RFC4270 日本語訳
4270 Attacks on Cryptographic Hashes in Internet Protocols. P.Hoffman, B. Schneier. November 2005. (Format: TXT=26641 bytes) (Status: INFORMATIONAL)
プログラムでの自動翻訳です。
RFC一覧
英語原文
Network Working Group P. Hoffman
Request for Comments: 4270 VPN Consortium
Category: Informational B. Schneier
Counterpane Internet Security
November 2005
コメントを求めるワーキンググループP.ホフマン要求をネットワークでつないでください: 4270年のVPN共同体カテゴリ: 情報のB.シュナイアーベッドカバーインターネットセキュリティ2005年11月
Attacks on Cryptographic Hashes in Internet Protocols
インターネットプロトコルの暗号のハッシュに対する攻撃
Status of This Memo
このメモの状態
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。 それはどんな種類のインターネット標準も指定しません。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (2005).
Copyright(C)インターネット協会(2005)。
Abstract
要約
Recent announcements of better-than-expected collision attacks in popular hash algorithms have caused some people to question whether common Internet protocols need to be changed, and if so, how. This document summarizes the use of hashes in many protocols, discusses how the collision attacks affect and do not affect the protocols, shows how to thwart known attacks on digital certificates, and discusses future directions for protocol designers.
何人かの人々が、ポピュラーなハッシュアルゴリズムにおける、予想より良い衝突攻撃の最近の発表で一般的なインターネットプロトコルが、変えられる必要であるかどうかと疑いました、そして、そうだとすれば、どのようにですか? このドキュメントは、多くのプロトコルにおけるハッシュの使用をまとめて、衝突攻撃がどうプロトコルは影響して、影響しないかについて議論して、デジタル証明書の上にどのように知られている攻撃を阻むかを示して、プロトコルデザイナーのために将来の方向について議論します。
1. Introduction
1. 序論
In summer 2004, a team of researchers showed concrete evidence that the MD5 hash algorithm was susceptible to collision attacks [MD5-attack]. In early 2005, the same team demonstrated a similar attack on a variant of the SHA-1 [RFC3174] hash algorithm, with a prediction that the normally used SHA-1 would also be susceptible with a large amount of work (but at a level below what should be required if SHA-1 worked properly) [SHA-1-attack]. Also in early 2005, researchers showed a specific construction of PKIX certificates [RFC3280] that use MD5 for signing [PKIX-MD5-construction], and another researcher showed a faster method for finding MD5 collisions (eight hours on a 1.6-GHz computer) [MD5-faster].
2004年夏に、研究者のチームはMD5ハッシュアルゴリズムが衝突攻撃[MD5-攻撃]に影響されやすかったという具体的な証拠を示しました。 同じチームは2005年前半にSHA-1[RFC3174]ハッシュアルゴリズムの異形に対する同様の攻撃を示しました、また、通常、使用されたSHA-1も多量の仕事(しかしSHA-1が適切に働くなら必要であることの下におけるレベルで)[SHA1攻撃]に影響されやすいだろうという予測で。 研究者は2005年も前半に[PKIX-MD5-工事]に署名するのにMD5を使用するPKIX証明書[RFC3280]の特定の構造を示しました、そして、別の研究者はMD5衝突(1.6ギガヘルツのコンピュータの8時間)が[より速さMD5]であることがわかるための、より速いメソッドを示しました。
Because of these announcements, there has been a great deal of discussion by cryptography experts, protocol designers, and other concerned people about what, if anything, should be done based on the
これらの発表のために、どちらかと言えば、ベースでするべきであることに関して暗号の専門家、プロトコルデザイナー、および他の関係がある人々による大きな議論があった、オン
Hoffman & Schneier Informational [Page 1] RFC 4270 Attacks on Hashes November 2005
ハッシュ2005年11月へのホフマンとシュナイアー情報[1ページ]のRFC4270Attacks
news. Unfortunately, some of these discussions have been based on erroneous interpretations of both the news and on how hash algorithms are used in common Internet protocols.
ニュース。 残念ながら、これらの議論のいくつかがニュースとハッシュアルゴリズムが一般的なインターネットプロトコルにどう使用されるかにおける両方の誤った解釈に基づきました。
Hash algorithms are used by cryptographers in a variety of security protocols, for a variety of purposes, at all levels of the Internet protocol stack. They are used because they have two security properties: to be one way and collision free. (There is more about these properties in the next section; they're easier to explain in terms of breaking them.) The recent attacks have demonstrated that one of those security properties is not true. While it is certainly possible, and at a first glance even probable, that the broken security property will not affect the overall security of many specific Internet protocols, the conservative security approach is to change hash algorithms. The Internet protocol community needs to migrate in an orderly manner away from SHA-1 and MD5 -- especially MD5 -- and toward more secure hash algorithms.
ハッシュアルゴリズムはさまざまなセキュリティプロトコルに暗号使用者によって使用されます、さまざまな目的のために、インターネットプロトコル・スタックのすべてのレベルで。 彼らには2つのセキュリティの特性があるので、それらは使用されています: 一方通行であって衝突から自由になるように。 (次のセクションのこれらの特性に関して以上があります; それらはそれらを壊すことに関してより説明しやすいです。) 最近の攻撃は、それらのセキュリティの特性の1つが本当でないことを示しました。 それが確かに、可能であって、最初の一目ありえそうでさえある間、壊れているセキュリティの特性が多くの特定のインターネットプロトコル、保守的なセキュリティアプローチの総合的なセキュリティに影響しないのがハッシュアルゴリズムを変えることになっています。インターネットプロトコル共同体は、整然とSHA-1とMD5(特にMD5)と、そして、より安全なハッシュアルゴリズムに向かって遠くで移行する必要があります。
This document summarizes what is currently known about hash algorithms and the Internet protocols that use them. It also gives advice on how to avoid the currently known problems with MD5 and SHA-1, and what to consider if predicted attacks become real.
