[要約] RFC 6188は、セキュアリアルタイムトランスポートプロトコル(Secure RTP, SRTP)でのAES-192とAES-256の使用に関する文書です。このRFCの目的は、SRTPのセキュリティを強化するために、より強力な暗号化方式であるAES-192とAES-256を導入することにあります。これらの暗号化方式は、特に高度なセキュリティが求められる通信、例えば政府機関や金融機関のデータ転送に利用されます。関連するRFCには、SRTPを定義するRFC 3711や、その他の暗号化方式を扱うRFCが含まれます。RFC 6188は、セキュリティ要件が厳しい環境での通信の信頼性と安全性を高めるために重要です。
Internet Engineering Task Force (IETF) D. McGrew
Request for Comments: 6188 Cisco Systems, Inc.
Category: Standards Track March 2011
ISSN: 2070-1721
The Use of AES-192 and AES-256 in Secure RTP
安全なRTPでのAES-192およびAES-256の使用
Abstract
概要
This memo describes the use of the Advanced Encryption Standard (AES) with 192- and 256-bit keys within the Secure RTP (SRTP) protocol. It details counter mode encryption for SRTP and Secure Realtime Transport Control Protocol (SRTCP) and a new SRTP Key Derivation Function (KDF) for AES-192 and AES-256.
このメモは、安全なRTP(SRTP)プロトコル内の192および256ビットキーを使用した高度な暗号化標準(AES)の使用について説明しています。SRTPのカウンターモード暗号化とセキュアリアルタイムトランスポートコントロールプロトコル(SRTCP)と、AES-192およびAES-256の新しいSRTPキー誘導関数(KDF)を詳述しています。
Status of This Memo
本文書の位置付け
This is an Internet Standards Track document.
これは、インターネット標準トラックドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。インターネット標準の詳細については、RFC 5741のセクション2で入手できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6188.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc6188で取得できます。
Copyright Notice
著作権表示
Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2011 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。
Table of Contents
目次
1. Introduction ....................................................3
1.1. Conventions Used in This Document ..........................3
2. AES-192 and AES-256 Encryption ..................................3
3. The AES_192_CM_PRF and AES_256_CM_PRF Key Derivation Functions ..4
3.1. Usage Requirements .........................................5
4. Crypto Suites ...................................................6
5. IANA Considerations .............................................9
6. Security Considerations .........................................9
7. Test Cases .....................................................10
7.1. AES-256-CM Test Cases .....................................10
7.2. AES_256_CM_PRF Test Cases .................................11
7.3. AES-192-CM Test Cases .....................................13
7.4. AES_192_CM_PRF Test Cases .................................13
8. Acknowledgements ...............................................15
9. References .....................................................15
9.1. Normative References ......................................15
9.2. Informative References ....................................15
This memo describes the use of the Advanced Encryption Standard (AES) [FIPS197] with 192- and 256-bit keys within the Secure RTP (SRTP) protocol [RFC3711]. Below, those block ciphers are referred to as AES-192 and AES-256, respectively, and the use of AES with a 128-bit key is referred to as AES-128. This document describes counter mode encryption for SRTP and SRTCP and appropriate SRTP key derivation functions for AES-192 and AES-256. It also defines new crypto suites that use these new functions.
このメモは、安全なRTP(SRTP)プロトコル[RFC3711]内の192および256ビットキーを備えた高度な暗号化標準(AES)[FIPS197]の使用について説明しています。以下では、これらのブロック暗号はそれぞれAES-192とAES-256と呼ばれ、128ビットキーを持つAESの使用はAES-128と呼ばれます。このドキュメントでは、SRTPおよびSRTCPのカウンターモード暗号化と、AES-192およびAES-256の適切なSRTPキー派生関数について説明します。また、これらの新しい機能を使用する新しい暗号スイートも定義します。
While AES-128 is widely regarded as more than adequately secure, some users may be motivated to adopt AES-192 or AES-256 due to a perceived need to pursue a highly conservative security strategy. For instance, the Suite B profile requires AES-256 for the protection of TOP SECRET information [suiteB]. (Note that while the AES-192 and AES-256 encryption methods defined in this document use Suite B algorithms, the crypto suites in this document use the HMAC-SHA-1 algorithm, which is not included in Suite B.) See Section 6 for more discussion of security issues.
AES-128は適切な安全性以上のものと広く見なされていますが、一部のユーザーは、非常に保守的なセキュリティ戦略を追求する必要性が認識されているため、AES-192またはAES-256を採用するように動機付けられる場合があります。たとえば、Suite Bプロファイルには、極秘情報の保護にAES-256が必要です[SuiteB]。(このドキュメントで定義されているAES-192およびAES-256暗号化方法はスイートBアルゴリズムを使用しているが、このドキュメントの暗号スイートは、スイートに含まれていないHMAC-SHA-1アルゴリズムを使用していることに注意してください。)セクション6を参照してください。セキュリティの問題の詳細については。
The crypto functions described in this document are an addition to, and not a replacement for, the crypto functions defined in [RFC3711].
