Internet Engineering Task Force (IETF) T. Polk
Request for Comments: 6194 L. Chen
Category: Informational NIST
ISSN: 2070-1721 S. Turner
IECA
P. Hoffman
VPN Consortium
March 2011
Security Considerations for
the SHA-0 and SHA-1 Message-Digest Algorithms
Abstract
抽象
This document includes security considerations for the SHA-0 and SHA-1 message digest algorithm.
この文書では、SHA-0、SHA-1メッセージダイジェストアルゴリズムのセキュリティの考慮事項を含みます。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。 IESGによって承認されていないすべての文書がインターネットStandardのどんなレベルの候補です。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6194.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc6194で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2011 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
The Secure Hash Algorithms are specified in [SHS]. A previous version of [SHS] also specified SHA-0. SHA-0, first published in 1993, and SHA-1, first published in 1996, are message digest algorithms, sometimes referred to as hash functions or hash algorithms, that take as input a message of arbitrary length and produce as output a 160-bit "fingerprint" or "message digest" of the input. The published attacks against both algorithms show that it is not prudent to use either algorithm when collision resistance is required.
セキュアハッシュアルゴリズムは[SHS]で指定されています。 【SHS】以前のバージョンは、SHA-0を指定しました。最初1996年に公開された最初の1993年に公開されたSHA-0、およびSHA-1は、時々入力として任意の長さのメッセージを取得し、出力として生成するハッシュ関数又はハッシュアルゴリズムと呼ばれる、メッセージがダイジェストアルゴリズムであります160-ビット「指紋」または入力の「メッセージダイジェスト」。両方のアルゴリズムに対する公表された攻撃は、衝突耐性が要求されたときのいずれかのアルゴリズムを使用することは賢明ではないことを示しています。
[HASH-Attack] summarizes the use of hashes in Internet protocols and discusses how attacks against a message digest algorithm's one-way and collision-free properties affect and do not affect Internet protocols. Familiarity with [HASH-Attack] is assumed.
[HASH-攻撃]は、インターネットプロトコルにおけるハッシュの使用を要約したメッセージに対する攻撃は、アルゴリズムの一方向と衝突のない性質が影響し、インターネット・プロトコルには影響を与えないダイジェスト方法について説明します。 [HASH-攻撃]精通が想定されます。
Some may find the guidance for key lengths and algorithm strengths in [SP800-57] and [SP800-131] useful.
いくつかは、[SP800-57]で鍵長とアルゴリズムの強さのための指導と[SP800-131]便利を見つけることができます。
What follows are summaries of recent attacks against SHA-0's collision, pre-image, and second pre-image resistance. Additionally, attacks against SHA-0 when used as a keyed-hash (e.g., HMAC-SHA-0) are discussed.
以下は、SHA-0の衝突に対する最近の攻撃は、プレ画像、及び第2プリイメージ抵抗の要約です。また、SHA-0に対する攻撃ハッシュキーとして使用される場合(例えば、HMAC-SHA-0)が議論されています。
The U.S. National Institute of Standards and Technology (NIST) withdrew SHA-0 in 1996. That is, NIST no longer considers it appropriate to use SHA-0 for any transactions associated with the use of cryptography by U.S. federal government agencies for the protection of sensitive, but unclassified information. SHA-0 is discussed here only for the sake of completeness.
標準技術の米国国立研究所(NIST)であることを1996年にSHA-0を撤回し、NISTは、もはやの保護のための米国の連邦政府機関による暗号の使用に関連したすべての取引のためにSHA-0を使用することが適切と考えるん敏感な、しかし非機密扱いの情報。 SHA-0は完全を期すために、ここで議論されています。
Any use of SHA-0 is strongly discouraged. Analysis of SHA-0 continues today because many see it as a weaker version of SHA-1.
SHA-0の使用は、強くお勧めします。多くはSHA-1の弱いバージョンとして、それを参照してくださいので、SHA-0の分析は今日も続いて。
The first attack on SHA-0 was published in 1998 [CHJO1998] and showed that collisions can be found in 2^61 operations. In 2006, [NSSYK2006] showed an improved attack that can find collisions in 2^36 operations.
SHA-0上の最初の攻撃は[CHJO1998] 1998年に出版され、衝突が2 ^ 61の動作中に見出すことができることを示しました。 2006年に、[NSSYK2006] 2 ^ 36操作で衝突を見つけることができる改良された攻撃を示しました。
In any case, the known research results indicate that SHA-0 is not as collision resistant as expected. The collision security strength is significantly less than an ideal hash function (i.e., 2^36 compared to 2^80).
