Network Working Group S. Frankel
Request for Comments: 3566 NIST
Category: Standards Track H. Herbert
Intel
September 2003
The AES-XCBC-MAC-96 Algorithm and Its Use With IPsec
Status of this Memo
このメモの位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2003). All Rights Reserved.
著作権(C)インターネット協会(2003)。全著作権所有。
Abstract
抽象
A Message Authentication Code (MAC) is a key-dependent one way hash function. One popular way to construct a MAC algorithm is to use a block cipher in conjunction with the Cipher-Block-Chaining (CBC) mode of operation. The classic CBC-MAC algorithm, while secure for messages of a pre-selected fixed length, has been shown to be insecure across messages of varying lengths such as the type found in typical IP datagrams. This memo specifies the use of AES in CBC mode with a set of extensions to overcome this limitation. This new algorithm is named AES-XCBC-MAC-96.
メッセージ認証コード(MAC)キー依存一方向ハッシュ関数です。 MACアルゴリズムを構築するための1つの一般的な方法は、操作の暗号ブロック連鎖(CBC)モードと一緒にブロック暗号を使用することです。古典CBC-MACアルゴリズムは、事前に選択された固定長のメッセージのための安全ながら、そのような一般的なIPデータグラムに見られるタイプのように種々の長さのメッセージを横切って安全でないことが示されています。このメモは、この制限を克服するための拡張セットでCBCモードのAESを使用することを指定します。この新しいアルゴリズムはAES-XCBC-MAC-96と命名されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . 2
2. Specification of Requirements . . . . . . . . . . . . . . 2
3. Basic CBC-MAC with Obligatory 10* Padding . . . . . . . . 3
4. AES-XCBC-MAC-96 . . . . . . . . . . . . . . . . . . . . . 3
4.1. Keying Material. . . . . . . . . . . . . . . . . . . 5
4.2. Padding . . . . . . . . . . . . . . . . . . . . . . 6
4.3. Truncation . . . . . . . . . . . . . . . . . . . . . 6
4.4. Interaction with the ESP Cipher Mechanism. . . . . . 6
4.5. Performance. . . . . . . . . . . . . . . . . . . . . 6
4.6. Test Vectors . . . . . . . . . . . . . . . . . . . . 7
5. Security Considerations . . . . . . . . . . . . . . . . . 8
6. IANA Considerations . . . . . . . . . . . . . . . . . . . 8
7. Intellectual Property Rights Statement . . . . . . . . . . 8
8. Acknowledgments . . . . . . . . . . . . . . . . . . . . . 8
9. References . . . . . . . . . . . . . . . . . . . . . . . . 9
9.1. Normative References . . . . . . . . . . . . . . . . 9
9.2. Informative References . . . . . . . . . . . . . . . 9
10. Authors' Addresses . . . . . . . . . . . . . . . . . . . . 10
11. Full Copyright Statement . . . . . . . . . . . . . . . . . 11
Message authentication provides data integrity and data origin authentication with respect to the original message source. A Message Authentication Code (MAC) is a key-dependent one way hash function. One popular way to construct a MAC algorithm is to use a block cipher in conjunction with the Cipher-Block-Chaining (CBC) mode of operation. The classic CBC-MAC algorithm, while secure for messages of a pre-selected fixed length [CBC-MAC-2], has been shown to be insecure across messages of varying lengths such as the type found in typical IP datagrams [CBC-MAC-2, section 5]. In fact, it is trivial to produce forgeries for a second message given the MAC of a prior message. [HANDBOOK, section 9.62, p. 354]
メッセージ認証は、元のメッセージのソースに対してデータの整合性とデータ発信元認証を提供します。メッセージ認証コード(MAC)キー依存一方向ハッシュ関数です。 MACアルゴリズムを構築するための1つの一般的な方法は、操作の暗号ブロック連鎖(CBC)モードと一緒にブロック暗号を使用することです。古典CBC-MACアルゴリズム、事前に選択された固定長[CBC-MAC-2]のメッセージのための安全ながら、CBC-MAC [典型的なIPデータグラムに見られるタイプのような種々の長さのメッセージを横切って安全でないことが示されています-2、セクション5]。実際には、前のメッセージのMAC所定の第2のメッセージのための偽造を生成するために自明です。 [HANDBOOK、セクション9.62、P。 354]
This memo specifies the use of AES [AES] in CBC mode [MODES] with a set of extensions [XCBC-MAC-1] to overcome this limitation. This new algorithm is named AES-XCBC-MAC-96. Using the AES block cipher, with its increased block size (128 bits) and increased key length (128 bits), provides the new algorithm with the ability to withstand continuing advances in crypto-analytic techniques and computational capability. AES-XCBC-MAC-96 is used as an authentication mechanism within the context of the IPsec Encapsulating Security Payload (ESP) and the Authentication Header (AH) protocols. For further information on ESP, refer to [ESP] and [ROADMAP]. For further information on AH, refer to [AH] and [ROADMAP].
