[要約] RFC 6151は、MD5メッセージダイジェストとHMAC-MD5アルゴリズムのセキュリティに関する考慮事項を更新するためのものです。その目的は、MD5のセキュリティ上の脆弱性を認識し、適切な対策を提案することです。
Internet Engineering Task Force (IETF) S. Turner Request for Comments: 6151 IECA Updates: 1321, 2104 L. Chen Category: Informational NIST ISSN: 2070-1721 March 2011
Updated Security Considerations for the MD5 Message-Digest and the HMAC-MD5 Algorithms
MD5 Message-DigestおよびHMAC-MD5アルゴリズムのセキュリティに関する考慮事項を更新しました
Abstract
概要
This document updates the security considerations for the MD5 message digest algorithm. It also updates the security considerations for HMAC-MD5.
このドキュメントは、MD5メッセージダイジェストアルゴリズムのセキュリティに関する考慮事項を更新します。また、HMAC-MD5のセキュリティ上の考慮事項も更新します。
Status of This Memo
本文書の位置付け
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントは、インターネット標準の追跡仕様ではありません。情報目的で公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補者ではありません。RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6151.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc6151で取得できます。
Copyright Notice
著作権表示
Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2011 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。
MD5 [MD5] is a message digest algorithm that takes as input a message of arbitrary length and produces as output a 128-bit "fingerprint" or "message digest" of the input. The published attacks against MD5 show that it is not prudent to use MD5 when collision resistance is required. This document replaces the security considerations in RFC 1321 [MD5].
MD5 [MD5]は、入力として任意の長さのメッセージを入力し、入力の128ビットの「指紋」または「メッセージダイジェスト」を出力として生成するメッセージダイジェストアルゴリズムです。MD5に対する公開された攻撃は、衝突抵抗が必要な場合にMD5を使用することは賢明ではないことを示しています。このドキュメントは、RFC 1321 [MD5]のセキュリティ上の考慮事項を置き換えます。
[HMAC] defined a mechanism for message authentication using cryptographic hash functions. Any message digest algorithm can be used, but the cryptographic strength of HMAC depends on the properties of the underlying hash function. [HMAC-MD5] defined test cases for HMAC-MD5. This document updates the security considerations in [HMAC], which [HMAC-MD5] points to for its security considerations.
[HMAC]は、暗号化ハッシュ関数を使用してメッセージ認証のメカニズムを定義しました。メッセージダイジェストアルゴリズムを使用できますが、HMACの暗号化強度は、基礎となるハッシュ関数の特性に依存します。[HMAC-MD5]は、HMAC-MD5のテストケースを定義しました。このドキュメントは、[HMAC]のセキュリティ上の考慮事項を更新します。
[HASH-Attack] summarizes the use of hashes in many protocols and discusses how attacks against a message digest algorithm's one-way and collision-free properties affect and do not affect Internet protocols. Familiarity with [HASH-Attack] is assumed. One of the uses of message digest algorithms in [HASH-Attack] was integrity protection. Where the MD5 checksum is used inline with the protocol solely to protect against errors, an MD5 checksum is still an acceptable use. Applications and protocols need to clearly state in their security considerations what security services, if any, are expected from the MD5 checksum. In fact, any application and protocol that employs MD5 for any purpose needs to clearly state the expected security services from their use of MD5.