このドキュメントは現在それらを使用するハッシュアルゴリズムとインターネットプロトコルに関して知られていることをまとめます。 また、予測されるならMD5とSHA-1に関する現在知られている問題、および考えるべきことを避けるために、攻撃がどう本当になるかに関してそれはアドバイスします。
A high-level summary of the current situation is:
現在の状況のハイレベルの概要は以下の通りです。
o Both MD5 and SHA-1 have newly found attacks against them, the
attacks against MD5 being much more severe than the attacks
against SHA-1.
o MD5とSHA-1の両方が新たにそれら(SHA-1に対する攻撃よりはるかに厳しいMD5に対する攻撃)に対して攻撃を見つけました。
o The attacks against MD5 are practical on any modern computer.
o MD5に対する攻撃はどんな現代のコンピュータでも実用的です。
o The attacks against SHA-1 are not feasible with today's computers,
but will be if the attacks are improved or Moore's Law continues
to make computing power cheaper.
o SHA-1に対する攻撃は、今日のコンピュータで可能ではありませんが、攻撃が改良されているかどうかということであるだろうかムーアの法則は、パワーを計算するのをより安くし続けています。
o Many common Internet protocols use hashes in ways that are
unaffected by these attacks.
o 多くの一般的なインターネットプロトコルがこれらの攻撃で影響を受けない方法でハッシュを使用します。
o Most of the affected protocols use digital signatures.
o 影響を受けるプロトコルの大部分はデジタル署名を使用します。
o Better hash algorithms will reduce the susceptibility of these
attacks to an acceptable level for all users.
o より良いハッシュアルゴリズムはすべてのユーザのためにこれらの攻撃の敏感さを合格水準に引き下げるでしょう。
2. Hash Algorithms and Attacks on Them
2. それらに対するハッシュアルゴリズムと攻撃
A "perfect" hash algorithm has a few basic properties. The algorithm converts a chunk of data (normally, a message) of any size into a fixed-size result. The length of the result is called the "hash
「完全な」ハッシュアルゴリズムには、いくつかの基礎特性があります。 アルゴリズムはどんなサイズに関するデータ(通常メッセージ)の塊も固定サイズ結果に変換します。 結果の長さは「ハッシュ」と呼ばれます。
Hoffman & Schneier Informational [Page 2] RFC 4270 Attacks on Hashes November 2005
ハッシュ2005年11月へのホフマンとシュナイアー情報[2ページ]のRFC4270Attacks
length" and is often denoted as "L"; the result of applying the hash algorithm on a particular chunk of data is called the "hash value" for that data. Any two different messages of any size should have an exceedingly small probability of having the same hash value, regardless of how similar or different the messages are.
「長さ、」 「L」としてしばしば指示されます。 データの特定の塊にハッシュアルゴリズムを適用するという結果はそのデータのために「ハッシュ値」と呼ばれます。 どんなサイズのどんな2つの異なったメッセージにも、同じハッシュ値を持っているというきわめてわずかな確率があるべきです、メッセージがどれくらい同様であるか、そして、または異なっていることにかかわらず。
This description leads to two mathematical results. Finding a pair of messages M1 and M2 that have the same hash value takes 2^(L/2) attempts. For any reasonable hash length, this is an impossible problem to solve (collision free). Also, given a message M1, finding any other message M2 that has the same hash value as M1 takes 2^L attempts. This is an even harder problem to solve (one way).
この記述は2つの数学の結果につながります。 同じハッシュ値を持っている1組のメッセージのM1とM2を見つけると、(L/2)試みが2^に取ります。 どんな妥当なハッシュの長さのためにも、これは解決する不能問題(衝突の有でない)です。 また、いかなる他のメッセージも同じくらい持っているM2であることがわかるメッセージM1を考えて、M1が2^L試みを取るのに従って、値を論じ尽くしてください。 これはさらに解決しにくい(一方通行の)問題です。
Note that this is the description of a perfect hash algorithm; if the algorithm is less than perfect, an attacker can expend less than the full amount of effort to find two messages with the same hash value.
これが完全なハッシュアルゴリズムの記述であることに注意してください。 アルゴリズムがあまり完全でないなら、攻撃者は、同じハッシュ値で2つのメッセージを見つけるために取り組みの全額以下を費やすことができます。
There are two categories of attacks.
