Internet Engineering Task Force (IETF) S. Turner
Request for Comments: 6149 IECA
Obsoletes: 1319 L. Chen
Category: Informational NIST
ISSN: 2070-1721 March 2011
MD2 to Historic Status
Abstract
抽象
This document retires MD2 and discusses the reasons for doing so. This document moves RFC 1319 to Historic status.
この文書では、MD2を引退し、そうする理由を説明します。この文書では、歴史的な状況にRFC 1319を移動します。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。 IESGによって承認されていないすべての文書がインターネットStandardのどんなレベルの候補です。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6149.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc6149で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2011 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
MD2 [MD2] is a message digest algorithm that takes as input a message of arbitrary length and produces as output a 128-bit "fingerprint" or "message digest" of the input. This document retires MD2. Specifically, this document moves RFC 1319 [MD2] to Historic status. The reasons for taking this action are discussed.
MD2 [MD2]はメッセージ入力として任意の長さのメッセージを受け取り、出力として入力128ビットの「指紋」または「メッセージダイジェスト」を生成ダイジェストアルゴリズムです。この文書では、MD2を引退します。具体的には、この文書は歴史的な状況に[MD2] RFC 1319に移動します。この行動をとるための理由は説明されています。
[HASH-Attack] summarizes the use of hashes in many protocols and discusses how attacks against a message digest algorithm's one-way and collision-free properties affect and do not affect Internet protocols. Familiarity with [HASH-Attack] is assumed.
[HASH-攻撃]は多くのプロトコルでのハッシュの使用を要約したメッセージに対する攻撃は、アルゴリズムの一方向と衝突のない性質が影響し、インターネット・プロトコルには影響を与えないダイジェスト方法について説明します。 [HASH-攻撃]精通が想定されます。
MD2 was published in 1992 as an Informational RFC. Since its publication, MD2 has been shown to not be collision-free [ROCH1995] [KNMA2005] [ROCH1997], albeit successful collision attacks for properly implemented MD2 are not that damaging. Successful pre-image and second pre-image attacks against MD2 have been shown [KNMA2005] [MULL2004] [KMM2010].
MD2は情報RFCとして1992年に出版されました。適切に実装MD2のための成功した衝突攻撃がその有害ではないものの、その出版以来、MD2は、無衝突[ROCH1995] [KNMA2005] [ROCH1997]ではないことが示されています。 MD2に対する成功したプレ画像と第2のプリイメージ攻撃は[KNMA2005] [MULL2004] [KMM2010】示されています。
Use of MD2 has been specified in the following RFCs:
MD2の使用は、次のRFCで指定されています。
Proposed Standard (PS):
提案された標準(PS):
o [RFC3279] Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.
O [RFC3279]アルゴリズムとインターネットX.509公開鍵暗号基盤証明書と証明書失効リスト(CRL)プロフィールの識別子。
o [RFC4572] Connection-Oriented Media Transport over the Transport Layer Security (TLS) Protocol in the Session Description Protocol (SDP).
O [RFC4572]コネクション指向セッション記述プロトコル(SDP)でTransport Layer Security(TLS)プロトコルを介してメディアトランスポート。
Informational:
情報:
o [RFC1983] Internet Users' Glossary.
O [RFC1983]インターネットユーザーの用語集。
o [RFC2315] PKCS #7: Cryptographic Message Syntax Version 1.5.
O [RFC2315] PKCS#7:暗号メッセージ構文バージョン1.5。
o [RFC2898] PKCS #5: Password-Based Cryptography Specification Version 2.0.
O [RFC2898] PKCS#5:パスワードベースの暗号化仕様バージョン2.0。
o [RFC3447] Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1.
O [RFC3447]公開鍵暗号規格(PKCS)#1:RSA暗号仕様バージョン2.1。
Experimental:
実験:
o [RFC2660] The Secure HyperText Transfer Protocol.
O [RFC2660]セキュアハイパーテキスト転送プロトコル。
There are other RFCs that refer to MD2, but they have been either moved to Historic status or obsoleted by a later RFC. References and discussions about these RFCs are omitted. The exceptions are:
そこMD2を参照する他のRFCはありますが、それらはいずれかの歴史的な状況に移動以降RFCによって廃止されました。これらのRFCについての言及や議論が省略されています。例外は以下のとおりです。
o [RFC2313] PKCS #1: RSA Encryption Version 1.5.
O [RFC2313] PKCS#1:RSA暗号化バージョン1.5。
o [RFC2437] PKCS #1: RSA Cryptography Specifications Version 2.0.
