[要約] RFC 6194は、SHA-0およびSHA-1メッセージダイジェストアルゴリズムのセキュリティに関する考慮事項をまとめたものです。目的は、これらのアルゴリズムのセキュリティ上の脆弱性を明らかにし、より安全な代替手段への移行を促すことです。
Internet Engineering Task Force (IETF) T. Polk
Request for Comments: 6194 L. Chen
Category: Informational NIST
ISSN: 2070-1721 S. Turner
IECA
P. Hoffman
VPN Consortium
March 2011
Security Considerations for the SHA-0 and SHA-1 Message-Digest Algorithms
SHA-0およびSHA-1メッセージダイジェストアルゴリズムのセキュリティ上の考慮事項
Abstract
概要
This document includes security considerations for the SHA-0 and SHA-1 message digest algorithm.
このドキュメントには、SHA-0およびSHA-1メッセージダイジェストアルゴリズムのセキュリティに関する考慮事項が含まれています。
Status of This Memo
本文書の位置付け
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントは、インターネット標準の追跡仕様ではありません。情報目的で公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補者ではありません。RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6194.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc6194で取得できます。
Copyright Notice
著作権表示
Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2011 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。
The Secure Hash Algorithms are specified in [SHS]. A previous version of [SHS] also specified SHA-0. SHA-0, first published in 1993, and SHA-1, first published in 1996, are message digest algorithms, sometimes referred to as hash functions or hash algorithms, that take as input a message of arbitrary length and produce as output a 160-bit "fingerprint" or "message digest" of the input. The published attacks against both algorithms show that it is not prudent to use either algorithm when collision resistance is required.
安全なハッシュアルゴリズムは[SHS]で指定されています。[SHS]の以前のバージョンもSHA-0を指定しました。1993年に最初に公開されたSHA-0、1996年に最初に公開されたSHA-1は、メッセージダイジェストアルゴリズムであり、ハッシュ関数またはハッシュアルゴリズムと呼ばれることもあります。入力のビット「指紋」または「メッセージダイジェスト」。両方のアルゴリズムに対する公開された攻撃は、衝突抵抗が必要なときにどちらのアルゴリズムを使用することが賢明ではないことを示しています。
[HASH-Attack] summarizes the use of hashes in Internet protocols and discusses how attacks against a message digest algorithm's one-way and collision-free properties affect and do not affect Internet protocols. Familiarity with [HASH-Attack] is assumed.
[Hash-Attack]は、インターネットプロトコルでのハッシュの使用を要約し、メッセージダイジェストアルゴリズムの一方向および衝突のないプロパティに対する攻撃がどのように影響し、インターネットプロトコルに影響しないかについて説明します。[ハッシュ攻撃]に精通していることが想定されています。
Some may find the guidance for key lengths and algorithm strengths in [SP800-57] and [SP800-131] useful.
[SP800-57]および[SP800-131]の主要な長さとアルゴリズム強度のガイダンスが便利であると思う人もいます。
What follows are summaries of recent attacks against SHA-0's collision, pre-image, and second pre-image resistance. Additionally, attacks against SHA-0 when used as a keyed-hash (e.g., HMAC-SHA-0) are discussed.
以下は、SHA-0の衝突、前イメージ、および2回目のイメージ前抵抗に対する最近の攻撃の要約です。さらに、キー付きハッシュ(HMAC-SHA-0など)として使用した場合のSHA-0に対する攻撃について説明します。
The U.S. National Institute of Standards and Technology (NIST) withdrew SHA-0 in 1996. That is, NIST no longer considers it appropriate to use SHA-0 for any transactions associated with the use of cryptography by U.S. federal government agencies for the protection of sensitive, but unclassified information. SHA-0 is discussed here only for the sake of completeness.
米国国立標準技術研究所(NIST)は、1996年にSHA-0を撤回しました。つまり、NISTは、米国連邦政府機関による暗号化に関連する取引にSHA-0を使用することが適切ではなく、米国連邦政府機関による保護のために適切であるとは考えていません。敏感ですが、分類されていない情報。SHA-0は、完全性のためにのみここで説明されています。
Any use of SHA-0 is strongly discouraged. Analysis of SHA-0 continues today because many see it as a weaker version of SHA-1.
SHA-0の使用は強く落胆しています。SHA-0の分析は、多くの人がSHA-1のより弱いバージョンと見なしているため、今日も続いています。
The first attack on SHA-0 was published in 1998 [CHJO1998] and showed that collisions can be found in 2^61 operations. In 2006, [NSSYK2006] showed an improved attack that can find collisions in 2^36 operations.