このドキュメントで説明されている暗号関数は、[RFC3711]で定義されている暗号関数に代わるものではなく、代替ではありません。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
「必須」、「そうしない」、「必須」、「必要」、「しない」、「そうしない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、[RFC2119]に記載されているように解釈される。
Section 4.1.1 of [RFC3711] defines AES counter mode encryption, which it refers to as AES_CM. This definition applies to all of the AES key sizes. In this note, AES-192 counter mode and AES-256 counter mode and are denoted as AES_192_CM and AES_256_CM, respectively. In both of these ciphers, the plaintext inputs to the block cipher are formed as in AES_CM, and the block cipher outputs are processed as in AES_CM. The only difference in the processing is that AES_192_CM uses AES-192, and AES_256_CM uses AES-256. Both AES_192_CM and AES_256_CM use a 112-bit salt as an input, as does AES_CM.
[RFC3711]のセクション4.1.1は、AESカウンターモード暗号化を定義します。これはAES_CMと呼ばれます。この定義は、すべてのAESキーサイズに適用されます。このメモでは、AES-192カウンターモードとAES-256カウンターモードで、それぞれAES_192_CMおよびAES_256_CMとして示されています。これらの両方の暗号では、ブロック暗号へのプレーンテキスト入力がAES_CMのように形成され、ブロック暗号出力はAES_CMのように処理されます。処理の唯一の違いは、AES_192_CMがAES-192を使用し、AES_256_CMがAES-256を使用することです。AES_192_CMとAES_256_CMの両方は、AES_CMと同様に、112ビット塩を入力として使用します。
For the convenience of the reader, the structure of the counter blocks in SRTP counter mode encryption is illustrated in Figure 1, using the terminology from Section 4.1.1 of [RFC3711]. In this diagram, the symbol (+) denotes the bitwise exclusive-or operation, and the AES encrypt operation uses AES-128, AES-192, or AES-256 for AES_CM, AES_192_CM, and AES_256_CM, respectively. The field labeled b_c contains a block counter, the value of which increments once for each invocation of the "AES Encrypt" function. The SSRC field is part of the RTP header [RFC3550].
読者の利便性のために、[RFC3711]のセクション4.1.1の用語を使用して、SRTPカウンターモード暗号化のカウンターブロックの構造を図1に示します。この図では、シンボル()はビットワイズの排他的または操作を示し、AES暗号操作は、それぞれAES_CM、AES_192_CM、およびAES_256_CMのAES-128、AES-192、またはAES-256を使用します。B_Cというラベルの付いたフィールドには、ブロックカウンターが含まれており、その値は「AES暗号化」関数の各呼び出しに対して1回増加します。SSRCフィールドは、RTPヘッダー[RFC3550]の一部です。
one octet
<-->
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|00|00|00|00| SSRC | packet index | b_c |---+
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ |
|
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ v
| salt (k_s) |00|00|->(+)
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ |
|
v
+-------------+
encryption key (k_e) -> | AES encrypt |
+-------------+
|
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ |
| keystream block |<--+
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
Figure 1: AES Counter Mode
図1:AESカウンターモード
Section 4.3.3 of [RFC3711] defines an AES counter mode key derivation function, which it refers to as AES_CM PRF (and sometimes as AES-CM PRF). (That specification uses the term PRF, or pseudo-random function, interchangeably with the phrase "key derivation function".) This key derivation function can be used with any AES key size. In this note, the AES-192 counter mode PRF and AES-256 counter mode PRF are denoted as AES_192_CM_PRF and AES_256_CM_PRF, respectively. In both of these PRFs, the plaintext inputs to the block cipher are formed as in the AES_CM PRF, and the block cipher outputs are processed as in the AES_CM PRF. The only difference in the processing is that AES_192_CM_PRF uses AES-192, and AES_256_CM_PRF uses AES-256. Both AES_192_CM_PRF and AES_256_CM_PRF use a 112-bit salt as an input, as does the AES_CM PRF.
[RFC3711]のセクション4.3.3は、AESカウンターモードキー派生関数を定義します。これは、AES_CM PRFと呼ばれます(場合によってはAES-CM PRFと呼ばれます)。(その仕様では、PRFという用語、または擬似ランダム関数という用語を使用します。これは、「キー派生関数」というフレーズと同じ意味で使用できます。)このキー導出関数は、任意のAESキーサイズで使用できます。このメモでは、AES-192カウンターモードPRFおよびAES-256カウンターモードPRFは、それぞれAES_192_CM_PRFおよびAES_256_CM_PRFとして示されています。これらのPRFの両方で、ブロック暗号へのプレーンテキスト入力はAES_CM PRFのように形成され、ブロック暗号出力はAES_CM PRFのように処理されます。処理の唯一の違いは、AES_192_CM_PRFがAES-192を使用し、AES_256_CM_PRFがAES-256を使用することです。AES_192_CM_PRFとAES_256_CM_PRFの両方は、AES_CM PRFと同様に、112ビット塩を入力として使用します。
For the convenience of the reader, the structure of the counter blocks in SRTP counter mode key derivation is illustrated in Figure 2, using the terminology from Section 4.3.3 of [RFC3711]. In this diagram, the symbol (+) denotes the bitwise exclusive-or operation, and the "AES Encrypt" operation uses AES-128, AES-192, or AES-256 for the AES_CM PRF, AES_192_CM_PRF, and AES_256_CM_PRF, respectively. The field "LB" contains the 8-bit constant "label", which is provided as an input to the key derivation function (and which is distinct for each type of key generated by that function). The field labeled b_c contains a block counter, the value of which increments once for each invocation of the "AES Encrypt" function. The DIV operation is defined in Section 4.3.1 of [RFC3711] as follows. Let "a DIV t" denote integer division of a by t, rounded down, and with the convention that "a DIV 0 = 0" for all a. We also make the convention of treating "a DIV t" as a bit string of the same length as a, and thus "a DIV t" will, in general, have leading zeros.
