[要約] RFC 8301は、DomainKeys Identified Mail(DKIM)の暗号アルゴリズムとキーの使用方法の更新を提供しています。その目的は、DKIMのセキュリティと信頼性を向上させることです。
Internet Engineering Task Force (IETF) S. Kitterman Request for Comments: 8301 Kitterman Technical Services Updates: 6376 January 2018 Category: Standards Track ISSN: 2070-1721
Cryptographic Algorithm and Key Usage Update to DomainKeys Identified Mail (DKIM)
DomainKeys Identified Mail(DKIM)の暗号化アルゴリズムとキー使用法の更新
Abstract
概要
The cryptographic algorithm and key size requirements included when DomainKeys Identified Mail (DKIM) was designed a decade ago are functionally obsolete and in need of immediate revision. This document updates DKIM requirements to those minimally suitable for operation with currently specified algorithms.
DomainKeys Identified Mail(DKIM)が10年前に設計されたときに含まれていた暗号化アルゴリズムとキーサイズの要件は、機能的には古く、すぐに修正する必要があります。このドキュメントでは、DKIMの要件を、現在指定されているアルゴリズムでの動作に最小限に適したものに更新します。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 7841のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc8301.
このドキュメントの現在のステータス、エラッタ、およびフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc8301で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2018 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2018 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 2 2. Conventions Used in This Document . . . . . . . . . . . . . . 2 3. Updates to DKIM Signing and Verification Requirements . . . . 3 3.1. Signing and Verification Algorithms . . . . . . . . . . . 3 3.2. Key Sizes . . . . . . . . . . . . . . . . . . . . . . . . 3 4. Security Considerations . . . . . . . . . . . . . . . . . . . 3 5. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 4 6. References . . . . . . . . . . . . . . . . . . . . . . . . . 4 6.1. Normative References . . . . . . . . . . . . . . . . . . 4 6.2. Informative References . . . . . . . . . . . . . . . . . 4 Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . . 5 Author's Address . . . . . . . . . . . . . . . . . . . . . . . . 5
DKIM [RFC6376] signs email messages by creating hashes of the message headers and content and signing the header hash with a digital signature. Message recipients fetch the signature verification key from the DNS where it is stored in a TXT record.
DKIM [RFC6376]は、メッセージヘッダーとコンテンツのハッシュを作成し、ヘッダーハッシュにデジタル署名で署名することにより、電子メールメッセージに署名します。メッセージの受信者は、署名検証キーをDNSからフェッチして、TXTレコードに格納します。
The defining documents, RFC 6376 [RFC6376] and its predecessors, specify a single signing algorithm, RSA [RFC8017], and recommend key sizes of 1024 to 2048 bits (but require verification of 512-bit keys). As discussed in US-CERT Vulnerability Note VU#268267 [VULNOTE], the operational community has recognized that shorter keys compromise the effectiveness of DKIM. While 1024-bit signatures are common, stronger signatures are not. Widely used DNS configuration software places a practical limit on key sizes, because the software only handles a single 256-octet string in a TXT record, and RSA keys significantly longer than 1024 bits don't fit in 256 octets.
定義ドキュメントであるRFC 6376 [RFC6376]とその前身は、単一署名アルゴリズムRSA [RFC8017]を指定し、1024〜2048ビットのキーサイズを推奨しています(ただし、512ビットキーの検証が必要です)。 US-CERT脆弱性ノートVU#268267 [VULNOTE]で説明されているように、運用コミュニティは、より短いキーがDKIMの有効性を損なうことを認識しています。 1024ビットの署名は一般的ですが、より強力な署名は一般的ではありません。広く使用されているDNS構成ソフトウェアは、TXTレコード内の単一の256オクテット文字列のみを処理し、1024ビットより大幅に長いRSAキーは256オクテットに収まらないため、キーサイズに実用的な制限を課します。
Due to the recognized weakness of the SHA-1 hash algorithm (see [RFC6194]) and the wide availability of the SHA-256 hash algorithm (it has been a required part of DKIM [RFC6376] since it was originally standardized in 2007), the SHA-1 hash algorithm MUST NOT be used. This is being done now to allow the operational community time to fully shift to SHA-256 in advance of any SHA-1-related crisis.
