組織：中國互動(dòng)出版網(wǎng)（http://www.china-pub.com/）
RFC文檔中文翻譯計(jì)劃（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
譯者：wanghai（javen_wang   ykilyfe@china.com）
譯文發(fā)布時(shí)間：2001-6-10
版權(quán)：本中文翻譯文檔版權(quán)歸中國互動(dòng)出版網(wǎng)所有。可以用于非商業(yè)用途自由轉(zhuǎn)載，但必須
保留本文檔的翻譯及版權(quán)信息。



Network Working Group                                         P. Metzger
Request for Comments: 1828                                      Piermont
Category: Standards Track                                     W. Simpson
                                                              Daydreamer
                                                             August 1995

使用鍵控MD5進(jìn)行IP鑒別
(RFC1828 IP Authentication using Keyed MD5)

本備忘錄狀態(tài)
      本文檔講述了一種Internet通信的標(biāo)準(zhǔn)Internet跟蹤協(xié)議,并對其改進(jìn)提出了討論和
建議。
請參考最新版本的"Internet Official Protocol Standards" (STD 1) 來獲得本協(xié)議的標(biāo)準(zhǔn)
化進(jìn)程和狀態(tài)，
此備忘錄的發(fā)布不受任何限制。

摘要
      本文檔描述了在IP驗(yàn)證頭中鍵控MD5的使用。

目錄
   1.介紹....................1
          1.1    密鑰........1
          1.2    數(shù)據(jù)尺寸.....1
          1.3    性能..........1
      2.    算法..................2
          2.1    安全考慮..........2
          2.2    感謝..............3
          2.3    參考.............3
          2.4    作者聯(lián)系........4

1.介紹
     驗(yàn)證頭(AH)(RFC-1826)對IP數(shù)據(jù)包提供完整性和原始身份驗(yàn)證服務(wù)。本規(guī)范描述了使
用鍵控報(bào)文摘要5
(MD5)(RFC-1321)的AH。
     所有保持和驗(yàn)證頭規(guī)范(AH)一致或兼容的應(yīng)用必須執(zhí)行鍵控MD5機(jī)制。
     本文檔假設(shè)讀者已經(jīng)熟悉相關(guān)的“IP協(xié)議的安全結(jié)構(gòu)”(RFC-1825)文檔，它定義了完
全的IP安全設(shè)計(jì)，并且
提供了該協(xié)議的重要背景。

1.1密鑰
     通信雙方共享的安全驗(yàn)證密鑰應(yīng)該是隱秘的健壯的隨機(jī)數(shù)字，而不是一個(gè)可猜測的序
列。
     共享密鑰并不受這種轉(zhuǎn)換的限制。應(yīng)用必須支持128位長的密鑰，雖然特殊的密鑰可以
更短，
但推薦使用較長的密鑰。

1.2數(shù)據(jù)尺寸
    MD5的128位輸出通常按64位排列。特別情況下，在驗(yàn)證數(shù)據(jù)區(qū)沒有填充。

1.3性能
    對于普通配置的局域網(wǎng)和廣域網(wǎng)鏈路，軟件實(shí)現(xiàn)的MD5速度是足夠的，但是據(jù)稱對新的
鏈路技術(shù)(RFC-
1810)，它的速度是太慢了。
    注意：
       正在嘗試尋找一種可供選擇的驗(yàn)證算法，它有更快的吞吐量，并沒有專利限制，保持
足夠的密碼健壯性。

2.計(jì)算
    就向在(RFC-1321)中描述的，128位的摘要被計(jì)算出來。MD5規(guī)范包括一個(gè)關(guān)于MD5算法
的方便的"C"程序
語言描述。
    鑒別報(bào)文的格式是：
            密鑰，密鑰填充，數(shù)據(jù)包，密鑰，MD5填充
     
    首先，可變長度的安全驗(yàn)證密鑰被填充到相連的512位區(qū)域（就是一個(gè)個(gè)的512位的塊），
使用為MD5定義的
相同的填充長度技術(shù)。
    然后，密鑰填充的后面是固定的完整IP數(shù)據(jù)報(bào)(可變部分置0)，緊跟著的還是原來的可
變長度密鑰。
    最后MD5加上尾部填充，使完整的報(bào)文長度是512位的整數(shù)倍。128位的MD5摘要被計(jì)
算出來，結(jié)果插入驗(yàn)證數(shù)據(jù)區(qū)。

    討論：
          當(dāng)應(yīng)用在IP數(shù)據(jù)包前后添加密鑰和填充時(shí)，必須注意的是密鑰和/或填充并不被
鏈路驅(qū)動(dòng)器發(fā)送到
鏈路上。（它們只是為了計(jì)算摘要）

