Network Working Group M. Baugher
Request for Comments: 4383 Cisco
Category: Standards Track E. Carrara
Royal Institute of Technology
February 2006
The Use of Timed Efficient Stream Loss-Tolerant Authentication (TESLA) in the Secure Real-time Transport Protocol (SRTP)
セキュアリアルタイム転送プロトコル(SRTP)で時限効率的なストリーム損失トレラント認証(TESLA)の使用
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
著作権(C)インターネット協会(2006)。
Abstract
抽象
This memo describes the use of the Timed Efficient Stream Loss-tolerant Authentication (RFC 4082) transform within the Secure Real-time Transport Protocol (SRTP), to provide data origin authentication for multicast and broadcast data streams.
このメモは時限効率的なストリーム損失トレラント認証(RFC 4082)は、マルチキャストおよびブロードキャストデータストリームのためのデータ発信元認証を提供するために、セキュアリアルタイム転送プロトコル(SRTP)内変換の使用を記載しています。
Table of Contents
目次
1. Introduction ....................................................2
1.1. Notational Conventions .....................................3
2. SRTP ............................................................3
3. TESLA ...........................................................4
4. Usage of TESLA within SRTP ......................................5
4.1. The TESLA Extension ........................................5
4.2. SRTP Packet Format .........................................6
4.3. Extension of the SRTP Cryptographic Context ................7
4.4. SRTP Processing ............................................8
4.4.1. Sender Processing ...................................9
4.4.2. Receiver Processing .................................9
4.5. SRTCP Packet Format .......................................11
4.6. TESLA MAC .................................................13
4.7. PRFs ......................................................13
5. TESLA Bootstrapping and Cleanup ................................14
6. SRTP TESLA Default Parameters ..................................14
7. Security Considerations ........................................15
8. Acknowledgements ...............................................16
9. References .....................................................17
9.1. Normative References ......................................17
9.2. Informative References ....................................17
Multicast and broadcast communications introduce some new security challenges compared to unicast communication. Many multicast and broadcast applications need "data origin authentication" (DOA), or "source authentication", in order to guarantee that a received message had originated from a given source, and was not manipulated during the transmission. In unicast communication, a pairwise security association between one sender and one receiver can provide data origin authentication using symmetric-key cryptography (such as a message authentication code, MAC). When the communication is strictly pairwise, the sender and receiver agree upon a key that is known only to them.
マルチキャストおよびブロードキャスト通信はユニキャスト通信に比べていくつかの新しいセキュリティの課題を紹介します。多くのマルチキャストおよびブロードキャストアプリケーションは、受信したメッセージが与えられたソースに由来していた、と送信中に操作されていないことを保証するために、「データ発信元認証」(DOA)、または「ソース認証」が必要です。ユニキャスト通信では、1人の送信者と一つの受信機との間のペアワイズのセキュリティアソシエーションは、(例えば、メッセージ認証コード、MACなど)、対称鍵暗号を使用して、データ発信元認証を提供することができます。通信は、厳密にペアワイズである場合には、送信者と受信者は、それらだけには知られているキー合意します。
In groups, however, a key is shared among more than two members, and this symmetric-key approach does not guarantee data origin authentication. When there is a group security association [RFC4046] instead of a pairwise security association, any of the members can alter the packet and impersonate any other member. The MAC in this case only guarantees that the packet was not manipulated by an attacker outside the group (and hence not in possession of the group key), and that the packet was sent by a source within the group.
グループでは、しかし、鍵が二つ以上のメンバー間で共有されており、この対称鍵アプローチは、データ発信元認証を保証するものではありません。グループセキュリティアソシエーション[RFC4046]の代わりに、ペアワイズセキュリティ・アソシエーションが存在する場合、メンバーのいずれかがパケットを変更し、他のメンバーになりすますことができます。この場合、MACは、パケットは(グループ鍵の所持で、したがってない)グループ外の攻撃者によって操作されなかったことを保証し、パケットをグループ内のソースによって送信されたこと。
Some applications cannot tolerate source ambiguity and need to identify the true sender from any other group member. A common way to solve the problem is by use of asymmetric cryptography, such as digital signatures. This method, unfortunately, suffers from high overhead in terms of time (to sign and verify) and bandwidth (to convey the signature in the packet).
一部のアプリケーションでは、ソースの曖昧さを許容し、他のグループのメンバーから真の送信者を特定する必要がありますすることはできません。この問題を解決する一般的な方法は、デジタル署名などの非対称暗号法の使用によるものです。この方法は、残念ながら、時間(署名及び検証する)と帯域幅(パケットに署名を搬送する)の点で高いオーバーヘッドを患っています。
Several schemes have been proposed to provide efficient data origin authentication in multicast and broadcast scenarios. The Timed Efficient Stream Loss-tolerant Authentication (TESLA) is one such scheme.
いくつかの方式は、マルチキャストおよびブロードキャストのシナリオでは、効率的なデータ発信元認証を提供することが提案されています。時限効率ストリーム損失トレラント認証(テスラ)は、そのような方式です。
This memo specifies TESLA authentication for SRTP. SRTP TESLA can provide data origin authentication to RTP applications that use group security associations (such as multicast RTP applications) so long as receivers abide by the TESLA security invariants [RFC4082].
このメモはSRTPのためTESLA認証を指定します。 SRTP TESLAがあれば受信機がTESLAセキュリティ不変[RFC4082]に従うように(例えばマルチキャストRTPアプリケーションなど)グループセキュリティアソシエーションを使用するRTPアプリケーションにデータ発信元認証を提供することができます。
The keywords "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
キーワード "MUST"、 "MUST NOT"、 "REQUIRED" は、 "NOT SHALL" "ものと" この文書では、 "SHOULD"、 "推奨" "NOT SHOULD"、 "MAY"、 "OPTIONAL" はにあります[RFC2119]に記載されているように解釈されます。
This specification assumes that the reader is familiar with both SRTP and TESLA. Few of their details are explained in this document, and the reader can find them in their respective specifications, [RFC3711] and [RFC4082]. This specification uses the same definitions as TESLA for common terms and assumes that the reader is familiar with the TESLA algorithms and protocols [RFC4082].
この仕様は、読者がSRTPとTESLAの両方に精通していることを前提としています。その詳細のいくつかは、この文書で説明されており、読者はそれぞれの仕様でそれらを見つけることができます、[RFC3711]と[RFC4082]。この仕様は、一般的な用語をTESLAと同じ定義を使用して、読者がTESLAアルゴリズムおよびプロトコル[RFC4082]に精通していることを前提としています。
The Secure Real-time Transport Protocol (SRTP) [RFC3711] is a profile of RTP, which can provide confidentiality, message authentication, and replay protection to the RTP traffic and to the RTP control protocol, the Real-time Transport Control Protocol (RTCP). Note that the term "SRTP" may often be used to indicate SRTCP as well.