攻撃の2つのカテゴリがあります。
Attacks against the "collision-free" property:
「衝突なし」の特性に対する攻撃:
o A "collision attack" allows an attacker to find two messages M1
and M2 that have the same hash value in fewer than 2^(L/2)
attempts.
o 「衝突攻撃」で、攻撃者は、2つのメッセージが2未満^(L/2)試みにおける同じハッシュ値を持っているM1とM2であることがわかることができます。
Attacks against the "one-way" property:
「一方向」の特性に対する攻撃:
o A "first-preimage attack" allows an attacker who knows a desired
hash value to find a message that results in that value in fewer
than 2^L attempts.
o 「最初に、「前-イメージ」攻撃」で、必要なハッシュ値を知っている攻撃者は2未満^Lでその値をもたらすメッセージに試みを見つけることができます。
o A "second-preimage attack" allows an attacker who has a desired
message M1 to find another message M2 that has the same hash value
in fewer than 2^L attempts.
o 「2番目-「前-イメージ」攻撃」は別のメッセージM2がそれであることがわかるM1が2未満^Lに同じハッシュ値を持っているという必要なメッセージを持っている攻撃者に試みを許します。
The two preimage attacks are very similar. In a first-preimage attack, you know a hash value but not the message that created it, and you want to discover any message with the known hash value; in the second-preimage attack, you have a message and you want to find a second message that has the same hash. Attacks that can find one type of preimage can often find the other as well.
2つの「前-イメージ」攻撃が非常に同様です。 最初に、「前-イメージ」攻撃では、あなたはそれを作成したメッセージではなく、ハッシュ値を知っています、そして、知られているハッシュ値でどんなメッセージも発見したがっています。 2番目-「前-イメージ」攻撃では、あなたはメッセージを持っています、そして、同じハッシュを持っている2番目のメッセージを見つけたがっています。 また、「前-イメージ」の1つのタイプに当たることができる攻撃はしばしばもう片方に当たることができます。
When analyzing the use of hash algorithms in protocols, it is important to differentiate which of the two properties of hashes are important, particularly now that the collision-free property is becoming weaker for currently popular hash algorithms. It is certainly important to determine which parties select the material being hashed. Further, as shown by some of the early work,
プロトコルにおけるハッシュアルゴリズムの使用を分析するとき、差別化するのは重要です(ハッシュの2つの特性で重要です)、特に無衝突の特性が現在ポピュラーなハッシュアルゴリズムには、より弱くなっているので。確かに、どのパーティーが論じ尽くされる材料を選択するかを決定するのは重要です。 早めの仕事のいくつかでさらに示されるように
Hoffman & Schneier Informational [Page 3] RFC 4270 Attacks on Hashes November 2005
ハッシュ2005年11月へのホフマンとシュナイアー情報[3ページ]のRFC4270Attacks
particularly [PKIX-MD5-construction], it is also important to consider which party can predict the material at the beginning of the hashed object.
特に[PKIX-MD5-工事]、また、どのパーティーが論じ尽くされたオブジェクトの始めにおける材料を予測できるかを考えるのも重要です。
2.1. Currently Known Attacks
2.1. 現在知られている攻撃
All the currently known practical or almost-practical attacks on MD5 and SHA-1 are collision attacks. This is fortunate: significant first- and second-preimage attacks on a hash algorithm would be much more devastating in the real world than collision attacks, as described later in this document.
MD5とSHA-1に対するすべての現在知られている実用的であるかほとんど実用的な攻撃は衝突攻撃です。 これは幸いです: ハッシュアルゴリズムに対する重要な1番目と2番目-「前-イメージ」攻撃は衝突攻撃より本当の世界ではるかに破壊的でしょう、このドキュメントでは、後述のようです。
It is also important to note that the current collision attacks require at least one of the two messages to have a fair amount of structure in the bits of the message. This means that finding two messages that both have the same hash value *and* are useful in a real-world attack is more difficult than just finding two messages with the same hash value.
また、現在の衝突攻撃が少なくともメッセージのビットに公正な量の構造を持つ2つのメッセージの1つを必要とすることに注意するのも重要です。 これは、両方には同じハッシュ値*と*があるという2つのメッセージが本当の世界攻撃で役に立つのがわかるのが同じハッシュ値でただ2つのメッセージを見つけるより難しいことを意味します。
3. How Internet Protocols Use Hash Algorithms
3. インターネットプロトコルはどうハッシュアルゴリズムを使用するか。
Hash algorithms are used in many ways on the Internet. Most protocols that use hash algorithms do so in a way that makes them immune to harm from collision attacks. This is not by accident: good protocol designers develop their protocols to withstand as many future changes in the underlying cryptography as possible, including attacks on the cryptographic algorithms themselves.
ハッシュアルゴリズムは様々な意味でインターネットで使用されます。 ハッシュアルゴリズムを使用するほとんどのプロトコルがそうそれらを衝突攻撃から害を及ぼすために免疫があるようにする方法でします。 これは偶然に以下の通りではありません。 良いプロトコルデザイナーは基本的な暗号におけるできるだけ多くの将来の変化に耐えるために彼らのプロトコルを開発します、暗号アルゴリズム自体に対する攻撃を含んでいて。
Uses for hash algorithms include:
ハッシュアルゴリズムへの用途は:
o Non-repudiable digital signatures on messages. Non-repudiation is
a security service that provides protection against false denial
of involvement in a communication. S/MIME and OpenPGP allow mail
senders to sign the contents of a message they create, and the
recipient of that message can verify whether or not the signature
is actually associated with the message. A message is used for
non-repudiation if the message is signed and the recipient of the
message can later use the signature to prove that the signer
indeed created the message.
o メッセージにおける非repudiableデジタル署名。 非拒否はコミュニケーションにおける、かかわり合いの誤った否定に対する保護を提供するセキュリティー・サービスです。 S/MIMEとOpenPGPはメール送付者を彼らが作成するメッセージのコンテンツに署名させます、そして、そのメッセージの受取人は署名が実際にメッセージに関連しているかどうか確かめることができます。 メッセージが署名されて、メッセージの受取人が後で本当に、署名者がメッセージを作成したと立証するのに署名を使用できるなら、メッセージは非拒否に使用されます。
o Digital signatures in certificates from trusted third parties.