このメモは、この制限を克服するための拡張セット[XCBC-MAC-1]とのCBCモードでAES [AES]の使用[MODES]を指定します。この新しいアルゴリズムはAES-XCBC-MAC-96と命名されます。その増加したブロックサイズ(128ビット)と増加したキーの長さ(128ビット)で、AESブロック暗号を使用して暗号解析技術と計算能力に連続進歩に耐える能力を有する新しいアルゴリズムを提供します。 AES-XCBC-MAC-96は、IPSecカプセル化セキュリティペイロード(ESP)と認証ヘッダ(AH)プロトコルのコンテキスト内認証メカニズムとして使用されます。 ESPの詳細については、[ESP]と[ロードマップ]を指します。 AHの詳細については、[AH]と[ロードマップ]を指します。
The goal of AES-XCBC-MAC-96 is to ensure that the datagram is authentic and cannot be modified in transit. Data integrity and data origin authentication as provided by AES-XCBC-MAC-96 are dependent upon the scope of the distribution of the secret key. If the key is known only by the source and destination, this algorithm will provide both data origin authentication and data integrity for datagrams sent between the two parties. In addition, only a party with the identical key can verify the hash.
AES-XCBC-MAC-96の目的は、データグラムが本物であり、トランジットで変更することができないことを保証することです。データの整合性とデータ発信元認証AES-XCBC-MAC-96によって提供される秘密鍵の配布の範囲に依存します。キーは、送信元と宛先によってのみ知らされている場合は、このアルゴリズムは、2つの当事者間で送信されるデータグラムの両方のデータ発信元認証とデータの整合性を提供します。また、同じキーを持つ唯一の当事者がハッシュを確認することができます。
The keywords "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" that appear in this document are to be interpreted as described in BCP 14, RFC 2119 [RFC-2119].
この文書に表示されたキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、 "SHALL"、 "SHOULD"、 "ないもの"、 "推奨" "ない(SHOULD NOT)"、 "MAY"、および "オプション" BCP 14、RFC 2119 [RFC-2119]に記載されているように解釈されるべきです。
CBC-MAC uses a block cipher for encryption; the block cipher transforms b bits of plaintext to b bits of ciphertext. The basic CBC-MAC [CBC-MAC-1, CBC-MAC-2] with Obligatory 10* Padding over a b-bit block cipher is calculated as follows for a message M:
CBC-MACは、暗号化のためのブロック暗号を使用しています。ブロック暗号は、暗号文のビットをbに平文のbビットを変換します。メッセージMのために次のように基本的なCBC-MAC [CBC-MAC-1、CBC-MAC-2] Bビットのブロック暗号上必須10 *パディングとが計算されます。
(1) Append a single 1 bit to M. Then append the minimum number of 0 bits to M such that the length of M is a multiple of b. [NOTE: This is 1 of several padding schemes that can be used for CBC-MAC. Several others are described in [MODES].]
(1)Mの長さをbの倍数であるようなM 0のビットの最小数を追加そしてMに単一の1ビットを追加します。 [注:これはCBC-MACのために使用することができるいくつかのパディングスキームの1です。いくつかの他のものは[機能]に記載されています。]
(2) Break M into n blocks, M[1] ... M[n], where the blocksize of blocks M[1] ... M[n] is b bits
(2)n個のブロックに侵入M、M [1] ... M [n]は、ブロックのブロックサイズは、M [1] ... M [n]はBビットであります
(3) Define E[0] = 0x00000000000000000000000000000000
(3)E [0] = 0x00000000000000000000000000000000定義
(4) For each block M[i], where i = 1 ... n: XOR M[i] with E[i-1], then encrypt the result with Key K, yielding E[i].
(4)各ブロックについてM [i]は、i = 1 ... Nここで、EとのXOR M [i]は[I-1]は、次いで、E [I]が得られ、鍵Kを用いて結果を暗号化します。
(5) E[n] is the b-bit authenticator.
(5)E [n]は、Bビットのオーセンティケータです。
Basic CBC-MAC with obligatory 10* padding has been shown to be secure for messages up to (but not including) a pre-selected fixed length, in which the length is a multiple of the blocksize. This algorithm is not suitable for IPsec for the following reasons:
必須10 *パディングの基本的なCBC-MACは、長さがブロックサイズの倍数である、事前に選択された固定長を、(は含まない)までのメッセージのために安全であると示されています。このアルゴリズムは、次の理由により、IPsecのには適していません。
+ Any IPsec authenticator must be able to handle messages of arbitrary length. However, the basic CBC-MAC cannot securely handle messages that exceed the pre-selected fixed length.