セキュアリアルタイムトランスポートプロトコル(SRTP)[RFC3711]は、リアルタイムトランスポート制御プロトコル(RTCP RTPトラフィックおよびRTP制御プロトコルに機密性、メッセージ認証、および再生保護を提供することができるRTPのプロファイルであります)。用語「SRTP」は、多くの場合にもSRTCPを示すために使用することができることに注意してください。
SRTP is a framework that allows new security functions and new transforms to be added. SRTP currently does not define any mechanism to provide data origin authentication for group security associations. Fortunately, it is straightforward to add TESLA to the SRTP cryptographic framework.
SRTPは、新しいセキュリティ機能と新しい変換が追加されることを可能にするフレームワークです。 SRTPは現在、グループセキュリティアソシエーションのデータ発信元認証を提供するための任意のメカニズムを定義していません。幸いなことに、SRTP暗号化フレームワークにTESLAを追加することは簡単です。
The TESLA extension to SRTP is defined in this specification, which assumes that the reader is familiar with the SRTP specification [RFC3711], its packet structure, and its processing rules. TESLA is
SRTPにTESLA拡張は、読者がSRTP仕様[RFC3711]、そのパケット構造、及びその処理規則に精通していることを前提とし、本明細書で定義されています。 TESLAは、
an alternative message-authentication algorithm that authenticates messages from the source when a key is shared among two or more receivers.
キーは、2つの以上の受信機間で共有されるソースからのメッセージを認証する別のメッセージ認証アルゴリズム。
TESLA provides delayed per-packet data authentication and is specified in [RFC4082].
テスラは遅延パケットごとのデータ認証を提供し、[RFC4082]で指定されています。
In addition to its SRTP data-packet definition given here, TESLA needs an initial synchronization protocol and initial bootstrapping procedure. The synchronization protocol allows the sender and the receiver to compare their clocks and determine an upper bound of the difference. The synchronization protocol is outside the scope of this document.
ここに与えられたそのSRTPデータ・パケットの定義に加えて、TESLAは、初期同期プロトコルと初期ブートストラップ手順を必要とします。同期プロトコルは、送信側と受信側が自分のクロックを比較し、差の上限を決定することを可能にします。同期プロトコルは、この文書の範囲外です。
TESLA also requires an initial bootstrapping procedure to exchange needed parameters and the initial commitment to the key chain [RFC4082]. For SRTP, it is assumed that the bootstrapping is performed out-of-band, possibly using the key management protocol that is exchanging the security parameters for SRTP, e.g., [RFC3547, RFC3830]. Initial bootstrapping of TESLA is outside the scope of this document.
TESLAはまた、必要なパラメータやキーチェーン[RFC4082]への最初のコミットメントを交換するために、初期ブートストラップ手順が必要です。 SRTPのために、ブートストラップはおそらくSRTPのセキュリティパラメータを交換された鍵管理プロトコル、例えば、[RFC3547、RFC3830]を使用して、アウトオブバンド行われるものとします。 TESLAの初期ブートストラップは、この文書の範囲外です。
The present specification is an extension to the SRTP specification [RFC3711] and describes the use of TESLA with only a single key chain and delayed-authentication [RFC4082].
本明細書はSRTP仕様[RFC3711]の拡張であり、単一のキーチェーンと遅延認証[RFC4082]とTESLAの使用を記載しています。
TESLA is an OPTIONAL authentication transform for SRTP. When used, TESLA adds the fields shown in Figure 1 per-packet. The fields added by TESLA are called "TESLA authentication extensions," whereas "authentication tag" or "integrity protection tag" indicate the normal SRTP integrity protection tag, when the SRTP master key is shared by more than two endpoints [RFC3711].
TESLAは、SRTP用に変換オプションの認証です。使用される場合、TESLAは、パケットごとの図1に示されたフィールドを追加します。 TESLAによって追加されたフィールドが「認証タグ」または「完全性保護のタグ」一方「TESLA認証拡張機能」と呼ばれるSRTPマスタ鍵はつ以上のエンドポイント[RFC3711]で共有されている場合、通常のSRTP完全性保護のタグを示します。
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| i |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
~ Disclosed Key ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
~ TESLA MAC ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 1. The "TESLA authentication extension".
図1.「TESLA認証拡張」。
i: 32 bit, MANDATORY Identifier of the time interval i, corresponding to the key K_i, which is used to calculate the TESLA MAC of the current packet (and other packets sent in the current time interval i).
I:32ビット、TESLA現在のパケットのMAC(および現在の時間間隔Iで送信される他のパケット)を計算するために使用されるキーK_I、に対応する時間間隔I、必須の識別子。
Disclosed Key: variable length, MANDATORY The disclosed key (K_(i-d)), which can be used to authenticate previous packets from earlier time intervals [RFC4082]. A Section 4.3 parameter establishes the size of this field.
キー開示されている:以前の時間間隔[RFC4082]から前回パケットを認証するために使用することができる可変長必須開示されているキー(K_(I-D))。 4.3節パラメータは、このフィールドのサイズを設定します。
TESLA MAC (Message Authentication Code): variable length, MANDATORY The MAC computed using the key K'_i (derived from K_i) [RFC4082], which is disclosed in a subsequent packet (in the Disclosed Key field). The MAC coverage is defined in Section 4.6. A Section 4.3 parameter establishes the size of this field.
TESLA MAC(メッセージ認証コード):可変長必須ザMACは、(公開鍵フィールドに)後続のパケットに開示されている(K_I由来)キーK'_i [RFC4082]を使用して計算しました。 MACカバレッジは4.6節で定義されています。 4.3節パラメータは、このフィールドのサイズを設定します。
Figure 2 illustrates the format of the SRTP packet when TESLA is applied. When applied to RTP, the TESLA authentication extension SHALL be inserted before the (optional) SRTP MKI and (recommended) authentication tag (SRTP MAC).
