Independent Submission A. Brusilovsky
Request for Comments: 5683 I. Faynberg
Category: Informational Z. Zeltsan
ISSN: 2070-1721 Alcatel-Lucent
S. Patel
Google, Inc.
February 2010
Password-Authenticated Key (PAK) Diffie-Hellman Exchange
Abstract
抽象
This document proposes to add mutual authentication, based on a human-memorizable password, to the basic, unauthenticated Diffie-Hellman key exchange. The proposed algorithm is called the Password-Authenticated Key (PAK) exchange. PAK allows two parties to authenticate themselves while performing the Diffie-Hellman exchange.
この文書では、基本的な、認証されていないのDiffie-Hellman鍵交換をし、人間が記憶可能パスワードに基づいて、相互認証を追加することを提案しています。提案したアルゴリズムは、パスワード認証キー(PAK)の交換と呼ばれています。 PAKは、Diffie-Hellman交換を実行しながら、両当事者が自分自身を認証することができます。
The protocol is secure against all passive and active attacks. In particular, it does not allow either type of attacker to obtain any information that would enable an offline dictionary attack on the password. PAK provides Forward Secrecy.
プロトコルは、すべてのパッシブとアクティブな攻撃に対して安全です。特に、攻撃者のどちらかのタイプがパスワードでオフライン辞書攻撃を可能にする任意の情報を取得することはできません。 PAKは、転送秘密を提供します。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This is a contribution to the RFC Series, independently of any other RFC stream. The RFC Editor has chosen to publish this document at its discretion and makes no statement about its value for implementation or deployment. Documents approved for publication by the RFC Editor are not a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
これは、独立して、他のRFCストリームの、RFCシリーズへの貢献です。 RFC Editorはその裁量でこの文書を公開することを選択し、実装や展開のためにその値についての声明を出すていません。 RFC編集者によって公表のために承認されたドキュメントは、インターネット標準の任意のレベルの候補ではありません。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5683.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc5683で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2010 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http:trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document.
このドキュメントの発行日に有効な:(trustee.ietf.org/license-info HTTP)この文書では、BCP 78とIETFドキュメントに関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。
Table of Contents
目次
1. Introduction ....................................................3
2. Conventions .....................................................3
3. Password-Authenticated Key Exchange .............................4
4. Selection of Parameters .........................................5
4.1. General Considerations .....................................5
4.2. Over-the-Air Service Provisioning (OTASP) and Wireless
Local Area Network (WLAN) Diffie-Hellman Parameters and
Key Expansion Functions ....................................5
5. Security Considerations .........................................7
6. Acknowledgments .................................................8
7. References ......................................................8
7.1. Normative References .......................................8
7.2. Informative References .....................................8
PAK has the following advantages:
PAKは、次のような利点があります。
- It provides a secure, authenticated key-exchange protocol. - It is secure against offline dictionary attacks when passwords are used. - It ensures Forward Secrecy. - It has been proven to be as secure as the Diffie-Hellman solution.
- それは、安全な、認証された鍵交換プロトコルを提供します。 - それは、パスワードが使用されているオフライン辞書攻撃に対して安全です。 - それは、転送秘密を保証します。 - のDiffie-Hellmanソリューションと同様に安全であることが証明されました。
The PAK protocol ([BMP00], [MP05], [X.1035]) has been proven to be as secure as the Diffie-Hellman ([RFC2631], [DH76]) in the random oracle model [BR93]. That is, PAK retains its security when used with low-entropy passwords. Therefore, it can be seamlessly integrated into existing applications, requiring secure authentication based on such low-entropy shared secrets.
PAKプロトコル([BMP00]、[MP05]、[X.1035])はランダムオラクルモデル[BR93]の仮定にディフィー - ヘルマン([RFC2631]、[DH76])と同じくらい安全であると証明されています。低エントロピーパスワードで使用された場合つまり、PAKは、セキュリティを保持します。したがって、シームレスに、低エントロピー共有秘密に基づいて安全な認証を必要とする、既存のアプリケーションに統合することができます。
- A is an identity of Alice.