いずれの場合においても、既知の研究結果は、予想通りSHA-0は、衝突耐性のようではないことを示しています。衝突のセキュリティ強度は、理想的なハッシュ関数(2 ^ 80に比べすなわち、2 ^ 36)よりも著しく小さいです。
The pre-image and second pre-image attacks published on reduced versions of SHA-0 (i.e., less than 80 rounds) indicate that the security margin of SHA-0 is resistant to these attacks. [deCARE2008] showed a pre-image attack on 49 out of 80 rounds with complexity of 2^159, and [AOSA2009] showed a pre-image attack on 52 out of 80 rounds with a complexity of 2^156.
SHA-0(すなわち、80未満のラウンド)の縮小バージョンで公開前の画像と第2のプリイメージ攻撃はSHA-0の安全マージンは、これらの攻撃に対して耐性であることを示しています。 [deCARE2008] 2 ^ 159の複雑さで80回のうち49上のプリイメージ攻撃を示し、そして[AOSA2009] 2 ^ 156の複雑さと52 80のうちラウンドにプリイメージ攻撃を示しました。
The current attack vectors on HMAC can be classified as follows: distinguishing attacks, existential forgery attacks, and key recovery attacks. Key recovery attacks are by far the most severe.
区別攻撃は、実存偽造攻撃、および鍵回復攻撃を:HMACの現在の攻撃ベクトルは以下のように分類することができます。キー回復攻撃はこれまでで最も深刻です。
Attacks on hash functions can be conducted entirely offline, since the attacker can generate unlimited message-hash value pairs. Attacks on HMACs must be online because attackers need a large amount of HMAC values to deduce the key. The best results for a partial key recovery attack on HMAC-SHA0 were published at Asiacrypt 2006 with 2^84 queries and 2^60 SHA-0 computations [COYI2006].
攻撃者は、無制限のメッセージのハッシュ値のペアを生成することができるので、ハッシュ関数への攻撃は、完全にオフラインで行うことができます。攻撃者がキーを推測するためにHMAC値を大量に必要とするのでHMACsに対する攻撃は、オンラインである必要があります。 HMAC-状態sha0上の部分鍵回復攻撃のための最良の結果は、2 ^ 84個のクエリと2 ^ 60状態sha0計算[COYI2006]でAsiacrypt 2006で発表されました。
What follows are recent attacks against SHA-1's collision, pre-image, and second pre-image resistance. Additionally, attacks against SHA-1 when used as a keyed-hash (i.e., HMAC-SHA-1) are discussed.
以下は、SHA-1の衝突、プレ画像、及び第2プリイメージ抵抗に対する最近の攻撃です。また、SHA-1ハッシュキーとして使用される(すなわち、HMAC-SHA-1)に対する攻撃が議論されています。
It must be noted that NIST has recommended that SHA-1 not be used for generating digital signatures after December 31, 2010, and has specified that it not be used for generating digital signatures by U.S. federal government agencies "for the protection of sensitive, but unclassified information" after December 31, 2013 [SP800-131].
NISTは、SHA-1は2010年12月31日後にデジタル署名を生成するために使用しないことを推奨している、そしてそれは敏感なの保護のために米国連邦政府機関」によってデジタル署名を生成するために使用されないことを指定していることに注意しますが、しなければなりません分類されていない情報」[SP800-131] 2013年12月31日後。
The first attack on SHA-1 was published in early 2005 [RIOS2005]. This attack described a theoretical attack on a version of SHA-1 reduced to 53 rounds. The very next month [WLY2005] showed collisions in the full 80 rounds in 2^69 operations. Since then, many new analysis methods have been developed to improve the attack presented in [WLY2005]. However, there are no published results that improve upon the results found in [WLY2005]. [Man2008/469], which is the International Association for Cryptologic Research (IACR) ePrint version of [Man2009], claimed that using the method presented in the paper, a collision of full SHA-1 can be found in 2^51 hash function calls. However, this claim is absent from the published conference paper [Man2009].
SHA-1の最初の攻撃は[RIOS2005] 2005年初頭に発表されました。この攻撃は、53回に減少SHA-1のバージョンに理論的な攻撃をします。非常に翌月[WLY2005]は、2 ^ 69の操作で完全80ラウンドで衝突を示しました。それ以来、多くの新しい分析方法は、[WLY2005]で提示攻撃を改善するために開発されています。ただし、[WLY2005]で得られた結果を改善一切公表された結果はありません。 【Man2009]の暗号研究(IACR)のePrintバージョンのための国際協会である[Man2008 / 469]は、論文に提示された方法を用いて、完全なSHA-1の衝突が2 ^ 51のハッシュ関数で見つけることができると主張呼び出します。しかし、この主張は、公開会議論文[Man2009]には存在しません。
In any case, the known research results indicate that SHA-1 is not as collision resistant as expected. The collision security strength is significantly less than an ideal hash function (i.e., 2^69 compared to 2^80).