TESLAが印加されたとき、図2は、SRTPパケットのフォーマットを示します。 RTPに適用した場合、TESLA認証拡張(オプション)SRTP MKIと(推奨)認証タグ(SRTP MAC)の前に挿入されるものとします。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<+<+
|V=2|P|X| CC |M| PT | sequence number | | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| timestamp | | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| synchronization source (SSRC) identifier | | |
+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | |
| contributing source (CSRC) identifiers | | |
| .... | | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| RTP extension (OPTIONAL) | | |
+>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| | payload ... | | |
| | +-------------------------------+ | |
| | | RTP padding | RTP pad count | | |
+>+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<+ |
| | i | | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~ Disclosed Key ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~ TESLA MAC ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<|-+
| ~ MKI ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~ MAC ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| | |
+- Encrypted Portion TESLA Authenticated Portion ---+ |
|
Authenticated Portion ---+
Figure 2. The format of the SRTP packet when TESLA is applied.
図2 TESLAが適用されるSRTPパケットのフォーマット。
As in SRTP, the "Encrypted Portion" of an SRTP packet consists of the encryption of the RTP payload (including RTP padding when present) of the equivalent RTP packet.
SRTPのように、SRTPパケットの「暗号化された部分は、」等価RTPパケットの(RTPパディングが存在する場合も含む)RTPペイロードの暗号化から成ります。
The "Authenticated Portion" of an SRTP packet consists of the RTP header, the Encrypted Portion of the SRTP packet, and the TESLA authentication extension. Note that the definition is extended from [RFC3711] by the inclusion of the TESLA authentication extension.
SRTPパケットの「認証済み部分」RTPヘッダ、SRTPパケットの暗号化された部分、及びテスラ認証拡張から成ります。定義はTESLA認証拡張を含めることによって、[RFC3711]から延長されることに留意されたいです。
The "TESLA Authenticated Portion" of an SRTP packet consists of the RTP header and the Encrypted Portion of the SRTP packet. As shown in Figure 2, the SRTP MAC covers up to the MKI field but does not include the MKI. It is necessary for packet integrity that the SRTP-TESLA MAC tag be covered by the SRTP integrity check. SRTP does not cover the MKI field (because it does not need to be covered for SRTP packet integrity). In order to make the two tags (SRTP-TESLA MAC and SRTP-MAC) contiguous, we would need to redefine the SRTP specification to include the MKI in SRTP-MAC coverage. This change is impossible, so the MKI field separates the TESLA MAC from the SRTP MAC in the packet layout of Figure 2. This change to the packet format presents no problem to an implementation that supports the new SRTP-TESLA authentication transform.
SRTPパケットの「TESLA認証部は、」RTPヘッダ及びSRTPパケットの暗号化部分から成ります。図2に示すように、SRTP MACはMKIフィールドまで覆うがMKIを含んでいません。これは、SRTP-TESLA MACタグがSRTPの整合性チェックによってカバーされるパケットの整合性のために必要です。 (それはSRTPパケットの整合性のためにカバーする必要がないため)SRTPは、MKI分野をカバーしていません。連続した二つのタグ(SRTP-TESLA MACおよびSRTP-MAC)を作るために、我々は、SRTP-MAC報道にMKIが含まれるようにSRTP仕様を再定義する必要があります。この変更は不可能なので、MKIフィールドは、図2のパケットレイアウトでSRTP MACからTESLA MACを分離パケットフォーマットへのこの変更は、新しいSRTP-TESLA認証変換をサポートする実装に問題はありません。
The lengths of the Disclosed Key and TESLA MAC fields are Section 4.3 parameters. As in SRTP, fields that follow the packet payload are not necessarily aligned on 32-bit boundaries.
公開鍵とTESLA MACフィールドの長さは、4.3節のパラメータです。 SRTPのように、パケットのペイロードに従うフィールドは、必ずしも32ビット境界に整列されていません。
When TESLA is used, the definition of cryptographic context in Section 3.2 of SRTP SHALL include the following extensions.
TESLAを使用する場合は、SRTPの3.2節で暗号コンテキストの定義は、次の拡張子を含むものとします。
Transform-Dependent Parameters
トランスフォーム依存パラメータ
1. an identifier for the PRF (TESLA PRF), implementing the one-way function F(x) in TESLA (to derive the keys in the chain), and the one-way function F'(x) in TESLA (to derive the keys for the TESLA MAC, from the keys in the chain), e.g., to indicate HMAC-SHA1. See Section 6 for the default value.
TESLA 1. PRF(TESLA PRF)の識別子、一方向関数TESLAにおけるF(X)を(チェーン内のキーを導出するために)を実装し、一方向関数F '(x)は(導出しますチェーン内のキー)、例えば、からTESLA MAC用のキーは、HMAC-SHA1を示します。デフォルト値については、セクション6を参照してください。
2. a non-negative integer, n_p, determining the length of the F output; i.e., the length of the keys in the chain (that is also the key disclosed in an SRTP packet). See Section 6 for the default value.
2.非負整数、N_P、F出力の長さを決定します。すなわち、チェーン内のキーの長さ(それはまた、SRTPパケットに開示されているキーです)。デフォルト値については、セクション6を参照してください。
3. a non-negative integer, n_f, determining the length of the output of F', i.e., of the key for the TESLA MAC. See Section 6 for the default value.
前記非負整数、n_f、TESLA MACのためのキーのF」の出力、即ち、の長さを決定します。デフォルト値については、セクション6を参照してください。
4. an identifier for the TESLA MAC that accepts the output of F'(x) as its key, e.g., to indicate HMAC-SHA1. See Section 6 for the default value.
4 Fの出力を受け付けるTESLA MACの識別子 '(x)はそのキーとして、例えば、HMAC-SHA1を指示します。デフォルト値については、セクション6を参照してください。
5. a non-negative integer, n_m, determining the length of the output of the TESLA MAC. See Section 6 for the default value.
前記非負整数、n_m、TESLA MACの出力の長さを決定します。デフォルト値については、セクション6を参照してください。
9. the upper bound D_t (in sec) on the lag of the receiver clock relative to the sender clock (this quantity has to be calculated by the peers out-of-band).
9.送信側クロックに受信機クロックの相対的な遅れに(秒単位)の上限D_t(この量は、アウト・オブ・バンドピアによって計算されなければなりません)。
10. a non-negative integer, n_c, determining the length of the key chain, K_0...K_n-1 of [RFC4082] (see also Section 6 of this document), which is determined based upon the expected duration of the stream.
前記非負整数、N_C、ストリームの予期される持続時間に基づいて決定されるキーチェーン、K_0 ... K_n-1 [RFC4082]の(この文書のセクション6を参照)の長さを決定します。
11. the initial key of the chain to which the sender has committed himself.
11.送信者が自分自身をコミットしているにチェーンの最初の鍵。
F(x) is used to compute a keychain of keys in SRTP TESLA, as defined in Section 6. Also according to TESLA, F'(x) computes a TESLA MAC key with inputs as defined in Section 6.
