダイジェストアルゴリズムの一方向性および衝突耐性(collision-free)特性に対する攻撃が、インターネットプロトコルに与える影響と与えない影響について議論しています。[HASH-Attack]に関する知識があることを前提としています。[HASH-Attack]におけるメッセージダイジェストアルゴリズムの用途の1つは、完全性保護(integrity protection)でした。単にエラーから保護するためだけにMD5チェックサムがプロトコル内でインラインで使用される場合、MD5チェックサムの使用は依然として許容されます。アプリケーションやプロトコルは、MD5チェックサムに期待されるセキュリティサービス(もしあれば)が何であるかを、セキュリティに関する考慮事項で明確に述べる必要があります。実際、あらゆる目的でMD5を使用するアプリケーションやプロトコルは、MD5の使用によって期待されるセキュリティサービスを明確に述べる必要があります。
MD5 was published in 1992 as an Informational RFC. Since that time, MD5 has been extensively studied and new cryptographic attacks have been discovered. Message digest algorithms are designed to provide collision, pre-image, and second pre-image resistance. In addition, message digest algorithms are used with a shared secret value for message authentication in HMAC, and in this context, some people may find the guidance for key lengths and algorithm strengths in [SP800-57] and [SP800-131] useful.
MD5は1992年に情報提供目的のRFC(Informational RFC)として公開されました。それ以来、MD5は広範に研究され、新たな暗号解読攻撃が発見されてきました。メッセージダイジェストアルゴリズムは、衝突耐性、原像耐性、および第二原像耐性を提供するように設計されています。さらに、メッセージダイジェストアルゴリズムはHMACにおけるメッセージ認証のための共有秘密値と共に使用されます。この文脈において、[SP800-57]および[SP800-131]における鍵長およびアルゴリズム強度に関するガイダンスが有用であると感じる人もいるかもしれません。
MD5 is no longer acceptable where collision resistance is required such as digital signatures. It is not urgent to stop using MD5 in other ways, such as HMAC-MD5; however, since MD5 must not be used for digital signatures, new protocol designs should not employ HMAC-MD5. Alternatives to HMAC-MD5 include HMAC-SHA256 [HMAC] [HMAC-SHA256] and [AES-CMAC] when AES is more readily available than a hash function.
MD5は、デジタル署名などの衝突耐性が必要な場合、もはや受け入れられません。HMAC-MD5などの他の用途におけるMD5の使用を停止することは緊急ではありません。ただし、MD5はデジタル署名に使用してはならないため、新しいプロトコル設計ではHMAC-MD5を採用すべきではありません。HMAC-MD5の代替手段としては、HMAC-SHA256 [HMAC] [HMAC-SHA256] や、ハッシュ関数よりもAESの方が容易に利用可能な場合には [AES-CMAC] などが挙げられます。
Pseudo-collisions for the compress function of MD5 were first described in 1993 [denBBO1993]. In 1996, [DOB1995] demonstrated a collision pair for the MD5 compression function with a chosen initial value. The first paper that demonstrated two collision pairs for MD5 was published in 2004 [WFLY2004]. The detailed attack techniques for MD5 were published at EUROCRYPT 2005 [WAYU2005]. Since then, a lot of research results have been published to improve collision attacks on MD5. The attacks presented in [KLIM2006] can find MD5 collision in about one minute on a standard notebook PC (Intel Pentium, 1.6GHz). [STEV2007] claims that it takes 10 seconds or less on a 2.6Ghz Pentium4 to find collisions. In [STEV2007], [SLdeW2007], [SSALMOdeW2009], and [SLdeW2009], the collision attacks on MD5 were successfully applied to X.509 certificates.
