Internet Engineering Task Force (IETF)              L. Hornquist Astrand
Request for Comments: 6649                                   Apple, Inc.
BCP: 179                                                           T. Yu
Obsoletes: 1510                                  MIT Kerberos Consortium
Updates: 1964, 4120, 4121, 4757                                July 2012
Category: Best Current Practice
ISSN: 2070-1721

Deprecate DES, RC4-HMAC-EXP, and Other Weak Cryptographic Algorithms in Kerberos




The Kerberos 5 network authentication protocol, originally specified in RFC 1510, can use the Data Encryption Standard (DES) for encryption. Almost 30 years after first publishing DES, the National Institute of Standards and Technology (NIST) finally withdrew the standard in 2005, reflecting a long-established consensus that DES is insufficiently secure. By 2008, commercial hardware costing less than USD 15,000 could break DES keys in less than a day on average. DES is long past its sell-by date. Accordingly, this document updates RFC 1964, RFC 4120, RFC 4121, and RFC 4757 to deprecate the use of DES, RC4-HMAC-EXP, and other weak cryptographic algorithms in Kerberos. Because RFC 1510 (obsoleted by RFC 4120) supports only DES, this document recommends the reclassification of RFC 1510 as Historic.

RFC 1510で最初に指定されたKerberos 5ネットワーク認証プロトコルは、暗号化にデータ暗号化規格(DES)を使用できます。 DESが最初に公開されてから約30年後、国立標準技術研究所(NIST)は、DESの安全性が不十分であるという古くからのコンセンサスを反映して、2005年にようやく標準を撤回しました。 2008年までに、コストが15,000米ドル未満の商用ハードウェアは、平均して1日未満でDES鍵を破ることができます。 DESは賞味期限を過ぎています。したがって、このドキュメントはRFC 1964、RFC 4120、RFC 4121、およびRFC 4757を更新して、KerberosでのDES、RC4-HMAC-EXP、およびその他の弱い暗号化アルゴリズムの使用を廃止します。 RFC 1510(RFC 4120で廃止)はDESのみをサポートしているため、このドキュメントではRFC 1510を歴史的として再分類することを推奨しています。

Status of This Memo


This memo documents an Internet Best Current Practice.


This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on BCPs is available in Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 BCPの詳細については、RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at


Copyright Notice


Copyright (c) 2012 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2012 IETF Trustおよびドキュメントの作成者として特定された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents ( in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

1. Introduction
1. はじめに

The original specification of the Kerberos 5 network authentication protocol [RFC1510] supports only the Data Encryption Standard (DES) for encryption. For many years, the cryptographic community has regarded DES as providing inadequate security, mostly because of its small key size. Accordingly, this document recommends the reclassification of [RFC1510] (obsoleted by [RFC4120]) as Historic and updates current Kerberos-related specifications [RFC1964], [RFC4120], and [RFC4121] to deprecate the use of DES and other weak cryptographic algorithms in Kerberos, including some unkeyed checksums and hashes, along with the weak 56-bit "export strength" RC4 variant encryption type of [RFC4757].

Kerberos 5ネットワーク認証プロトコル[RFC1510]の元の仕様では、暗号化のためのデータ暗号化規格(DES)のみがサポートされています。長年にわたり、暗号化コミュニティは、DESのセキュリティが不十分であると見なしてきました。その主な理由は、鍵のサイズが小さいためです。したがって、このドキュメントでは、[RFC1510]([RFC4120]に廃止)を歴史的なものとして再分類し、現在のKerberos関連の仕様[RFC1964]、[RFC4120]、および[RFC4121]を更新して、DESおよびその他の弱い暗号アルゴリズムの使用を廃止することを推奨しています。 Kerberosでは、[RFC4757]の弱い56ビット「エクスポート強度」のRC4バリアント暗号化タイプとともに、いくつかのキーなしチェックサムとハッシュを含みます。

2. Requirements Notation
2. 要件表記

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。

3. Affected Specifications
3. 影響を受ける仕様

The original IETF specification of Kerberos 5 [RFC1510] only supports DES for encryption. [RFC4120] obsoletes [RFC1510] and updates the Kerberos specification to include additional cryptographic algorithms, but still permits the use of DES. [RFC3961] describes the Kerberos cryptographic system and includes support for DES encryption types, but it does not specify requirement levels for them.