セクション6で定義されるようにまたTESLAに係る第6節で定義されるようにF(x)は、SRTP TESLAのキーのキーチェーンを計算するために使用され、F '(x)は入力でTESLA MAC鍵を計算します。
Section 6 of this document defines the default values for the transform-specific TESLA parameters.
このドキュメントのセクション6は、変換固有のTESLAのパラメータのデフォルト値を定義します。
The SRTP packet processing is described in Section 3.3 of the SRTP specification [RFC3711]. The use of TESLA slightly changes the processing, as the SRTP MAC is checked upon packet arrival for DoS prevention, but the current packet is not TESLA-authenticated. Each packet is buffered until a subsequent packet discloses its TESLA key. The TESLA verification itself consists of some steps, such as tests of TESLA security invariants, that are described in Sections 3.5-3.7 of [RFC4082]. The words "TESLA computation" and "TESLA verification" hereby imply all those steps, which are not all spelled out in the following. In particular, notice that the TESLA verification implies checking the safety condition (Section 3.5 of [RFC4082]).
SRTPパケット処理は、SRTP仕様[RFC3711]のセクション3.3に記載されています。 SRTP MACは、DoS攻撃の防止のためのパケット到着時にチェックされているようTESLAの使用は、わずかに、処理を変更しますが、現在のパケットはTESLA認証ではありません。その後のパケットがそのTESLAキーを開示するまで、各パケットがバッファリングされています。 TESLA検証自体は、[RFC4082]のセクション3.5から3.7に記載されているテスラセキュリティ不変量の試験、のようないくつかのステップからなります。言葉「TESLA計算」と「TESLA検証は、」ここに、次のすべてに綴られていないすべてのこれらのステップを、暗示します。具体的には、気づくことはTESLA検証は、安全条件([RFC4082]のセクション3.5)チェックを意味します。
As pointed out in [RFC4082], if the packet is deemed "unsafe", then the receiver considers the packet unauthenticated. It should discard unsafe packets, but, at its own risk, it may choose to use them unverified. Hence, if the safe condition does not hold, it is RECOMMENDED to discard the packet and log the event.
[RFC4082]で指摘したように、パケットが「安全でない」とみなされる場合、受信機は、パケットが認証されていないとみなし。それは危険なパケットを破棄すべきであるが、しかし、自身の責任で、それは未検証それらを使用することもできます。安全な条件が成立しない場合したがって、パケットを破棄し、イベントをログに記録することをお勧めします。
The sender processing is as described in Section 3.3 of [RFC3711], up to step 5, inclusive. After that, the following process is followed:
包括5、工程まで送信側処理として、[RFC3711]のセクション3.3に記載されています。その後、以下の処理が続きます。
6. When TESLA is applied, identify the key in the TESLA chain to be used in the current time interval, and the TESLA MAC key derived from it. Execute the TESLA computation to obtain the TESLA authentication extension for the current packet, by appending the current interval identifier (as i field), the disclosed key of the chain for the previous disclosure interval (i.e., the key for interval i is disclosed in interval i+d), and the TESLA MAC under the current key from the chain. This step uses the related TESLA parameters from the crypto context as for Step 4.
TESLAが印加されると6、現在の時間間隔において使用されるテスラチェーン内のキー、およびそれに由来するTESLA MAC鍵を識別する。 、(Iフィールドとして)現在の間隔の識別子を付加することによって、現在のパケットのためTESLA認証拡張を得るために、前の開示間隔iが区間に開示された間隔で(すなわち、キーのチェーンの公開鍵をTESLA演算を実行しますi)は、Dを+、および鎖から現在のキーの下にTESLA MAC。このステップは、ステップ4と同様に暗号コンテキストから関連TESLAのパラメータを使用します。
7. If the MKI indicator in the SRTP crypto context is set to one, append the MKI to the packet.
7. SRTP暗号コンテキストのMKIインジケータが1に設定されている場合、パケットにMKIを追加します。
8. When TESLA is applied, and if the SRTP authentication (external tag) is required (for DoS), compute the authentication tag as described in step 7 of Section 3.3 of the SRTP specification, but with coverage as defined in this specification (see Section 4.6).
8. TESLAが適用される場合、およびSRTP認証(外部タグ)(DoS攻撃のために)必要な場合、SRTP仕様のセクション3.3のステップ7に記載されているように、認証タグを計算するが、本明細書で定義されるようなカバレッジと(参照4.6節)。
9. If necessary, update the rollover counter (step 8 in Section 3.3 of [RFC3711]).
9.必要であれば、ロールオーバカウンタ([RFC3711]のセクション3.3にステップ8)を更新します。
The receiver processing is as described in Section 3.3 of [RFC3711], up to step 4, inclusive.
包括4、工程まで受信処理として、[RFC3711]のセクション3.3に記載されています。
To authenticate and replay-protect the current packet, the processing is as follows:
次のように現在のパケットを認証し、リプレイ保護するために、処理は次のとおりです。
First, check if the packet has been replayed (as per Section 3.3 of [RFC3711]). Note, however, that the SRTP replay list contains SRTP indices of recently received packets that have been authenticated by TESLA (i.e., replay list updates MUST NOT be based on SRTP MAC). If the packet is judged to be replayed, then the packet MUST be discarded, and the event SHOULD be logged.
パケットが再生されている場合、最初にチェック([RFC3711]のセクション3.3に従って)。ただし、SRTP再生リストはTESLA(即ち、再生リストの更新は、SRTP MACに基づいてはいけません)によって認証された最近受信したパケットのSRTPインデックスが含まれていること。パケットが再生されると判断された場合、パケットは捨てなければなりませんし、イベントがログに記録されます。
Next, perform verification of the SRTP integrity protection tag (not the TESLA MAC), if present, using the rollover counter from the current packet, the authentication algorithm indicated in the cryptographic context, and the session authentication key. If the verification is unsuccessful, the packet MUST be discarded from further processing, and the event SHOULD be logged.
存在する場合次に、現在のパケットは、暗号コンテキストに示される認証アルゴリズム、およびセッション認証キーからロールオーバーカウンターを使用して、SRTP完全性保護のタグ(ないTESLA MAC)の検証を行います。検証が失敗した場合、パケットは、さらなる処理から捨てなければなりませんし、イベントがログに記録されます。
If the verification is successful, remove and store the MKI (if present) and authentication tag fields from the packet. The packet is buffered, awaiting disclosure of the TESLA key in a subsequent packet.