読者の利便性のために、[RFC3711]のセクション4.3.3の用語を使用して、SRTPカウンターモードキーの導出のカウンターブロックの構造を図2に示します。この図では、シンボル()はビットワイズの排他的または操作を示し、「AES暗号」操作は、AES-128、AES-192、またはAES-256を使用してAES_CM PRF、AES_192_CM_PRF、AES_256_CM_PRFを使用します。フィールド「LB」には、8ビット定数「ラベル」が含まれています。これは、キー導出関数への入力として提供されます(この関数によって生成されるキーの各タイプで異なる)。B_Cというラベルの付いたフィールドには、ブロックカウンターが含まれており、その値は「AES暗号化」関数の各呼び出しに対して1回増加します。DIV操作は、[RFC3711]のセクション4.3.1で次のように定義されています。「A div t」は、by aの整数分割を示し、丸められ、すべてのaに対して「div 0 = 0」という規則とともに示されます。また、「A Div T」をAと同じ長さの少しの文字列として扱う慣習を作成します。
one octet
<-->
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|00|00|00|00|00|00|00|LB| index DIV kdr | b_c |---+
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ |
|
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ v
| master salt |00|00|->(+)
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ |
|
v
+-------------+
master key -> | AES encrypt |
+-------------+
|
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ |
| output block |<--+
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
Figure 2: The AES Counter Mode Key Derivation Function
図2:AESカウンターモードキー派生関数
When AES_192_CM is used for encryption, AES_192_CM_PRF SHOULD be used as the key derivation function, and AES_128_CM_PRF MUST NOT be used as the key derivation function.
AES_192_CMが暗号化に使用される場合、AES_192_CM_PRFをキー導入関数として使用する必要があり、AES_128_CM_PRFをキー誘導関数として使用してはなりません。
When AES_256_CM is used for encryption, AES_256_CM_PRF SHOULD be used as the key derivation function. Both AES_128_CM_PRF and AES_192_CM_PRF MUST NOT be used as the key derivation function.
AES_256_CMが暗号化に使用される場合、AES_256_CM_PRFをキー誘導関数として使用する必要があります。AES_128_CM_PRFとAES_192_CM_PRFの両方をキー導入関数として使用してはなりません。
AES_256_CM_PRF MAY be used as the key derivation function when AES_CM is used for encryption, and when AES_192_CM is used for encryption. AES_192_CM_PRF MAY be used as the key derivation function when AES_CM is used for encryption.
AES_256_CM_PRFは、AES_CMが暗号化に使用される場合、およびAES_192_CMを暗号化に使用する場合、キー誘導関数として使用できます。AES_192_CM_PRFは、AES_CMが暗号化に使用される場合、キー導入関数として使用できます。
Rationale: it is essential that the cryptographic strength of the key derivation meets or exceeds that of the encryption method. It is natural to use the same function for both encryption and key derivation. However, it is not required to do so because it is desirable to allow these ciphers to be used with alternative key derivation functions that may be defined in the future.
理論的根拠:キー派生の暗号化強度が暗号化法のそれを満たすかそれを超えることが不可欠です。暗号化とキー派生の両方に同じ関数を使用することは自然です。ただし、これらの暗号を将来定義する可能性のある代替キー派生関数で使用できるようにすることが望ましいため、そうする必要はありません。
This section defines SRTP crypto suites that use the ciphers and key derivation functions defined in this document. The parameters in these crypto suites are described in Section 8.2 of [RFC3711]. These suites are registered with IANA for use with the SDP Security Descriptions attributes (Section 10.3.2.1 of [RFC4568]). Other SRTP key management methods that use the crypto functions defined in this document are encouraged to also use these crypto suite definitions.
このセクションでは、このドキュメントで定義されている暗号とキー導出関数を使用するSRTP Cryptoスイートを定義します。これらの暗号スイートのパラメーターは、[RFC3711]のセクション8.2で説明されています。これらのスイートは、SDPセキュリティ説明属性([RFC4568]のセクション10.3.2.1)で使用するためにIANAに登録されています。このドキュメントで定義されている暗号関数を使用する他のSRTP主要な管理方法は、これらのCryptoスイート定義も使用することをお勧めします。
Rationale: the crypto suites use the same authentication function that is mandatory to implement in SRTP, HMAC-SHA1 with a 160-bit key. HMAC-SHA1 would accept larger key sizes, but when it is used with keys larger than 160 bits, it does not provide resistance to cryptanalysis greater than that security level, because it has only 160 bits of internal state. By retaining 160-bit authentication keys, the crypto suites in this note have more compatibility with existing crypto suites and implementations of them.