SHA-0に対する最初の攻撃は1998年に公開され[CHJO1998]、2^61の操作で衝突が見られることが示されました。2006年、[NSSYK2006]は、2^36の操作で衝突を見つけることができる改善された攻撃を示しました。
In any case, the known research results indicate that SHA-0 is not as collision resistant as expected. The collision security strength is significantly less than an ideal hash function (i.e., 2^36 compared to 2^80).
いずれにせよ、既知の研究結果は、SHA-0が予想どおり衝突抵抗性ではないことを示しています。衝突セキュリティ強度は、理想的なハッシュ関数よりも大幅に少ない(つまり、2^80と比較して2^36)。
The pre-image and second pre-image attacks published on reduced versions of SHA-0 (i.e., less than 80 rounds) indicate that the security margin of SHA-0 is resistant to these attacks. [deCARE2008] showed a pre-image attack on 49 out of 80 rounds with complexity of 2^159, and [AOSA2009] showed a pre-image attack on 52 out of 80 rounds with a complexity of 2^156.
SHA-0の縮小バージョン(つまり、80ラウンド未満)で公開されているイメージ前および2回目の画像前攻撃は、SHA-0のセキュリティマージンがこれらの攻撃に耐性があることを示しています。[Decare2008]は、2^159の複雑さで80ラウンドのうち49回の前項目攻撃を示し、[AOSA2009]は80ラウンドのうち52回で2^156の複雑さでイメージ前の攻撃を示しました。
The current attack vectors on HMAC can be classified as follows: distinguishing attacks, existential forgery attacks, and key recovery attacks. Key recovery attacks are by far the most severe.
HMACの現在の攻撃ベクトルは、次のように分類できます。攻撃の区別、実存的な偽造攻撃、および主要な回復攻撃。主要な回復攻撃は、はるかに深刻です。
Attacks on hash functions can be conducted entirely offline, since the attacker can generate unlimited message-hash value pairs. Attacks on HMACs must be online because attackers need a large amount of HMAC values to deduce the key. The best results for a partial key recovery attack on HMAC-SHA0 were published at Asiacrypt 2006 with 2^84 queries and 2^60 SHA-0 computations [COYI2006].
ハッシュ関数に対する攻撃は、攻撃者が無制限のメッセージハッシュ値ペアを生成できるため、完全にオフラインで実行できます。攻撃者はキーを推定するために大量のHMAC値を必要とするため、HMACに対する攻撃はオンラインでなければなりません。HMAC-Sha0に対する部分的なキー回復攻撃の最良の結果は、AsiacRypt 2006で2^84クエリと2^60 SHA-0計算[COYI2006]で公開されました。
What follows are recent attacks against SHA-1's collision, pre-image, and second pre-image resistance. Additionally, attacks against SHA-1 when used as a keyed-hash (i.e., HMAC-SHA-1) are discussed.
以下は、SHA-1の衝突、前イメージ、および2回目の前イメージ抵抗に対する最近の攻撃です。さらに、キー付きハッシュ(つまり、HMAC-SHA-1)として使用した場合のSHA-1に対する攻撃について説明します。
It must be noted that NIST has recommended that SHA-1 not be used for generating digital signatures after December 31, 2010, and has specified that it not be used for generating digital signatures by U.S. federal government agencies "for the protection of sensitive, but unclassified information" after December 31, 2013 [SP800-131].
NISTは、2010年12月31日以降、SHA-1をデジタル署名の生成に使用しないことを推奨しており、敏感な保護のために米国の連邦政府機関によるデジタル署名の生成に使用されないことを指定していることに注意する必要があります。未分類情報」2013年12月31日以降[SP800-131]。
The first attack on SHA-1 was published in early 2005 [RIOS2005]. This attack described a theoretical attack on a version of SHA-1 reduced to 53 rounds. The very next month [WLY2005] showed collisions in the full 80 rounds in 2^69 operations. Since then, many new analysis methods have been developed to improve the attack presented in [WLY2005]. However, there are no published results that improve upon the results found in [WLY2005]. [Man2008/469], which is the International Association for Cryptologic Research (IACR) ePrint version of [Man2009], claimed that using the method presented in the paper, a collision of full SHA-1 can be found in 2^51 hash function calls. However, this claim is absent from the published conference paper [Man2009].