検証に成功した場合、パケットからMKI(存在する場合)、認証タグフィールドを削除して保存します。パケットは、後続パケットにTESLAキーの開示を待って、バッファリングされます。
TESLA authentication is performed on a packet when the key is disclosed in a subsequent packet. Recall that a key for interval i is disclosed during interval i+d, i.e., the same key is disclosed in packets sent over d intervals of length t_int. If the interval identifier i from the packet (Section 4.1) has advanced more than d intervals from the highest value of i that has been received, then packets have been lost, and one or more keys MUST be computed as described in Section 3.2, second paragraph, of the TESLA specification [RFC4082]. The computation is performed recursively for all disclosed keys that have been lost, from the newly-received interval to the last-received interval.
キーは、後続のパケットに開示されているときにTESLA認証は、パケットに対して実行されます。間隔の鍵iはiがDを+インターバル中に開示されていることを思い出して、即ち、同一のキーは、長さT_INTのD間隔で送信されるパケットに開示されています。パケット(セクション4.1)から間隔識別子iが受信された私の最高値からDの間隔よりも進んだ場合は、パケットが失われており、3.2節で説明したように1つ以上のキーは、第二の、計算されなければなりませんTESLA仕様[RFC4082]の段落、。計算は、最後に受信間隔に新たに受信間隔から、失われたすべての開示されたキーのために再帰的に実行されます。
When a newly-disclosed key is received or computed, perform the TESLA verification of the packet using the rollover counter from the packet, the TESLA security parameters from the cryptographic context, and the disclosed key. If the verification is unsuccessful, the packet MUST be discarded from further processing, and the event SHOULD be logged. If the TESLA verification is successful, remove the TESLA authentication extension from the packet.
新たに開示された鍵を受信又は計算された場合、パケットからロールオーバカウンタ、暗号コンテキストからTESLAセキュリティパラメータ、および開示された鍵を使用してパケットのTESLA検証を行います。検証が失敗した場合、パケットは、さらなる処理から捨てなければなりませんし、イベントがログに記録されます。 TESLAの検証に成功した場合、パケットからTESLA認証拡張を削除します。
To decrypt the current packet, the processing is as follows:
次のように現在のパケットを復号化するには、処理は次のとおりです。
Decrypt the Encrypted Portion of the packet, using the decryption algorithm indicated in the cryptographic context, the session encryption key, and salt (if used) found in Step 4 with the index from Step 2.
ステップ2からのインデックスと、ステップ4で見つかった(使用する場合)、暗号コンテキストにおいて示さ復号アルゴリズム、セッション暗号鍵、及び塩を使用して、パケットの暗号化部分を解読します。
(Note that the order of decryption and TESLA verification is not mandated. It is RECOMMENDED that the TESLA verification be performed before decryption. TESLA application designers might choose to implement optimistic processing techniques such as notification of TESLA verification results after decryption or even after plaintext processing. Optimistic verification is beyond the scope of this document.)
(復号化とTESLA検証の順序が義務付けされていないことに注意してください。TESLAの検証は、このような復号化後のTESLAの検証結果の通知として、あるいは平文処理後の楽観的な処理技術を実装することを選択するかもしれません解読。TESLAのアプリケーション設計者の前に実行することをお勧めします。楽観的検証は、このドキュメントの範囲を超えています。)
Update the rollover counter and highest sequence number, s_l, in the cryptographic context, using the packet index estimated in Step 2. If replay protection is provided, also update the Replay List (i.e., the Replay List is updated after the TESLA authentication is successfully verified).
TESLA認証が成功した後にリプレイ保護が提供されている場合は、ステップ2で推定したパケットインデックスを使用して、暗号コンテキストにおけるロールオーバーカウンタと最高のシーケンス番号、S_Lを更新し、また、再生リストを更新する(すなわち、再生リストが更新されます検証)。
Figure 3 illustrates the format of the SRTCP packet when TESLA is applied. The TESLA authentication extension SHALL be inserted before the MKI and authentication tag. Recall from [RFC3711] that in SRTCP the MKI is OPTIONAL, while the E-bit, the SRTCP index, and the authentication tag are MANDATORY. This means that the SRTP (external) MAC is MANDATORY also when TESLA is used.
TESLAが印加されたとき、図3は、SRTCPパケットのフォーマットを示します。 TESLA認証拡張は、MKIと認証タグの前に挿入するものとします。 [RFC3711]からリコールEビット、SRTCPインデックス、および認証タグが必須でながらSRTCPにMKIは、オプションであること。これは、TESLAを用いた場合SRTP(外部)MACも必須であることを意味します。
As in SRTP, the "Encrypted Portion" of an SRTCP packet consists of the encryption of the RTCP payload of the equivalent compound RTCP packet, from the first RTCP packet, i.e., from the ninth (9) byte to the end of the compound packet.
SRTPのように、SRTCPパケットの「暗号化された部分は、」第九(9)バイトから化合物パケットの終わりに、すなわち、第一RTCPパケットから、同等の複合RTCPパケットのRTCPペイロードの暗号化から成り。
The "Authenticated Portion" of an SRTCP packet consists of the entire equivalent (eventually compound) RTCP packet, the E flag, the SRTCP index (after any encryption has been applied to the payload), and the TESLA extension. Note that the definition is extended from [RFC3711] by the inclusion of the TESLA authentication extension.
SRTCPパケットの「認証済み部分」全体当量(最終的化合物)RTCPパケット、Eフラグ、SRTCPインデックス(任意の暗号化ペイロードに適用された後)、及びテスラ拡張から成ります。定義はTESLA認証拡張を含めることによって、[RFC3711]から延長されることに留意されたいです。
We define the "TESLA Authenticated Portion" of an SRTCP packet as consisting of the RTCP header (first 8 bytes) and the Encrypted Portion of the SRTCP packet.
我々は、RTCPヘッダ(最初の8バイト)とSRTCPパケットの暗号化された部分からなるようSRTCPパケットの「TESLA認証部」を定義します。
Processing of an SRTCP packets is similar to the SRTP processing (Section 4.3), but there are SRTCP-specific changes described in Section 3.4 of the SRTP specification [RFC3711] and in Section 4.6 of this memo.