理論的根拠:暗号スイートは、160ビットキーを備えたSRTP、HMAC-SHA1で実装することが必須の同じ認証関数を使用します。HMAC-Sha1はより大きなキーサイズを受け入れますが、160ビットを超えるキーで使用される場合、160ビットの内部状態しかないため、セキュリティレベルよりも大きな暗号分析に対する抵抗を提供しません。160ビット認証キーを保持することにより、このメモの暗号スイートは、既存の暗号スイートとそれらの実装との互換性を高めます。
+------------------------------+------------------------------------+
| Parameter | Value |
+------------------------------+------------------------------------+
| Master key length | 192 bits |
| Master salt length | 112 bits |
| Key Derivation Function | AES_192_CM_PRF (Section 3) |
| Default key lifetime | 2^31 packets |
| Cipher (for SRTP and SRTCP) | AES_192_CM (Section 2) |
| SRTP authentication function | HMAC-SHA1 (Section 4.2.1 of |
| | [RFC3711]) |
| SRTP authentication key | 160 bits |
| length | |
| SRTP authentication tag | 80 bits |
| length | |
| SRTCP authentication | HMAC-SHA1 (Section 4.2.1 of |
| function | [RFC3711]) |
| SRTCP authentication key | 160 bits |
| length | |
| SRTCP authentication tag | 80 bits |
| length | |
+------------------------------+------------------------------------+
Table 1: The AES_192_CM_HMAC_SHA1_80 Crypto Suite
表1:AES_192_CM_HMAC_SHA1_80 Crypto Suite
+------------------------------+------------------------------------+
| Parameter | Value |
+------------------------------+------------------------------------+
| Master key length | 192 bits |
| Master salt length | 112 bits |
| Key Derivation Function | AES_192_CM_PRF (Section 3) |
| Default key lifetime | 2^31 packets |
| Cipher (for SRTP and SRTCP) | AES_192_CM (Section 2) |
| SRTP authentication function | HMAC-SHA1 (Section 4.2.1 of |
| | [RFC3711]) |
| SRTP authentication key | 160 bits |
| length | |
| SRTP authentication tag | 32 bits |
| length | |
| SRTCP authentication | HMAC-SHA1 (Section 4.2.1 of |
| function | [RFC3711]) |
| SRTCP authentication key | 160 bits |
| length | |
| SRTCP authentication tag | 80 bits |
| length | |
+------------------------------+------------------------------------+
Table 2: The AES_192_CM_HMAC_SHA1_32 Crypto Suite
表2:AES_192_CM_HMAC_SHA1_32 Crypto Suite
+------------------------------+------------------------------------+
| Parameter | Value |
+------------------------------+------------------------------------+
| Master key length | 256 bits |
| Master salt length | 112 bits |
| Key Derivation Function | AES_256_CM_PRF (Section 3) |
| Default key lifetime | 2^31 packets |
| Cipher (for SRTP and SRTCP) | AES_256_CM (Section 2) |
| SRTP authentication function | HMAC-SHA1 (Section 4.2.1 of |
| | [RFC3711]) |
| SRTP authentication key | 160 bits |
| length | |
| SRTP authentication tag | 80 bits |
| length | |
| SRTCP authentication | HMAC-SHA1 (Section 4.2.1 of |
| function | [RFC3711]) |
| SRTCP authentication key | 160 bits |
| length | |
| SRTCP authentication tag | 80 bits |
| length | |
+------------------------------+------------------------------------+
Table 3: The AES_256_CM_HMAC_SHA1_80 Crypto Suite
表3:AES_256_CM_HMAC_SHA1_80 Crypto Suite
+------------------------------+------------------------------------+
| Parameter | Value |
+------------------------------+------------------------------------+
| Master key length | 256 bits |
| Master salt length | 112 bits |
| Key Derivation Function | AES_256_CM_PRF (Section 3) |
| Default key lifetime | 2^31 packets |
| Cipher (for SRTP and SRTCP) | AES_256_CM (Section 2) |
| SRTP authentication function | HMAC-SHA1 (Section 4.2.1 of |
| | [RFC3711]) |
| SRTP authentication key | 160 bits |
| length | |
| SRTP authentication tag | 32 bits |
| length | |
| SRTCP authentication | HMAC-SHA1 (Section 4.2.1 of |
| function | [RFC3711]) |
| SRTCP authentication key | 160 bits |
| length | |
| SRTCP authentication tag | 80 bits |
| length | |
+------------------------------+------------------------------------+
Table 4: The AES_256_CM_HMAC_SHA1_32 Crypto Suite
表4:AES_256_CM_HMAC_SHA1_32 Crypto Suite
IANA has assigned the following parameters in the Session Description Protocol (SDP) Security Descriptions registry.
IANAは、セッション説明プロトコル(SDP)セキュリティ説明レジストリに次のパラメーターを割り当てました。
+-------------------------+-----------+
| Crypto Suite Name | Reference |
+-------------------------+-----------+
| AES_192_CM_HMAC_SHA1_80 | [RFC6188] |
| AES_192_CM_HMAC_SHA1_32 | [RFC6188] |
| AES_256_CM_HMAC_SHA1_80 | [RFC6188] |
| AES_256_CM_HMAC_SHA1_32 | [RFC6188] |
+-------------------------+-----------+
AES-128 provides a level of security that is widely regarded as being more than sufficient for providing confidentiality. It is believed that the economic cost of breaking AES-128 is significantly higher than the cost of more direct approaches to violating system security, e.g., theft, bribery, wiretapping, and other forms of malfeasance.