+任意のIPsecの認証は任意の長さのメッセージを処理できなければなりません。しかし、基本的なCBC-MACを確実に事前に選択された固定長を超えたメッセージを処理することができません。
+ For messages shorter than the pre-selected fixed length, padding the message to the pre-selected fixed length may necessitate additional encryption operations, adding an unacceptable computational penalty.
+事前に選択された固定長よりも短いメッセージの場合、事前に選択された固定長にメッセージをパディングすることは容認できない計算ペナルティを追加して、追加の暗号化操作を必要とすることができます。
[AES] describes the underlying AES algorithm, while [CBC-MAC-1] and [XCBC-MAC-1] describe the AES-XCBC-MAC algorithm.
[AES]、根底にあるAESアルゴリズムを説明しているが[CBC-MAC-1]と[XCBC-MAC-1] AES-XCBC-MACアルゴリズムを記述する。
The AES-XCBC-MAC-96 algorithm is a variant of the basic CBC-MAC with obligatory 10* padding; however, AES-XCBC-MAC-96 is secure for messages of arbitrary length. The AES-XCBC-MAC-96 calculations require numerous encryption operations; this encryption MUST be accomplished using AES with a 128-bit key. Given a 128-bit secret key K, AES-XCBC-MAC-96 is calculated as follows for a message M that consists of n blocks, M[1] ... M[n], in which the blocksize of blocks M[1] ... M[n-1] is 128 bits and the blocksize of block M[n] is between 1 and 128 bits:
AES-XCBC-MAC-96アルゴリズムが必須10 *パディングの基本的なCBC-MACの変異体です。ただし、AES-XCBC-MAC-96は、任意の長さのメッセージのために安全です。 AES-XCBC-MAC-96の計算は、多くの暗号化操作を必要とします。この暗号化は、128ビットキーのAESを使用して達成されなければなりません。与えられた128ビットの秘密鍵K、AES-XCBC-MAC-96、n個のブロックのM [N] [1] ... Mから構成され、メッセージMのために次のように計算されたブロックのブロックサイズM [ 1] ... M [N-1]は、128ビットブロックMのブロックサイズ[N]は1と128ビットの間です。
(1) Derive 3 128-bit keys (K1, K2 and K3) from the 128-bit secret key K, as follows: K1 = 0x01010101010101010101010101010101 encrypted with Key K K2 = 0x02020202020202020202020202020202 encrypted with Key K K3 = 0x03030303030303030303030303030303 encrypted with Key K
(1)、128ビットの秘密鍵Kから3の128ビットキー(K1、K2及びK3)を導出次のように鍵Kで暗号化キーK K3 = 0x03030303030303030303030303030303で暗号化キーK K2 = 0x02020202020202020202020202020202で暗号化K1 = 0x01010101010101010101010101010101を
(2) Define E[0] = 0x00000000000000000000000000000000
(2)E [0] = 0x00000000000000000000000000000000定義
(3) For each block M[i], where i = 1 ... n-1: XOR M[i] with E[i-1], then encrypt the result with Key K1, yielding E[i].
(3)各ブロックのM [i]は、についてここで、i = 1 ... N-1:XOR M [i]はEで[I-1]、次に[I] Eを得、キーK1で結果を暗号化します。
(4) For block M[n]:
(4)ブロックmに対する[N]:
a) If the blocksize of M[n] is 128 bits: XOR M[n] with E[n-1] and Key K2, then encrypt the result with Key K1, yielding E[n].
a)のM [N]のブロックサイズは128ビットである場合:E [N-1]及び鍵K2とのXOR M [n]は、次いで、E [n]をもたらす、キーK1で結果を暗号化します。
b) If the blocksize of M[n] is less than 128 bits:
b)のM [N]のブロックサイズが128ビット未満である場合:
i) Pad M[n] with a single "1" bit, followed by the number of "0" bits (possibly none) required to increase M[n]'s blocksize to 128 bits.
I)パッドM [n]は128ビットにM [N]のブロックサイズを増加させるために必要な「0」ビット(おそらくなし)の数、続いて単一の「1」ビットを有します。
ii) XOR M[n] with E[n-1] and Key K3, then encrypt the result with Key K1, yielding E[n].
E [N-1]とキーK3とII)XOR M [n]は、次いで、E [n]をもたらす、キーK1で結果を暗号化します。
(5) The authenticator value is the leftmost 96 bits of the 128-bit E[n].
(5)オーセンティケータ値は128ビットE [N]の左端の96ビットです。
NOTE1: If M is the empty string, pad and encrypt as in (4)(b) to create M[1] and E[1]. This will never be the case for ESP or AH, but is included for completeness sake.