- Aはアリスのアイデンティティです。
- B is an identity of Bob.
- Bはボブのアイデンティティです。
- Ra is a secret random exponent selected by A.
- RaはA.によって選択された秘密のランダムな指数であります
- Rb is a secret random exponent selected by B.
- RbはB.によって選択された秘密のランダムな指数であります
- Xab denotes a value (X presumably computed by A) as derived by B.
- XABは、Bによって誘導されたように(Xは、おそらくAによって計算された)値を表します
- Yba denotes a value (Y presumably computed by B) as derived by A.
- Aによって誘導されるようにYBAは、(Y、おそらくBによって計算された)値を表します
- A mod b denotes the least non-negative remainder when a is divided by b.
- Bで割ったときのMOD Bは少なくとも非負の余りを表します。
- Hi(u) denotes an agreed-on function (e.g., based on SHA-1, SHA-256, etc.) computed over a string u; the various H() act as independent random functions. H1(u) and H2(u) are the key derivation functions. H3(u), H4(u), and H5(u) are the hash functions.
- こんにちは(u)は、文字列Uにわたって計算合意オン関数(例えば、SHA-1、SHA-256、等に基づいて)です。独立したランダム関数のような様々なH()行為。 H1(U)及びH2(u)は鍵導出関数です。 H3(U)、H4(U)、およびH5(u)はハッシュ関数です。
- s|t denotes concatenation of the strings s and t.
- S | tは文字列sとtの連結を示しています。
- ^ denotes exponentiation.
- ^累乗を表します。
- Multiplication, division, and exponentiation are performed over (Zp)*; in other words:
- 乗算、除算、および指数は(Zpの)*上で行われます。言い換えると:
1) a*b always means a*b (mod p).
1)* bは、常に* bの(モッズp)を意味します。
2) a/b always means a * x (mod p), where x is the multiplicative inverse of b modulo p.
2)A / Bは常にxはBモジュロpの逆数である*×(MOD p)を、意味します。
3) a^b means a^b (mod p).
3)A ^ Bは、^ B(MOD p)を意味します。
Diffie-Hellman key agreement requires that both the sender and recipient of a message create their own secret, random numbers and exchange the exponentiation of their respective numbers.
Diffie-Hellman鍵は、メッセージの送信者と受信者の両方が自分の秘密、乱数を作成し、それぞれの数字の累乗を交換する必要があります。
PAK has two parties, Alice (A) and Bob (B), sharing a secret password PW that satisfies the following conditions:
PAKは、以下の条件を満たしている秘密のパスワードPWを共有し、両当事者、アリス(A)とボブ(B)があります。
H1(A|B|PW) != 0 H2(A|B|PW) != 0
H1(A | B | PW)!= 0 H2(A | B | PW)= 0!
The global Diffie-Hellman publicly known constants, a prime p and a generator g, are carefully selected so that:
世界のDiffie-Hellmanの公知の定数、素数pとジェネレータgは、慎重になるように選択されています。
1. A safe prime p is large enough to make the computation of discrete logarithms infeasible, and
1.安全な素数pは離散対数の計算が実行不可能にするのに十分な大きさである、と
2. Powers of g modulo p cover the entire range of p-1 integers from 1 to p-1. (References demonstrate working examples of selections).
Gモジュロpの2パワーズは1からP-1、P-1の整数の全範囲をカバーします。 (参考文献は、選択の作業例を示し)。
Initially, Alice (A) selects a secret, random exponent Ra and computes g^Ra; Bob (B) selects a secret, random exponent Rb and computes g^Rb. For efficiency purposes, short exponents could be used for Ra and Rb, provided they have a certain minimum size. Then:
最初に、アリス(A)は、秘密を選択するランダム指数RaおよびG ^さRaを計算します。ボブ(B)は、秘密、ランダム指数のRbが選択され、G ^のRbを計算します。効率のために、短い指数は、それらが特定の最小サイズを有して設けられ、RaおよびRbを使用することができます。その後:
A --> B: {A, X = H1(A|B|PW)*(g^Ra)} (The above precondition on PW ensures that X != 0)
- > B:{A、X = H1(A | B | PW)*(G ^ Ra)は}(PWに上記前提条件は、X = 0ことを保証します!)