いずれの場合においても、既知の研究結果は、予想されるようにSHA-1が衝突耐性でないようであることを示しています。衝突のセキュリティ強度は、理想的なハッシュ関数(2 ^ 80に比べすなわち、2 ^ 69)よりも著しく小さいです。
There are no known pre-image or second pre-image attacks that are specific to the full round SHA-1 algorithm. [KeSch] discovered a general result for all narrow-pipe Merkle-Damgaard hash functions (which includes SHA-1), finding a second pre-image takes less than 2^n computations. When n = 160, as is the case for SHA-1, it will take 2^106 computations to find a second pre-image in a 60-byte message.
既知の前の画像またはフルラウンドSHA-1アルゴリズムに固有の第2プリイメージ攻撃はありません。 【KeSchは、第二のプリ画像未満2 ^ n個の計算を要する発見、(SHA-1を含む)すべての狭管マークル-Damgaardハッシュ関数の一般的な結果を発見しました。 SHA-1の場合のように、N = 160、それは、60バイトのメッセージ内の第2の予備画像を見つけるために2 ^ 106の計算を行います。
In the absence of full-round attacks, cryptographers consider reduced-round attacks for clues regarding an algorithm's strength. Reduced-round attacks, where the number of reduced rounds is not more than a few less than the full rounds, have not been shown to relate to full-round attacks. However, the best reduced-round attack indicates a certain security margin. For example, if the best known attack is on 60 out of 80 rounds, then the algorithm has about 20 rounds to resist improved attacks. However, the relationship between the number of rounds an attack can reach and the number of rounds defined in the algorithm is not linear; it does not provide a mathematical proof. In other words, reduced-round attacks indicate how strong the algorithm is with regard to a certain attack, not how close it is to being broken. Therefore, the following information about reduced-round attacks is included only for completeness.
フルラウンドの攻撃がない場合には、暗号技術は、アルゴリズムの強さに関する手がかりを求めて減少ラウンドの攻撃を検討してください。減少ラウンドの数がフルラウンド未満の数以下である縮小ラウンド攻撃、フルラウンドの攻撃に関連することが示されていません。しかし、最高の縮小ラウンドの攻撃は、特定のセキュリティマージンを示します。最もよく知られた攻撃は80回のうち60上にある場合たとえば、その後、アルゴリズムが改善された攻撃に抵抗するために、約20ラウンドを持っています。しかし、攻撃が届くラウンド数とアルゴリズムで定義されたラウンド数との関係は線形ではありません。それは数学的な証明を提供していません。言い換えれば、減少ラウンドの攻撃は、アルゴリズムは、特定の攻撃ではなく、どれだけ近いか、それが破壊されることにあるに関してどのように強く示しています。したがって、減少ラウンドの攻撃について、以下の情報だけ完全を期すために含まれています。
The pre-image and second pre-image attacks published on reduced versions of SHA-1 (i.e., less than 80 rounds) indicate that SHA-1 retains a significant security margin against these attacks. [AOSA2009] showed a pre-image attack on 48 out of 80 rounds with complexity of 2^159.
SHA-1(すなわち、80未満のラウンド)の縮小バージョンで公開前の画像と第2のプリイメージ攻撃はSHA-1は、これらの攻撃に対する重大なセキュリティマージンを保持することを示しています。 [AOSA2009] 2 ^ 159の複雑さと48 80のうちラウンドにプリイメージ攻撃を示しました。
As of today, there is no indication that attacks on SHA-1 can be extended to HMAC-SHA-1.
今日の時点で、SHA-1の攻撃はHMAC-SHA-1に拡張することができるという兆候はありません。
SHA-1 provides less collision resistance than was originally expected, and collision resistance has been shown to affect some (but not all) applications that use digital signatures. Designers of IETF protocols that use digital signature algorithms should strongly consider support for a hash algorithm with greater collision resistance than that provided by SHA-1. Of course, SHA-0 should continue to not be used in any IETF protocol.