注1:M(4)(B)Mを作成するには空の文字列、パッド及び暗号化の場合は[1]とE [1]。これは、ESPまたはAHのためのケースになることはありませんが、完全を期すために含まれています。
NOTE2: [CBC-MAC-1] defines K1 as follows: K1 = Constant1A encrypted with Key K | Constant1B encrypted with Key K.
注2:次のように[CBC-MAC-1]はK1を定義します。K1 = Constant1Aが鍵Kで暗号化| Constant1Bは、鍵Kで暗号化
However, the second encryption operation is only needed for
AES-XCBC-MAC with keys greater than 128 bits; thus, it is not
included in the definition of AES-XCBC-MAC-96.
AES-XCBC-MAC-96 verification is performed as follows: Upon receipt of the AES-XCBC-MAC-96 authenticator, the entire 128-bit value is computed and the first 96 bits are compared to the value stored in the authenticator field.
次のようにAES-XCBC-MAC-96の検証が行われる:AES-XCBC-MAC-96認証を受信すると、全体を128ビットの値が計算され、最初の96ビットは、認証子フィールドに格納された値と比較されます。
AES-XCBC-MAC-96 is a secret key algorithm. For use with either ESP or AH a fixed key length of 128-bits MUST be supported. Key lengths other than 128-bits MUST NOT be supported (i.e., only 128-bit keys are to be used by AES-XCBC-MAC-96).
AES-XCBC-MAC-96は、秘密鍵アルゴリズムです。 ESPまたはAHのどちらかで使用するための128ビットの固定鍵長をサポートしなければなりません。 128ビット以外のキーの長さ(すなわち、唯一の128ビットキーはAES-XCBC-MAC-96によって使用される)がサポートされてはいけません。
AES-XCBC-MAC-96 actually requires 384 bits of keying material (128 bits for the AES keysize + 2 times the blocksize). This keying material can either be provided through the key generation mechanism or it can be generated from a single 128-bit key. The latter approach has been selected for AES-XCBC-MAC-96, since it is analogous to other authenticators used within IPsec. The reason AES-XCBC-MAC-96 uses 3 keys is so the length of the input stream does not need to be known in advance. This may be useful for systems that do one-pass assembly of large packets.
AES-XCBC-MAC-96は実際に材料(AESのキーサイズ+ 2倍のブロックサイズは128ビット)を鍵の384ビットを必要とします。この鍵材料は、いずれかの鍵生成メカニズムを介して提供することができ、またはそれは、単一の128ビット鍵から生成することができます。後者のアプローチは、IPsecの内で使用される他のオーセンティケータと類似しているので、AES-XCBC-MAC-96のために選択されています。 AES-XCBC-MAC-96は、3つのキーを使用する理由は、そう入力ストリームの長さが予め既知である必要はないです。これは、大きなパケットのワンパスアセンブリを行うシステムにも有用であり得ます。
A strong pseudo-random function MUST be used to generate the required 128-bit key. This key, along with the 3 derived keys (K1, K2 and K3), should be used for no purposes other than those specified in the algorithm. In particular, they should not be used as keys in another cryptographic setting. Such abuses will invalidate the security of the authentication algorithm.
強い擬似ランダム関数は、必要な128ビットの鍵を生成するために使用されなければなりません。このキーは、3つの導出鍵(K1、K2及びK3)と一緒に、アルゴリズムで指定されたもの以外の目的のために使用されるべきです。特に、それらは別の暗号化の設定のキーとして使用すべきではありません。このような人権侵害は、認証アルゴリズムのセキュリティを無効にします。
At the time of this writing there are no specified weak keys for use with AES-XCBC-MAC-96. This does not mean to imply that weak keys do not exist. If, at some point, a set of weak keys for AES-XCBC-MAC-96 are identified, the use of these weak keys MUST be rejected followed by a request for replacement keys or a newly negotiated Security Association.
この記事の執筆時点ではAES-XCBC-MAC-96で使用するための指定された弱いキーが存在しません。これは、弱いキーが存在しないことを意味するわけではありません。 、いくつかの点で、AES-XCBC-MAC-96用の弱鍵のセットが特定された場合、これらの弱い鍵の使用は、代替キーの要求や、新たに交渉セキュリティ協会が続く拒絶しなければなりません。
[ARCH] describes the general mechanism for obtaining keying material when multiple keys are required for a single SA (e.g., when an ESP SA requires a key for confidentiality and a key for authentication).
【アーチ】複数のキーが単一のSA(例えば、ESP SAは、機密性のための鍵と認証のための鍵を必要とする場合)に必要とされるときに鍵材料を得るための一般的な機構が記載されています。
In order to provide data origin authentication, the key distribution mechanism must ensure that unique keys are allocated and that they are distributed only to the parties participating in the communication.