SRTCPパケットの処理は、SRTP処理(セクション4.3)に類似しているが、SRTP仕様[RFC3711]のセクション3.4にし、このメモのセクション4.6に記載SRTCP固有の変更があります。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<+<+
|V=2|P| RC | PT=SR or RR | length | | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| SSRC of sender | | |
+>+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | |
| ~ sender info ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~ report block 1 ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~ report block 2 ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~ ... ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| |V=2|P| SC | PT=SDES=202 | length | | |
| +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | |
| | SSRC/CSRC_1 | | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~ SDES items ~ | |
| +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | |
| ~ ... ~ | |
+>+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | |
| |E| SRTCP index | | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<+ |
| | i | | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~ Disclosed Key ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| ~ TESLA MAC ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+<|-+
| ~ SRTCP MKI ~ | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| : authentication tag : | |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| | |
+-- Encrypted Portion TESLA Authenticated Portion -----+ |
|
Authenticated Portion -------+
Figure 3. The format of the SRTCP packet when TESLA is applied.
図3 TESLAが適用さSRTCPパケットのフォーマット。
Note that when additional fields are added to a packet, it will increase the packet size and thus the RTCP average packet size.
追加のフィールドがパケットに追加されるとき、それはパケットサイズ、したがってRTCP平均パケットサイズを大きくすることに注意してください。
Let M' denote packet data to be TESLA-authenticated. In the case of SRTP, M' SHALL consist of the SRTP TESLA Authenticated Portion (RTP header and SRTP Encrypted Portion; see Figure 2) of the packet concatenated with the rollover counter (ROC) of the same packet:
M」表すパケットデータはTESLA認証であることをしてみましょう。 SRTPの場合には、M」は、SRTP TESLA認証部から構成されなければならない(RTPヘッダ及びSRTP暗号化部分;図2参照)は、同じパケットのロールオーバカウンタ(ROC)と連結パケットのを:
M' = ROC || TESLA Authenticated Portion.
M」= ROC || TESLA認証部分。
In the case of SRTCP, M' SHALL consist of the SRTCP TESLA Authenticated Portion only (RTCP header and SRTCP Encrypted Portion).
SRTCPの場合には、M」はSRTCP TESLA認証部のみ(RTCPヘッダおよびSRTCP暗号化された部分)で構成します。
The normal authentication tag (OPTIONAL for SRTP, MANDATORY for SRTCP) SHALL be applied with the same coverage as specified in [RFC3711]. That is:
[RFC3711]で指定されるように(SRTCPに必須SRTP用OPTIONAL、)通常の認証タグは、同じカバレッジで適用しなければなりません。あれは:
- for SRTP: Authenticated Portion || ROC (with the extended definition of SRTP Authentication Portion as in Section 4.2).
認証された部分||: - SRTP用(セクション4.2のようSRTP認証部の拡張定義を有する)ROC。
- for SRTCP: Authenticated Portion (with the extended definition of SRTCP Authentication Portion as in Section 4.2).
(セクション4.2のようSRTCP認証部の拡張定義を有する)は、認証部: - SRTCPため。
The predefined authentication transform in SRTP, HMAC-SHA1 [RFC2104], is also used to generate the TESLA MAC. For SRTP (and respectively for SRTCP), the HMAC SHALL be applied to the key in the TESLA chain corresponding to a particular time interval, and to M' as specified above. The HMAC output SHALL then be truncated to the n_m left-most bits. Default values are in Section 6.
事前定義された認証SRTPに変換、HMAC-SHA1 [RFC2104]は、また、TESLA MACを生成するために使用されます。 SRTPのために(それぞれSRTCPのための)上記指定されたとおり、HMACは、「特定の時間間隔に対応するTESLAチェーンのキーに、およびMに適用しなければなりません。 HMACの出力は、n_m左端ビットに切り捨てられるSHALL。デフォルト値は、第6節です。
As with SRTP, the predefined HMAC-SHA1 authentication algorithm MAY be replaced with an alternative algorithm that is specified in a future Internet RFC.
SRTPと同じように、事前に定義されたHMAC-SHA1認証アルゴリズムは、将来のインターネットRFCに指定されている代替アルゴリズムに置き換えてもよいです。
TESLA requires a pseudo-random function (PRF) to implement
テスラは実装する擬似ランダム関数(PRF)を必要
* one one-way function F(x) to derive the key chain, and * one one-way function F'(x) to derive (from each key of the chain) the key that is actually used to calculate the TESLA MAC.
* 1一方向関数F(x)はキーチェーンを導出する、及び* 1の一方向関数F '(x)は(鎖の各キーからの)実際TESLA MACを計算するために使用される鍵を導出します。
When TESLA is used within SRTP, the default choice of the PRF SHALL be HMAC-SHA1. Default values are in Section 6.
TESLAがSRTP内で使用される場合、PRFのデフォルトの選択は、HMAC-SHA1されなければなりません。デフォルト値は、第6節です。
Other PRFs can be chosen, and their use SHALL follow the common guidelines in [RFC3711] when adding new security parameters.
その他のPRFを選択することができ、そしてそれらの使用は、新しいセキュリティパラメータを追加[RFC3711]で一般的なガイドラインに従うこと。
The extensions to the SRTP cryptographic context include a set of TESLA parameters that are listed in Section 4.3 of this document. Furthermore, TESLA MUST be bootstrapped at session setup (for the parameter exchange and the initial key commitment) through a regular data authentication system (a digital signature algorithm is RECOMMENDED). Key management procedures can take care of this bootstrapping prior to the commencement of an SRTP session where TESLA authentication is used. The bootstrapping mechanism is out of scope for this document (it could, for example, be part of the key management protocol).
SRTP暗号コンテキストの拡張機能は、このドキュメントのセクション4.3に記載されていTESLAパラメータのセットが含まれています。さらに、TESLAは、(デジタル署名アルゴリズムが推奨される)通常のデータ認証システムを介して(パラメータ交換及び初期キーコミットメントのために)セッションセットアップでブートストラップされなければなりません。鍵管理手順はTESLA認証が使用されているSRTPセッションの開始前に、このブートストラップの世話をすることができます。ブートストラップ機構は、(それは、例えば、鍵管理プロトコルの一部であってもよい)、この文書の範囲外です。
A critical factor for the security of TESLA is that the sender and receiver need to be loosely synchronized. TESLA requires a bound on clock drift to be known (D_t). Use of TESLA in SRTP assumes that the time synchronization is guaranteed by out-of-band schemes (e.g., key management). That is, it is not in the scope of SRTP.