Although this is similar to "digital signatures on messages",
certificates themselves are used in many other protocols for
authentication and key management.
o 信頼できる第三者機関からの証明書におけるデジタル署名。 これは「メッセージにおけるデジタル署名」と同様ですが、証明書自体は認証とかぎ管理に他の多くのプロトコルに使用されます。
o Challenge-response protocols. These protocols combine a public
large random number with a value to help hide the value when being
sent over unencrypted channels.
o チャレンジレスポンスプロトコル。 これらのプロトコルは、非暗号化されたチャンネルの上に送ると値を隠すのを助けるために公共の大きい乱数を値に結合します。
Hoffman & Schneier Informational [Page 4] RFC 4270 Attacks on Hashes November 2005
ハッシュ2005年11月へのホフマンとシュナイアー情報[4ページ]のRFC4270Attacks
o Message authentication with shared secrets. These are similar to
challenge-response protocols, except that instead of using public
values, the message is combined with a shared secret before
hashing.
o 共有秘密キーがある通報認証。 これらはチャレンジレスポンスプロトコルと同様です、公共の値を使用することの代わりにメッセージが論じ尽くす前の共有秘密キーに結合されるのを除いて。
o Key derivation functions. These functions make repeated use of
hash algorithms to mix data into a random string for use in one or
more keys for a cryptographic protocol.
o 主要な派生は機能します。 これらの機能は、1個以上のキーにおける、暗号のプロトコルの使用のために無作為のストリングにデータを混ぜるためにハッシュアルゴリズムの繰り返された使用をします。
o Mixing functions. These functions also make repeated use of hash
algorithms to mix data into random strings, for uses other than
cryptographic keys.
o 混合は機能します。 また、これらの機能は無作為のストリングにデータを混ぜるためにハッシュアルゴリズムの繰り返された使用をします、暗号化キー以外の用途のために。
o Integrity protection. It is common to compare a hash value that
is received out-of-band for a file with the hash value of the file
after it is received over an unsecured protocol such as FTP.
o 保全保護。 FTPなどの非機密保護しているプロトコルの上にそれを受け取った後にファイルのためにバンドの外にファイルのハッシュ値で受け取るハッシュ値を比較するのは一般的です。
Of the above methods, only the first two are affected by collision attacks, and even then, only in limited circumstances. So far, it is believed that, in general, challenge-response protocols are not susceptible, because the sender is authenticating a secret already stored by the recipient. In message authentication with shared secrets, the fact that the secret is known to both parties is also believed to prevent any sensible attack. All key derivation functions in IETF protocols take random input from both parties, so the attacker has no way of structuring the hashed message.
上のメソッドでは、最初の2だけが衝突攻撃の近くと、そして、限られた事情だけで影響を受けます。 今までのところ、一般に、チャレンジレスポンスプロトコルが影響されやすくないと信じられています、送付者が受取人によって既に保存された秘密を認証しているので。 また、共有秘密キーがある通報認証では、秘密が双方にとって知られているという事実がどんな分別がある攻撃も防ぐと信じられています。 IETFプロトコルでのすべての主要な派生機能が双方から無作為の入力を取るので、攻撃者には、論じ尽くされたメッセージを構造化する方法が全くありません。
4. Hash Collision Attacks and Non-Repudiation of Digital Signatures
4. デジタル署名のハッシュ衝突攻撃と非拒否
The basic idea behind the collision attack on a hash algorithm used in a digital-signature protocol is that the attacker creates two messages that have the same hash value, causes one of them to be signed, and then uses that signature over the other message for some nefarious purpose. The specifics of the attack depend on the protocol being used and what the victim does when presented with the signed message.
デジタル署名プロトコルに使用されるハッシュアルゴリズムに対する衝突攻撃の後ろの基本的な考え方は攻撃者が同じハッシュ値を持っている2つのメッセージを作成して、それらの1つが署名されることを引き起こして、次に、何らかの邪悪な目的にもう片方のメッセージの上のその署名を使用するということです。 署名しているメッセージを与えるとき、攻撃の詳細は使用されるプロトコルと犠牲者がすることによります。
The canonical example is where you create two messages, one of which says "I will pay $10 for doing this job" and the other of which says "I will pay $10,000 for doing this job". You present the first message to the victim, get them to sign it, do the job, substitute the second message in the signed authorization, present the altered signed message (whose signature still verifies), and demand the higher amount of money. If the victim refuses, you take them to court and show the second signed message.
正準な例はあなたがそれのひとりが「私はこの仕事をする10ドル支払うつもりです」と言って、それのもう片方が「私はこの仕事をする1万ドル支払うつもりです」と言う2つのメッセージを作成するところです。 最初のメッセージを犠牲者に提示します、そして、彼らをそれに署名させてください、そして、仕事してください、そして、署名している承認における2番目のメッセージを代入してください、そして、変えられた署名しているメッセージ(スチール写真は署名について確かめる)を提示してください、そして、お金のより多くの量を要求してください。 犠牲者が拒否するなら、あなたは、彼らを裁判に訴えて、メッセージであると署名される2番目を見せています。
Hoffman & Schneier Informational [Page 5] RFC 4270 Attacks on Hashes November 2005
ハッシュ2005年11月へのホフマンとシュナイアー情報[5ページ]のRFC4270Attacks
Most non-repudiation attacks rely on a human assessing the validity of the purportedly signed message. In the case of the hash-collision attack, the purportedly signed message's signature is valid, but so is the signature on the original message. The victim can produce the original message, show that he/she signed it, and show that the two hash values are identical. The chance of this happening by accident is one in 2^L, which is infinitesimally small for either MD5 or SHA-1.