Bob receives Q (presumably Q = X), verifies that Q != 0 (if Q = 0, Bob aborts the procedure); divides Q by H1(A|B|PW) to get Xab, the recovered value of g^Ra
ボブはそのQを検証し、Q(おそらくQ = X)を受け取る= 0(Q = 0は、ボブが手続きを中止した場合)!; XAB、G ^のRaの回復値を取得するにはH1(PW | | B A)でQを分割
B --> A: {Y = H2(A|B|PW)*(g^Rb), S1 = H3(A|B|PW|Xab|g^Rb|(Xab)^Rb)} (The above precondition on PW ensures that Y != 0)
B - > A:{Y = H2(A | B | PW)*(G ^ RB)、S1 = H3(A | B | PW | XAB | G ^のRb |(XAB)^ RB)}(上記PW上の前提条件は、Y!= 0)ことを保証します
Alice
verifies that Y != 0;
divides Y by H2(A|B|PW) to get Yba, the recovered value of g^Rb,
and computes S1' = H3(A|B|PW|g^Ra|Yba|(Yba)^Ra);
authenticates Bob by checking whether S1' = S1;
if authenticated, then sets key K = H5(A|B|PW|g^Ra|Yba|(Yba)^Ra)
A --> B: S2 = H4(A|B|PW|g^Ra|Yba|(Yba)^Ra)
- > B:S2 = H4(A | B | PW | G 'のRa | YBA |(YBA)' Ra)が
Bob Computes S2' = H4(A|B|PW|Xab|g^Rb|(Xab)^Rb) and authenticates Alice by checking whether S2' = S2; if authenticated, then sets K = H5(A|B|PW|Xab|g^Rb|(Xab)^Rb)
ボブ計算S2' = H4(A | B | PW | XAB | G ^のRb |(XAB)^ RB)とS2' か否かをチェックすることにより、アリスの認証を= S2。認証された場合、設定K = H5(A | B | PW | XAB | G ^のRb |(XAB)^ RB)
If any of the above verifications fails, the protocol halts; otherwise, both parties have authenticated each other and established the key.
上記検証のいずれかが失敗した場合、プロトコルが停止します。それ以外の場合は、両当事者が相互に認証し、キーを確立しています。
This section provides guidance on selection of the PAK parameters. First, it addresses general considerations, then it reports on specific implementations.
このセクションでは、PAKパラメータの選択に関するガイダンスを提供します。まず、それは一般的な考慮事項に対処し、それは、特定の実装について報告します。
In general implementations, the parameters must be selected to meet algorithm requirements of [BMP00].
一般的な実装では、パラメータは[BMP00]のアルゴリズムの要件を満たすように選択されなければなりません。
4.2. Over-the-Air Service Provisioning (OTASP) and Wireless Local Area Network (WLAN) Diffie-Hellman Parameters and Key Expansion Functions
4.2. オーバーザエアサービスプロビジョニング(OTASP)とワイヤレスローカルエリアネットワーク(WLAN)のDiffie-Hellmanのパラメータとキー拡張機能
[OTASP], [TIA683], and [WLAN] pre-set public parameters p and g to their "published" values. This is necessary to protect against an attacker sending bogus p and g values, tricking the legitimate user to engage in improper Diffie-Hellman exponentiation and leaking some information about the password.