O [RFC2437] PKCS#1:RSA暗号仕様バージョン2.0。
The impact of moving MD2 to Historic on the RFCs specified in Section 3 is minimal, as described below.
以下に説明するように、セクション3で指定のRFCに歴史的にMD2を移動の影響は、最小限です。
Regarding PS RFCs:
PS用のRFCについて:
o MD2 support in TLS was dropped in TLS 1.1.
O TLSでMD2のサポートは、TLS 1.1に滴下しました。
o MD2 support is optional in [RFC4572], and SHA-1 is specified as the preferred algorithm.
O MD2のサポートは、[RFC4572]に任意であり、SHA-1は、好ましいアルゴリズムとして指定されています。
o MD2 is included in the original PKIX certificate profile and the PKIX algorithm document [RFC3279] for compatibility with older applications, but its use is discouraged. SHA-1 is identified as the preferred algorithm for the Internet PKI.
O MD2は、古いアプリケーションとの互換性のために、元のPKIX証明書プロファイルとPKIXアルゴリズム文書[RFC3279]に含まれているが、その使用が推奨されます。 SHA-1は、インターネットPKIのための好ましいアルゴリズムとして識別されます。
Regarding Informational RFCs:
情報のRFCについて:
o The Internet Users' Guide [RFC1983] provided a definition for Message Digest and listed MD2 as one example.
Oのインターネットユーザーのガイド[RFC1983]はメッセージダイジェストの定義を提供し、一例として、MD2を記載されています。
o PKCS#1 v1.5 [RFC2313] stated that there are no known attacks against MD2. PKCS#1 v2.0 [RFC2437] updated this stance to indicate that MD2 should only be supported for backward compatibility and to mention the attacks in [ROCH1995]. PKCS#1 [RFC3447] indicates that support of MD2 is only retained for compatibility with existing applications.
O PKCS#1 v1.5の[RFC2313]はMD2に対する既知の攻撃が存在しないと述べました。 PKCS#1 v2.0の[RFC2437]はMD2は、下位互換性のためにのみサポートされなければならないと[ROCH1995]で攻撃を言及していることを示すためにこのスタンスを更新しました。 PKCS#1 [RFC3447]はMD2のサポートのみ既存のアプリケーションとの互換性のために保持されることを示しています。
o PKCS#5 [RFC2898] recommends that the Password-Based Encryption Scheme (PBES) that uses MD2 not be used for new applications.
O PKCS#5 [RFC2898]はMD2を使用するパスワードベースの暗号化スキーム(PBES)は、新しいアプリケーションには使用しないことをお勧めします。
o PKCS#7 [RFC2315] was replaced by a series of Standards Track publications, "Cryptographic Message Syntax" [RFC2630] [RFC3369] [RFC5652] and "Cryptographic Message Syntax (CMS) Algorithms" [RFC3370]. Support for MD2 was dropped in [RFC3370].
O PKCS#7 [RFC2315]が標準化過程の一連の刊行物に置き換えられました、 "暗号メッセージ構文" [RFC2630] [RFC3369] [RFC5652]と "暗号メッセージ構文(CMS)アルゴリズム" [RFC3370]。 MD2のサポートは、[RFC3370]で滴下しました。
RFC 2818, "HTTP Over TLS", which does not reference MD2, largely supplanted implementation of [RFC2660]. [RFC2660] specified MD2 for use both as a digest algorithm and as a MAC (Message Authentication Code) algorithm [RFC2104]. Note that this is the only reference to HMAC-MD2 found in the RFC repository.
RFC 2818 [RFC2660]のMD2を参照していない "TLSオーバーHTTP" は、主に取って代わら実装。 [RFC2660]はダイジェストアルゴリズムとして、およびMAC(メッセージ認証コード)アルゴリズム[RFC2104]の両方として使用するためにMD2を指定しました。これはRFCリポジトリに見出さHMAC-MD2への参照のみであることに留意されたいです。
MD2 has also fallen out of favor because it is slower than both MD4 [MD4] and MD5 [MD5]. This is because MD2 was optimized for 8-bit machines, while MD4 and MD5 were optimized for 32-bit machines. MD2 is also slower than the Secure Hash Standard (SHS) [SHS] algorithms: SHA-1, SHA-224, SHA-256, SHA-384, and SHA-512.