MD5の圧縮関数(compress function)に対する疑似衝突は、1993年に初めて説明されました [denBBO1993]。1996年、[DOB1995] は選択された初期値におけるMD5圧縮関数の衝突ペアを示しました。MD5に対する2つの衝突ペアを示した最初の論文は、2004年に公開されました [WFLY2004]。MD5の詳細な攻撃手法は、EUROCRYPT 2005 [WAYU2005] で発表されました。それ以来、MD5に対する衝突攻撃を向上させる多くの研究成果が発表されています。[KLIM2006] で示された攻撃は、標準的なノートPC(Intel Pentium、1.6GHz)で約1分でMD5の衝突を発見できます。[STEV2007] は、2.6GHzのPentium 4であれば10秒以下で衝突を発見できると主張しています。[STEV2007]、[SLdeW2007]、[SSALMOdeW2009]、および [SLdeW2009] では、MD5に対する衝突攻撃がX.509証明書に対して適用され、成功しています。
Notice that the collision attack on MD5 can also be applied to password-based challenge-and-response authentication protocols such as the APOP (Authenticated Post Office Protocol) option in POP [POP] used in post office authentication as presented in [LEUR2007].
MD5に対する衝突攻撃は、[LEUR2007]で示されているように、POP [POP]の認証(APOP:Authenticated Post Office Protocolなど)で使用されるパスワードベースのチャレンジレスポンス認証プロトコルにも適用可能であることに注意してください。
In fact, more delicate attacks on MD5 to improve the speed of finding collisions have been published recently. However, the aforementioned results have provided sufficient reason to eliminate MD5 usage in applications where collision resistance is required such as digital signatures.
実際、衝突を発見する速度を向上させるための、より巧妙なMD5に対する攻撃が最近になって公開されています。しかし、前述の結果は、デジタル署名のように衝突耐性が要求されるアプリケーションにおいて、MD5の使用を排除するのに十分な理由を提供しています。
Even though the best result can find a pre-image attack of MD5 faster than exhaustive search, as presented in [SAAO2009], the complexity 2^123.4 is still pretty high.
[SAAO2009]で示されているように、最良の結果では総当たり探索よりも高速にMD5の原像(プリイメージ)攻撃を実行できるものの、その計算量 2^123.4 は依然として非常に高いものです。
The cryptanalysis of HMAC-MD5 is usually conducted together with NMAC (Nested MAC) since they are closely related. NMAC uses two independent keys K1 and K2 such that NMAC(K1, K2, M) = H(K1, H(K2, M), where K1 and K2 are used as secret initialization vectors (IVs) for hash function H(IV, M). If we re-write the HMAC equation using two secret IVs such that IV2 = H(K Xor ipad) and IV1 = H(K Xor opad), then HMAC(K, M) = NMAC(IV1, IV2, M). Here it is very important to notice that IV1 and IV2 are not independently selected.
HMAC-MD5の暗号解読(セキュリティ解析)は、両者が密接に関連しているため、通常はNMAC(Nested MAC)と共に行われます。NMACは、NMAC(K1, K2, M) = H(K1, H(K2, M)) となるような2つの独立した鍵 K1 および K2 を使用します。ここで、K1 および K2 は、ハッシュ関数 H(IV, M) に対する秘密の初期化ベクトル(IV)として使用されます。IV2 = H(K Xor ipad) および IV1 = H(K Xor opad) となるような2つの秘密IVを用いてHMACの方程式を書き直すと、HMAC(K, M) = NMAC(IV1, IV2, M) となります。ここで、IV1 と IV2 は独立して選択されているわけではないことに注意することが非常に重要です。
The first analysis was explored on NMAC-MD5 using related keys in [COYI2006]. The partial key recovery attack cannot be extended to HMAC-MD5, since for HMAC, recovering partial secret IVs can hardly lead to recovering (partial) key K. Another paper presented at Crypto 2007 [FLN2007] extended results of [COYI2006] to a full key recovery attack on NMAC-MD5. Since it also uses related key attack, it does not seem applicable to HMAC-MD5.
[COYI2006]で関連鍵を用いた NMAC-MD5 に対する最初の解析が行われました。部分的な秘密IVの回復から(部分的であっても)鍵 K の回復を導くことは困難であるため、部分的鍵回復攻撃を HMAC-MD5 へと拡張することはできません。Crypto 2007で発表された別の論文 [FLN2007] では、[COYI2006] の成果を拡張し、NMAC-MD5 に対する完全な鍵回復攻撃(full key recovery attack)を示しました。この攻撃も関連鍵攻撃を用いているため、HMAC-MD5 には適用できないと考えられます。
A EUROCRYPT 2009 paper presented a distinguishing attack on HMAC-MD5 [WYWZZ2009] without using related keys. It can distinguish an instantiation of HMAC with MD5 from an instantiation with a random function with 2^97 queries with probability 0.87. This is called distinguishing-H. Using the distinguishing attack, it can recover some bits of the intermediate status of the second block. However, as it is pointed out in [WYWZZ2009], it cannot be used to recover the (partial) inner key H(K Xor ipad). It is not obvious how the attack can be used to form a forgery attack either.