彼らの "公開" 値に[OTASP]、[TIA683]、および[WLAN]予め設定公開パラメータPとg。これは、偽のpとgの値を送信して、不適切なのDiffie-Hellman累乗に従事する正当なユーザーをだましとパスワードに関するいくつかの情報を漏洩し、攻撃者から保護する必要があります。
According to [OTASP], [TIA683], and [WLAN], g shall be set to 00001101, and p to the following 1024-bit prime number (most significant bit first):
[OTASP]、[TIA683]、および[WLAN]によれば、Gは00001101に設定され、P以下の1024ビットの素数(最上位ビットが最初)になければなりません。
0xFFFFFFFF 0xFFFFFFFF 0xC90FDAA2 0x2168C234 0xC4C6628B 0x80DC1CD1 0x29024E08 0x8A67CC74 0x020BBEA6 0x3B139B22 0x514A0879 0x8E3404DD 0xEF9519B3 0xCD3A431B 0x302B0A6D 0xF25F1437 0x4FE1356D 0x6D51C245 0xE485B576 0x625E7EC6 0xF44C42E9 0xA637ED6B 0x0BFF5CB6 0xF406B7ED 0xEE386BFB 0x5A899FA5 0xAE9F2411 0x7C4B1FE6 0x49286651 0xECE65381 0xFFFFFFFF 0xFFFFFFFF
0xFFFFFFFFを0xFFFFFFFFの0xC90FDAA2 0x2168C234 0xC4C6628B 0x80DC1CD1 0x29024E08 0x8A67CC74 0x020BBEA6 0x3B139B22 0x514A0879 0x8E3404DD 0xEF9519B3 0xCD3A431B 0x302B0A6D 0xF25F1437 0x4FE1356D 0x6D51C245 0xE485B576 0x625E7EC6 0xF44C42E9 0xA637ED6B 0x0BFF5CB6 0xF406B7ED 0xEE386BFB 0x5A899FA5 0xAE9F2411 0x7C4B1FE6 0x49286651から0xFFFFFFFF 0xFFFFFFFFの0xECE65381
In addition, if short exponents [MP05] are used for Diffie-Hellman parameters Ra and Rb, then they should have a minimum size of 384 bits. The independent, random functions H1 and H2 should each output 1152 bits, assuming prime p is 1024 bits long and session keys K are 128 bits long. H3, H4, and H5 each output 128 bits. More information on instantiating random functions using hash functions can be found in [BR93]. We use the FIPS 180 SHA-1 hashing function [FIPS180] below to instantiate the random function as done in [WLAN]; however, SHA-256 can also be used:
ショート指数[MP05]はのDiffie-HellmanパラメータRaおよびRbのために使用される場合に加えて、それらは、384ビットの最小サイズを有するべきです。独立して、ランダム関数H1及びH2をすべき各出力1152ビットは、素数pを仮定すると、1024ビット長であり、セッション鍵Kが128ビット長です。 H3、H4、及びH5各出力は128ビット。ハッシュ関数を使用してランダム関数のインスタンス化の詳細については、[BR93]の仮定に見出すことができます。我々は、[WLAN]で行われたようにランダム関数をインスタンス化するために、次のFIPS 180 SHA-1ハッシュ関数[FIPS180]を使用します。しかし、SHA-256も使用することができます。
H1(z): SHA-1(1|1|z) mod 2^128 | SHA-1(1|2|z) mod 2^128 |...| | SHA-1(1|9|z) mod 2^128
H1(Z):SHA-1(1 | 1 | Z)MOD 2 ^ 128 | SHA-1(1つの| 2 | Z)のmod 2 ^ 128 | ... | | SHA-1(1 | 9 | Z)MOD 2 ^ 128
H2(z): SHA-1(2|1|z) mod 2^128 | SHA-1(2|2|z) mod 2^128 |...| | SHA-1(2|9|z) mod 2^128
H2(Z):SHA-1(2 | 1 | Z)MOD 2 ^ 128 | SHA-1(2 | 2 | Z)のmod 2 ^ 128 | ... | | SHA-1(2 | 9 | Z)MOD 2 ^ 128
H3(z): SHA-1(3|len(z)|z|z) mod 2^128 H4(z): SHA-1(4|len(z)|z|z) mod 2^128 H5(z): SHA-1(5|len(z)|z|z) mod 2^128
H3(Z):SHA-1(3 | LEN(Z)| Z | Z)MOD 2 ^ 128 H4(Z):SHA-1(4 | LEN(Z)| Z | Z)MOD 2 ^ 128 H5( Z):SHA-1(5 | LEN(Z)| Z | Z)MOD 2 ^ 128
In order to create 1152 output bits for H1 and H2, nine calls to SHA-1 are made and the 128 least significant bits of each output are used. The input payload of each call to SHA-1 consists of:
H1とH2のための1152個の出力ビット、SHA-1が形成されている9つの呼び出しと、各出力の128個の最下位ビットを作成するために使用されています。 SHA-1への各呼び出しの入力ペイロードで構成されています。
a) 32 bits of function type, which for H1 is set to 1 and for H2 is
set to 2;
b) a 32-bit counter value, which is incremented from 1 to 9 for each
call to SHA-1;
c) the argument z [for (A|B|PW)].