SHA-1に対する最初の攻撃は、2005年初頭に公開されました[RIOS2005]。この攻撃は、SHA-1のバージョンに対する理論的攻撃が53ラウンドに減少したことを説明しました。次の月[WLY2005]は、2^69の運用で80ラウンド全体で衝突を示しました。それ以来、[WLY2005]で提示された攻撃を改善するために、多くの新しい分析方法が開発されています。ただし、[WLY2005]で見つかった結果を改善する公開された結果はありません。[MAN2008/469]は、[MAN2009]の国際暗号研究協会(IACR)EPRINTバージョンである[MAN2009]のEPRINTバージョンであり、論文で提示された方法を使用して、完全なSHA-1の衝突が2^51ハッシュ関数で見つけることができると主張しました。電話。ただし、この主張は公開された会議論文[MAN2009]にはありません。
In any case, the known research results indicate that SHA-1 is not as collision resistant as expected. The collision security strength is significantly less than an ideal hash function (i.e., 2^69 compared to 2^80).
いずれにせよ、既知の研究結果は、SHA-1が予想どおり衝突抵抗性ではないことを示しています。衝突セキュリティ強度は、理想的なハッシュ関数よりも大幅に少ない(つまり、2^80と比較して2^69)。
There are no known pre-image or second pre-image attacks that are specific to the full round SHA-1 algorithm. [KeSch] discovered a general result for all narrow-pipe Merkle-Damgaard hash functions (which includes SHA-1), finding a second pre-image takes less than 2^n computations. When n = 160, as is the case for SHA-1, it will take 2^106 computations to find a second pre-image in a 60-byte message.
完全なラウンドSHA-1アルゴリズムに固有の既知の前イメージまたは2回目の前イメージ攻撃はありません。[Kesch]は、すべての狭いパイプのMerkle-Damgaardハッシュ関数(SHA-1を含む)の一般的な結果を発見し、2番目の前イメージを見つけると2^n未満の計算が必要です。n = 160の場合、SHA-1の場合と同様に、60バイトのメッセージで2番目のプリイメージを見つけるには2^106の計算が必要です。
In the absence of full-round attacks, cryptographers consider reduced-round attacks for clues regarding an algorithm's strength. Reduced-round attacks, where the number of reduced rounds is not more than a few less than the full rounds, have not been shown to relate to full-round attacks. However, the best reduced-round attack indicates a certain security margin. For example, if the best known attack is on 60 out of 80 rounds, then the algorithm has about 20 rounds to resist improved attacks. However, the relationship between the number of rounds an attack can reach and the number of rounds defined in the algorithm is not linear; it does not provide a mathematical proof. In other words, reduced-round attacks indicate how strong the algorithm is with regard to a certain attack, not how close it is to being broken. Therefore, the following information about reduced-round attacks is included only for completeness.
完全なラウンド攻撃がない場合、暗号作成者は、アルゴリズムの強さに関する手がかりのラウンド攻撃の減少を検討します。ラウンドの減少攻撃は、完全なラウンドよりも少数ではない、完全なラウンドよりも少ないものではなく、フルラウンドの攻撃に関連することは示されていません。ただし、最良のラウンド攻撃は、特定のセキュリティマージンを示しています。たとえば、最もよく知られている攻撃が80ラウンドのうち60ラウンドである場合、アルゴリズムには約20ラウンドがあり、攻撃の改善に抵抗します。ただし、攻撃が到達できるラウンド数と、アルゴリズムで定義されているラウンド数との関係は線形ではありません。数学的な証拠は提供されません。言い換えれば、ラウンド攻撃の減少は、特定の攻撃に関してアルゴリズムがどれほど強いかを示しています。したがって、ラウンド攻撃の減少に関する以下の情報は、完全性のためにのみ含まれています。
The pre-image and second pre-image attacks published on reduced versions of SHA-1 (i.e., less than 80 rounds) indicate that SHA-1 retains a significant security margin against these attacks. [AOSA2009] showed a pre-image attack on 48 out of 80 rounds with complexity of 2^159.
SHA-1の縮小バージョン(つまり、80ラウンド未満)で公開された前イメージ前および2回目の画像前攻撃は、SHA-1がこれらの攻撃に対して有意なセキュリティマージンを保持していることを示しています。[AOSA2009]は、2^159の複雑さで80ラウンドのうち48ラウンドで前イメージ前の攻撃を示しました。
As of today, there is no indication that attacks on SHA-1 can be extended to HMAC-SHA-1.
今日の時点で、SHA-1に対する攻撃をHMAC-Sha-1に拡張できるという兆候はありません。
SHA-1 provides less collision resistance than was originally expected, and collision resistance has been shown to affect some (but not all) applications that use digital signatures. Designers of IETF protocols that use digital signature algorithms should strongly consider support for a hash algorithm with greater collision resistance than that provided by SHA-1. Of course, SHA-0 should continue to not be used in any IETF protocol.