ほとんどの非拒否攻撃が表面上署名しているメッセージの正当性を評価する人間に頼ります。 ハッシュ衝突攻撃の場合では、表面上署名しているメッセージの署名は有効ですが、オリジナルのメッセージにおける署名もそうです。 犠牲者は、オリジナルのメッセージを出して、その人がそれに署名したのを示して、2つのハッシュ値が同じであることを示すことができます。 これが偶然に起こるという機会は2^Lの1です。(MD5かSHA-1のどちらかには、それは、微小に小さいです)。
In other words, to thwart a hash collision attack in a non- repudiation protocol where a human is using a signed message as authorization, the signer needs to keep a copy of the original message he/she signed. Messages that have other messages with the same hash must be created by the same person, and do not happen by accident under any known probable circumstances. The fact that the two messages have the same hash value should cause enough doubt in the mind of the person judging the validity of the signature to cause the legal attack to fail (and possibly bring intentional fraud charges against the attacker).
言い換えれば、人間が承認として署名しているメッセージを使用している非拒否しているプロトコルにおけるハッシュ衝突攻撃を阻むために、署名者は、その人が署名した謄本メッセージを保つ必要があります。 同じハッシュがある他のメッセージを持っているメッセージが、同じ人が作成しなければならなくて、どんな知られているありえそうな状況でも偶然に起こりません。 2つのメッセージには同じハッシュ値があるという事実は署名の正当性を判断する人の心における疑問によって法的な攻撃に十分失敗されるべきです(ことによると攻撃者に対して意図的な詐欺告発を起こしてください)。
Thwarting hash collision attacks in automated non-repudiation protocols is potentially more difficult, because there may be no humans paying enough attention to be able to argue about what should have happened. For example, in electronic data interchange (EDI) applications, actions are usually taken automatically after authentication of a signed message. Determining the practical effects of hash collisions would require a detailed evaluation of the protocol.
自動化された非拒否プロトコルにおけるハッシュ衝突攻撃を阻むのは潜在的により難しいです、注意が起こるべきであったことについて議論できるのを十分支払う人間が全くいないかもしれないので。 例えば、電子データ交換(EDI)アプリケーションでは、通常、署名しているメッセージの認証の後に自動的に行動を取ります。 ハッシュ衝突の実用的な効果を決定するのはプロトコルの詳細な評価を必要とするでしょう。
5. Hash Collision Attacks and Digital Certificates from Trusted Third
Parties
5. 信頼できる第三者機関からのハッシュ衝突攻撃とデジタル証明書
Digital certificates are a special case of digital signatures. In general, there is no non-repudiation attack on trusted third parties due to the fact that certificates have specific formatting. Digital certificates are often used in Internet protocols for key management and for authenticating a party with whom you are communicating, possibly before granting access to network services or trusting the party with private data such as credit card information.
デジタル証明書はデジタル署名の特別なケースです。 一般に、証明書には特定の形式があるという事実による信頼できる第三者機関に対する非拒否攻撃が全くありません。 デジタル証明書はかぎ管理とあなたと交信しているパーティーを認証するのにインターネットプロトコルにしばしば使用されます、ネットワーク・サービスへのアクセスを承諾するか、またはクレジットカード情報などの個人的なデータをパーティーに委託することによると前に。
It is therefore important that the granting party can trust that the certificate correctly identifies the person or system identified by the certificate. If the attacker can get a certificate for two different identities using just one public key, the victim can be fooled into believing that one person is someone else.
したがって、与えるパーティーが、証明書が正しく証明書によって特定された人かシステムを特定すると信じることができるのは、重要です。 攻撃者がちょうど1つの公開鍵を使用することで2つの異なったアイデンティティのための証明書を手に入れることができるなら、1人の人が他の誰かであると信じているように犠牲者をだますことができます。
Hoffman & Schneier Informational [Page 6] RFC 4270 Attacks on Hashes November 2005
ハッシュ2005年11月へのホフマンとシュナイアー情報[6ページ]のRFC4270Attacks
The collision attack on PKIX certificates described in early 2005 relied on the ability of the attacker to create two different public keys that would cause the body of the certificate to have the same hash value. For this attack to work, the attacker needs to be able to predict the contents and structure of the certificate before it is issued, including the identity that will be used, the serial number that will be included in the certificate, and the start and stop dates of the validity period for the certificate.
2005年前半に説明されたPKIX証明書に対する衝突攻撃は攻撃者が証明書のボディーには同じハッシュ値がある2つの異なった公開鍵を作成する能力を当てにしました。 この攻撃が働くのに、攻撃者は、それが発行される前に証明書のコンテンツと構造を予測できる必要があります、使用されるアイデンティティを含んでいて、証明書、および始めに含まれていて、証明書のために有効期間の日付を止める通し番号。
The effective result of this attack is that one person using a single identity can get a digital certificate over one public key, but be able to pretend that it is over a different public key (but with the same identity, valid dates, and so on). Because the identity in the two certificates is the same, there are probably no real-world examples where such an attack would get the attacker any advantage. At best, someone could claim that the trusted third party made a mistake by issuing a certificate with the same identity and serial number based on two different public keys. This is indeed far-fetched.