The functions H3, H4, and H5 require only one call to the SHA-1 hashing function and their respective payloads consist of:
関数H3、H4、及びH5は、SHA-1ハッシュ関数へのコールを1つだけ必要とし、それらのそれぞれのペイロードはで構成されています
a) 32 bits of function type (e.g., 3 for H3);
b) a 32-bit value for the bit length of the argument z;
c) the actual argument repeated twice.
Finally, the 128 least significant bits of the output are used.
最後に、出力128の最下位ビットが使用されます。
Security considerations are as follows:
次のようにセキュリティの考慮事項は次のとおりです。
- Identifiers
- 識別子
Any protocol that uses PAK must specify a method for producing a single representation of identity strings.
PAKを使用するすべてのプロトコルは、ID列の単一表現を生成するための方法を指定する必要があります。
- Shared secret
- 共有シークレット
PAK involves the use of a shared secret. Protection of the shared values and managing (limiting) their exposure over time is essential and can be achieved using well-known security policies and measures. If a single secret is shared among more than two entities (e.g., Alice, Bob, and Mallory), then Mallory can represent himself as Alice to Bob without Bob being any the wiser.
PAKは共有秘密の使用を含みます。時間の経過とともに共通の価値観の保護と管理(制限)彼らの露出が不可欠であり、既知のセキュリティポリシーや対策を使用して達成することができます。単一の秘密が二つ以上のエンティティ(例えば、アリス、ボブ、およびマロリー)の間で共有されている場合、マロリーは、ボブは、任意の賢明ことなくボブにアリスのように自分自身を表現することができます。
- Selection of Diffie-Hellman parameters
- のDiffie-Hellmanパラメータの選択
The parameters p and g must be carefully selected in order not to compromise the shared secret. Only previously agreed-upon values for parameters p and g should be used in the PAK protocol. This is necessary to protect against an attacker sending bogus p and g values and thus tricking the other communicating party in an improper Diffie-Hellman exponentiation. Both parties also need to randomly select a new exponent each time the key-agreement protocol is executed. If both parties re-use the same values, then Forward Secrecy property is lost.
パラメータp、gは慎重に共有秘密を侵害しないようにするために選択する必要があります。のみ以前に合意されたパラメータpとgの値PAKプロトコルで使用されるべきです。これは、不適切なのDiffie-Hellman累乗で他の通信相手をだまし、したがって偽PおよびGの値を送信し、攻撃から保護することが必要です。両当事者はまた、ランダムに新しい指数に鍵合意プロトコルが実行されるたびに選択する必要があります。双方が同じ値を再使用する場合は、転送秘密の特性が失われます。
In addition, if short exponents Ra and Rb are used, then they should have a minimum size of 384 bits (assuming that 128-bit session keys are used). Historically, the developers, who strived for 128-bit security (and thus selected 256-bit exponents), added 128 bits to the exponents to ensure the security reduction proofs. This should explain how an "odd" length of 384 has been arrived at.