[Hash-Attack]は、多くのプロトコルでのハッシュの使用を要約し、メッセージダイジェストアルゴリズムの一方向および衝突のないプロパティに対する攻撃がどのように影響し、インターネットプロトコルに影響しないかについて説明します。[ハッシュ攻撃]に精通していることが想定されています。[ハッシュアタック]のメッセージダイジェストアルゴリズムの使用の1つは、整合性保護でした。MD5チェックサムがエラーから保護するためだけにプロトコルとインラインで使用されている場合、MD5チェックサムは依然として許容可能な使用です。アプリケーションとプロトコルは、セキュリティに関する考慮事項で、MD5チェックサムからどのセキュリティサービスが予想されるかを明確に述べる必要があります。実際、MD5を使用しているアプリケーションとプロトコルは、MD5の使用から予想されるセキュリティサービスを明確に述べる必要があります。
MD5 was published in 1992 as an Informational RFC. Since that time, MD5 has been extensively studied and new cryptographic attacks have been discovered. Message digest algorithms are designed to provide collision, pre-image, and second pre-image resistance. In addition, message digest algorithms are used with a shared secret value for message authentication in HMAC, and in this context, some people may find the guidance for key lengths and algorithm strengths in [SP800-57] and [SP800-131] useful.
MD5は1992年に情報RFCとして公開されました。それ以来、MD5は広範囲に研究されており、新しい暗号攻撃が発見されています。Message Digestアルゴリズムは、衝突、プレイメージ、2回目の前イメージ抵抗を提供するように設計されています。さらに、Message Digestアルゴリズムは、HMACのメッセージ認証の共有秘密値で使用されます。この文脈では、[SP800-57]および[SP800-131]の主要な長さとアルゴリズム強度のガイダンスが役立つ場合があります。
MD5 is no longer acceptable where collision resistance is required such as digital signatures. It is not urgent to stop using MD5 in other ways, such as HMAC-MD5; however, since MD5 must not be used for digital signatures, new protocol designs should not employ HMAC-MD5. Alternatives to HMAC-MD5 include HMAC-SHA256 [HMAC] [HMAC-SHA256] and [AES-CMAC] when AES is more readily available than a hash function.
MD5は、デジタル署名などの衝突抵抗が必要な場合、もはや受け入れられません。HMAC-MD5など、MD5の使用を他の方法で停止することは緊急ではありません。ただし、MD5はデジタル署名に使用してはならないため、新しいプロトコル設計ではHMAC-MD5を使用してはなりません。HMAC-MD5の代替品には、HMAC-SHA256 [HMAC] [HMAC-SHA256]および[AES-CMAC]が、AESがハッシュ機能よりも容易に利用できる場合が含まれます。
Pseudo-collisions for the compress function of MD5 were first described in 1993 [denBBO1993]. In 1996, [DOB1995] demonstrated a collision pair for the MD5 compression function with a chosen initial value. The first paper that demonstrated two collision pairs for MD5 was published in 2004 [WFLY2004]. The detailed attack techniques for MD5 were published at EUROCRYPT 2005 [WAYU2005]. Since then, a lot of research results have been published to improve collision attacks on MD5. The attacks presented in [KLIM2006] can find MD5 collision in about one minute on a standard notebook PC (Intel Pentium, 1.6GHz). [STEV2007] claims that it takes 10 seconds or less on a 2.6Ghz Pentium4 to find collisions. In [STEV2007], [SLdeW2007], [SSALMOdeW2009], and [SLdeW2009], the collision attacks on MD5 were successfully applied to X.509 certificates.
MD5の圧縮関数の擬似衝突は、1993年に最初に説明されました[Denbbo1993]。1996年、[DOB1995]は、選択された初期値でMD5圧縮関数の衝突ペアを実証しました。MD5の2つの衝突ペアを実証した最初の論文は、2004年に公開されました[WFLY2004]。MD5の詳細な攻撃技術は、EuroCrypt 2005 [Wayu2005]で公開されました。それ以来、MD5に対する衝突攻撃を改善するために、多くの研究結果が公開されています。[KLIM2006]で提示された攻撃は、標準のノートブックPC(Intel Pentium、1.6GHz)で約1分でMD5の衝突を見つけることができます。[STEV2007]は、衝突を見つけるのに2.6GHz Pentium4で10秒以下かかると主張しています。[STEV2007]、[SLDEW2007]、[SSALMODEW2009]、および[SLDEW2009]では、MD5に対する衝突攻撃がX.509証明書に正常に適用されました。
Notice that the collision attack on MD5 can also be applied to password-based challenge-and-response authentication protocols such as the APOP (Authenticated Post Office Protocol) option in POP [POP] used in post office authentication as presented in [LEUR2007].