SHA-1は当初予想されたよりも少ない衝突耐性を提供し、衝突耐性は、デジタル署名を使用するいくつかの(すべてではない)アプリケーションに影響を与えることが示されています。デジタル署名アルゴリズムを使用するIETFプロトコルの設計者が強くSHA-1によって提供されるものよりも大きな衝突耐性を有するハッシュアルゴリズムのサポートを考慮すべきです。もちろん、SHA-0は、任意のIETFプロトコルで使用することがないように継続すべきです。
[Note: Protocol designers should review the current state of the art to ensure that selected hash algorithms provide sufficient security. At the time of publication, SHA-256 [SHS] is the most commonly specified alternative. The known (reduced-round) attacks on the collision resistance of SHA-256 indicate a significant security margin, and the longer message digest provides increased strength.]
[注:プロトコルの設計者は、選択したハッシュアルゴリズムは、十分なセキュリティを提供することを保証するために、技術の現状を確認してください。出版時には、SHA-256 [SHS]は、最も一般的に指定された代替物です。 SHA-256の衝突抵抗に既知の(縮小ラウンド)攻撃は、重大なセキュリティマージンを示し、より長いメッセージダイジェストは、増加した強度を提供します。]
Nearly all IETF protocols that use signatures assume existing public key infrastructures, and SHA-1 is still used in signatures nearly everywhere. Therefore, it is unwise to strictly prohibit the use of SHA-1 in signature algorithms. Protocols that permit the use of SHA-1-based digital signatures as an option should strongly consider referencing this document in the security considerations.
署名を使用するほぼすべてのIETFプロトコルは、公開鍵インフラストラクチャを既存の仮定、およびSHA-1はまだほとんどどこでも署名に使用されています。したがって、厳密署名アルゴリズムにSHA-1の使用を禁止することが賢明です。オプションとして、SHA-1ベースのデジタル署名の使用を許可するプロトコルは強く、セキュリティ上の考慮事項でこの文書を参照して検討すべきです。
A protocol designer might want to consider the use of SHA-1 with randomized hashing such as is specified in [SP800-107]. Note that randomized hashing expands the size of signatures and requires protocols to carry material that is not needed today. HMAC-SHA-1 remains secure and is the preferred keyed-hash algorithm for IETF protocol design.
プロトコルの設計者は、[SP800-107]で指定されているようなハッシングのランダム化とSHA-1の使用を検討する必要があります。ランダム化されたハッシュは、署名のサイズを拡大し、今日必要とされていない材料を運ぶためのプロトコルが必要であることに注意してください。 HMAC-SHA-1は、安全なままであり、IETFプロトコルの設計のための好ましい鍵付きハッシュアルゴリズムです。
This entire document is about security considerations.
この全体のドキュメントは、セキュリティ上の考慮事項についてです。
We'd like to thank Ran Atkinson and Sheila Frankel for their comments and suggestions.
我々は彼らのコメントや提案のための蘭アトキンソンとシーラフランケルに感謝したいと思います。
[AOSA2009] Aoki, K., and K. Saski, "Meet-in-the-Middle Preimage Attacks Against Reduced SHA-0 and SHA-1", Crypto 2009.
[AOSA2009]青木、K.、およびK. Saski、暗号2009 "縮小SHA-0およびSHA-1に対するミート・イン・ザ・ミドル・原像攻撃"。
[deCARE2008] De Canniere, C., and C. Rechberger, "Preimages for Reduced SHA-0 and SHA-1", Crypto 2008.
【deCARE2008】デCanniere、C.、及びC. Rechberger、クリプト2008 "縮小SHA-0、SHA-1のPreimages"。
[CHJO1998] Chaubad, F., and A. Joux, "Differential Collisions in SHA-0", Crypto 1998.
【CHJO1998] Chaubad、F.、及びA.ジュー、 "SHA-0における差動衝突"、暗号1998
[COYI2006] Contini, S., and Y. Lin, "Forgery and Partial Key-Recovery Attacks on HMAC and NMAC Using Hash Collisions", Asiacrypt 2006.
[COYI2006] Contini、S.、およびY.林、 "偽造とハッシュの衝突を使用してHMACとNMAC上の部分キー回復攻撃"、Asiacrypt 2006。
[HASH-Attack] Hoffman, P. and B. Schneier, "Attacks on Cryptographic Hashes in Internet Protocols", RFC 4270, November 2005.
[HASH-アタック]ホフマン、P.とB.シュナイアー、 "インターネットプロトコルで暗号化ハッシュに対する攻撃"、RFC 4270、2005年11月。
[KeSch] Kelsey, J., and B. Schneier, "Second Preimages on n-Bit Hash Functions for Much Less than 2n Work", In Cramer, R., ed.: Eurocrypt 2005. Volume 3494 of Lecture Notes in Computer Science, Springer (2005) 474-490.