ショート指数RaおよびRbが使用される場合に加えて、それらは384ビット(128ビットのセッションキーを使用していると仮定して)の最小サイズを有するべきです。歴史的には、128ビットのセキュリティのための努力(したがって256ビットの指数を選択した)開発者は、セキュリティ削減証明を確実にするために指数に128ビットを追加しました。これは384の「奇数」の長さはに到着されたかを説明しなければなりません。
- Protection against attacks
- 攻撃に対する保護
a) There is a potential attack, the so-called discrete logarithm attack on the multiplicative group of congruencies modulo p, in which an adversary can construct a table of discrete logarithms to be used as a "dictionary". A sufficiently large prime, p, must be selected to protect against such an attack. A proper 1024-bit value for p and an appropriate value for g are published in [WLAN] and [TIA683]. For the moment, this is what has been implemented; however, a larger prime (i.e., one that is 2048 bits long, or even larger) will definitely provide better protection. It is important to note that once this is done, the generator must be changed too, so this task must be approached with extreme care.
a)潜在的な攻撃、敵が「辞書」として使用される離散対数のテーブルを構築することが可能なcongruenciesモジュロpの乗法群、上のいわゆる離散対数攻撃があります。十分に大きな素数、pは、このような攻撃から保護するために選択する必要があります。 pの適切な1024ビットの値とGの適切な値は、[TIA683] [WLAN]で公開されています。現時点では、これが実装されているものです。しかし、より大きな素数(すなわち、2048ビット長、またはさらに大きいもの)は間違いなくより良い保護を提供するであろう。これが完了すると、発電機があまりにも変更しなければならないので、このタスクは細心の注意を払ってアプローチしなければならないことに注意することが重要です。
b) An online password attack can be launched by an attacker by repeatedly guessing the password and attempting to authenticate. The implementers of PAK should consider employing mechanisms (such as lockouts) for preventing such attacks.
b)は、オンラインパスワード攻撃を繰り返しパスワードを推測して認証を試みることにより、攻撃者によって起動することができます。 PAKの実装は、そのような攻撃を防止するための(例えば、ロックアウトなど)を採用メカニズムを検討すべきです。
- Recommendations on H() functions
- H()関数についての提言
The independent, random functions H1 and H2 should output 1152 bits each, assuming prime p is 1024 bits long and session keys K are 128 bits long. The random functions H3, H4, and H5 should output 128 bits.
独立して、ランダム関数H1及びH2は、素数pを仮定すると、1024ビット長の各出力1152ビットである必要があり、セッション鍵Kが128ビット長です。ランダム関数H3、H4、及びH5べき出力128ビット。
An example of secure implementation of PAK is provided in [Plan9].
PAKの安全な実装の例は、[Plan9の]で提供されます。
The authors are grateful for the thoughtful comments received from Shehryar Qutub, Ray Perlner, and Yaron Sheffer. Special thanks go to Alfred Hoenes, Tim Polk, and Jim Schaad for their careful reviews and invaluable help in preparing the final version of this document.
著者はShehryarクトゥブ、レイPerlner、およびヤロンシェファーから受け取った思慮深いコメントに感謝しています。特別な感謝は彼らの慎重なレビューと、この文書の最終版を製造するのに非常に貴重な助けのためアルフレッドHoenes、ティムポーク、とジムSchaadに行きます。
[X.1035] ITU-T, "Password-authenticated key exchange (PAK) protocol", ITU-T Recommendation X.1035, 2007.
【X.1035] ITU-T、 "パスワード認証鍵交換(PAK)プロトコル"、ITU-T勧告X.1035 2007。
[TIA683] TIA, "Over-the-Air Service Provisioning of Mobile Stations in Spread Spectrum Systems", TIA-683-D, May 2006.
[TIA683] TIA、 "空中スペクトラム拡散システムにおける移動局のサービスのプロビジョニング"、TIA683-D、2006年5月。
[Plan9] Alcatel-Lucent, "Plan 9 from Bell Labs", http://netlib.bell-labs.com/plan9/.
【Plan9の】アルカテル・ルーセント、http://netlib.bell-labs.com/plan9/「ベル研究所からプラン9」。
[BMP00] Boyko, V., MacKenzie, P., and S. Patel, "Provably secure password authentication and key exchange using Diffie-Hellman", Proceedings of Eurocrypt 2000.
[BMP00] Boyko、V.、マッケンジー、P.、およびS.パテル、「ディフィー・ヘルマンを使用して証明可能安全なパスワード認証と鍵交換」、EUROCRYPT 2000の議事。
[BR93] Bellare, M. and P. Rogaway, "Random Oracles are Practical: A Paradigm for Designing Efficient Protocols", Proceedings of the 5th Annual ACM Conference on Computer and Communications Security, 1998.