それは両方のMD4 [MD4]とMD5 [MD5]よりも遅いので、MD2も、好意から落ちました。 MD4およびMD5は、32ビットマシンのために最適化しながら、MD2は、8ビットマシンのために最適化されたためです。 SHA-1、SHA-224、SHA-256、SHA-384およびSHA-512:MD2はまた、セキュアハッシュ規格(SHS)[SHS]アルゴリズムよりも遅いです。
MD2 is different from MD4 and MD5 in that is not a straight Merkle-Damgaard design. For a padded message with t blocks, it generates a nonlinear checksum as its t+1 block. The checksum is considered as the final block input of MD2.
MD2はストレートマークル-Damgaardのデザインではないという点で、MD4とMD5は異なっています。 Tブロックで埋められたメッセージのために、そのT + 1つのブロックのような非線形のチェックサムを生成します。チェックサムは、MD2の最終ブロックの入力として考えられます。
As confirmed in 1997 by Rogier et al. [ROCH1997], the collision resistance property of MD2 highly depends on the nonlinear checksum. Without the checksum, a collision can be found in 2^12 MD2 operations, while with the checksum, the best collision attack takes 2^63.3 operations with 2^50 memory complexity [MULL2004], which is not significantly better than the birthday attack.
ロジェらによって1997年に確認されています。 [ROCH1997]、MD2の衝突抵抗性は、高非線形チェックサムに依存します。チェックサムで、最高の衝突攻撃が誕生日の攻撃よりも有意に良好ではない2 ^ 50のメモリの複雑[MULL2004]、と2 ^ 63.3オペレーションをとりながら、チェックサムがなければ、衝突は、2 ^ 12 MD2操作で見つけることができます。
Even though collision attacks on MD2 are not significantly more powerful than the birthday attack, MD2 was found not to be one-way. In [KMM2010], a pre-image can be found with 2^104 MD2 operations. In an improved attack described in [KMM2010], a pre-image can be found in 2^73 MD2 operations. Because of this "invertible" property of MD2, when using MD2 in HMAC, it may leak information of the keys.
MD2で衝突攻撃が大幅に誕生日攻撃よりも強力ではないにもかかわらず、MD2は一方通行ではないことが判明しました。 【KMM2010]において、プリ画像が2 ^ 104 MD2操作で見つけることができます。 【KMM2010]に記載の改良された攻撃では、プレ画像が2 ^ 73 MD2動作中に見出すことができます。 HMACにMD2を使用する場合MD2のこの「可逆」性質のため、それは鍵の情報を漏洩してもよいです。
Obviously, the pre-image attack can be used to find a second pre-image. The second pre-image attack is even more severe than a collision attack to digital signatures. Therefore, MD2 must not be used for digital signatures.
もちろん、プリイメージ攻撃は、第2の予備画像を検索するために使用することができます。第2のプリイメージ攻撃は一層厳しいデジタル署名に衝突攻撃よりもあります。したがって、MD2は、デジタル署名のために使用してはなりません。
Some may find the guidance for key lengths and algorithm strengths in [SP800-57] and [SP800-131] useful.
いくつかは、[SP800-57]で鍵長とアルゴリズムの強さのための指導と[SP800-131]便利を見つけることができます。
Despite MD2 seeing some deployment on the Internet, this specification recommends obsoleting MD2. MD2 is not a reasonable candidate for further standardization and should be deprecated in favor of one or more existing hash algorithms (e.g., SHA-256 [SHS]).
MD2は、インターネット上でいくつかの展開を見てもかかわらず、この仕様は、MD2を時代遅れにすることをお勧めします。 MD2は、さらに、標準化のための合理的な候補ではなく、1つのまたは複数の既存のハッシュアルゴリズム(例えば、SHA-256 [SHS])を支持して非難されるべきです。
RSA Security considers it appropriate to move the MD2 algorithm to Historic status.
RSAセキュリティは、歴史的な状況にMD2アルゴリズムを移動することが適切と考えます。
It takes a number of years to deploy crypto and it also takes a number of years to withdraw it. Algorithms need to be withdrawn before a catastrophic break is discovered. MD2 is clearly showing signs of weakness, and implementations should strongly consider removing support and migrating to another hash algorithm.
これは、暗号を展開する年数をとり、それはまた、それを撤回するために数年を要します。アルゴリズムは、壊滅的なブレークが発見される前に撤退する必要があります。 MD2は明らかに弱さの兆しを見せており、実装は強くサポートを削除し、別のハッシュ・アルゴリズムへの移行を検討してください。
We'd like to thank RSA for publishing MD2. We'd also like to thank all the cryptographers who studied the algorithm. For their contributions to this document, we'd like to thank Ran Atkinson, Alfred Hoenes, John Linn, and Martin Rex.