EUROCRYPT 2009の論文において、関連鍵を用いない HMAC-MD5 に対する識別攻撃(distinguishing attack)[WYWZZ2009] が提案されました。これは、2^97 回のクエリによって、MD5 を用いた HMAC のインスタンス化と、ランダム関数を用いたインスタンス化を 0.87 の確率で識別できます。これは distinguishing-H と呼ばれます。この識別攻撃を用いることで、第2ブロックの中間状態(intermediate state)のいくつかのビットを回復することが可能です。しかし、[WYWZZ2009] で指摘されているように、この攻撃によって(部分的な)内部鍵 H(K Xor ipad) を回復することはできません。また、この攻撃を偽造攻撃(forgery attack)にどのように利用できるかも明らかではありません。
The attacks on HMAC-MD5 do not seem to indicate a practical vulnerability when used as a message authentication code. Considering that the distinguishing-H attack is different from a distinguishing-R attack, which distinguishes an HMAC from a random function, the practical impact on HMAC usage as a pseudorandom function (PRF) such as in a key derivation function is not well understood.
HMAC-MD5 に対するこれらの攻撃は、メッセージ認証コード(MAC)として使用される場合の実用的な脆弱性を示すものではないと考えられます。distinguishing-H 攻撃は、HMAC をランダム関数と識別する distinguishing-R 攻撃とは異なるものであるため、鍵誘導関数(KDF)などにおける擬似ランダム関数(PRF)としての HMAC の使用に対する実用的な影響は、よく理解されていません。
Therefore, it may not be urgent to remove HMAC-MD5 from the existing protocols. However, since MD5 must not be used for digital signatures, for a new protocol design, a ciphersuite with HMAC-MD5 should not be included. Options include HMAC-SHA256 [HMAC] [HMAC-SHA256] and [AES-CMAC] when AES is more readily available than a hash function.
したがって、既存のプロトコルから HMAC-MD5 を排除することは緊急ではないかもしれません。しかし、MD5はデジタル署名に使用してはならないため、新しいプロトコル設計において HMAC-MD5 を含む暗号スイート(ciphersuite)を含めるべきではありません。代替肢としては、HMAC-SHA256 [HMAC] [HMAC-SHA256] や、ハッシュ関数よりもAESの方が容易に利用可能な場合には [AES-CMAC] が挙げられます。
Obviously, we have to thank all the cryptographers who produced the results we refer to in this document. We'd also like to thank Wesley Eddy, Sam Hartman, Alfred Hoenes, Martin Rex, Benne de Weger, and Lloyd Wood for their comments.
言うまでもなく、本ドキュメントで言及する成果を生み出したすべての暗号研究者に感謝いたします。また、コメントをいただいた Wesley Eddy、Sam Hartman、Alfred Hoenes、Martin Rex、Benne de Weger、および Lloyd Wood にも感謝いたします。
[AES-CMAC] Song, JH., Poovendran, R., Lee, J., and T. Iwata, "The AES-CMAC Algorithm", RFC 4493, June 2006.
[AES-CMAC] Song, JH., Poovendran, R., Lee, J., and T. Iwata, 「AES-CMACアルゴリズム」, RFC 4493, 2006年6月。
[COYI2006] S. Contini, Y.L. Yin. Forgery and partial key-recovery attacks on HMAC and NMAC using hash collisions. ASIACRYPT 2006. LNCS 4284, Springer, 2006.
[COYI2006] S. Contini, Y.L. Yin. ハッシュ衝突を用いた HMAC および NMAC に対する偽造および部分的鍵回復攻撃. ASIACRYPT 2006. LNCS 4284, Springer, 2006.
[denBBO1993] den Boer, B. and A. Bosselaers, "Collisions for the compression function of MD5", Eurocrypt 1993.