TESLAのセキュリティのための重要な要因は、送信者と受信者が緩く同期させる必要があるということです。 TESLAは(D_t)知られていることへのクロックドリフト上の結合が必要です。 SRTPにおけるTESLAの使用は、時間同期がアウトオブバンド方式(例えば、鍵管理)によって保証されていることを前提としています。つまり、それはSRTPの範囲ではありません。
It also should be noted that TESLA has some reliability requirements in that a key is disclosed for a packet in a subsequent packet, which can get lost. Since a key in a lost packet can be derived from a future packet, TESLA is robust to packet loss. This key stream stops, however, when the key-bearing data stream packets stop at the conclusion of the RTP session. To avoid this nasty boundary condition, send null packets with TESLA keys for one entire key-disclosure period following the interval in which the stream ceases: Null packets SHOULD be sent for d intervals of duration t_int (items 8 and 9 of Section 4.3). The rate of null packets SHOULD be the average rate of the session media stream.
また、TESLAは鍵が迷子にすることができ、その後のパケット内のパケットのために開示されていることで、いくつかの信頼性の要件を持っていることに留意すべきです。失われたパケット内のキーは、将来のパケットから導出することができるので、TESLAは、パケット損失に対してロバストです。キー・ベアリングデータ・ストリーム・パケットは、RTPセッションの終了時に停止したときにこのキーストリームは、しかし、停止します。ヌルパケットが持続T_INTのD間隔(項目8及び4.3節の9)のために送信する必要があります。この厄介な境界条件を回避するために、流れが停止した期間の後1全体のキー開示期間のTESLAキーでヌルパケットを送信します。ヌルパケットのレートは、セッションのメディアストリームの平均レートであるべきです。
Key management procedures establish SRTP TESLA operating parameters, which are listed in Section 4.3 of this document. The operating parameters appear in the SRTP cryptographic context and have the default values that are described in this section. In the future, an Internet RFC MAY define alternative settings for SRTP TESLA that are different than those specified here. In particular, note that the settings defined in this memo can have a large impact on bandwidth, as they add 38 bytes to each packet (when the field length values are the default ones). For certain applications, this overhead may represent more than a 50% increase in packet size. Alternative settings might seek to reduce the number and length of various TESLA fields and outputs. No such optimizations are considered in this memo.
キー管理手順は、このドキュメントのセクション4.3に記載されていSRTP TESLAの動作パラメータを確立します。動作パラメータは、SRTP暗号の文脈に表示され、このセクションで説明されているデフォルト値を持っています。将来的には、インターネットRFCは、ここで指定したものとは異なっているSRTP TESLAのための代替の設定を定義できます。 (フィールド長の値がデフォルトのものである場合)は、各パケットに38バイトを追加するように、特に、このメモで定義された設定は、帯域幅に大きな影響を持つことができることに注意してください。特定の用途のために、このオーバーヘッドは、パケットサイズが50%増加以上を表すことができます。代替の設定は、様々なTESLAフィールドと出力の数と長さを短くすることを求めるかもしれません。そのような最適化は、このメモでは考慮されていません。
It is RECOMMENDED that the SRTP MAC be truncated to 32 bits, since the SRTP MAC provides only group authentication and serves only as protection against external DoS.
SRTP MACのみ、グループ認証を提供し、唯一の外部DoS攻撃に対する防御として機能するので、SRTP MACは、32ビットに切り捨てられることが推奨されます。
The default values for the security parameters are listed in the following table.
セキュリティパラメータのデフォルト値を次の表に記載されています。
Parameter Mandatory-to-support Default
--------- -------------------- -------
TESLA PRF HMAC-SHA1 HMAC-SHA1
BIT-OUTPUT LENGTH n_p 160 160
BIT-OUTPUT LENGTH n_f 160 160
TESLA MAC HMAC-SHA1 HMAC-SHA1 (TRUNCATED) BIT-OUTPUT LENGTH n_m 80 80
TESLA MAC HMAC-SHA1、HMAC-SHA1(TRUNCATED)ビット出力長さn_m 80 80
As shown above, TESLA implementations MUST support HMAC-SHA1 [RFC2104] for the TESLA MAC and the TESLA PRF. The TESLA keychain generator is recursively defined as follows [RFC4082].
上記のように、TESLA実装はTESLA MACとTESLA PRFのためのHMAC-SHA1 [RFC2104]をサポートしなければなりません。 [RFC4082]を次のようにTESLAキーホルダー発生器は再帰的に定義されています。
K_i=HMAC_SHA1(K_{i+1},0), i=0..N-1
K_I = HMAC_SHA1(K_ {I + 1}、0)、I = 0..N-1
where N-1=n_c from the cryptographic context.
ここで、N-1 = N_C暗号コンテキストから。
The TESLA MAC key generator is defined as follows [RFC4082].
[RFC4082]を次のようにTESLA MAC鍵生成器が定義されます。
K'_i=HMAC_SHA1(K_i,1)
K'_i = HMAC_SHA1(K_I、1)
The TESLA MAC uses a truncated output of ten bytes [RFC2104] and is defined as follows.
TESLA MACは10バイト[RFC2104]の切断出力を使用し、以下のように定義されます。
HMAC_SHA1(K'_i, M')
HMAC_SHA1(K'_i、M ')
where M' is as specified in Section 4.6.
4.6節で指定された通りであり、Mは」です。
Denial of Service (DoS) attacks on delayed authentication are discussed in [PCST]. TESLA requires receiver buffering before authentication; therefore, the receiver can suffer a denial of service attack due to a flood of bogus packets. To address this problem, the external SRTP MAC, based on the group key, MAY be used in addition to the TESLA MAC. The short size of the SRTP MAC (default 32 bits) is motivated because that MAC is purely for DoS prevention from attackers external to the group. The shorter output tag means that an attacker has a better chance of getting a forged packet accepted, which is about 2^31 attempts on average. As a first line of defense against a denial of service attack, a short tag is probably adequate; a victim will likely have ample evidence that it is under attack before accepting a forged packet, which will subsequently fail the TESLA check. [RFC4082] describes other mechanisms that can be used to prevent DoS, in place of the external group-key MAC. If used, they need to be added as processing steps (following the guidelines of [RFC4082]).
遅延認証のサービス拒否(DoS)攻撃は、[PCST]に記載されています。 TESLAは、認証の前に、受信バッファリングを必要とします。そのため、受信機は、偽のパケットの洪水によるサービス拒否攻撃を受けることができます。この問題に対処するために、グループキーに基づいて外部SRTP MACは、TESLA MACに加えて使用することができます。そのMACグループの外部の攻撃者からのDoS防止のため、純粋なのでSRTP MAC(デフォルト32ビット)の短径が動機です。短い出力タグは、攻撃者が平均で約2 ^ 31回です受け入れ偽造パケットを、得ることのよりよいチャンスを有することを意味します。サービス拒否攻撃に対する防御の最前線として、短いタグはおそらく十分です。被害者はおそらく、それがその後TESLAチェックに失敗します偽造パケットを、受け入れる前に攻撃を受けているという十分な証拠を持っています。 [RFC4082]は、外部グループ鍵MACの代わりに、DoS攻撃を防止するために使用することができる他の機構が記載されています。使用される場合、それらは([RFC4082]のガイドラインに従って)処理ステップとして追加する必要があります。
The use of TESLA in SRTP defined in this specification is subject to the security considerations discussed in the SRTP specification [RFC3711] and in the TESLA specification [RFC4082]. In particular, the TESLA security is dependent on the computation of the "safety condition" as defined in Section 3.5 of [RFC4082].