AES-128は、機密性を提供するのに十分すぎると広く見なされているセキュリティのレベルを提供します。AES-128を破る経済的コストは、システムセキュリティ、例えば盗難、贈収賄、盗聴、およびその他の形態の不正行為に違反するためのより直接的なアプローチのコストよりも大幅に高いと考えられています。
Future advances in state-of-the art cryptanalysis could eliminate this confidence in AES-128, and motivate the use of AES-192 or AES-256. AES-192 is regarded as being secure even against some adversaries for which breaking AES-128 may be feasible. Similarly, AES-256 is regarded as being secure even against some adversaries for which it may be feasible to break AES-192. The availability of the larger key size versions of AES provides a fallback plan in case of unanticipated cryptanalytic results.
最先端の暗号化の将来の進歩は、AES-128に対するこの自信を排除し、AES-192またはAES-256の使用を動機付ける可能性があります。AES-192は、AES-128を破ることが実現可能である可能性がある敵に対しても安全であると見なされています。同様に、AES-256は、AES-192を破ることが実行可能である敵に対してさえ安全であると見なされています。AESのより大きなキーサイズバージョンの可用性は、予期しない暗号化結果の場合にフォールバック計画を提供します。
It is conjectured that AES-256 provides adequate security even against adversaries that possess the ability to construct a quantum computer that works on 256 or more quantum bits. No such computer is known to exist; its feasibility is an area of active speculation and research.
AES-256は、256以上の量子ビットで動作する量子コンピューターを構築する能力を備えた敵に対しても適切なセキュリティを提供すると推測されます。そのようなコンピューターは存在することは知られていない。その実現可能性は、積極的な憶測と研究の分野です。
Despite the apparent sufficiency of AES-128, some users are interested in the larger AES key sizes. For some applications, the 40% increase in computational cost for AES-256 over AES-128 is a worthwhile bargain when traded for the security advantages outlined above. These applications include those with a perceived need for very high security, e.g., due to a desire for very long-term confidentiality.
AES-128の明らかな十分性にもかかわらず、一部のユーザーはより大きなAESキーサイズに興味があります。一部のアプリケーションでは、AES-128を介したAES-256の計算コストの40%の増加は、上記のセキュリティの利点と取引された場合、価値のある掘り出し物です。これらのアプリケーションには、非常に長期的な機密性を求めているため、非常に高いセキュリティの必要性が非常に高いと認識されているアプリケーションが含まれます。
AES-256 (as it is used in this note) provides the highest level of security, and it SHOULD be used whenever the highest possible security is desired. AES-192 provides a middle ground between the 128-bit and 256-bit versions of AES, and it MAY be used when security higher than that of AES-128 is desired. In this note, AES-192 and AES-256 are used with keys that are generated via a strong pseudo-random source, and thus the related-key attacks that have been described in the theoretical literature are not applicable.
AES-256(このメモで使用されているため)は、最高レベルのセキュリティを提供し、可能な限り最高のセキュリティが望まれる場合はいつでも使用する必要があります。AES-192は、AESの128ビットバージョンと256ビットバージョンの間の中間地面を提供し、AES-128のセキュリティよりも高いセキュリティが望ましい場合に使用される場合があります。このメモでは、AES-192およびAES-256は、強力な擬似ランダムソースを介して生成されるキーで使用されているため、理論文献で説明されている関連キー攻撃は適用されません。
As with any cipher, the conjectured security level of AES may change over time. The considerations in this section reflect the best knowledge available at the time of publication of this document.
他の暗号と同様に、推測されるAEのセキュリティレベルは時間とともに変化する可能性があります。このセクションの考慮事項は、この文書の公開時に利用可能な最良の知識を反映しています。
It is desirable that AES_192_CM and AES_192_CM_PRF be used with an authentication function that uses a 192-bit key, and that AES_256_CM and AES_256_CM_PRF be used with an authentication function that uses a 256-bit key. However, this desire is not regarded as security critical. Cryptographic authentication is resilient against future advances in cryptanalysis, since the opportunity for a forgery attack against a session closes when that session closes. For this reason, this note defines new ciphers, but not new authentication functions.
AES_192_CMおよびAES_192_CM_PRFは、192ビットキーを使用する認証関数で使用し、AES_256_CMとAES_256_CM_PRFを256ビットキーを使用する認証関数で使用することが望ましい。ただし、この欲求はセキュリティが重要であるとは見なされていません。暗号化認証は、セッションに対する偽造攻撃の機会が終了すると終了するため、暗号化の将来の進歩に対して弾力性があります。このため、このメモは新しい暗号を定義しますが、新しい認証関数は定義されていません。
The test cases in this section are based on Appendix B of [RFC3711].