私たちは、MD2を公開するためのRSAに感謝したいと思います。また、アルゴリズムを研究し、すべての暗号を感謝したいと思います。このドキュメントへの貢献のために、我々は蘭アトキンソン、アルフレッドHoenes、ジョン・リン、およびマーティンレックスに感謝したいと思います。
[HASH-Attack] Hoffman, P. and B. Schneier, "Attacks on Cryptographic Hashes in Internet Protocols", RFC 4270, November 2005.
[HASH-アタック]ホフマン、P.とB.シュナイアー、 "インターネットプロトコルで暗号化ハッシュに対する攻撃"、RFC 4270、2005年11月。
[KMM2010] Knudsen, L., Mathiassen, J., Muller, F., and Thomsen, S., "Cryptanalysis of MD2", Journal of Cryptology, 23(1):72-90, 2010.
【KMM2010】クヌーセン、L.、Mathiassen、J.、ミュラー、F.、及びトムセン、S.、 "MD2の解読"、暗号理論のジャーナル、23(1):72-90、2010。
[KNMA2005] Knudsen, L., and J. Mathiassen, "Preimage and Collision Attacks on MD2", FSE 2005.
【KNMA2005】クヌーセン、L.、及びJ. Mathiassen、 "MD2上のプレイメージ衝突攻撃"、FSE 2005。
[MD2] Kaliski, B., "The MD2 Message-Digest Algorithm", RFC 1319, April 1992.
【MD2] Kaliski、B.、 "MD2メッセージダイジェストアルゴリズム"、RFC 1319、1992年4月。
[MD4] Rivest, R., "The MD4 Message-Digest Algorithm", RFC 1320, April 1992.
[MD4]リベスト、R.、 "MD4メッセージダイジェストアルゴリズム"、RFC 1320、1992年4月。
[MD5] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.
[MD5] Rivest氏、R.、 "MD5メッセージダイジェストアルゴリズム"、RFC 1321、1992年4月。
[MULL2004] Muller, F., "The MD2 Hash Function Is Not One-Way", ASIACRYPT, LNCS 3329, pp. 214-229, Springer, 2004.
[MULL2004]ミュラー、F.は、ASIACRYPT、頁214から229、スプリンガー、2004 LNCS 3329 "MD2ハッシュ関数は一方向ではありません"。
[RFC1983] Malkin, G., Ed., "Internet Users' Glossary", FYI 18, RFC 1983, August 1996.
[RFC1983]マルキン、G.、エド。、 "インターネットユーザーの用語集"、FYI 18、RFC 1983、1996年8月。
[RFC2104] Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.
[RFC2104] Krawczyk、H.、ベラー、M.、およびR.カネッティ、 "HMAC:メッセージ認証のための鍵付きハッシュ化"、RFC 2104、1997年2月。
[RFC2313] Kaliski, B., "PKCS #1: RSA Encryption Version 1.5", RFC 2313, March 1998.
[RFC2313] Kaliski、B.、 "PKCS#1:RSA暗号化バージョン1.5"、RFC 2313、1998年3月。
[RFC2315] Kaliski, B., "PKCS #7: Cryptographic Message Syntax Version 1.5", RFC 2315, March 1998.
[RFC2315] Kaliski、B.、 "PKCS#7:暗号メッセージ構文バージョン1.5"、RFC 2315、1998年3月。
[RFC2437] Kaliski, B. and J. Staddon, "PKCS #1: RSA Cryptography Specifications Version 2.0", RFC 2437, October 1998.
[RFC2437] Kaliski、B.及びJ. Staddon、 "PKCS#1:RSA暗号仕様バージョン2.0"、RFC 2437、1998年10月。
[RFC2630] Housley, R., "Cryptographic Message Syntax", RFC 2630, June 1999.
[RFC2630] Housley氏、R.、 "暗号メッセージ構文"、RFC 2630、1999年6月。
[RFC2660] Rescorla, E. and A. Schiffman, "The Secure HyperText Transfer Protocol", RFC 2660, August 1999.
[RFC2660]レスコラ、E.およびA.シフマン、 "セキュアハイパーテキスト転送プロトコル"、RFC 2660、1999年8月。
[RFC2898] Kaliski, B., "PKCS #5: Password-Based Cryptography Specification Version 2.0", RFC 2898, September 2000.
