Internet Engineering Task Force (IETF) A. Kukec
Request for Comments: 6273 University of Zagreb
Category: Informational S. Krishnan
ISSN: 2070-1721 Ericsson
S. Jiang
Huawei Technologies Co., Ltd
June 2011
The Secure Neighbor Discovery (SEND) Hash Threat Analysis
Abstract
抽象
This document analyzes the use of hashes in Secure Neighbor Discovery (SEND), the possible threats to these hashes and the impact of recent attacks on hash functions used by SEND. The SEND specification currently uses the SHA-1 hash algorithm and PKIX certificates and does not provide support for hash algorithm agility. This document provides an analysis of possible threats to the hash algorithms used in SEND.
この文書では、セキュア近隣探索(SEND)でハッシュの使用、これらのハッシュへの脅威の可能性とSENDで使用されるハッシュ関数に関する最近の攻撃の影響を分析します。 SEND仕様は、現在、SHA-1ハッシュアルゴリズムやPKIX証明書を使用し、ハッシュアルゴリズムの俊敏性をサポートしていません。この文書では、SENDで使用されるハッシュアルゴリズムへの脅威の可能性の分析を提供します。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。 IESGによって承認されていないすべての文書がインターネットStandardのどんなレベルの候補です。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6273.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc6273で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2011 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Impact of Collision Attacks on SEND . . . . . . . . . . . . . . 3
2.1. Attacks against CGAs Used in SEND . . . . . . . . . . . . . 3
2.2. Attacks against PKIX Certificates in Authorization
Delegation Discovery Process . . . . . . . . . . . . . . . 3
2.3. Attacks against the Digital Signature in the SEND RSA
Signature Option . . . . . . . . . . . . . . . . . . . . . 4
2.4. Attacks against the Key Hash Field of the SEND RSA
Signature Option . . . . . . . . . . . . . . . . . . . . . 4
3. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4. Security Considerations . . . . . . . . . . . . . . . . . . . . 4
5. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 5
6. References . . . . . . . . . . . . . . . . . . . . . . . . . . 5
6.1. Normative References . . . . . . . . . . . . . . . . . . . 5
6.2. Informative References . . . . . . . . . . . . . . . . . . 5
SEND [RFC3971] uses the SHA-1 hash algorithm [SHA1] to generate the contents of the Key Hash field and the Digital Signature field of the RSA Signature option. It also indirectly uses a hash algorithm (SHA-1, MD5, etc.) in the PKIX certificates [RFC5280] used for router authorization in the Authorization Delegation Discovery (ADD) process. Recently there have been demonstrated attacks against the collision free property of such hash functions [SHA1-COLL] and attacks on the PKIX X.509 certificates that use the MD5 hash algorithm [X509-COLL]. The document analyzes the impacts of these attacks on SEND and it recommends mechanisms to make SEND resistant to such attacks.
[RFC3971]はキーハッシュフィールドの内容とRSA署名オプションのデジタル署名フィールドを生成するために、[SHA1] SHA1ハッシュアルゴリズムを使用しています送信します。それはまた、間接的承認委譲発見(ADD)プロセスのルータ認証に使用PKIX証明書[RFC5280]にハッシュアルゴリズム(SHA-1、MD5など)を使用します。最近、MD5ハッシュアルゴリズム[X509-COLL]を使用しPKIXのX.509証明書に、このようなハッシュ関数[SHA1-COLL]や攻撃の衝突フリー性に対する攻撃が実証されています。文書は、SENDにこれらの攻撃の影響を分析し、それがこのような攻撃に耐性のSEND作るためのメカニズムを推奨しています。
[RFC4270] summarizes a study that assesses the threat of the aforementioned attacks on the use of cryptographic hashes in Internet protocols. This document analyzes the hash usage in SEND following the approach recommended by [RFC4270] and [NEW-HASHES].
[RFC4270]はインターネットプロトコルで暗号化ハッシュの使用に関する前述の攻撃の脅威を評価研究をまとめたものです。このドキュメントは[RFC4270]と[NEW-HASHES]によって推奨されるアプローチ以下SENDにおけるハッシュの使用状況を分析します。
The following sections discuss the various aspects of hash usage in SEND and determine whether they are affected by the attacks on the underlying hash functions.