[denBBO1993] den Boer, B. and A. Bosselaers, 「MD5の圧縮関数の衝突」, Eurocrypt 1993.
[DOB1995] Dobbertin, H., "Cryptanalysis of MD5 Compress", Eurocrypt 1996.
[DOB1995] Dobbertin, H., 「MD5圧縮関数の暗号解読」, Eurocrypt 1996.
[FLN2007] Fouque, P.-A., Leurent, G., Nguyen, P.Q.: Full key-recovery attacks on HMAC/NMAC-MD4 and NMAC-MD5. CRYPTO 2007. LNCS 4622, Springer, 2007.
[FLN2007] Fouque, P.-A., Leurent, G., Nguyen, P.Q.:HMAC/NMAC-MD4 および NMAC-MD5 に対する完全な鍵回復攻撃. CRYPTO 2007. LNCS 4622, Springer, 2007.
[HASH-Attack] Hoffman, P. and B. Schneier, "Attacks on Cryptographic Hashes in Internet Protocols", RFC 4270, November 2005.
[HASH-Attack] Hoffman, P. and B. Schneier, 「インターネットプロトコルにおける暗号ハッシュへの攻撃」, RFC 4270, 2005年11月.
[HMAC] Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.
[HMAC] Krawczyk, H., Bellare, M., and R. Canetti, 「HMAC: メッセージ認証のための鍵付きハッシュ法」, RFC 2104, 1997年2月.
[HMAC-MD5] Cheng, P. and R. Glenn, "Test Cases for HMAC-MD5 and HMAC-SHA-1", RFC 2202, September 1997.
[HMAC-MD5] Cheng, P. and R. Glenn, 「HMAC-MD5およびHMAC-SHA-1のテストケース」, RFC 2202, 1997年9月.
[HMAC-SHA256] Nystrom, M., "Identifiers and Test Vectors for HMAC-SHA-224, HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512", RFC 4231, December 2005.
[HMAC-SHA256] Nystrom, M., 「HMAC-SHA-224, HMAC-SHA-256, HMAC-SHA-384, および HMAC-SHA-512 の識別子とテストベクトル」, RFC 4231, 2005年12月.
[KLIM2006] V. Klima. Tunnels in Hash Functions: MD5 Collisions within a Minute. Cryptology ePrint Archive, Report 2006/105 (2006), http://eprint.iacr.org/2006/105.
[KLIM2006] V. Klima. ハッシュ関数におけるトンネル:1分以内のMD5衝突. Cryptology ePrint Archive, Report 2006/105 (2006), http://eprint.iacr.org/2006/105.
[LEUR2007] G. Leurent, Message freedom in MD4 and MD5 collisions: Application to APOP. Proceedings of FSE 2007. Lecture Notes in Computer Science 4715. Springer, 2007.
[LEUR2007] G. Leurent. MD4 および MD5 衝突におけるメッセージの自由度:APOPへの適用. Proceedings of FSE 2007. Lecture Notes in Computer Science 4715. Springer, 2007.
[MD5] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.
[MD5] Rivest, R., 「MD5メッセージダイジェストアルゴリズム」, RFC 1321, 1992年4月.
[POP] Myers, J. and M. Rose, "Post Office Protocol - Version 3", STD 53, RFC 1939, May 1996.
[POP] Myers, J. and M. Rose, 「Post Office Protocol - Version 3」, STD 53, RFC 1939, 1996年5月.
[SAAO2009] Y. Sasaki and K. Aoki. Finding preimages in full MD5 faster than exhaustive search. Advances in Cryptology - EUROCRYPT 2009, LNCS 5479 of Lecture Notes in Computer Science, Springer, 2009.
[SAAO2009] Y. Sasaki and K. Aoki. 総当たり検索よりも高速なフルMD5における原像の発見. Advances in Cryptology - EUROCRYPT 2009, LNCS 5479 of Lecture Notes in Computer Science, Springer, 2009.
[SLdeW2007] Stevens, M., Lenstra, A., de Weger, B., Chosen-prefix Collisions for MD5 and Colliding X.509 Certificates for Different Identities. EuroCrypt 2007.
[SLdeW2007] Stevens, M., Lenstra, A., de Weger, B., MD5 に対する選択プレフィックス衝突(Chosen-prefix Collisions)および異なる識別子に対する衝突する X.509 証明書. EuroCrypt 2007.