この攻撃の有効な結果はただ一つのアイデンティティを使用している1人の人が1つの公開鍵の上にデジタル証明書を手に入れることができるということですが、異なった公開鍵(しかし同じアイデンティティ、有効な期日などで)の上にそれがあるふりをすることができてください。 2通の証明書のアイデンティティが同じであるので、本当の世界の例が全くたぶんそのような攻撃がどんな利点も攻撃者に届けるところにありません。 せいぜい、だれかが、信頼できる第三者機関が2つの異なった公開鍵に基づく同じアイデンティティと通し番号で証明書を下付することによって誤りをしたと主張できました。 本当に、これはこじつけです。
It is very important to note that collision attacks only affect the parts of certificates that have no human-readable information in them, such as the public keys. An attack that involves getting a certificate with one human-readable identity and making that certificate useful for a second human-readable identity would require more effort than a simple collision attack.
衝突攻撃がそれらに人間が読める情報を全く持っていない証明書の部分に影響するだけであることに注意するのは非常に重要です、公開鍵などのように。 1つの人間読み込み可能なアイデンティティがある証明書を手に入れて、その証明書を2番目の人間読み込み可能なアイデンティティの役に立つようにすることを伴う攻撃は、簡単な衝突攻撃より多くの取り組みを必要とするでしょう。
5.1. Reducing the Likelihood of Hash-Based Attacks on PKIX Certificates
5.1. PKIX証明書に対するハッシュベースの攻撃の見込みを減少させます。
If a trusted third party who issues PKIX certificates wants to avoid the attack described above, they can prevent the attack by making other signed parts of the certificate random enough to eliminate any advantage gained by the attack. Ideas that have been suggested include:
PKIXに証明書を発行する信頼できる第三者機関が上で説明された攻撃を避けたいなら、それらは、攻撃でどんな利点も排除するほど無作為の証明書の他の署名している部分を獲得させることによって、攻撃を防ぐことができます。 示された考えは:
o making part of the certificate serial number unpredictable to the
attacker
o 証明書通し番号の一部を攻撃者にとって予測できるようにしません。
o adding a randomly chosen component to the identity
o 手当たりしだいに選ばれたコンポーネントをアイデンティティに加えます。
o making the validity dates unpredictable to the attacker by skewing
each one forwards or backwards
o 正当性を攻撃者にとって、前方か後方でそれぞれを歪曲することによって予測できない期日にします。
Any of these mechanisms would increase the amount of work the attacker needs to do to trick the issuer of the certificate into generating a certificate that is susceptible to the attack.
これらのメカニズムのいずれも攻撃者が攻撃に影響されやすい証明書を作るのに証明書の発行人をだますためにする必要がある仕事量を増強するでしょう。
Hoffman & Schneier Informational [Page 7] RFC 4270 Attacks on Hashes November 2005
ハッシュ2005年11月へのホフマンとシュナイアー情報[7ページ]のRFC4270Attacks
6. Future Attacks and Their Effects
6. 今後の攻撃とそれらの効果
There is a disagreement in the security community about what to do now. Even the two authors of this document disagree on what to do now.
現在するべきことに関して安全保障共同体には不一致があります。 このドキュメントの2人の作者さえ現在するべきことについて意見が異なります。
One of us (Bruce) believes that everyone should start migrating to SHA-256 [SHA-256] now, due to the weaknesses that have already been demonstrated in both MD5 and SHA-1. There is an old saying inside the US National Security Agency (NSA): "Attacks always get better; they never get worse." The current collision attacks against MD5 are easily done on a single computer; the collision attacks against SHA-1 are at the far edge of feasibility today, but will only improve with time. It is preferable to migrate to the new hash standard before there is a panic, instead of after. Just as we all migrated from SHA-0 to SHA-1 based on some unknown vulnerability discovered inside the NSA, we need to migrate from SHA-1 to SHA-256 based on these most recent attacks. SHA-256 has a 256-bit hash length. This length will give us a much larger security margin in the event of newly discovered attacks. Meanwhile, further research inside the cryptographic community over the next several years should point to further improvements in hash algorithm design, and potentially an even more secure hash algorithm.
私たち(ブルース)のひとりは、皆が、現在SHA-256[SHA-256]にわたり始めるべきであると信じています、MD5とSHA-1の両方に既に示された弱点のため。 米国国家安全保障局(NSA)の中に古いことわざがあります: 「攻撃はいつも改善します」。 「より悪く決してなりません。」 単一のコンピュータで容易にMD5に対する現在の衝突攻撃をします。 SHA-1に対する衝突攻撃は、今日、実行可能性の遠い縁にありますが、時間に応じて、向上するだけでしょう。 の代わりにする、パニックがある前に新しいハッシュ規格にわたるのが望ましい、後。 ちょうど私たちが皆、SHA-0からNSAの中で発見された何らかの未知の脆弱性に基づくSHA-1まで移行したように、私たちは、SHA-1からこれらの最新の攻撃に基づくSHA-256まで移行する必要があります。 SHA-256には、256ビットのハッシュの長さがあります。 この長さは新たに発見された攻撃の場合、はるかに大きいセキュリティマージンを私たちに与えるでしょう。 その間、次の数年間の暗号の共同体の中のさらなる研究はさらにハッシュアルゴリズムデザインにおける改良、および潜在的にさらに安全なハッシュアルゴリズムを示すべきです。
The other of us (Paul) believes that this may not be wise for two reasons. First, the collision attacks on current protocols have not been shown to have any discernible real-world effects. Further, it is not yet clear which stronger hash algorithm will be a good choice for the long term. Moving from one algorithm to another leads to inevitable lack of interoperability and confusion for typical crypto users. (Of course, if any practical attacks are formulated before there is community consensus of the properties of the cipher-based hash algorithms, Paul would change his opinion to "move to SHA-256 now".)