Kerberos 5の元のIETF仕様[RFC1510]は、暗号化にDESのみをサポートしています。 [RFC4120]は[RFC1510]を廃止し、追加の暗号化アルゴリズムを含むようにKerberos仕様を更新しますが、DESの使用は許可します。 [RFC3961]はKerberos暗号化システムについて説明し、DES暗号化タイプのサポートを含みますが、それらの要件レベルを指定していません。

The specification of the Kerberos Generic Security Services Application Programming Interface (GSS-API) mechanism [RFC1964] and its updated version [RFC4121] define checksum and encryption mechanisms based on DES. With the existence of newer encryption types for Kerberos GSS-API defined in [RFC4121], Microsoft's RC4-HMAC-based GSS-API mechanism, and MIT's DES3 (which is not published as an RFC), there is no need to support the old DES-based integrity (SGN) and confidentiality (SEAL) types.

Kerberos Generic Security Servicesアプリケーションプログラミングインターフェイス(GSS-API)メカニズムの仕様[RFC1964]およびその更新バージョン[RFC4121]は、DESに基づくチェックサムおよび暗号化メカニズムを定義しています。 [RFC4121]で定義されているKerberos GSS-APIの新しい暗号化タイプ、MicrosoftのRC4-HMACベースのGSS-APIメカニズム、およびMITのDES3(これはRFCとして公開されていません)が存在するため、古いものをサポートする必要はありませんDESベースの整合性(SGN)および機密性(SEAL)タイプ。

[RFC4757] describes the RC4-HMAC encryption types used by Microsoft Windows and allows for a 56-bit "export strength" variant. (The character constant "fortybits" used in the definition is a historical reference and does not refer to the actual key size of the encryption type.)

[RFC4757]は、Microsoft Windowsで使用されるRC4-HMAC暗号化タイプを説明し、56ビットの「エクスポート強度」バリアントを許可します。 (定義で使用されている文字定数「fortybits」は歴史的な参照であり、暗号化タイプの実際の鍵サイズを指すものではありません。)

4. DES Insecurity
4. DES不安

The insecurity of DES has been evident for many years. Even around the time of its first publication, cryptographers raised the possibility that 56 bits was too small a key size for DES. The National Institute of Standards and Technology (NIST) officially withdrew DES in 2005 [DES-Withdrawal], and also announced a transition period that ended on May 19, 2007 [DES-Transition-Plan]. The IETF has also published its position in [RFC4772], in which the recommendation summary is very clear: "don't use DES".

DESの不安定さは長年にわたって明らかでした。暗号技術者は、最初の公開の頃でさえ、56ビットがDESの鍵サイズとして小さすぎる可能性を提起しました。国立標準技術研究所(NIST)は、2005年にDESを正式に撤回し[DES-Withdrawal]、2007年5月19日に終了する移行期間を発表しました[DES-Transition-Plan]。 IETFはまた、[RFC4772]での立場を発表しました。その中で、推奨事項の要約は非常に明確です:「DESを使用しないでください」。

In 2006, researchers demonstrated the ability to find a DES key via brute-force search in an average of less than 9 days using less than EUR 10,000 worth of hardware [Break-DES]. By 2008, a company was offering hardware capable of breaking a DES key in less than a day on average [DES-1day] that cost less than USD 15,000 [DES-Crack]. Brute-force key searches of DES will only get faster and cheaper. (The aforementioned company markets its device for one-click recovery of lost DES keys.) It is clear that it is well past time to retire the use of DES in Kerberos.