SHA-1は、当初予想されていたよりも衝突抵抗が少なく、衝突抵抗は、デジタル署名を使用する一部の(ただし、すべてではない)アプリケーションに影響を与えることが示されています。デジタル署名アルゴリズムを使用するIETFプロトコルの設計者は、SHA-1が提供するものよりも衝突抵抗が大きいハッシュアルゴリズムのサポートを強く検討する必要があります。もちろん、SHA-0は引き続きIETFプロトコルで使用されないはずです。
[Note: Protocol designers should review the current state of the art to ensure that selected hash algorithms provide sufficient security. At the time of publication, SHA-256 [SHS] is the most commonly specified alternative. The known (reduced-round) attacks on the collision resistance of SHA-256 indicate a significant security margin, and the longer message digest provides increased strength.]
[注:プロトコル設計者は、選択したハッシュアルゴリズムが十分なセキュリティを提供するように、現在の最新技術を確認する必要があります。出版時には、SHA-256 [SHS]は最も一般的に指定されている代替品です。SHA-256の衝突抵抗に対する既知の(ラウンドの縮小)攻撃は、有意なセキュリティマージンを示し、長いメッセージダイジェストは強度の増加を提供します。]
Nearly all IETF protocols that use signatures assume existing public key infrastructures, and SHA-1 is still used in signatures nearly everywhere. Therefore, it is unwise to strictly prohibit the use of SHA-1 in signature algorithms. Protocols that permit the use of SHA-1-based digital signatures as an option should strongly consider referencing this document in the security considerations.
署名を使用するほぼすべてのIETFプロトコルは、既存の公開キーインフラストラクチャを想定しており、SHA-1はまだほぼどこでも署名で使用されています。したがって、署名アルゴリズムでのSHA-1の使用を厳密に禁止することは賢明ではありません。SHA-1ベースのデジタル署名をオプションとして使用できるプロトコルは、セキュリティに関する考慮事項でこのドキュメントを参照することを強く検討する必要があります。
A protocol designer might want to consider the use of SHA-1 with randomized hashing such as is specified in [SP800-107]. Note that randomized hashing expands the size of signatures and requires protocols to carry material that is not needed today. HMAC-SHA-1 remains secure and is the preferred keyed-hash algorithm for IETF protocol design.
プロトコル設計者は、[SP800-107]で指定されているようなランダム化ハッシュを使用してSHA-1の使用を検討することをお勧めします。ランダム化されたハッシュは、署名のサイズを拡張し、今日は必要ない材料を運ぶためにプロトコルが必要であることに注意してください。HMAC-SHA-1は安全であり、IETFプロトコル設計に優先されるキー付きハッシュアルゴリズムです。
This entire document is about security considerations.
このドキュメント全体は、セキュリティ上の考慮事項に関するものです。
We'd like to thank Ran Atkinson and Sheila Frankel for their comments and suggestions.
Ran AtkinsonとSheila Frankelのコメントと提案に感謝します。
[AOSA2009] Aoki, K., and K. Saski, "Meet-in-the-Middle Preimage Attacks Against Reduced SHA-0 and SHA-1", Crypto 2009.
[AOSA2009] Aoki、K。、およびK. Saski、「SHA-0およびSHA-1の減少に対する中間ミドルのプリイメージ攻撃」、Crypto 2009。
[deCARE2008] De Canniere, C., and C. Rechberger, "Preimages for Reduced SHA-0 and SHA-1", Crypto 2008.
[Decare2008] de Canniere、C。、およびC. Rechberger、「Sha-0およびSha-1の減少の前イメージ」、Crypto 2008。
[CHJO1998] Chaubad, F., and A. Joux, "Differential Collisions in SHA-0", Crypto 1998.
[Chjo1998] Chaubad、F。、およびA. Joux、「Sha-0の差動衝突」、Crypto 1998。
[COYI2006] Contini, S., and Y. Lin, "Forgery and Partial Key-Recovery Attacks on HMAC and NMAC Using Hash Collisions", Asiacrypt 2006.
[Coyi2006] Contini、S。、およびY. Lin、「ハッシュ衝突を使用したHMACおよびNMACに対する偽造および部分的なキー回復攻撃」、Asiacrypt 2006。
[HASH-Attack] Hoffman, P. and B. Schneier, "Attacks on Cryptographic Hashes in Internet Protocols", RFC 4270, November 2005.
[ハッシュアタック] Hoffman、P。and B. Schneier、「インターネットプロトコルにおける暗号化ハッシュへの攻撃」、RFC 4270、2005年11月。
[KeSch] Kelsey, J., and B. Schneier, "Second Preimages on n-Bit Hash Functions for Much Less than 2n Work", In Cramer, R., ed.: Eurocrypt 2005. Volume 3494 of Lecture Notes in Computer Science, Springer (2005) 474-490.