[BR93]の仮定ベラー、M.とP. Rogaway、「ランダムオラクルが実用的である:パラダイム効率的なプロトコルを設計するため」、コンピュータおよび通信セキュリティ、1998年第5回年次ACM会議議事録。
[DH76] Diffie, W. and M.E. Hellman, "New directions in cryptography", IEEE Transactions on Information Theory 22 (1976), 644-654.
[DH76]ディフィー、W.およびM.E.ヘルマン、 "暗号技術の新しい方向"、情報理論22(1976)、644から654までのIEEEトランザクション。
[FIPS180] NIST Federal Information Processing Standards, Publication FIPS 180-3, "Secure Hash Standard", 2008.
[FIPS180] NIST連邦情報処理規格、出版FIPS 180-3、2008年 "ハッシュ標準セキュア"。
[MP05] MacKenzie, P. and S. Patel, "Hard Bits of the Discrete Log with Applications to Password Authentication", CT-RSA 2005.
[MP05]マッケンジー、P.とS.パテル、「離散対数のハードビットパスワード認証への応用」、CT-RSA 2005。
[OTASP] 3GPP2, "Over-the-Air Service Provisioning of Mobile Stations in Spread Spectrum Systems", 3GPP2 C.S0016-C v. 1.0 5, October 2004.
"空中スペクトラム拡散システムにおける移動局のサービスのプロビジョニング"、3GPP2 C.S0016-CのV [OTASP] 3GPP2、1.0 5、2004年10月。
[RFC2631] Rescorla, E., "Diffie-Hellman Key Agreement Method", RFC 2631, June 1999.
[RFC2631]レスコラ、E.、 "ディフィー・ヘルマン鍵共有方式"、RFC 2631、1999年6月。
[WLAN] 3GPP2, "Wireless Local Area Network (WLAN) Interworking", 3GPP2 X.S0028-0, v.1.0, April 2005.
[WLAN] 3GPP2、 "ワイヤレスローカルエリアネットワーク(WLAN)インターワーキング"、3GPP2 X.S0028-0、V.1.0、2005年4月。
Authors' Addresses
著者のアドレス
Alec Brusilovsky Alcatel-Lucent Room 9B-226, 1960 Lucent Lane Naperville, IL 60566-7217 USA Tel: +1 630 979 5490 EMail: Alec.Brusilovsky@alcatel-lucent.com
アレックBrusilovskyアルカテル・ルーセントルーム9B-226、1960ルーセントレーンネーパーヴィル、IL 60566から7217 USA電話:+1 630 979 5490 Eメール:Alec.Brusilovsky@alcatel-lucent.com
Igor Faynberg Alcatel-Lucent Room 2D-144, 600 Mountain Avenue Murray Hill, NJ 07974 USA Tel: +1 908 582 2626 EMail: igor.faynberg@alcatel-lucent.com
イゴールFaynbergアルカテル・ルーセントルーム2D-144、600マウンテンアベニューマレー・ヒル、NJ 07974 USA電話:+1 908 582 2626 Eメール:igor.faynberg@alcatel-lucent.com
Sarvar Patel Google, Inc. 76 Ninth Avenue New York, NY 10011 USA Tel: +1 212 565 5907 EMail: sarvar@google.com
シャール・パテルグーグル社76ナインスアベニュー、ニューヨーク、NY 10011 USA電話:+1 212 565 5907 Eメール:sarvar@google.com
Zachary Zeltsan Alcatel-Lucent Room 2D-150, 600 Mountain Avenue Murray Hill, NJ 07974 USA Tel: +1 908 582 2359 EMail: zeltsan@alcatel-lucent.com
ザカリーZeltsanアルカテル・ルーセントルーム2D-150、600マウンテンアベニューマレー・ヒル、NJ 07974 USA電話:+1 908 582 2359 Eメール:zeltsan@alcatel-lucent.com