2006年、研究者らは、10,000ユーロ未満のハードウェアを使用して、ブルートフォース検索を介して平均9日未満でDESキーを見つける能力を実証しました[Break-DES]。 2008年までに、会社はDES鍵を平均1日未満[DES-1day]で破壊できるハードウェアを提供し、コストは15,000 USD [DES-Crack]未満でした。 DESのブルートフォースキー検索は、より速く、より安くなるだけです。 (前述の会社は、失われたDES鍵をワンクリックで回復するためにデバイスを販売しています。)KerberosでのDESの使用を廃止するのは、かなり過去のことです。

5. Recommendations
5. 推奨事項

This document hereby removes the following RECOMMENDED types from [RFC4120]:


Encryption: DES-CBC-MD5(3)


Checksums: DES-MD5 (8, named RSA-MD5-DES in [RFC3961]).


Kerberos implementations and deployments SHOULD NOT implement or deploy the following single DES encryption types: DES-CBC-CRC(1), DES-CBC-MD4(2), DES-CBC-MD5(3) (updates [RFC4120]).

Kerberosの実装と展開では、DES-CBC-CRC(1)、DES-CBC-MD4(2)、DES-CBC-MD5(3)(更新[RFC4120])の単一DES暗号化タイプを実装または展開するべきではありません(SHOULD NOT)。

Kerberos implementations and deployments SHOULD NOT implement or deploy the following "export strength" RC4 variant encryption type: RC4-HMAC-EXP(24) (updates [RFC4757]). This document does not add any sort of requirement for conforming implementations to implement RC4-HMAC(23).


Kerberos implementations and deployments SHOULD NOT implement or deploy the following checksum types: CRC32(1), RSA-MD4(2), RSA-MD4-DES(3), DES-MAC(4), DES-MAC-K(5), RSA-MD4-DES-K(6), RSA-MD5-DES(8) (updates [RFC4120]).

Kerberosの実装と展開では、CRC32(1)、RSA-MD4(2)、RSA-MD4-DES(3)、DES-MAC(4)、DES-MAC-K(5)のチェックサムタイプを実装または展開する必要があります(SHOULD NOT)。 、RSA-MD4-DES-K(6)、RSA-MD5-DES(8)(更新[RFC4120])。

It is possible to safely use the RSA-MD5(7) checksum type, but only with additional protection, such as the protection that an encrypted Authenticator provides. Implementations MAY use RSA-MD5 inside an encrypted Authenticator for backward compatibility with systems that do not support newer checksum types (updates [RFC4120]). One example is that some legacy systems only support RC4-HMAC(23) [RFC4757] for encryption when DES is not available; these systems use RSA-MD5 checksums inside Authenticators encrypted with RC4-HMAC.

RSA-MD5(7)チェックサムタイプを安全に使用することは可能ですが、暗号化されたオーセンティケーターが提供する保護など、追加の保護が必要です。実装では、新しいチェックサムタイプをサポートしないシステムとの下位互換性のために、暗号化されたオーセンティケーター内でRSA-MD5を使用できます(更新[RFC4120])。 1つの例は、DESが使用できない場合、一部のレガシーシステムは暗号化のためにRC4-HMAC(23)[RFC4757]のみをサポートすることです。これらのシステムは、RC4-HMACで暗号化されたオーセンティケーター内のRSA-MD5チェックサムを使用します。

Kerberos GSS mechanism implementations and deployments SHOULD NOT implement or deploy the following SGN ALG: DES MAC MD5(0000), MD2.5(0100), DES MAC(0200) (updates [RFC1964]).

Kerberos GSSメカニズムの実装と配備は、次のSGN ALGを実装または配備するべきではありません:DES MAC MD5(0000)、MD2.5(0100)、DES MAC(0200)(更新[RFC1964])。

Kerberos GSS mechanism implementations and deployments SHOULD NOT implement or deploy the following SEAL ALG: DES(0000) (updates [RFC1964]).