[Kesch] Kelsey、J。、およびB. Schneier、「2N未満の作業でNビットハッシュ関数の2番目のプリイメージ」、Cramer、R.、ed。:EuroCrypt2005。、Springer(2005)474-490。
[Man2008/469] Manuell, S., "Classification and Generation of Disturbance Vectors for Collision Attacks against SHA-1", http://eprint.iacr.org/2008/469.pdf.
[MAN2008/469] Manuell、S。、「SHA-1に対する衝突攻撃のための妨害ベクトルの分類と生成」、http://eprint.iacr.org/2008/469.pdf。
[Man2009] Manuell, S., "Classification and Generation of Disturbance Vectors for Collision Attacks against SHA-1", International Workshop on Coding and Cryptography, 2009, Norway.
[MAN2009] Manuell、S。、「SHA-1に対する衝突攻撃のための妨害ベクトルの分類と生成」、コーディングと暗号化に関する国際ワークショップ、2009年、ノルウェー。
[NSSYK2006] Naito, Y., Sasaki, Y., Shimoyama, T., Yajima, J., Kunihiro, N., and K. Ohta, "Improved Collision Search for SHA-0", Asiacrypt 2006.
[NSSYK2006] Naito、Y.、Sasaki、Y.、Shimoyama、T.、Yajima、J.、Kunihiro、N。、およびK. Ohta、「Sha-0の衝突検索の改善」、Asiacrypt 2006。
[RIOS2005] Rijmen, V., and E. Oswald, "Update on SHA-1", CT-RSA 2005, Lecture Notes in Computer Science, vol. 3376, pp. 58-71.
[RIOS2005] Rijmen、V。、およびE. Oswald、「Sha-1の更新」、CT-RSA 2005、講義ノートのコンピューターサイエンス、Vol。3376、pp。58-71。
[SHS] National Institute of Standards and Technology (NIST), FIPS Publication 180-3: Secure Hash Standard, October 2008.
[SHS]国立標準技術研究所(NIST)、FIPS Publication 180-3:Secure Hash Standard、2008年10月。
[SP800-57] National Institute of Standards and Technology (NIST), Special Publication 800-57: Recommendation for Key Management - Part 1 (Revised), March 2007.
[SP800-57]国立標準技術研究所(NIST)、特別出版800-57:キー管理の推奨 - パート1(改訂)、2007年3月。
[SP800-107] National Institute of Standards and Technology (NIST), Special Publication 800-107: Recommendation for Applications using Approved Hash Algorithms, February 2009.
[SP800-107]国立標準技術研究所(NIST)、特別出版800-107:承認されたハッシュアルゴリズムを使用したアプリケーションの推奨、2009年2月。
[SP800-131] National Institute of Standards and Technology (NIST), Special Publication 800-131A: Recommendation for the Transitioning of Cryptographic Algorithms and Key Sizes, January 2011.
[SP800-131]国立標準技術研究所(NIST)、特別出版800-131A:2011年1月、暗号化アルゴリズムとキーサイズの移行に関する推奨事項。
[WLY2005] Wang, X., Yin, Y., and H. Yu., "Finding Collisions in the Full SHA-1", Crypto 2005.
[Wly2005] Wang、X.、Yin、Y.、およびH. Yu。、「Full Sha-1で衝突を見つける」、Crypto 2005。
Authors' Addresses
著者のアドレス
Tim Polk National Institute of Standards and Technology 100 Bureau Drive, Mail Stop 8930 Gaithersburg, MD 20899-8930 USA
Tim Polk National Institute of Standards and Technology 100 Bureau Drive、Mail Stop 8930 Gaithersburg、MD 20899-8930 USA
EMail: tim.polk@nist.gov
Lily Chen National Institute of Standards and Technology 100 Bureau Drive, Mail Stop 8930 Gaithersburg, MD 20899-8930 USA
リリーチェン国立標準技術研究所100ビューロードライブ、メールストップ8930ゲーサーズバーグ、MD 20899-8930 USA
EMail: lily.chen@nist.gov
Sean Turner IECA, Inc. 3057 Nutley Street, Suite 106 Fairfax, VA 22031 USA
Sean Turner IECA、Inc。3057 Nutley Street、Suite 106 Fairfax、VA 22031 USA
EMail: turners@ieca.com
Paul Hoffman VPN Consortium
ポール・ホフマンVPNコンソーシアム
EMail: paul.hoffman@vpnc.org