次のセクションでは、SENDでハッシュの利用のさまざまな側面を議論し、それらが基礎となるハッシュ関数への攻撃の影響を受けているかどうかを判断します。
Cryptographically Generated Addresses (CGAs) are defined in [RFC3972] and are used to securely associate a cryptographic public key with an IPv6 address in the SEND protocol. Impacts of collision attacks on current uses of CGAs are analyzed in [RFC4982]. The basic idea behind collision attacks, as described in Section 4 of [RFC4270], is on the non-repudiation feature of hash algorithms. However, CGAs do not provide non-repudiation features. Therefore, as [RFC4982] points out CGA-based protocols, including SEND, are not affected by collision attacks on hash functions. If pre-image attacks were to become feasible, an attacker can find new CGA Parameters that can generate the same CGA as the victim. This class of attacks could be potentially dangerous since the security of SEND messages relies on the strength of the CGA.
暗号化生成アドレス(CGAs)は[RFC3972]で定義されており、確実にSENDプロトコルにおけるIPv6アドレスと暗号公開鍵を関連付けるために使用されます。 CGAsの現在の用途に衝突攻撃の影響は、[RFC4982]で分析されています。 [RFC4270]のセクション4で説明したように衝突攻撃の背後にある基本的な考え方は、ハッシュアルゴリズムの否認防止機能です。しかし、CGAsは、否認防止機能を提供していません。したがって、SENDを含む[RFC4982]が指摘するようにCGAベースのプロトコルは、ハッシュ関数の衝突攻撃の影響を受けません。プリイメージ攻撃が可能になるとしたら、攻撃者は被害者と同じCGAを生成することができ、新たなCGAパラメータを見つけることができます。 SENDメッセージのセキュリティはCGAの強さに依存しているため、攻撃のこのクラスは、潜在的に危険である可能性があります。
2.2. Attacks against PKIX Certificates in Authorization Delegation Discovery Process
2.2. 認証委任ディスカバリー・プロセスでPKIX証明書に対する攻撃
To protect Router Discovery, SEND requires that routers be authorized to act as routers. Routers are authorized by provisioning them with certificates from a trust anchor, and the hosts are configured with the trust anchor(s) used to authorize routers. Researchers demonstrated attacks against PKIX certificates with MD5 signatures in 2005 [NEW-HASHES], in 2007 [X509-COLL] [STEV2007] [SLdeW2007], and in 2009 [SSALMOdeW2009] [SLdeW2009]. An attacker can take advantage of these vulnerabilities to obtain a certificate with a different identity and use the certificate to impersonate a router. For this attack to succeed, the attacker needs to predict the content of all fields (some of them are human-readable) appearing before the public key, including the serial number and validity periods. Even though a relying party cannot verify the content of these fields, the CA can identify the forged certificate, if necessary.
ルータ検出を保護するため、SENDはルータがルータとして動作することを許可されている必要があります。ルータは、トラストアンカーからの証明書でそれらをプロビジョニングすることによって許可され、そしてホストは、ルータを認証するために使用されるトラストアンカー(S)で構成されています。研究者は2005年にMD5署名付きPKIX証明書に対する攻撃を実証した[NEW-HASHES]、2007年に[X509-COLL] [STEV2007] [SLdeW2007]、そして2009年に[SSALMOdeW2009] [SLdeW2009]。攻撃者は、異なるIDを持つ証明書を取得するためにこれらの脆弱性を利用し、ルータを偽装するために証明書を使用することができます。成功するためにこの攻撃では、攻撃者は、シリアル番号と有効期間を含む公開鍵、前に現れるすべてのフィールド(そのうちのいくつかは、人間が読める)の内容を予測する必要があります。証明書利用者がこれらのフィールドの内容を確認できないにもかかわらず、必要な場合、CAは、偽造証明書を識別することができます。
2.3. Attacks against the Digital Signature in the SEND RSA Signature Option
2.3. SEND RSA署名オプションでデジタル署名に対する攻撃
The digital signature in the RSA Signature option is produced by signing, with the sender's private key, the SHA-1 hash over certain fields in the Neighbor Discovery message as described in Section 5.2 of [RFC3971]. It is possible for an attacker to come up with two different Neighbor Discovery messages m and m' that result in the same value in the Digital Signature field. Since the structure of the Neighbor Discovery messages is well defined, it is not practical to use this vulnerability in real world attacks.
[RFC3971]のセクション5.2に記載されるようにRSA署名オプションで、デジタル署名は、送信者の秘密鍵、近隣探索メッセージ内の特定のフィールド上SHA-1ハッシュで、署名することによって生成されます。攻撃者は、デジタル署名フィールドに同じ値になる二つの異なる近隣探索メッセージMとM」を思い付くすることが可能です。近隣探索メッセージの構造が明確に定義されているので、現実世界の攻撃でこの脆弱性を利用することは現実的ではありません。
2.4. Attacks against the Key Hash Field of the SEND RSA Signature Option
2.4. SEND RSA署名オプションのキーハッシュフィールドに対する攻撃
The SEND RSA signature option described in Section 5.2 of [RFC3971] defines a Key Hash field. This field contains a SHA-1 hash of the public key that was used to generate the CGA. To use a collision attack on this field, the attacker needs to come up with another public key (k') that produces the same hash as the real key (k). But the real key (k) is already authorized through a parallel mechanism (either CGAs or router certificates). Hence, collision attacks are not possible on the Key Hash field. Pre-image attacks on the Key Hash field are not useful for the same reason (any other key that hashes into the same Key Hash value will be detected due to a mismatch with the CGA or the router certificate).