本明細書で定義されたSRTPにおけるTESLAの使用は、SRTP仕様[RFC3711]及びテスラ仕様[RFC4082]で議論したセキュリティ問題を受けることです。 [RFC4082]のセクション3.5で定義されるように、特に、TESLAセキュリティが「安全状態」の計算に依存します。
SRTP TESLA depends on the effective security of the systems that perform bootstrapping (time synchronization) and key management. These systems are external to SRTP and are not considered in this specification.
SRTP TESLAは、ブートストラップ(時刻同期)と鍵管理を行うシステムの効果的なセキュリティに依存します。これらのシステムは、SRTPの外部にあり、この仕様では考慮されません。
The length of the TESLA MAC is by default 80 bits. RFC 2104 requires the MAC length to be at least 80 bits and at least half the output size of the underlying hash function. The SHA-1 output size is 160 bits, so both of these requirements are met with the 80-bit MAC specified in this document. Note that IPsec implementations tend to use 96 bits for their MAC values to align the header with a 64-bit boundary. Both MAC sizes are well beyond the reach of current cryptanalytic techniques.
TESLA MACの長さは、デフォルトでは80ビットです。 RFC 2104は、少なくとも80ビットと基本となるハッシュ関数の少なくとも半分の出力サイズにMACの長さを必要とします。 SHA-1の出力サイズは160ビットであるので、これらの要件の両方が、この文書で指定された80ビットのMACで満たされています。 IPsec実装は、64ビット境界とヘッダを整列させるために、それらのMAC値の96ビットを使用する傾向があることに留意されたいです。両方のMACのサイズはよく、現在の暗号解読技術の範囲を超えています。
The authors would like to thank Ran Canetti, Karl Norrman, Mats Naslund, Fredrik Lindholm, David McGrew, and Bob Briscoe for their valuable help.
著者は、彼らの貴重な助けのため蘭カネッティ、カールNorrman、マッツ・ナズランド、フレドリックリンドホルム、デビッドマグリュー、ボブブリスコーに感謝したいと思います。
[RFC2104] Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.
[RFC2104] Krawczyk、H.、ベラー、M.、およびR.カネッティ、 "HMAC:メッセージ認証のための鍵付きハッシュ化"、RFC 2104、1997年2月。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC3711] Baugher, M., McGrew, D., Naslund, M., Carrara, E., and K. Norrman, "The Secure Real-time Transport Protocol (SRTP)", RFC 3711, March 2004.
[RFC3711] Baugher、M.、マグリュー、D.、Naslund、M.、カララ、E.、およびK. Norrman、 "セキュアリアルタイム転送プロトコル(SRTP)"、RFC 3711、2004年3月。
[RFC4082] Perrig, A., Song, D., Canetti, R., Tygar, J., and B. Briscoe, "Timed Efficient Stream Loss-Tolerant Authentication (TESLA): Multicast Source Authentication Transform Introduction", RFC 4082, June 2005.
[RFC4082] Perrig、A.、歌、D.、カネッティ、R.、Tygar、J.、およびB.ブリスコウ、 "時限効率ストリーム損失トレラント認証(テスラ):マルチキャスト発信元認証は、はじめの変換"、RFC 4082、 2005年6月。
[PCST] Perrig, A., Canetti, R., Song, D., Tygar, D., "Efficient and Secure Source Authentication for Multicast", in Proc. of Network and Distributed System Security Symposium NDSS 2001, pp. 35-46, 2001.
【PCST] Perrig、A.、PROCでカネッティ、R.、歌、D.、Tygar、D.、 "マルチキャストの効率的で安全なソース認証"。ネットワークと分散システムセキュリティシンポジウムNDSS 2001、頁35-46、2001。
[RFC3547] Baugher, M., Weis, B., Hardjono, T., and H. Harney, "The Group Domain of Interpretation", RFC 3547, July 2003.
[RFC3547] Baugher、M.、ヴァイス、B.、Hardjono、T.、およびH.ハーニー、 "解釈のグループドメイン"、RFC 3547、2003年7月。
[RFC3830] Arkko, J., Carrara, E., Lindholm, F., Naslund, M., and K. Norrman, "MIKEY: Multimedia Internet KEYing", RFC 3830, August 2004.
[RFC3830] Arkko、J.、カララ、E.、リンドホルム、F.、Naslund、M.、およびK. Norrman、 "MIKEY:マルチメディアインターネットキーイング"、RFC 3830、2004年8月。
[RFC4046] Baugher, M., Canetti, R., Dondeti, L., and F. Lindholm, "Multicast Security (MSEC) Group Key Management Architecture", RFC 4046, April 2005.
[RFC4046] Baugher、M.、カネッティ、R.、Dondeti、L.、およびF.リンドホルム、 "マルチキャストセキュリティ(MSEC)グループ鍵管理アーキテクチャ"、RFC 4046、2005年4月。
Authors' Addresses
著者のアドレス
Questions and comments should be directed to the authors and msec@ietf.org.
ご質問やコメントは、著者とmsec@ietf.orgに向けられるべきです。
Mark Baugher Cisco Systems, Inc. 5510 SW Orchid Street Portland, OR 97219 USA
マークBaugherシスコシステムズ株式会社5510 SWオーキッド・ストリート、ポートランド、OR 97219 USA
Phone: +1 408-853-4418 EMail: mbaugher@cisco.com
電話:+1 408-853-4418電子メール:mbaugher@cisco.com
Elisabetta Carrara Royal Institute of Technology Stockholm Sweden
技術ストックホルムスウェーデンのエリザベッタ・カッラーラ王立協会
EMail: carrara@kth.se
メールアドレス:carrara@kth.se
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
著作権(C)インターネット協会(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットソサエティおよびインターネット・エンジニアリング・タスク・フォース放棄すべての保証、明示または、(もしあれば)後援ISに設けられています。黙示、情報の利用は、特定の目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証含むがこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFCエディタ機能のための資金は、IETF管理サポート活動(IASA)によって提供されます。