データ発信元認証を提供するために、鍵配布メカニズムは、固有のキーが割り当てられていることを確認する必要があり、それらは通信のみの参加者に配布されていること。
Current attacks do not necessitate a specific recommended frequency for key changes. However, periodic key refreshment is a fundamental security practice that helps against potential weaknesses of the function and the keys, reduces the information available to a cryptanalyst, and limits the damage resulting from a compromised key.
現在の攻撃は、キーの変更のための具体的な推奨周波数を必要としません。しかし、定期的にキーを更新するには、ポテンシャル関数の弱点とキーに対して役立ちます暗号解読に利用可能な情報を低減し、かつ妥協キーから生じた損害を制限基本的なセキュリティプラクティスです。
AES-XCBC-MAC-96 operates on 128-bit blocks of data. Padding requirements are specified in [CBC-MAC-1] and are part of the XCBC algorithm. If you build AES-XCBC-MAC-96 according to [CBC-MAC-1] you do not need to add any additional padding as far as AES-XCBC-MAC-96 is concerned. With regard to "implicit packet padding" as defined in [AH], no implicit packet padding is required.
AES-XCBC-MAC-96は、データの128ビット・ブロック上で動作します。パディング要件は[CBC-MAC-1]で指定さXCBCアルゴリズムの一部です。あなたは[CBC-MAC-1]によるAES-XCBC-MAC-96を構築する場合、あなたは限りAES-XCBC-MAC-96が懸念している任意の追加のパディングを追加する必要はありません。 [AH]で定義されるように、「暗黙のパケットパディング」に関しては、暗黙的なパケットのパディングが必要とされません。
AES-XCBC-MAC produces a 128-bit authenticator value. AES-XCBC-MAC-96 is derived by truncating this 128-bit value as described in [HMAC] and verified in [XCBC-MAC-2]. For use with either ESP or AH, a truncated value using the first 96 bits MUST be supported. Upon sending, the truncated value is stored within the authenticator field. Upon receipt, the entire 128-bit value is computed and the first 96 bits are compared to the value stored in the authenticator field. No other authenticator value lengths are supported by AES-XCBC-MAC-96.
AES-XCBC-MACは、128ビットの認証値を生成します。 AES-XCBC-MAC-96は[HMAC]で説明して[XCBC-MAC-2]で検証としてこの128ビット値を切り捨てることによって導出されます。 ESPまたはAHのどちらかで使用するために、最初の96ビットを使用して、切り捨てられた値がサポートしなければなりません。送信時には、切り捨てられた値が認証子フィールド内に格納されています。受信すると、全体の128ビットの値が計算され、最初の96ビットは、認証子フィールドに格納された値と比較されます。他のオーセンティケータ値の長さは、AES-XCBC-MAC-96によってサポートされていません。
The length of 96 bits was selected because it is the default authenticator length as specified in [AH] and meets the security requirements described in [XCBC-MAC-2].
それは[AH]で指定されたデフォルトのオーセンティケータの長さであり、[XCBC-MAC-2]に記載のセキュリティ要件を満たしているので、96ビットの長さを選択しました。
As of this writing, there are no known issues which preclude the use of AES-XCBC-MAC-96 with any specific cipher algorithm.
これを書いているように、任意の特定の暗号アルゴリズムにAES-XCBC-MAC-96の使用を妨げる問題は知られていません。
For any CBC MAC variant, the major computational effort is expended in computing the underlying block cipher. This algorithm uses a minimum number of AES invocations, one for each block of the message or fraction thereof, resulting in performance equivalent to classic CBC-MAC.
任意のCBC MAC変種について、主要な計算量は、基礎となるブロック暗号の計算に費やされています。このアルゴリズムは、古典的なCBC-MACと同等の性能が得られ、AES呼び出しの最小数、メッセージまたはその画分のブロック毎に1つを使用します。
The key expansion requires 3 additional AES encryption operations, but these can be performed once in advance for each secret key.
キー拡張は、3つの追加のAES暗号化操作を必要とするが、これらはそれぞれ、秘密鍵のために、事前に一度実行することができます。
These test cases were provided by John Black, co-author of the XCBC-MAC algorithm, who verified them with 2 independent implementations. All values are hexadecimal numbers.