Kerberos GSSメカニズムの実装とデプロイメントは、次のSEAL ALGを実装またはデプロイすべきではありません:DES(0000)(更新[RFC1964])。

The effect of the two last sentences is that this document deprecates Section 1.2 of [RFC1964].


This document hereby recommends the reclassification of [RFC1510] as Historic.


6. Security Considerations
6. セキュリティに関する考慮事項

Removing support for single DES improves security because DES is considered to be insecure. RC4-HMAC-EXP has a similarly inadequate key size, so removing support for it also improves security.

DESは安全でないと見なされているため、単一のDESのサポートを削除すると、セキュリティが向上します。 RC4-HMAC-EXPのキーサイズも同様に不十分であるため、サポートを削除するとセキュリティも向上します。

Kerberos defines some encryption types that are either underspecified or that only have number assignments but no specifications. Implementations should make sure that they only implement and enable secure encryption types.


The security considerations of [RFC4757] continue to apply to RC4-HMAC, including the known weaknesses of RC4 and MD4, and this document does not change the Informational status of [RFC4757] for now. The main reason to not actively discourage the use of RC4-HMAC is that it is the only encryption type that interoperates with older versions of Microsoft Windows once DES and RC4-HMAC-EXP are removed. These older versions of Microsoft Windows will likely be in use until at least 2015.

[RFC4757]のセキュリティに関する考慮事項は、RC4とMD4の既知の弱点を含め、RC4-HMACに引き続き適用されます。このドキュメントは、現時点では[RFC4757]の情報ステータスを変更しません。 RC4-HMACの使用を積極的に推奨しない主な理由は、DESとRC4-HMAC-EXPが削除された後、それが古いバージョンのMicrosoft Windowsと相互運用する唯一の暗号化タイプであるためです。これらの古いバージョンのMicrosoft Windowsは、少なくとも2015年まで使用される可能性があります。

7. Acknowledgements
7. 謝辞

Mattias Amnefelt, Ran Atkinson, Henry Hotz, Jeffrey Hutzelman, Leif Johansson, Simon Josefsson, and Martin Rex have read the document and provided suggestions for improvements. Sam Hartman proposed moving [RFC1510] to Historic. Michiko Short provided information about the dates of end of support for Windows releases.

Mattias Amnefelt、Ran Atkinson、Henry Hotz、Jeffrey Hutzelman、Leif Johansson、Simon Josefsson、Martin Rexがこのドキュメントを読み、改善点を提案しています。 Sam Hartmanは[RFC1510]をHistoricに移行することを提案しました。 Michiko Shortは、Windowsリリースのサポート終了日に関する情報を提供しました。

8. References
8. 参考文献
8.1. Normative References
8.1. 引用文献

[RFC1964] Linn, J., "The Kerberos Version 5 GSS-API Mechanism", RFC 1964, June 1996.

[RFC1964] Linn、J。、「The Kerberos Version 5 GSS-API Mechanism」、RFC 1964、1996年6月。

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC3961] Raeburn, K., "Encryption and Checksum Specifications for Kerberos 5", RFC 3961, February 2005.

[RFC3961] Raeburn、K。、「Kerberos 5の暗号化とチェックサムの仕様」、RFC 3961、2005年2月。

[RFC4120] Neuman, C., Yu, T., Hartman, S., and K. Raeburn, "The Kerberos Network Authentication Service (V5)", RFC 4120, July 2005.

[RFC4120] Neuman、C.、Yu、T.、Hartman、S。、およびK. Raeburn、「The Kerberos Network Authentication Service(V5)」、RFC 4120、2005年7月。

[RFC4121] Zhu, L., Jaganathan, K., and S. Hartman, "The Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2", RFC 4121, July 2005.