このセクションのテストケースは、[RFC3711]の付録Bに基づいています。
Keystream segment length: 1044512 octets (65282 AES blocks)
Session Key: 57f82fe3613fd170a85ec93c40b1f092
2ec4cb0dc025b58272147cc438944a98
Rollover Counter: 00000000
Sequence Number: 0000
SSRC: 00000000
Session Salt: f0f1f2f3f4f5f6f7f8f9fafbfcfd0000 (already shifted)
Offset: f0f1f2f3f4f5f6f7f8f9fafbfcfd0000
Counter Keystream
カウンターキーストリーム
f0f1f2f3f4f5f6f7f8f9fafbfcfd0000 92bdd28a93c3f52511c677d08b5515a4
f0f1f2f3f4f5f6f7f8f9fafbfcfd0001 9da71b2378a854f67050756ded165bac
f0f1f2f3f4f5f6f7f8f9fafbfcfd0002 63c4868b7096d88421b563b8c94c9a31
... ...
f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff cea518c90fd91ced9cbb18c078a54711
f0f1f2f3f4f5f6f7f8f9fafbfcfdff00 3dbc4814f4da5f00a08772b63c6a046d
f0f1f2f3f4f5f6f7f8f9fafbfcfdff01 6eb246913062a16891433e97dd01a57f
This section provides test data for the AES_256_CM_PRF key derivation function, which uses AES-256 in counter mode. In the following, we walk through the initial key derivation for the AES-256 counter mode cipher, which requires a 32-octet session encryption key and a 14- octet session salt, and the HMAC-SHA1 authentication function, which requires a 20-octet session authentication key. These values are called the cipher key, the cipher salt, and the auth key in the following. Since this is the initial key derivation and the key derivation rate is equal to zero, the value of (index DIV key_derivation_rate) is zero (actually, a six-octet string of zeros). In the following, we shorten key_derivation_rate to kdr.
このセクションでは、AES_256_CM_PRFキー派生関数のテストデータを提供します。これは、AES-256をカウンターモードで使用します。以下では、AES-256カウンターモード暗号の最初のキー導出を進めます。これには、32-OCTETセッション暗号化キーと14-オクテットセッションソルト、および20-が必要なHMAC-Sha1認証関数が必要です。Octetセッション認証キー。これらの値は、暗号キー、暗号塩、および次のAuthキーと呼ばれます。これは初期キー導入であり、キー導出速度はゼロに等しいため、(index div key_derivation_rate)の値はゼロです(実際、ゼロの6オクテットの文字列)。以下では、key_derivation_rateをKDRに短縮します。
The inputs to the key derivation function are the 32-octet master key and the 14-octet master salt:
キー派生関数への入力は、32-OCTETマスターキーと14オクテットのマスターソルトです。
master key: f0f04914b513f2763a1b1fa130f10e29 98f6f6e43e4309d1e622a0e332b9f1b6 master salt: 3b04803de51ee7c96423ab5b78d2
マスターキー:F0F04914B513F2763A1B1FA130F10E29 98F6F6E43E4309D1E622A0E332B9F1B6マスターソルト:3B04803DE51EE7C96423AB55B78D2
We first show how the cipher key is generated. The input block for AES-256-CM is generated by exclusive-oring the master salt with the concatenation of the encryption key label 0x00 with (index DIV kdr), then padding on the right with two null octets (which implements the multiply-by-2^16 operation, see Section 4.3.3 of RFC 3711). The resulting value is then AES-256-CM-encrypted using the master key to get the cipher key.
まず、暗号キーがどのように生成されるかを示します。AES-256-cmの入力ブロックは、暗号化キーラベル0x00(index div kdr)の連結を備えたマスターソルトを排他的に固定することにより生成され、右側に2つのnullオクテット(マルチプライを実装する)でパディングします。-2^16操作、RFC 3711のセクション4.3.3を参照)。結果の値は、マスターキーを使用してAES-256-cm暗号化され、暗号キーを取得します。
index DIV kdr: 000000000000
label: 00
master salt: 3b04803de51ee7c96423ab5b78d2
-----------------------------------------------
xor: 3b04803de51ee7c96423ab5b78d2 (x, PRF input)
x*2^16: 3b04803de51ee7c96423ab5b78d20000 (AES-256-CM input)
x*2^16 + 1: 3b04803de51ee7c96423ab5b78d20001 (2nd AES input)
cipher key: 5ba1064e30ec51613cad926c5a28ef73 (1st AES output) 1ec7fb397f70a960653caf06554cd8c4 (2nd AES output)
暗号キー:5BA1064E30EC51613CAD926C5A28EF73(1番目のAES出力)1EC7FB397F70A960653CAF0654CD8C4(2番目のAES出力)
Next, we show how the cipher salt is generated. The input block for AES-256-CM is generated by exclusive-oring the master salt with the concatenation of the encryption salt label. That value is padded and encrypted as above.
次に、暗号塩がどのように生成されるかを示します。AES-256-CMの入力ブロックは、暗号化塩ラベルの連結を伴うマスターソルトを独占的に固定することにより生成されます。その値は、上記のようにパッド入り、暗号化されています。
index DIV kdr: 000000000000 label: 02 master salt: 3b04803de51ee7c96423ab5b78d2
インデックスDIV KDR:000000000000ラベル:02マスターソルト:3B04803DE51EE7C96423AB5B78D2
----------------------------------------------
xor: 3b04803de51ee7cb6423ab5b78d2 (x, PRF input)
x*2^16: 3b04803de51ee7cb6423ab5b78d20000 (AES-256-CM input)
fa31791685ca444a9e07c6c64e93ae6b (AES-256 ouptut)
FA31791685CA444A9E07C6C64E93AE6B(AES-256出力)
cipher salt: fa31791685ca444a9e07c6c64e93
暗号塩:FA31791685CA444A9E07C6C64E93
We now show how the auth key is generated. The input block for AES-256-CM is generated as above, but using the authentication key label.