私たち(ポール)のもう片方が、これが2つの理由で賢明でないかもしれないと信じています。 まず最初に、現在のプロトコルに対する衝突攻撃は、どんな認識できる本当の世界効果も持つために示されていません。 さらに、長期の間、どちらのより強いハッシュアルゴリズムが良い選択であるかはまだ明確ではありません。 1つのアルゴリズムから別のアルゴリズムまで移行するのは相互運用性と混乱の典型的な暗号ユーザにとって、必然の不足に通じます。 (もちろん、暗号ベースのハッシュアルゴリズムの特性の共同体コンセンサスがある前に何か実用的な攻撃が定式化されるなら、ポールは「現在、SHA-256に移行する」ために意見を変えるでしょう。)
Both authors agree that work should be done to make all Internet protocols able to use different hash algorithms with longer hash values. Fortunately, most protocols today already are capable of this; those that are not should be fixed soon.
両方の作者は、より長いハッシュ値ですべてのインターネットを異なったハッシュアルゴリズムを使用できるプロトコルにするように仕事をするべきであるのに同意します。 幸い、今日のほとんどのプロトコルはこれが既にできます。 すぐ固定されるべきでないもの。
The authors of this document feel similarly for new protocols being developed: Bruce thinks they should start using SHA-256 from the start, and Paul thinks that they should use SHA-1 as long as the new protocols are not susceptible to collision attacks. Any new protocol must have the ability to change all of its cryptographic algorithms, not just its hash algorithm.
開発されていて、このドキュメントの作者は同様に新しいプロトコルを捜します: ブルースは、彼らが、始めからSHA-256を使用するのを出発するべきであると考えます、そして、ポールは新しいプロトコルが衝突攻撃に影響されやすくない限り、彼らがSHA-1を使用するべきであると考えます。 どんな新しいプロトコルにも、ハッシュアルゴリズムだけではなく、その暗号アルゴリズムのすべてを変える能力がなければなりません。
Hoffman & Schneier Informational [Page 8] RFC 4270 Attacks on Hashes November 2005
ハッシュ2005年11月へのホフマンとシュナイアー情報[8ページ]のRFC4270Attacks
7. Security Considerations
7. セキュリティ問題
The entire document discusses security on the Internet.
全体のドキュメントはインターネットでセキュリティについて議論します。
The discussion in this document assumes that the only attacks on hash algorithms used in Internet protocols are collision attacks. Some significant preimaging attacks have already been discovered [Preimaging-attack], but they are not yet practical. If a practical preimaging attack is discovered, it would drastically affect many Internet protocols. In this case, "practical" means that it could be executed by an attacker in a meaningful amount of time for a meaningful amount of money. A preimaging attack that costs trillions of dollars and takes decades to preimage one desired hash value or one message is not practical; one that costs a few thousand dollars and takes a few weeks might be very practical.
議論は、インターネットプロトコルに使用されるハッシュアルゴリズムに対する唯一の攻撃が衝突攻撃であると本書では仮定します。 既にいくつかの重要な「前-イメージ」攻撃を発見してありますが[Preimaging-攻撃]、それらはまだ実用的ではありません。 実用的な「前-イメージ」攻撃が発見されるなら、それは多くのインターネットプロトコルに抜本的に影響するでしょう。 この場合、「実用的」は、攻撃者が重要な金額のための重要な時間でそれを実行できたことを意味します。 値か1つのメッセージを論じ尽くすには「前-イメージ」1が、望んでいた何兆ドルもかかって、何10年間もかかる「前-イメージ」攻撃は実用的ではありません。 数1,000ドルかかって、数週間かかるのは非常に実用的であるかもしれません。
8. Informative References
8. 有益な参照
[MD5-attack] X. Wang, D. Feng, X. Lai, and H. Yu,
"Collisions for Hash Functions MD4, MD5,
HAVAL-128 and RIPEMD", August 2004,
<http://eprint.iacr.org/2004/199>.
[MD5-攻撃] X.ワングとD.フォン、X.レイとH.ユー、「ハッシュ関数のMD4、MD5、HAVAL-128、およびRIPEMDのための衝突」2004年8月(<http://eprint.iacr.org/2004/199>)。
[MD5-faster] Vlastimil Klima, "Finding MD5 Collisions - a
Toy For a Notebook", March 2005,
<http://cryptography.hyperlink.cz/
md5/MD5_collisions.pdf>.
[よりMD5速い]のVlastimilクリマ、「MD5に衝突を見つけます--aはノートのために遊ぶ」という2005年3月<httpな://cryptography.hyperlink.cz/md5/MD5_collisions.pdf>。
[PKIX-MD5-construction] Arjen Lenstra and Benne de Weger, "On the
possibility of constructing meaningful hash
collisions for public keys", February 2005,
<http://www.win.tue.nl/~bdeweger/
CollidingCertificates/ddl-final.pdf>.