[RFC3971]のセクション5.2に記載SEND RSA署名オプションキーハッシュフィールドを定義します。このフィールドは、CGAを生成するために使用された公開鍵のSHA-1ハッシュが含まれています。このフィールドに衝突攻撃を使用するには、攻撃者は、実際のキー(K)と同じハッシュを生成し、別の公開鍵(K ')を思い付くする必要があります。しかし、本当のキー(k)は、すでにパラレルメカニズム(CGAsまたはルータの証明書のいずれか)を介して許可されています。したがって、衝突攻撃は、キーハッシュフィールドにできません。キーハッシュフィールド上のプリイメージ攻撃は同じ理由で(同じキーハッシュ値にハッシュし、他のキーが原因CGAまたはルータの証明書とのミスマッチに検出されます)のために有用ではありません。
Current attacks on hash functions do not constitute any practical threat to the digital signatures used in SEND (both in the RSA signature option and in the X.509 certificates). Attacks on CGAs, as described in [RFC4982], will compromise the security of SEND and they need to be addressed by encoding the hash algorithm information into the CGA as specified in [RFC4982].
ハッシュ関数の現在の攻撃は(RSA署名オプションでとX.509証明書の両方)SENDに使用されるデジタル署名に任意の実用的な脅威を構成するものではありません。 CGAs上の攻撃は、[RFC4982]に記載されているように、SENDのセキュリティを危うくし、それらは[RFC4982]で指定されるようにCGAにハッシュアルゴリズムの情報を符号化することによって対処する必要があります。
This document analyzes the impact that the attacks against hash functions have on SEND. It concludes that the only practical attack on SEND stems from a successful attack on an underlying CGA. It does not add any new vulnerabilities to SEND.
この文書では、ハッシュ関数に対する攻撃は、SENDに与える影響を分析します。これは、SEND上の唯一の実用的な攻撃が基本となるCGAに成功した攻撃から茎と結論づけています。これは、送信するすべての新しい脆弱性を追加しません。
The authors would like to thank Lars Eggert, Pete McCann, Julien Laganier, Jari Arkko, Paul Hoffman, Pasi Eronen, Adrian Farrel, Dan Romascanu, Tim Polk, Richard Woundy, Marcelo Bagnulo, and Barry Leiba for reviewing earlier versions of this document and providing comments to make it better.
作者はこのドキュメントの以前のバージョンを見直すためラースエッゲルト、ピートマッキャン、ジュリアンLaganier、ヤリArkko、ポール・ホフマン、パシEronen、エードリアンファレル、ダンRomascanu、ティムポーク、リチャードWoundy、マルセロBagnulo、そしてバリー・レイバに感謝したいとそれを改善するためにコメントを提供します。
[NEW-HASHES] Bellovin, S. and E. Rescorla, "Deploying a New Hash Algorithm", November 2005.
[NEW-HASHES] Bellovin氏、S.およびE.レスコラ、 "新しいハッシュアルゴリズムの展開" を、2005年11月。
[RFC4270] Hoffman, P. and B. Schneier, "Attacks on Cryptographic Hashes in Internet Protocols", RFC 4270, November 2005.
[RFC4270]ホフマン、P.とB.シュナイアー、 "インターネットプロトコルで暗号化ハッシュに対する攻撃"、RFC 4270、2005年11月。
[RFC4982] Bagnulo, M. and J. Arkko, "Support for Multiple Hash Algorithms in Cryptographically Generated Addresses (CGAs)", RFC 4982, July 2007.
[RFC4982] Bagnulo、M.及びJ. Arkko、 "暗号化生成アドレス(CGAs)の複数のハッシュアルゴリズムのサポート"、RFC 4982、2007年7月。
[RFC3971] Arkko, J., Ed., Kempf, J., Zill, B., and P. Nikander, "SEcure Neighbor Discovery (SEND)", RFC 3971, March 2005.
[RFC3971] Arkko、J.、編、ケンプ、J.、Zill、B.、およびP. Nikander、 "セキュア近隣探索(SEND)"、RFC 3971、2005年3月。
[RFC3972] Aura, T., "Cryptographically Generated Addresses (CGA)", RFC 3972, March 2005.