これらのテストケースは、2つの独立した実装でそれらを検証ジョン・ブラック、XCBC-MACアルゴリズムの共著者によって提供されました。すべての値は16進数です。
Test Case #1 : AES-XCBC-MAC-96 with 0-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : <empty string> AES-XCBC-MAC : 75f0251d528ac01c4573dfd584d79f29 AES-XCBC-MAC-96: 75f0251d528ac01c4573dfd5
テストケース#1:AES-XCBC-MAC-96 0バイトの入力キー(K):000102030405060708090a0b0c0d0e0fメッセージ(M):<空の文字列> AES-XCBC-MAC:75f0251d528ac01c4573dfd584d79f29 AES-XCBC-MAC-96:75f0251d528ac01c4573dfd5
Test Case #2 : AES-XCBC-MAC-96 with 3-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 000102 AES-XCBC-MAC : 5b376580ae2f19afe7219ceef172756f AES-XCBC-MAC-96: 5b376580ae2f19afe7219cee
テストケース#2:AES-XCBC-MAC-96 3バイト入力キー(K)を有する:000102030405060708090a0b0c0d0e0fメッセージ(M):000102 AES-XCBC-MAC:5b376580ae2f19afe7219cee:AES-XCBC-MAC-96 5b376580ae2f19afe7219ceef172756f
Test Case #3 : AES-XCBC-MAC-96 with 16-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 000102030405060708090a0b0c0d0e0f AES-XCBC-MAC : d2a246fa349b68a79998a4394ff7a263 AES-XCBC-MAC-96: d2a246fa349b68a79998a439
テストケース#3:AES-XCBC-MAC-96と16バイトの入力キー(K):000102030405060708090a0b0c0d0e0fメッセージ(M):AES-XCBC-MAC 000102030405060708090a0b0c0d0e0f:d2a246fa349b68a79998a4394ff7a263 AES-XCBC-MAC-96:d2a246fa349b68a79998a439
Test Case #4 : AES-XCBC-MAC-96 with 20-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 000102030405060708090a0b0c0d0e0f10111213 AES-XCBC-MAC : 47f51b4564966215b8985c63055ed308 AES-XCBC-MAC-96: 47f51b4564966215b8985c63
テストケース#4:AES-XCBC-MAC-96 20バイトの入力キー(K)を有する:000102030405060708090a0b0c0d0e0fメッセージ(M):000102030405060708090a0b0c0d0e0f10111213 AES-XCBC-MAC:47f51b4564966215b8985c63055ed308 AES-XCBC-MAC-96:47f51b4564966215b8985c63
Test Case #5 : AES-XCBC-MAC-96 with 32-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 000102030405060708090a0b0c0d0e0f10111213141516171819 1a1b1c1d1e1f AES-XCBC-MAC : f54f0ec8d2b9f3d36807734bd5283fd4 AES-XCBC-MAC-96: f54f0ec8d2b9f3d36807734b
テストケース#5:AES-XCBC-MAC-96と32バイトの入力キー(K):000102030405060708090a0b0c0d0e0fメッセージ(M):000102030405060708090a0b0c0d0e0f10111213141516171819 AES-XCBC-MAC 1a1b1c1d1e1f:f54f0ec8d2b9f3d36807734bd5283fd4 AES-XCBC-MAC-96:f54f0ec8d2b9f3d36807734b
Test Case #6 : AES-XCBC-MAC-96 with 34-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 000102030405060708090a0b0c0d0e0f10111213141516171819 1a1b1c1d1e1f2021 AES-XCBC-MAC : becbb3bccdb518a30677d5481fb6b4d8 AES-XCBC-MAC-96: becbb3bccdb518a30677d548
テストケース#6:AES-XCBC-MAC-96と34バイトの入力キー(K):000102030405060708090a0b0c0d0e0fメッセージ(M):000102030405060708090a0b0c0d0e0f10111213141516171819 1a1b1c1d1e1f2021 AES-XCBC-MAC:AES-XCBC-MAC-96 becbb3bccdb518a30677d5481fb6b4d8:becbb3bccdb518a30677d548
Test Case #7 : AES-XCBC-MAC-96 with 1000-byte input Key (K) : 000102030405060708090a0b0c0d0e0f Message (M) : 00000000000000000000 ... 00000000000000000000 [1000 bytes]
テストケース#7:AES-XCBC-MAC-96 1000バイトと入力キー(K):000102030405060708090a0b0c0d0e0fメッセージ(M):00000000000000000000 00000000000000000000 ... [1000のバイト]
AES-XCBC-MAC : f0dafee895db30253761103b5d84528f AES-XCBC-MAC-96: f0dafee895db30253761103b
AES-XCBC-MAC:AES-XCBC-MAC-96 f0dafee895db30253761103b5d84528f:f0dafee895db30253761103b
The security provided by AES-XCBC-MAC-96 is based upon the strength of AES. At the time of this writing there are no practical cryptographic attacks against AES or AES-XCBC-MAC-96.