[PKIX-MD5-工事] Arjen LenstraとBenne deウエガー、「公開鍵のための重要なハッシュ衝突を構成する可能性」、2005年2月(<http://www.win.tue.nl/~bdeweger/CollidingCertificates/ddl-final.pdf>)。
[Preimaging-attack] John Kelsey and Bruce Schneier, "Second
Preimages on n-bit Hash Functions for Much
Less than 2^n Work", November 2004,
<http://eprint.iacr.org/2004/304>.
[Preimaging攻撃] ジョン・ケルシーとブルース・シュナイアー、「Much Lessのために2^n Workよりn-ビットHash FunctionsでPreimagesを後援してください」、2004年11月、<http://eprint.iacr.org/2004/304>。
[RFC3174] Eastlake, D. and P. Jones, "US Secure Hash
Algorithm 1 (SHA1)", RFC 3174,
September 2001.
[RFC3174]イーストレークとD.とP.ジョーンズ、「米国安全なハッシュアルゴリズム1(SHA1)」、RFC3174 2001年9月。
[RFC3280] Housley, R., Polk, W., Ford, W., and D. Solo,
"Internet X.509 Public Key Infrastructure
Certificate and Certificate Revocation List
(CRL) Profile", RFC 3280, April 2002.
[RFC3280] Housley、R.、ポーク、W.、フォード、W.、および一人で生活して、「インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト(CRL)は輪郭を描く」D.、RFC3280(2002年4月)。
Hoffman & Schneier Informational [Page 9] RFC 4270 Attacks on Hashes November 2005
ハッシュ2005年11月へのホフマンとシュナイアー情報[9ページ]のRFC4270Attacks
[SHA-1-attack] Xiaoyun Wang, Yiqun Lisa Yin, and Hongbo Yu,
"Collision Search Attacks on SHA1",
February 2005,
<http://theory.csail.mit.edu/~yiqun/shanote.pdf>.
[SHA1攻撃] Xiaoyunワング、Yiqunリサ殷とホンボー・ユー、「SHA1"、2005年2月、<http://theory.csail.mit.edu/~yiqun/shanote.pdf>に対する衝突検索攻撃。」
[SHA-256] NIST, "Federal Information Processing
Standards Publication (FIPS PUB) 180-2,
Secure Hash Standard", August 2002.
[SHA-256]NIST、2002年8月の「連邦政府の情報処理規格公表(FIPSパブ)180-2、安全なハッシュ規格」
Hoffman & Schneier Informational [Page 10] RFC 4270 Attacks on Hashes November 2005
ハッシュ2005年11月へのホフマンとシュナイアー情報[10ページ]のRFC4270Attacks
Appendix A. Acknowledgements
付録A.承認
The authors would like to thank the IETF community, particularly those active on the SAAG mailing list, for their input. We would also like to thank Eric Rescorla for early material that went into the first version, and Arjen Lenstra and Benne de Weger for significant comments on the first version of this document.
作者は彼らの入力についてIETF共同体、特にSAAGメーリングリストでアクティブなそれらに感謝したがっています。 最初のバージョンを調べた早めの材料についてエリック・レスコラに感謝します、そして、また、このドキュメントの最初のバージョンの重要なコメントのためにArjen LenstraとBenne deウエガーに感謝したいと思います。
Authors' Addresses
作者のアドレス
Paul Hoffman VPN Consortium
ポールホフマンVPN共同体
EMail: paul.hoffman@vpnc.org
メール: paul.hoffman@vpnc.org
Bruce Schneier Counterpane Internet Security
ブルースシュナイアーベッドカバーインターネットセキュリティ
EMail: schneier@counterpane.com
メール: schneier@counterpane.com
Hoffman & Schneier Informational [Page 11] RFC 4270 Attacks on Hashes November 2005
ハッシュ2005年11月へのホフマンとシュナイアー情報[11ページ]のRFC4270Attacks
Full Copyright Statement
完全な著作権宣言文
Copyright (C) The Internet Society (2005).
Copyright(C)インターネット協会(2005)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
このドキュメントはBCP78に含まれた権利、ライセンス、および制限を受けることがあります、そして、そこに詳しく説明されるのを除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントと「そのままで」という基礎と貢献者、その人が代表する組織で提供するか、または後援されて、インターネット協会とインターネット・エンジニアリング・タスク・フォースはすべての保証を放棄します、と急行ORが含意したということであり、他を含んでいて、ここに含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFはどんなIntellectual Property Rightsの正当性か範囲、実装に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 または、それはそれを表しません。どんなそのような権利も特定するどんな独立している取り組みも作りました。 BCP78とBCP79でRFCドキュメントの権利に関する手順に関する情報を見つけることができます。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPR公開のコピーが利用可能に作られるべきライセンスの保証、または一般的な免許を取得するのが作られた試みの結果をIETF事務局といずれにもしたか、または http://www.ietf.org/ipr のIETFのオンラインIPR倉庫からこの仕様のimplementersかユーザによるそのような所有権の使用のために許可を得ることができます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf- ipr@ietf.org.
IETFはこの規格を実装するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 ietf ipr@ietf.org のIETFに情報を扱ってください。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Hoffman & Schneier Informational [Page 12]
ホフマンとシュナイアーInformationalです。[12ページ]
一覧
スポンサーリンク