安全考慮：
      用戶應(yīng)該知道本規(guī)范支持的安全質(zhì)量完全依賴MD5散列函數(shù)的健壯性，執(zhí)行算法的正
確性，密鑰管
理機(jī)制的安全性和它的執(zhí)行情況，密鑰的健壯性(CN94)以及所有參與節(jié)點(diǎn)的正確執(zhí)行。
      在制定本文檔時(shí)，MD5(dBB93)的壓縮函數(shù)導(dǎo)致沖突是可能的。實(shí)踐中還沒有發(fā)現(xiàn)一種
已知的方法
可以利用這些沖突來攻擊MD5，但是這種事實(shí)困擾著所有的設(shè)計(jì)者(Schneier94)。
      最近已經(jīng)確定的是制造須花費(fèi)1000萬美元，但可以找到兩個(gè)擁有相同MD5散列值的可
選正文變量的機(jī)器
是可能的。只是，還不清楚這種攻擊是否可以應(yīng)用在鍵控MD5轉(zhuǎn)換上。這種攻擊大約需要24
天。相同形式的攻擊正在
任何的重復(fù)n-bit散列函數(shù)上使用，而對128位長的MD5散列的攻擊也完全是時(shí)間的問題。
      雖然對于大多的IP安全協(xié)議沒有本質(zhì)上的弱點(diǎn)，但是MD5使用的128位散列長度正在
被現(xiàn)在的技術(shù)取代
是被大家公認(rèn)的。在不遠(yuǎn)的將來，極高級別的安全應(yīng)用需要使用更長的散列。

感謝
   本文檔經(jīng)Internet工程任務(wù)組（IETF）的IP安全工作組討論，注釋服從ipsec@ans.net
郵件列表。
   本規(guī)范的一些正文源自為SIP，SIPP和IPv6工作組工作的Randall Atkinson。
   基本內(nèi)容和MD5的使用大部分源自為SNMPv2(RFC-1446)所做的工作。
   Steve Bellovin, Phil Karn, Charles Lynn, Dave Mihelcic, HilarieOrman, Jeffrey 
Schiller,
Joe Touch,和David Wagner為草案的早期版本提供了有價(jià)值的建議。

參考
   
   [CN94]   Carroll, J.M., and Nudiati, S., "On Weak Keys and Weak Data:
            Foiling the Two Nemeses", Cryptologia, Vol. 18 No. 23 pp.
            253-280, July 1994.

   [dBB93]  den Boer, B., and Bosselaers, A., "Collisions for the
            Compression function of MD5", Advances in Cryptology --
            Eurocrypt '93 Proceedings, Berlin: Springer-Verlag 1994

   [KR95]   Kaliski, B., and Robshaw, M., "Message authentication with
            MD5", CryptoBytes (RSA Labs Technical Newsletter), vol.1
            no.1, Spring 1995.

   [RFC-1321]
            Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321,
            MIT and RSA Data Security, Inc., April 1992.

   [RFC-1446]
            Galvin, J., and K. McCloghrie, "Security Protocols for
            Version 2 of the Simple Network Management Protocol
            (SNMPv2)", RFC 1446, TIS, Hughes LAN Systems, April
            1993.

   [RFC-1700]
            Reynolds, J., and J. Postel, "Assigned Numbers", STD 2,
            RFC 1700, USC/Information Sciences Institute, October 1994.

   [RFC-1800]
            Postel, J., "Internet Official Protocol Standards", STD 1,
            RFC 1800, USC/Information Sciences Institute, July 1995.

   [RFC-1810]
            Touch, J., "Report on MD5 Performance", RFC 1810,
            USC/Information Sciences Institute, June 1995.

   [RFC-1825]
            Atkinson, R., "Security Architecture for the Internet
            Protocol", RFC 1825, NRL, August 1995.

   [RFC-1826]
            Atkinson, R., "IP Authentication Header", RFC 1826, NRL
            August 1995.

   [Schneier94]
            Schneier, B., "Applied Cryptography", John Wiley & Sons, New
            York, NY, 1994.  ISBN 0-471-59756-2

   [vOW94]  van Oorschot, P. C., and Wiener, M. J., "Parallel Collision
            Search with Applications to Hash Functions and Discrete
            Logarithms", Proceedings of the 2nd ACM Conf. Computer and
            Communications Security, Fairfax, VA, November 1994.

作者地址
    關(guān)于本備忘錄的疑問可以直接訪問：
 	Perry Metzger
      Piermont Information Systems Inc.
      160 Cabrini Blvd., Suite #2
      New York, NY  10033

      perry@piermont.com

      William Allen Simpson
      Daydreamer
      Computer Systems Consulting Services
      1384 Fontaine
      Madison Heights, Michigan  48071

      Bill.Simpson@um.cc.umich.edu
          bsimpson@MorningStar.com
	

RFC1828 IP Authentication using Keyed MD5            使用鍵控MD5進(jìn)行IP鑒別


1