AES-XCBC-MAC-96によって提供されるセキュリティは、AESの強度に基づいています。この記事の執筆時点ではAESまたはAES-XCBC-MAC-96に対しては実用的な暗号攻撃は存在しません。
As is true with any cryptographic algorithm, part of its strength lies in the correctness of the algorithm implementation, the security of the key management mechanism and its implementation, the strength of the associated secret key, and upon the correctness of the implementation in all of the participating systems. This document contains test vectors to assist in verifying the correctness of AES-XCBC-MAC-96 code.
任意の暗号化アルゴリズムと真実であるとして、その強度の一部は、アルゴリズムの実装の正確さ、すべてにおいて鍵管理メカニズムのセキュリティとその実装、関連する秘密鍵の強さ、および実装の正確さに応じ参加システム。この文書では、AES-XCBC-MAC-96コードの正当性を検証するのを助けるためにテストベクトルを含んでいます。
IANA has assigned AH Transform Identifier 9 to AH_AES-XCBC-MAC. IANA has assigned AH/ESP Authentication Algorithm Value 9 to AES-XCBC-MAC.
IANAは、AHがAH_AES-XCBC-MACに識別子9を変換割り当てました。 IANAは、AES-XCBC-MACにAH / ESP認証アルゴリズム値9を割り当てました。
The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF Secretariat.
IETFは、そのような権限下で、ライセンスがたりないかもしれない可能性があるためにどの本書または程度に記載されている技術の実装や使用に関係すると主張される可能性があります任意の知的財産やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能。また、そうした権利を特定するために取り組んできたことを表していないん。スタンダードトラックおよび標準関連文書における権利に関するIETFの手続きの情報は、BCP-11に記載されています。権利の主張のコピーは、出版のために利用可能とライセンスの保証が利用できるようにする、あるいは本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますIETF事務局から。
Portions of this text were unabashedly borrowed from [HMAC-SHA].
このテキストの部分は、平気[HMAC-SHA]から借用しました。
Thanks to the XCBC-MAC authors for their expert advice and rapid response to our queries: to Phil Rogaway for providing values for the XCBC-MAC constants; and to John Black for detailed corrections to the algorithm specifications and for providing the test cases. Thanks also to Andrew Krywaniuk for insisting on (and providing wording for) a rationale for the 3-key approach.
彼らの専門家のアドバイスや私たちの問い合わせに迅速な対応のためのXCBC-MACの作者に感謝します:フィルRogawayにXCBC-MAC定数の値を提供するため。アルゴリズムの仕様に詳細な修正のためのテストケースを提供するためのジョンブラックへ。 3キーのアプローチの理論的根拠を上の主張(とために言葉遣いを提供する)ためにもアンドリューKrywaniukに感謝します。
[AES] NIST, FIPS PUB 197, "Advanced Encryption Standard (AES)," November 2001. http://csrc.nist.gov/publications/fips/fips197/ fips-197.{ps,pdf}
[AES] NIST、FIPSパブ197、 "高度暗号化標準(AES)、" 2001年11月http://csrc.nist.gov/publications/fips/fips197/ FIPS-197 {PS、PDF}
[AH] Kent, S. and R. Atkinson, "IP Authentication Header", RFC 2402, November 1998.
[AH]ケント、S.とR.アトキンソン、 "IP認証ヘッダー"、RFC 2402、1998年11月。
[CBC-MAC-1] Black, J. and P. Rogaway, "CBC MACs for Arbitrary-Length Messages: The Three-Key Constructions," in M. Bellare, editor, Advances in Cryptology -- CRYPTO '00, volume 1880 of Lecture Notes in Computer Science, p. 0197, August 2000, Springer-Verlag. http://www.cs.ucdavis.edu/~rogaway/papers/3k.ps
"任意の長さのメッセージのCBCのMAC:三キー構文、" [CBC-MAC-1]ブラック、J.およびP. Rogaway、M.ベラー、エディタにおいて、暗号理論における進歩 - CRYPTO '00、ボリューム1880コンピュータサイエンス、Pでの講義ノートの。 0197、2000年8月、シュプリンガー・フェアラーク。 http://www.cs.ucdavis.edu/~rogaway/papers/3k.ps
[ESP] Kent, S. and R. Atkinson, "IP Encapsulating Security Payload (ESP)", RFC 2406, November 1998.