MD5に対する衝突攻撃は、[Leur2007]で提示された郵便局認証で使用されるPOP [POP]のAPOP(認証郵便局プロトコル)オプションなどのパスワードベースのチャレンジアンドレスポンス認証プロトコルにも適用できることに注意してください。
In fact, more delicate attacks on MD5 to improve the speed of finding collisions have been published recently. However, the aforementioned results have provided sufficient reason to eliminate MD5 usage in applications where collision resistance is required such as digital signatures.
実際、衝突を見つける速度を改善するためのより繊細な攻撃が最近公開されています。ただし、前述の結果は、デジタル署名などの衝突抵抗が必要なアプリケーションでのMD5の使用を排除するのに十分な理由を提供しています。
Even though the best result can find a pre-image attack of MD5 faster than exhaustive search, as presented in [SAAO2009], the complexity 2^123.4 is still pretty high.
[SAAO2009]に示されているように、最良の結果はMD5の前イメージ攻撃を網羅的な検索よりも速く見つけることができますが、複雑さ2^123.4はまだかなり高いです。
The cryptanalysis of HMAC-MD5 is usually conducted together with NMAC (Nested MAC) since they are closely related. NMAC uses two independent keys K1 and K2 such that NMAC(K1, K2, M) = H(K1, H(K2, M), where K1 and K2 are used as secret initialization vectors (IVs) for hash function H(IV, M). If we re-write the HMAC equation using two secret IVs such that IV2 = H(K Xor ipad) and IV1 = H(K Xor opad), then HMAC(K, M) = NMAC(IV1, IV2, M). Here it is very important to notice that IV1 and IV2 are not independently selected.
HMAC-MD5の暗号化は、通常、NMAC(ネストされたMAC)とともに密接に関連しているため、NMAC(ネストされたMAC)とともに実施されます。NMACは2つの独立したキーK1とK2を使用して、NMAC(K1、K2、M)= H(K1、H(K2、M)を使用します。ここで、K1およびK2はハッシュ関数Hの秘密初期化ベクトル(IV)として使用されます(IV、IV、M)。IV2= H(K XOR iPad)およびIV1 = H(K XOR Opad)になるように2つの秘密IVを使用してHMAC方程式を書き直した場合、HMAC(K、M)= NMAC(IV1、IV2、M)。ここでは、IV1とIV2が独立して選択されていないことに注意することが非常に重要です。
The first analysis was explored on NMAC-MD5 using related keys in [COYI2006]. The partial key recovery attack cannot be extended to HMAC-MD5, since for HMAC, recovering partial secret IVs can hardly lead to recovering (partial) key K. Another paper presented at Crypto 2007 [FLN2007] extended results of [COYI2006] to a full key recovery attack on NMAC-MD5. Since it also uses related key attack, it does not seem applicable to HMAC-MD5.
最初の分析は、[COYI2006]の関連キーを使用してNMAC-MD5で検討されました。HMACの場合、部分的な秘密IVを回復することはほとんど(部分的な)キーKにつながる可能性がほとんどないため、部分的なキー回復攻撃をHMAC-MD5に拡張することはできません。NMAC-MD5に対する主要な回復攻撃。関連するキー攻撃も使用しているため、HMAC-MD5には適用できないようです。
A EUROCRYPT 2009 paper presented a distinguishing attack on HMAC-MD5 [WYWZZ2009] without using related keys. It can distinguish an instantiation of HMAC with MD5 from an instantiation with a random function with 2^97 queries with probability 0.87. This is called distinguishing-H. Using the distinguishing attack, it can recover some bits of the intermediate status of the second block. However, as it is pointed out in [WYWZZ2009], it cannot be used to recover the (partial) inner key H(K Xor ipad). It is not obvious how the attack can be used to form a forgery attack either.