[RFC4121] Zhu、L.、Jaganathan、K。、およびS. Hartman、「The Kerberos Version 5 Generic Security Service Application Program Interface(GSS-API)Mechanism:Version 2」、RFC 4121、2005年7月。

[RFC4757] Jaganathan, K., Zhu, L., and J. Brezak, "The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows", RFC 4757, December 2006.

[RFC4757] Jaganathan、K.、Zhu、L。、およびJ. Brezak、「Microsoft Windowsで使用されるRC4-HMAC Kerberos暗号化タイプ」、RFC 4757、2006年12月。

8.2. Informative References
8.2. 参考引用

[Break-DES] Kumar, S., Paar, C., Pelzl, J., Pfeiffer, G., Rupp, A., and M. Schimmler, "How to break DES for EUR 8,980", SHARCS'06 - Special-purpose Hardware for Attacking Cryptographic Systems, April 2006, <http://>.

[Break-DES] Kumar、S.、Paar、C.、Pelzl、J.、Pfeiffer、G.、Rupp、A.、and M. Schimmler、 "How to break DES for EUR 8,980"、SHARCS'06-Special暗号システムを攻撃するための目的のハードウェア、2006年4月、<http://>。

[DES-1day] SciEngines GmbH, "Break DES in less than a single day", < 74-des-in-1-day.html>.

[DES-1day] SciEngines GmbH、「1日足らずでDESを壊す」、< 74-des-in-1-day.html> 。

[DES-Crack] Scott, T., "DES Brute Force Cracking Efforts 1977 to 2010", 2010, < des.crack.efforts.pdf>.

[DES-Crack] Scott、T。、「DES Brute Force Cracking Efforts 1977 to 2010」、2010、< des.crack.efforts.pdf>。

[DES-Transition-Plan] National Institute of Standards and Technology, "DES Transition Plan", May 2005, < STM/common_documents/DESTranPlan.pdf>.

[DES-Transition-Plan] National Institute of Standards and Technology、「DES Transition Plan」、2005年5月、< STM / common_documents / DESTranPlan.pdf>。

[DES-Withdrawal] National Institute of Standards and Technology, "Announcing Approval of the Withdrawal of Federal Information Processing Standard (FIPS) 46-3, Data Encryption Standard (DES); FIPS 74, Guidelines for Implementing and Using the NBS Data Encryption Standard; and FIPS 81, DES Modes of Operation", Federal Register Vol. 70, No. 96, Document 05-9945, 70 FR 28907-28908, May 2005, < FR-2005-05-19/pdf/05-9945.pdf>.

[DES-Withdrawal] National Institute of Standards and Technology、「連邦情報処理標準(FIPS)46-3、データ暗号化標準(DES)の撤回の承認の発表、FIPS 74、NBSデータ暗号化標準の実装および使用に関するガイドライン;およびFIPS 81、DES Modes of Operation」、Federal Register Vol。 70、No。96、ドキュメント05-9945、70 FR 28907-28908、2005年5月、< FR-2005-05-19 / pdf / 05-9945.pdf >。

[RFC1510] Kohl, J. and B. Neuman, "The Kerberos Network Authentication Service (V5)", RFC 1510, September 1993.

[RFC1510]コールJ.およびB.ノイマン、「Kerberosネットワーク認証サービス(V5)」、RFC 1510、1993年9月。

[RFC4772] Kelly, S., "Security Implications of Using the Data Encryption Standard (DES)", RFC 4772, December 2006.

[RFC4772]ケリーS.、「データ暗号化標準(DES)の使用によるセキュリティへの影響」、RFC 4772、2006年12月。

Authors' Addresses


Love Hornquist Astrand Apple, Inc. Cupertino, California USA

Love Hornquist Astrand Apple、Inc.クパチーノ、カリフォルニア州アメリカ合衆国


Tom Yu MIT Kerberos Consortium 77 Massachusetts Ave. Cambridge, Massachusetts USA

トムユーMIT Kerberosコンソーシアム77マサチューセッツアベニューケンブリッジ、マサチューセッツアメリカ