[ESP]ケント、S.とR.アトキンソン、 "IPカプセル化セキュリティペイロード(ESP)"、RFC 2406、1998年11月。
[RFC-2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC-2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[XCBC-MAC-1] Black, J. and P. Rogaway, "A Suggestion for Handling Arbitrary-Length Messages with the CBC MAC," NIST Second Modes of Operation Workshop, August 2001. http://csrc.nist.gov/encryption/modes/proposedmodes/ xcbc-mac/xcbc-mac-spec.pdf
[XCBC-MAC-1]ブラック、J.およびP. Rogaway、 "CBC MACを用いて任意の長さのメッセージを処理するための提案、" 操作のNIST第二モードワークショップ、2001年8月http://csrc.nist.gov /暗号化/モード/ proposedmodes / XCBC-MAC / XCBC-MAC-spec.pdf
[ARCH] Kent, S. and R. Atkinson, "Security Architecture for the Internet Protocol", RFC 2401, November 1998.
[ARCH]ケント、S.とR.アトキンソン、 "インターネットプロトコルのためのセキュリティー体系"、RFC 2401、1998年11月。
[CBC-MAC-2] Bellare, M., J. Kilian and P. Rogaway, "The Security of the Cipher Block Chaining Message Authentication Code," Journal of Computer and System Sciences (JCSS), Vol. 61, No. 3, December 2000, pp. 362-399. http://www.cse.ucsd.edu/users/mihir/papers/cbc.{ps,pdf}
[CBC-MAC-2]ベラー、M.、J.キリアンおよびP. Rogaway、 "暗号ブロック連鎖メッセージ認証コードのセキュリティ、" コンピュータおよびシステムサイエンス(JCSS)誌、Vol。 61、第3号、2000年12月、頁362から399。 http://www.cse.ucsd.edu/users/mihir/papers/cbc.{ps,pdf}
[HMAC] Krawczyk, H., Bellare, M. and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.
[HMAC] Krawczyk、H.、ベラー、M。およびR.カネッティ、 "HMAC:メッセージ認証のための鍵付きハッシュ化"、RFC 2104、1997年2月。
[HMAC-SHA] Madson, C. and R. Glenn, "The Use of HMAC-SHA-1-96 within ESP and AH", RFC 2404, November 1998.
[HMAC-SHA] Madson、C.およびR.グレン、 "ESPおよびAH内HMAC-SHA-1-96の使用"、RFC 2404、1998年11月。
[HANDBOOK] Menezes, A., P. Van Oorschot and S. Vanstone, "Handbook of Applied Cryptography", CRC Press, 1997.
【HANDBOOK]メネゼス、A.、P.バンOorschotとS. Vanstone著、 "応用暗号のハンドブック"、CRCプレス、1997。
[MODES] Dworkin, M., "Recommendation for Block Cipher Modes of Operation: Methods and Techniques," NIST Special Publication 800-38A, December 2001. http://csrc.nist.gov/publications/nistpubs/800-38a /sp800-38a.pdf
[MODES] Dworkin、M.、 "操作のブロック暗号モードのための勧告:方法と技術、" は、NIST Special Publication 800-38A、2001年12月http://csrc.nist.gov/publications/nistpubs/800-38a / sp800-38a.pdf
[RFC-2026] Bradner, S., "The Internet Standards Process -- Revision 3", BCP 9, RFC 2026, October 1996.
[RFC-2026]ブラドナーの、S.、 "インターネット標準化プロセス - リビジョン3"、BCP 9、RFC 2026、1996年10月。
[ROADMAP] Thayer, R., N. Doraswamy, and R. Glenn, "IP Security Document Roadmap", RFC 2411, November 1998.
[ロードマップ]セイヤー、R.、N. Doraswamy、およびR.グレン、 "IPセキュリティドキュメントロードマップ"、RFC 2411、1998年11月。
[XCBC-MAC-2] Rogaway, Phil, email communications, October 2001.
[XCBC-MAC-2] Rogaway、フィル、電子メール通信、2001年10月。
Sheila Frankel NIST - National Institute of Standards and Technology 820 West Diamond Ave. Room 677 Gaithersburg, MD 20899
シーラ・フランケルNIST - 国立標準技術研究所820西ダイヤモンドアベニュー。ルーム677ゲーサーズバーグ、MD 20899
Phone: +1 (301) 975-3297 EMail: sheila.frankel@nist.gov
電話:+1(301)975-3297 Eメール:sheila.frankel@nist.gov
Howard C. Herbert Intel Corporation Lan Access Division 5000 West Chandler Blvd. MS-CH7-404 Chandler, Arizona 85226
ハワードC.ハーバートインテルコーポレーションLANアクセス部門5000ウェスト・チャンドラーブルバードMS-CH7-404チャンドラー、アリゾナ州85226
Phone: +1 (480) 554-3116 EMail: howard.c.herbert@intel.com
電話:+1(480)554-3116 Eメール:howard.c.herbert@intel.com
Copyright (C) The Internet Society (2003). All Rights Reserved.
著作権(C)インターネット協会(2003)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の制限は永久で、インターネット学会やその後継者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。