EuroCrypt 2009の論文では、関連キーを使用せずにHMAC-MD5 [WYWZZ2009]に対する際立った攻撃を提示しました。HMACのインスタンス化を、確率0.87の2^97クエリを持つランダム関数を持つインスタンス化とインスタンス化と区別できます。これはdistinguishing-hと呼ばれます。際立った攻撃を使用すると、2番目のブロックの中間ステータスの一部のビットを回復できます。ただし、[wywzz2009]で指摘されているように、(部分的な)内側キーH(k XOR iPad)を回復するために使用することはできません。攻撃を使用して偽造攻撃を形成する方法も明らかではありません。
The attacks on HMAC-MD5 do not seem to indicate a practical vulnerability when used as a message authentication code. Considering that the distinguishing-H attack is different from a distinguishing-R attack, which distinguishes an HMAC from a random function, the practical impact on HMAC usage as a pseudorandom function (PRF) such as in a key derivation function is not well understood.
HMAC-MD5への攻撃は、メッセージ認証コードとして使用された場合の実際的な脆弱性を示すようには見えません。HMACをランダム関数と区別する際立ったH攻撃とは異なることを考慮すると、主要な派生関数などの擬似ランダム関数(PRF)としてのHMAC使用に対する実際的な影響はよく理解されていません。
Therefore, it may not be urgent to remove HMAC-MD5 from the existing protocols. However, since MD5 must not be used for digital signatures, for a new protocol design, a ciphersuite with HMAC-MD5 should not be included. Options include HMAC-SHA256 [HMAC] [HMAC-SHA256] and [AES-CMAC] when AES is more readily available than a hash function.
したがって、既存のプロトコルからHMAC-MD5を削除することは緊急ではないかもしれません。ただし、MD5はデジタル署名に使用してはならないため、新しいプロトコル設計のためには、HMAC-MD5を搭載したCiphersuiteを含めるべきではありません。オプションには、HMAC-SHA256 [HMAC] [HMAC-SHA256]および[AES-CMAC]がHASH機能よりも容易に利用できる場合が含まれます。
Obviously, we have to thank all the cryptographers who produced the results we refer to in this document. We'd also like to thank Wesley Eddy, Sam Hartman, Alfred Hoenes, Martin Rex, Benne de Weger, and Lloyd Wood for their comments.
明らかに、このドキュメントで言及する結果を作成したすべての暗号作成者に感謝しなければなりません。また、Wesley Eddy、Sam Hartman、Alfred Hoenes、Martin Rex、Benne De Weger、Lloyd Woodのコメントにも感謝したいと思います。
[AES-CMAC] Song, JH., Poovendran, R., Lee, J., and T. Iwata, "The AES-CMAC Algorithm", RFC 4493, June 2006.
[AES-CMAC] Song、JH。、Poovendran、R.、Lee、J。、およびT. Iwata、「AES-CMACアルゴリズム」、RFC 4493、2006年6月。
[COYI2006] S. Contini, Y.L. Yin. Forgery and partial key-recovery attacks on HMAC and NMAC using hash collisions. ASIACRYPT 2006. LNCS 4284, Springer, 2006.
[COYI2006] S. Contini、Y.L。陰。ハッシュ衝突を使用したHMACおよびNMACに対する偽造および部分的なキー回復攻撃。Asiacrypt 2006. LNCS 4284、Springer、2006。
[denBBO1993] den Boer, B. and A. Bosselaers, "Collisions for the compression function of MD5", Eurocrypt 1993.
[denbbo1993] den Boer、B。およびA. Bosselaers、「MD5の圧縮関数の衝突」、EuroCrypt 1993。
[DOB1995] Dobbertin, H., "Cryptanalysis of MD5 Compress", Eurocrypt 1996.