[RFC2898] Kaliski、B.、 "PKCS#5:パスワードベースの暗号化仕様バージョン2.0"、RFC 2898、2000年9月。
[RFC3279] Bassham, L., Polk, W., and R. Housley, "Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 3279, April 2002.
[RFC3279] Bassham、L.、ポーク、W.、およびR. Housley氏、RFC 3279、2002年4月 "インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト(CRL)プロフィールのためのアルゴリズムと識別子"。
[RFC3369] Housley, R., "Cryptographic Message Syntax (CMS)", RFC 3369, August 2002.
[RFC3369] Housley氏、R.、 "暗号メッセージ構文(CMS)"、RFC 3369、2002年8月。
[RFC3370] Housley, R., "Cryptographic Message Syntax (CMS) Algorithms", RFC 3370, August 2002.
[RFC3370] Housley氏、R.、 "暗号メッセージ構文(CMS)アルゴリズム"、RFC 3370、2002年8月。
[RFC3447] Jonsson, J. and B. Kaliski, "Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1", RFC 3447, February 2003.
[RFC3447]ジョンソン、J.とB. Kaliski、 "公開鍵暗号規格(PKCS)#1:RSA暗号仕様バージョン2.1"、RFC 3447、2003年2月。
[RFC4572] Lennox, J., "Connection-Oriented Media Transport over the Transport Layer Security (TLS) Protocol in the Session Description Protocol (SDP)", RFC 4572, July 2006.
[RFC4572]レノックス、J.、 "接続指向のセッション記述プロトコル(SDP)でTransport Layer Security(TLS)プロトコルを介してメディアトランスポート"、RFC 4572、2006年7月。
[RFC5652] Housley, R., "Cryptographic Message Syntax (CMS)", STD 70, RFC 5652, September 2009.
[RFC5652] Housley氏、R.、 "暗号メッセージ構文(CMS)"、STD 70、RFC 5652、2009年9月。
[ROCH1995] Rogier, N., and P. Chauvaud, "The compression function of MD2 is not collision free", Presented at Selected Areas in Cryptography '95, Carleton University, Ottawa, Canada. May 18-19, 1995.
[ROCH1995]ロジェ、N.、およびP. Chauvaud、暗号'95、カールトン大学、カナダのオタワに選択された領域で発表され、「MD2の圧縮機能は、衝突自由ではありません」。月18-19、1995。
[ROCH1997] Rogier, N. and P. Chauvaud, "MD2 is not secure without the checksum byte", Des. Codes Cryptogr. 12(3), 245-251 (1997).
[ROCH1997]ロジェ、N.およびP. Chauvaudは、デ "MD2は、チェックサムバイトなしで安全ではありません"。コードCryptogr。 12(3)、245-251(1997)。
[SHS] National Institute of Standards and Technology (NIST), FIPS Publication 180-3: Secure Hash Standard, October 2008.
[SHS]アメリカ国立標準技術研究所(NIST)は、出版物180-3をFIPS:ハッシュ標準、2008年10月を固定します。
[SP800-57] National Institute of Standards and Technology (NIST), Special Publication 800-57: Recommendation for Key Management - Part 1 (Revised), March 2007.
標準技術[SP800-57]国立研究所(NIST)、特別な公表800-57:キー管理のための提言 - パート1(改訂版)、2007年3月。
[SP800-131] National Institute of Standards and Technology (NIST), Special Publication 800-131: DRAFT Recommendation for the Transitioning of Cryptographic Algorithms and Key Sizes, June 2010.
[SP800-131]国立標準技術研究所(NIST)、特別刊行物800から131:暗号アルゴリズムと鍵のサイズ、2010年6月の移行のための勧告案。
Authors' Addresses
著者のアドレス
Sean Turner IECA, Inc. 3057 Nutley Street, Suite 106 Fairfax, VA 22031 USA
ショーン・ターナーIECA株式会社3057ナトリーストリート、スイート106バージニア州フェアファクス22031 USA
EMail: turners@ieca.com
メールアドレス:turners@ieca.com
Lily Chen National Institute of Standards and Technology 100 Bureau Drive, Mail Stop 8930 Gaithersburg, MD 20899-8930 USA
リリー・チェン国立標準技術研究所100局ドライブ、メールストップ8930ゲイサーズバーグ、MD 20899から8930 USA
EMail: lily.chen@nist.gov
メールアドレス:lily.chen@nist.gov