Authキーがどのように生成されるかを示します。AES-256-CMの入力ブロックは上記のように生成されますが、認証キーラベルを使用します。
index DIV kdr: 000000000000
label: 01
master salt: 3b04803de51ee7c96423ab5b78d2
-----------------------------------------------
xor: 3b04803de51ee7c86423ab5b78d2 (x, PRF input)
x*2^16: 3b04803de51ee7c86423ab5b78d20000 (AES-256-CM in)
Below, the AES-256 output blocks that form the auth key are shown on the left, while the corresponding AES-256 input blocks are shown on the right. Note that the final AES-256 output is truncated to a 4-byte length. The final auth key is shown below.
以下に、認証キーを形成するAES-256出力ブロックが左に表示され、対応するAES-256入力ブロックが右に表示されます。最終的なAES-256出力は4バイトの長さに切り捨てられていることに注意してください。最終的な認証キーを以下に示します。
auth key blocks AES-256 input blocks
fd9c32d39ed5fbb5a9dc96b30818454d 3b04803de51ee7c86423ab5b78d20000
1313dc05 3b04803de51ee7c86423ab5b78d20001
auth key: fd9c32d39ed5fbb5a9dc96b30818454d1313dc05
Keystream segment length: 1044512 octets (65282 AES blocks)
Session Key: eab234764e517b2d3d160d587d8c8621
9740f65f99b6bcf7
Rollover Counter: 00000000
Sequence Number: 0000
SSRC: 00000000
Session Salt: f0f1f2f3f4f5f6f7f8f9fafbfcfd0000 (already shifted)
Offset: f0f1f2f3f4f5f6f7f8f9fafbfcfd0000
Counter Keystream
カウンターキーストリーム
f0f1f2f3f4f5f6f7f8f9fafbfcfd0000 35096cba4610028dc1b57503804ce37c
f0f1f2f3f4f5f6f7f8f9fafbfcfd0001 5de986291dcce161d5165ec4568f5c9a
f0f1f2f3f4f5f6f7f8f9fafbfcfd0002 474a40c77894bc17180202272a4c264d
... ...
f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff d108d1a31a00bad6367ec23eb044b415
f0f1f2f3f4f5f6f7f8f9fafbfcfdff00 c8f57129fdeb970b59f917b257662d4c
f0f1f2f3f4f5f6f7f8f9fafbfcfdff01 a5dab625811034e8cebdfeb6dc158dd3
This section provides test data for the AES_192_CM_PRF key derivation function, which uses AES-192 in counter mode. In the following, we walk through the initial key derivation for the AES-192 counter mode cipher, which requires a 24-octet session encryption key and a 14- octet session salt, and the HMAC-SHA1 authentication function, which requires a 20-octet session authentication key. These values are called the cipher key, the cipher salt, and the auth key in the following. Since this is the initial key derivation and the key derivation rate is equal to zero, the value of (index DIV key_derivation_rate) is zero (actually, a six-octet string of zeros). In the following, we shorten key_derivation_rate to kdr.
このセクションでは、AES_192_CM_PRFキー派生関数のテストデータを提供します。これは、AES-192をカウンターモードで使用します。以下では、AES-192カウンターモード暗号の最初のキー導出を進めます。これには、24オクテットセッション暗号化キーと14-オクテットセッションの塩、および20-が必要なHMAC-SHA1認証関数が必要です。Octetセッション認証キー。これらの値は、暗号キー、暗号塩、および次のAuthキーと呼ばれます。これは初期キー導入であり、キー導出速度はゼロに等しいため、(index div key_derivation_rate)の値はゼロです(実際、ゼロの6オクテットの文字列)。以下では、key_derivation_rateをKDRに短縮します。
The inputs to the key derivation function are the 24-octet master key and the 14-octet master salt:
キー派生関数への入力は、24オクテットマスターキーと14オクテットのマスターソルトです。
master key: 73edc66c4fa15776fb57f9505c171365 50ffda71f3e8e5f1 master salt: c8522f3acd4ce86d5add78edbb11
マスターキー:73EDC66C4FA15776FB57F9505C171365 50FFDA71F3E8E5F1マスターソルト:C8522F3ACD4CE86D5ADDD78EDBB11
We first show how the cipher key is generated. The input block for AES-192-CM is generated by exclusive-oring the master salt with the concatenation of the encryption key label 0x00 with (index DIV kdr), then padding on the right with two null octets (which implements the multiply-by-2^16 operation, see Section 4.3.3 of RFC 3711). The resulting value is then AES-192-CM encrypted using the master key to get the cipher key.
まず、暗号キーがどのように生成されるかを示します。AES-192-cmの入力ブロックは、暗号化キーラベル0x00(index div kdr)の連結を備えたマスターソルトを排他的に固定することにより生成され、右側に2つのnullオクテット(マルチプライを実装する)でパディングします。-2^16操作、RFC 3711のセクション4.3.3を参照)。結果の値は、マスターキーを使用してAES-192-cm暗号化され、暗号キーを取得します。
index DIV kdr: 000000000000
label: 00
master salt: c8522f3acd4ce86d5add78edbb11
-----------------------------------------------
xor: c8522f3acd4ce86d5add78edbb11 (x, PRF input)
x*2^16: c8522f3acd4ce86d5add78edbb110000 (AES-192-CM input)
x*2^16 + 1: c8522f3acd4ce86d5add78edbb110001 (2nd AES input)
cipher key: 31874736a8f1143870c26e4857d8a5b2 (1st AES output) c4a354407faadabb (2nd AES output)
Cipher Key:31874736A8F1143870C26E4857D8A5B2(1番目のAES出力)C4A354407FAADABB(2番目のAES出力)
Next, we show how the cipher salt is generated. The input block for AES-192-CM is generated by exclusive-oring the master salt with the concatenation of the encryption salt label. That value is padded and encrypted as above.