[Dob1995] Dobbertin、H。、「Md5 Compressの暗号化」、EuroCrypt 1996。
[FLN2007] Fouque, P.-A., Leurent, G., Nguyen, P.Q.: Full key-recovery attacks on HMAC/NMAC-MD4 and NMAC-MD5. CRYPTO 2007. LNCS 4622, Springer, 2007.
[FLN2007] Fouque、P.-A.、Leurent、G.、Nguyen、P.Q。:HMAC/NMAC-MD4およびNMAC-MD5に対する完全なキーリクアーバル攻撃。Crypto2007。LNCS4622、Springer、2007。
[HASH-Attack] Hoffman, P. and B. Schneier, "Attacks on Cryptographic Hashes in Internet Protocols", RFC 4270, November 2005.
[ハッシュアタック] Hoffman、P。and B. Schneier、「インターネットプロトコルにおける暗号化ハッシュへの攻撃」、RFC 4270、2005年11月。
[HMAC] Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.
[HMAC] Krawczyk、H.、Bellare、M。、およびR. Canetti、「HMAC:メッセージ認証のためのキー付きハッシング」、RFC 2104、1997年2月。
[HMAC-MD5] Cheng, P. and R. Glenn, "Test Cases for HMAC-MD5 and HMAC-SHA-1", RFC 2202, September 1997.
[HMAC-MD5] Cheng、P。およびR. Glenn、「HMAC-MD5およびHMAC-SHA-1のテストケース」、RFC 2202、1997年9月。
[HMAC-SHA256] Nystrom, M., "Identifiers and Test Vectors for HMAC-SHA-224, HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512", RFC 4231, December 2005.
[HMAC-SHA256] Nystrom、M。、「HMAC-SHA-224、HMAC-SHA-256、HMAC-SHA-384、およびHMAC-SHA-512 "の識別子およびテストベクトル、RFC 4231、2005年12月。
[KLIM2006] V. Klima. Tunnels in Hash Functions: MD5 Collisions within a Minute. Cryptology ePrint Archive, Report 2006/105 (2006), http://eprint.iacr.org/2006/105.
[KLIM2006] V. Klima。ハッシュ関数のトンネル:md5衝突1分以内。Cryptology Eprint Archive、Report 2006/105(2006)、http://eprint.iacr.org/2006/105。
[LEUR2007] G. Leurent, Message freedom in MD4 and MD5 collisions: Application to APOP. Proceedings of FSE 2007. Lecture Notes in Computer Science 4715. Springer, 2007.
[LEUR2007] G. Leurent、MD4およびMD5衝突のメッセージの自由:APOPへの適用。FSE 2007の議事録。コンピューターサイエンス4715の講義ノート。スプリンガー、2007年。
[MD5] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.
[MD5] Rivest、R。、「MD5メッセージダイジェストアルゴリズム」、RFC 1321、1992年4月。
[POP] Myers, J. and M. Rose, "Post Office Protocol - Version 3", STD 53, RFC 1939, May 1996.
[Pop] Myers、J。and M. Rose、「郵便局プロトコル - バージョン3」、STD 53、RFC 1939、1996年5月。
[SAAO2009] Y. Sasaki and K. Aoki. Finding preimages in full MD5 faster than exhaustive search. Advances in Cryptology - EUROCRYPT 2009, LNCS 5479 of Lecture Notes in Computer Science, Springer, 2009.
[Saao2009] Y.佐々木とK.青木。完全なMD5でのプリイメージを徹底的に検索するよりも速く見つける。暗号化の進歩-EuroCrypt 2009、LNCS 5479の講義ノート、コンピューターサイエンス、Springer、2009。
[SLdeW2007] Stevens, M., Lenstra, A., de Weger, B., Chosen-prefix Collisions for MD5 and Colliding X.509 Certificates for Different Identities. EuroCrypt 2007.
[SLDEW2007] Stevens、M.、Lenstra、A.、De Weger、B.、MD5のCosen-Prefix衝突、およびさまざまなIDの衝突X.509証明書。EuroCrypt 2007。
[SLdeW2009] Stevens, M., Lenstra, A., de Weger, B., "Chosen-prefix Collisions for MD5 and Applications", Journal of Cryptology, 2009.