[RFC3972]オーラ、T.、 "暗号的に生成されたアドレス(CGA)"、RFC 3972、2005年3月。
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.
[RFC5280]クーパー、D.、Santesson、S.、ファレル、S.、Boeyen、S.、Housley氏、R.、およびW.ポーク、「インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト(CRL)のプロフィール」、RFC 5280、2008年5月。
[SHA1] NIST, FIPS PUB 180-1, "Secure Hash Standard", April 1995.
[SHA1] NIST、FIPS PUB 180-1の、1995年4月 "ハッシュ標準セキュア"。
[SHA1-COLL] Wang, X., Yin, L., and H. Yu, "Finding Collisions in the Full SHA-1. CRYPTO 2005: 17-36", 2005.
[SHA1-COLL]王、X.、殷、L.、およびH.ユー、 "フルSHA1で見つける衝突CRYPTO 2005:17-36"、2005年。
[SLdeW2007] Stevens, M., Lenstra, A., de Weger, B., "Chosen-prefix Collisions for MD5 and Colliding X.509 Certificates for Different Identities". EuroCrypt 2007.
【SLdeW2007]スティーブンス、M.、Lenstra、A.、デWegerの、B.、 "MD5のために選択されたプレフィクス衝突し、異なるアイデンティティのためのX.509証明書の衝突"。 EUROCRYPT 2007。
[SLdeW2009] Stevens, M., Lenstra, A., de Weger, B., "Chosen-prefix Collisions for MD5 and Applications, Journal of Cryptology", 2009, <http://deweger.xs4all.nl/ papers/%5B42%5DStLedW-MD5-JCryp%5B2009%5D.pdf>.
【SLdeW2009]スティーブンス、M.、Lenstra、A.、デWegerの、B.、 "MD5およびアプリケーションのために選択されたプレフィックスの衝突、暗号理論のジャーナル"、2009年<http://deweger.xs4all.nl/紙/% 5B42%5DStLedW-MD5-JCryp%5B2009%5D.pdf>。
[SSALMOdeW2009] Stevens, M., Sotirov, A., Appelbaum, J., Lenstra, A., Molnar, D., Osvik, D., and B. de Weger., "Short chosen-prefix collisions for MD5 and the creation of a rogue CA certificate, Crypto 2009", 2009.
【SSALMOdeW2009]スティーブンス、M.、Sotirov、A.、Appelbaumの、J.、Lenstra、A.、モルナー、D.、Osvik、D.、およびB.デWegerの。、「短選択されたプレフィクス衝突MD5および不正なCA証明書、暗号2009" 、2009年の創設。
[STEV2007] Stevens, M., "On Collisions for MD5", <http://www.win.tue.nl/hashclash/ On%20Collisions%20for%20MD5%20-%20M.M.J.%20Stevens.pdf>.
【STEV2007]スティーブンス、M.、 "MD5のための衝突で" <http://www.win.tue.nl/hashclash/オン%20Collisions%20for%20MD5%20-%20M.M.J.%20Stevens.pdf>。
[X509-COLL] Stevens, M., Lenstra, A., and B. Weger, "Chosen-Prefix Collisions for MD5 and Colliding X.509 Certificates for Different Identities. EUROCRYPT 2007: 1-22", 2007.
[X509-COLL]スティーブンス、M.、Lenstra、A.およびB. Wegerの、 "MD5のために選択されたプレフィクス衝突し、異なるアイデンティティのためのX.509証明書の衝突はEUROCRYPT 2007。1-22" 2007。
Authors' Addresses
著者のアドレス
Ana Kukec University of Zagreb Unska 3 Zagreb Croatia
ザグレブUnskaのアナKukec大学3ザグレブクロアチア
EMail: ana.kukec@fer.hr
メールアドレス:ana.kukec@fer.hr
Suresh Krishnan Ericsson 8400 Decarie Blvd. Town of Mount Royal, QC Canada
スレシュクリシュナンエリクソン8400 Decarie大通りマウントロイヤル、QCカナダの町
EMail: suresh.krishnan@ericsson.com
メールアドレス:suresh.krishnan@ericsson.com
Sheng Jiang Huawei Technologies Co., Ltd Huawei Building, No.3 Xinxi Rd., Shang-Di Information Industry Base, Hai-Dian District, Beijing P.R. China
Sが共同クロス江HU A技術である。、株式会社HU Aは、ラインRDで3号Xを構築しています。、シャン-DI情報産業基地、時間の愛-Dイアン地区、北京中華人民共和国
EMail: jiangsheng@huawei.com
メールアドレス:jiangsheng@huawei.com