SHA-1ハッシュアルゴリズム([RFC6194]を参照)の認識された弱点と、SHA-256ハッシュアルゴリズムの幅広い利用可能性(2007年に最初に標準化されて以来、DKIM [RFC6376]の必須部分であった)により、 SHA-1ハッシュアルゴリズムを使用してはなりません(MUST NOT)。これは、SHA-1関連の危機に先立って、運用コミュニティがSHA-256に完全に移行する時間を確保するために現在行われています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、「OPTIONALこのドキュメントの「」は、BCP 14 [RFC2119] [RFC8174]で説明されているように解釈されます。
This document updates [RFC6376] as follows:
このドキュメントは次のように[RFC6376]を更新します:
o Section 3.1 of this document updates Section 3.3 of [RFC6376].
o このドキュメントのセクション3.1は、[RFC6376]のセクション3.3を更新します。
o Section 3.2 of this document updates Section 3.3.3 of [RFC6376].
o このドキュメントのセクション3.2は、[RFC6376]のセクション3.3.3を更新します。
o The algorithm described in Section 3.3.1 of [RFC6376] is now historic and no longer used by DKIM.
o [RFC6376]のセクション3.3.1で説明されているアルゴリズムは、歴史的なものであり、DKIMでは使用されなくなりました。
Sections 3.3.2 and 3.3.4 of [RFC6376] are not affected.
[RFC6376]のセクション3.3.2および3.3.4は影響を受けません。
DKIM supports multiple digital signature algorithms. Two algorithms are defined by this specification at this time: rsa-sha1 and rsa-sha256. Signers MUST sign using rsa-sha256. Verifiers MUST be able to verify using rsa-sha256. rsa-sha1 MUST NOT be used for signing or verifying.
DKIMは複数のデジタル署名アルゴリズムをサポートしています。現在、この仕様では、rsa-sha1とrsa-sha256の2つのアルゴリズムが定義されています。署名者は、rsa-sha256を使用して署名する必要があります。検証者は、rsa-sha256を使用して検証できる必要があります。 rsa-sha1は、署名または検証に使用してはなりません。
DKIM signatures identified as having been signed with historic algorithms (currently, rsa-sha1) have permanently failed evaluation as discussed in Section 3.9 of [RFC6376].
[RFC6376]のセクション3.9で説明されているように、歴史的なアルゴリズム(現在はrsa-sha1)で署名されていると識別されたDKIM署名は、永続的に評価に失敗しました。
Selecting appropriate key sizes is a trade-off between cost, performance, and risk. Since short RSA keys more easily succumb to off-line attacks, Signers MUST use RSA keys of at least 1024 bits for all keys. Signers SHOULD use RSA keys of at least 2048 bits. Verifiers MUST be able to validate signatures with keys ranging from 1024 bits to 4096 bits, and they MAY be able to validate signatures with larger keys. Verifier policies can use the length of the signing key as one metric for determining whether a signature is acceptable. Verifiers MUST NOT consider signatures using RSA keys of less than 1024 bits as valid signatures.
適切な鍵サイズを選択することは、コスト、パフォーマンス、およびリスクの間のトレードオフです。短いRSAキーはオフラインの攻撃に負けやすいため、署名者はすべてのキーに少なくとも1024ビットのRSAキーを使用する必要があります。署名者は、少なくとも2048ビットのRSA鍵を使用する必要があります(SHOULD)。検証者は、1024ビットから4096ビットの範囲のキーで署名を検証できなければならず、さらに大きなキーで署名を検証できてもよい(MAY)。検証ポリシーは、署名が受け入れ可能かどうかを判断するための1つのメトリックとして、署名鍵の長さを使用できます。検証者は、1024ビット未満のRSA鍵を使用する署名を有効な署名と見なしてはなりません(MUST NOT)。
DKIM signatures with insufficient key sizes (currently, rsa-sha256 with less than 1024 bits) have permanently failed evaluation as discussed in Section 3.9 of [RFC6376].
[RFC6376]のセクション3.9で説明されているように、鍵サイズが不十分なDKIM署名(現在、1024ビット未満のrsa-sha256)は永久に評価に失敗しました。
This document does not change the Security Considerations of [RFC6376]. It reduces the risk of signature compromise due to weak cryptography. The SHA-1 risks discussed in Section 3 of [RFC6194] are resolved due to rsa-sha1 no longer being used by DKIM.