[SLDEW2009] Stevens、M.、Lenstra、A.、De Weger、B。、「MD5およびApplicationsのChosen-Prefix衝突」、Journal of Cryptology、2009。
[SSALMOdeW2009] Stevens, M., Sotirov, A., Appelbaum, J., Lenstra, A., Molnar, D., Osvik, D., and B. de Weger. Short chosen-prefix collisions for MD5 and the creation of a rogue CA certificate, Crypto 2009.
[SSALMODEW2009] Stevens、M.、Sotirov、A.、Appelbaum、J.、Lenstra、A.、Molnar、D.、Osvik、D.、およびB. De Weger。MD5の短い選択されたPrefix衝突とRogue CA証明書の作成、Crypto 2009。
[SP800-57] National Institute of Standards and Technology (NIST), Special Publication 800-57: Recommendation for Key Management - Part 1 (Revised), March 2007.
[SP800-57]国立標準技術研究所(NIST)、特別出版800-57:キー管理の推奨 - パート1(改訂)、2007年3月。
[SP800-131] National Institute of Standards and Technology (NIST), Special Publication 800-131: DRAFT Recommendation for the Transitioning of Cryptographic Algorithms and Key Sizes, June 2010.
[SP800-131]国立標準技術研究所(NIST)、特別出版800-131:2010年6月、暗号化アルゴリズムとキーサイズの移行に関する草案の推奨。
[STEV2007] Stevens, M., "On Collisions for MD5", Master's Thesis, Eindhoven University of Technology, http://www.win.tue.nl/hashclash/ On%20Collisions%20for%20MD5%20-%20M.M.J.%20Stevens.pdf.
[Stev2007] Stevens、M。、「MD5の衝突について」、修士論文、アインドホーフェン工科大学、http://www.win.tue.nl/hashclash/%20collision%20for 20md5%20-%20m。M.J.%20Stevens.pdf。
[WAYU2005] X. Wang and H. Yu. How to Break MD5 and other Hash Functions. LNCS 3494. Advances in Cryptology - EUROCRYPT2005, Springer, 2005.
[Wayu2005] X. WangおよびH. Yu。MD5およびその他のハッシュ関数を破る方法。LNCS3494。暗号学の進歩-EuroCrypt2005、Springer、2005。
[WFLY2004] X. Wang, D. Feng, X. Lai, H. Yu, Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD, 2004, http://eprint.iacr.org/2004/199.pdf
[WFLY2004] X. Wang、D。Feng、X。Lai、H。Yu、Hash関数MD4、MD5、HAVAL-128およびRIPEMD、2004年、http://eprint.iacr.org/2004/199.pdf
[WYWZZ2009] X. Wang, H. Yu, W. Wang, H. Zhang, and T. Zhan. Cryptanalysis of HMAC/NMAC-MD5 and MD5-MAC. LNCS 5479. Advances in Cryptology - EUROCRYPT2009, Springer, 2009.
[wywzz2009] X. wang、H。Yu、W。Wang、H。Zhang、およびT. Zhan。HMAC/NMAC-MD5およびMD5-MACの暗号化。LNCS5479。暗号学の進歩-EuroCrypt2009、Springer、2009。
Authors' Addresses
著者のアドレス
Sean Turner IECA, Inc. 3057 Nutley Street, Suite 106 Fairfax, VA 22031 USA
Sean Turner IECA、Inc。3057 Nutley Street、Suite 106 Fairfax、VA 22031 USA
EMail: turners@ieca.com
Lily Chen National Institute of Standards and Technology 100 Bureau Drive, Mail Stop 8930 Gaithersburg, MD 20899-8930 USA
リリーチェン国立標準技術研究所100ビューロードライブ、メールストップ8930ゲーサーズバーグ、MD 20899-8930 USA
EMail: lily.chen@nist.gov