[KeSch]ケルシー、J.、およびB.シュナイアー、「セカンドPreimages nビットのハッシュ関数に2nの仕事よりもはるかに少ないため」、クレイマーで、R.、編:EUROCRYPT 2005コンピュータサイエンスの講義ノートのボリューム3494 、スプリンガー(2005)474から490。
[Man2008/469] Manuell, S., "Classification and Generation of Disturbance Vectors for Collision Attacks against SHA-1", http://eprint.iacr.org/2008/469.pdf.
[Man2008 / 469]、http://eprint.iacr.org/2008/469.pdf Manuell、S.、 "SHA-1に対する衝突攻撃に対する外乱ベクトルの分類と生成"。
[Man2009] Manuell, S., "Classification and Generation of Disturbance Vectors for Collision Attacks against SHA-1", International Workshop on Coding and Cryptography, 2009, Norway.
[Man2009] Manuell、S.、「分類と世代外乱ベクトルのSHA-1に対する衝突攻撃について」、符号化に関する国際ワークショップや暗号化、2009年、ノルウェー。
[NSSYK2006] Naito, Y., Sasaki, Y., Shimoyama, T., Yajima, J., Kunihiro, N., and K. Ohta, "Improved Collision Search for SHA-0", Asiacrypt 2006.
【NSSYK2006】内藤、Y.、佐々木、Y.、下山、T.、矢島、J.、邦弘、N.、およびK.太田、 "SHA-0の改善衝突検索"、Asiacrypt 2006。
[RIOS2005] Rijmen, V., and E. Oswald, "Update on SHA-1", CT-RSA 2005, Lecture Notes in Computer Science, vol. 3376, pp. 58-71.
[RIOS2005] Rijmen両氏、V.、およびE.オズワルド、 "SHA-1の更新"、CT-RSA 2005、コンピュータサイエンス、巻で講義ノート。 3376、頁58から71。
[SHS] National Institute of Standards and Technology (NIST), FIPS Publication 180-3: Secure Hash Standard, October 2008.
[SHS]アメリカ国立標準技術研究所(NIST)は、出版物180-3をFIPS:ハッシュ標準、2008年10月を固定します。
[SP800-57] National Institute of Standards and Technology (NIST), Special Publication 800-57: Recommendation for Key Management - Part 1 (Revised), March 2007.
標準技術[SP800-57]国立研究所(NIST)、特別な公表800-57:キー管理のための提言 - パート1(改訂版)、2007年3月。
[SP800-107] National Institute of Standards and Technology (NIST), Special Publication 800-107: Recommendation for Applications using Approved Hash Algorithms, February 2009.
[SP800-107]国立標準技術研究所(NIST)、特別刊行物800から107:アプリケーションのための勧告は、ハッシュアルゴリズム、2009年2月に承認された使用して。
[SP800-131] National Institute of Standards and Technology (NIST), Special Publication 800-131A: Recommendation for the Transitioning of Cryptographic Algorithms and Key Sizes, January 2011.
[SP800-131]国立標準技術研究所(NIST)、特別な公表800-131A:暗号アルゴリズムと鍵のサイズ、2011年1月のの移行のための勧告。
[WLY2005] Wang, X., Yin, Y., and H. Yu., "Finding Collisions in the Full SHA-1", Crypto 2005.
【WLY2005】ワング、X.、陰陽、Y.、およびH.ユー。、 "フルSHA-1での検索衝突"、暗号2005年
Authors' Addresses
著者のアドレス
Tim Polk National Institute of Standards and Technology 100 Bureau Drive, Mail Stop 8930 Gaithersburg, MD 20899-8930 USA
ティムポーク国立標準技術研究所100局ドライブ、メールストップ8930ゲイサーズバーグ、MD 20899から8930 USA
EMail: tim.polk@nist.gov
メールアドレス:tim.polk@nist.gov
Lily Chen National Institute of Standards and Technology 100 Bureau Drive, Mail Stop 8930 Gaithersburg, MD 20899-8930 USA
リリー・チェン国立標準技術研究所100局ドライブ、メールストップ8930ゲイサーズバーグ、MD 20899から8930 USA
EMail: lily.chen@nist.gov
メールアドレス:lily.chen@nist.gov
Sean Turner IECA, Inc. 3057 Nutley Street, Suite 106 Fairfax, VA 22031 USA
ショーン・ターナーIECA株式会社3057ナトリーストリート、スイート106バージニア州フェアファクス22031 USA
EMail: turners@ieca.com
メールアドレス:turners@ieca.com
Paul Hoffman VPN Consortium
ポール・ホフマンVPNコンソーシアム
EMail: paul.hoffman@vpnc.org
メールアドレス:paul.hoffman@vpnc.org