[SLdeW2009] Stevens, M., Lenstra, A., de Weger, B., "Chosen-prefix Collisions for MD5 and Applications", Journal of Cryptology, 2009.
[SLdeW2009] Stevens, M., Lenstra, A., de Weger, B., 「MD5に対する選択プレフィックス衝突と応用」, Journal of Cryptology, 2009.
[SSALMOdeW2009] Stevens, M., Sotirov, A., Appelbaum, J., Lenstra, A., Molnar, D., Osvik, D., and B. de Weger. Short chosen-prefix collisions for MD5 and the creation of a rogue CA certificate, Crypto 2009.
[SSALMOdeW2009] Stevens, M., Sotirov, A., Appelbaum, J., Lenstra, A., Molnar, D., Osvik, D., and B. de Weger. MD5 に対する短い選択プレフィックス衝突と不正な CA 証明書の作成, Crypto 2009.
[SP800-57] National Institute of Standards and Technology (NIST), Special Publication 800-57: Recommendation for Key Management - Part 1 (Revised), March 2007.
[SP800-57] 米国国立標準技術研究所(NIST), 特別刊行物 800-57:鍵管理の推奨事項 - パート1(改訂版), 2007年3月。
[SP800-131] National Institute of Standards and Technology (NIST), Special Publication 800-131: DRAFT Recommendation for the Transitioning of Cryptographic Algorithms and Key Sizes, June 2010.
[SP800-131] 米国国立標準技術研究所(NIST), 特別刊行物 800-131:暗号アルゴリズムと鍵長の移行に関する推奨事項草案, 2010年6月。
[STEV2007] Stevens, M., "On Collisions for MD5", Master's Thesis, Eindhoven University of Technology, http://www.win.tue.nl/hashclash/ On%20Collisions%20for%20MD5%20-%20M.M.J.%20Stevens.pdf.
[STEV2007] Stevens, M., 「MD5の衝突について」, 修士論文, アインドホーフェン工科大学, http://www.win.tue.nl/hashclash/On%20Collisions%20for%20MD5%20-%20M.M.J.%20Stevens.pdf.
[WAYU2005] X. Wang and H. Yu. How to Break MD5 and other Hash Functions. LNCS 3494. Advances in Cryptology - EUROCRYPT2005, Springer, 2005.
[WAYU2005] X. Wang and H. Yu. MD5 およびその他のハッシュ関数を解読する方法. LNCS 3494. Advances in Cryptology - EUROCRYPT 2005, Springer, 2005.
[WFLY2004] X. Wang, D. Feng, X. Lai, H. Yu, Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD, 2004, http://eprint.iacr.org/2004/199.pdf
[WFLY2004] X. Wang, D. Feng, X. Lai, H. Yu, ハッシュ関数MD4、MD5、HAVAL-128、およびRIPEMDの衝突, 2004年, http://eprint.iacr.org/2004/199.pdf
[WYWZZ2009] X. Wang, H. Yu, W. Wang, H. Zhang, and T. Zhan. Cryptanalysis of HMAC/NMAC-MD5 and MD5-MAC. LNCS 5479. Advances in Cryptology - EUROCRYPT2009, Springer, 2009.
[WYWZZ2009] X. Wang, H. Yu, W. Wang, H. Zhang, and T. Zhan. HMAC/NMAC-MD5 および MD5-MAC の暗号解読. LNCS 5479. Advances in Cryptology - EUROCRYPT 2009, Springer, 2009.
Authors' Addresses
著者のアドレス
Sean Turner IECA, Inc. 3057 Nutley Street, Suite 106 Fairfax, VA 22031 USA
ショーン・ターナー IECA, Inc. 3057 Nutley Street, Suite 106 Fairfax, VA 22031 USA
EMail: turners@ieca.com
Lily Chen National Institute of Standards and Technology 100 Bureau Drive, Mail Stop 8930 Gaithersburg, MD 20899-8930 USA
リリー・チェン 米国国立標準技術研究所 100 Bureau Drive, Mail Stop 8930 Gaithersburg, MD 20899-8930 USA
EMail: lily.chen@nist.gov