次に、暗号塩がどのように生成されるかを示します。AES-192-CMの入力ブロックは、暗号化塩ラベルの連結を伴うマスターソルトを独占的に固定することにより生成されます。その値は、上記のようにパッド入り、暗号化されています。
index DIV kdr: 000000000000 label: 02 master salt: c8522f3acd4ce86d5add78edbb11
インデックスDIV KDR:000000000000ラベル:02マスターソルト:C8522F3ACD4CE86D5ADD78EDBB11
----------------------------------------------
xor: c8522f3acd4ce86f5add78edbb11 (x, PRF input)
x*2^16: c8522f3acd4ce86f5add78edbb110000 (AES-192-CM input)
2372b82d639b6d8503a47adc0a6c2590 (AES-192 ouptut)
2372B82D639B6D8503A47ADC0A6C2590(AES-192出力)
cipher salt: 2372b82d639b6d8503a47adc0a6c
暗号塩:2372B82D639B6D8503A47ADC0A6C
We now show how the auth key is generated. The input block for AES-192-CM is generated as above, but using the authentication key label.
Authキーがどのように生成されるかを示します。AES-192-CMの入力ブロックは上記のように生成されますが、認証キーラベルを使用します。
index DIV kdr: 000000000000
label: 01
master salt: c8522f3acd4ce86d5add78edbb11
-----------------------------------------------
xor: c8522f3acd4ce86c5add78edbb11 (x, PRF input)
x*2^16: c8522f3acd4ce86c5add78edbb110000 (AES-192-CM in)
Below, the AES-192 output blocks that form the auth key are shown on the left, while the corresponding AES-192 input blocks are shown on the right. Note that the final AES-192 output is truncated to a four-byte length. The final auth key is shown below.
以下に、認証キーを形成するAES-192出力ブロックが左に表示され、対応するAES-192入力ブロックが右に表示されます。最終的なAES-192出力は4バイトの長さに切り捨てられていることに注意してください。最終的な認証キーを以下に示します。
auth key blocks AES-192 input blocks
355b10973cd95b9eacf4061c7e1a7151 c8522f3acd4ce86c5add78edbb110000
e7cfbfcb c8522f3acd4ce86c5add78edbb110001
auth key: 355b10973cd95b9eacf4061c7e1a7151e7cfbfcb
Thanks are due to John Mattsson for verifying the test cases in the document and providing comments, to Bob Bell for feedback and encouragement, and to Richard Barnes and Hilarie Orman for constructive review.
ドキュメントのテストケースを確認し、コメントを提供してくれたジョンマッツソン、フィードバックと励ましのためのボブベル、および建設的なレビューのためにリチャードバーンズとヒラリーオルマンに感謝します。
[FIPS197] "The Advanced Encryption Standard (AES)", FIPS-197 Federal Information Processing Standard.
[FIPS197]「高度な暗号化標準(AES)」、FIPS-197連邦情報処理標準。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC3550] Schulzrinne, H., Casner, S., Frederick, R., and V. Jacobson, "RTP: A Transport Protocol for Real-Time Applications", STD 64, RFC 3550, July 2003.
[RFC3550] Schulzrinne、H.、Casner、S.、Frederick、R。、およびV. Jacobson、「RTP:リアルタイムアプリケーション用の輸送プロトコル」、STD 64、RFC 3550、2003年7月。
[RFC3711] Baugher, M., McGrew, D., Naslund, M., Carrara, E., and K. Norrman, "The Secure Real-time Transport Protocol (SRTP)", RFC 3711, March 2004.
[RFC3711] Baugher、M.、McGrew、D.、Naslund、M.、Carrara、E。、およびK. Norrman、「The Secure Real-Time Transport Protocol(SRTP)」、RFC 3711、2004年3月。
[RFC4568] Andreasen, F., Baugher, M., and D. Wing, "Session Description Protocol (SDP) Security Descriptions for Media Streams", RFC 4568, July 2006.
[RFC4568] Andreasen、F.、Baugher、M。、およびD. Wing、「セッション説明プロトコル(SDP)メディアストリームのセキュリティ説明」、RFC 4568、2006年7月。
[suiteB] "Suite B Cryptography", http://www.nsa.gov/ia/programs/ suiteb_cryptography/index.shtml.
[SuiteB] "Suite B Cryptography"、http://www.nsa.gov/ia/programs/ suiteb_cryptography/index.shtml。
Author's Address
著者の連絡先
David A. McGrew Cisco Systems, Inc. 510 McCarthy Blvd. Milpitas, CA 95035 US
David A. McGrew Cisco Systems、Inc。510 McCarthy Blvd.Milpitas、CA 95035 US
Phone: (408) 525 8651
EMail: mcgrew@cisco.com
URI: http://www.mindspring.com/~dmcgrew/dam.htm