このドキュメントは、[RFC6376]のセキュリティに関する考慮事項を変更しません。暗号が弱いために署名が危険にさらされるリスクを軽減します。 [RFC6194]のセクション3で説明されているSHA-1リスクは、rsa-sha1がDKIMで使用されなくなったために解決されています。
IANA has updated the Reference and Status fields of the "sha1" registration in the "DKIM Hash Algorithms" registry. The registration now appears as follows:
IANAは、「DKIM Hash Algorithms」レジストリの「sha1」登録のReferenceフィールドとStatusフィールドを更新しました。登録は次のように表示されます。
+------+---------------------+----------+ | Type | Reference | Status | +------+---------------------+----------+ | sha1 | [RFC6376] [RFC8301] | historic | +------+---------------------+----------+
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<https://www.rfc-editor.org/info/ rfc2119>。
[RFC6376] Crocker, D., Ed., Hansen, T., Ed., and M. Kucherawy, Ed., "DomainKeys Identified Mail (DKIM) Signatures", STD 76, RFC 6376, DOI 10.17487/RFC6376, September 2011, <https://www.rfc-editor.org/info/rfc6376>.
[RFC6376] Crocker、D.、Ed。、Hansen、T.、Ed。、and M. Kucherawy、Ed。、 "DomainKeys Identified Mail(DKIM)Signatures"、STD 76、RFC 6376、DOI 10.17487 / RFC6376、September 2011 、<https://www.rfc-editor.org/info/rfc6376>。
[RFC8017] Moriarty, K., Ed., Kaliski, B., Jonsson, J., and A. Rusch, "PKCS #1: RSA Cryptography Specifications Version 2.2", RFC 8017, DOI 10.17487/RFC8017, November 2016, <https://www.rfc-editor.org/info/rfc8017>.
[RFC8017] Moriarty、K.、Ed。、Kaliski、B.、Jonsson、J.、and A. Rusch、 "PKCS#1:RSA Cryptography Specifications Version 2.2"、RFC 8017、DOI 10.17487 / RFC8017、November 2016、< https://www.rfc-editor.org/info/rfc8017>。
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8174] Leiba、B。、「RFC 2119キーワードの大文字と小文字のあいまいさ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<https://www.rfc-editor.org/info/ rfc8174>。
[RFC6194] Polk, T., Chen, L., Turner, S., and P. Hoffman, "Security Considerations for the SHA-0 and SHA-1 Message-Digest Algorithms", RFC 6194, DOI 10.17487/RFC6194, March 2011, <https://www.rfc-editor.org/info/rfc6194>.
[RFC6194] Polk、T.、Chen、L.、Turner、S。、およびP. Hoffman、「SHA-0およびSHA-1メッセージダイジェストアルゴリズムのセキュリティに関する考慮事項」、RFC 6194、DOI 10.17487 / RFC6194、3月2011、<https://www.rfc-editor.org/info/rfc6194>。
[VULNOTE] US-CERT, "Vulnerability Note VU#268267: DomainKeys Identified Mail (DKIM) Verifiers may inappropriately convey message trust", October 2012, <http://www.kb.cert.org/vuls/id/268267>.
[VULNOTE] US-CERT、「Vulnerability Note VU#268267:DomainKeys Identified Mail(DKIM)Verifiers不適切に伝えるメッセージ信頼」、2012年10月、<http://www.kb.cert.org/vuls/id/268267> 。
Acknowledgements
謝辞
The author wishes to acknowledge the following individuals for their review and comments on this proposal: Kurt Andersen, Murray S. Kucherawy, Martin Thomson, John Levine, Russ Housley, and Jim Fenton.
著者は、この提案に対するレビューとコメントについて、カートアンデルセン、マレーS.クチェラウィ、マーティントムソン、ジョンレバイン、ラスハウズリー、およびジムフェントンの各個人に謝意を表します。
Thanks to John Levine for his DKIM Crypto Update (DCRUP) work that was the source for much of the introductory material in this document.
このドキュメントの紹介資料の多くのソースとなったDKIM Crypto Update(DCRUP)の作業についてJohn Levineに感謝します。
Author's Address
著者のアドレス
Scott Kitterman Kitterman Technical Services 3611 Scheel Dr Ellicott City, MD 21042 United States of America
スコットキッターマンキッターマンテクニカルサービス3611 Scheel Dr Ellicott City、MD 21042アメリカ合衆国
Phone: +1 301 325-5475 Email: scott@kitterman.com