組織：中國互動出版網（http://www.china-pub.com/）
RFC文檔中文翻譯計劃（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
譯者：wanghai（javen_wang   ykilyfe@china.com）
譯文發布時間：2001-6-10
版權：本中文翻譯文檔版權歸中國互動出版網所有。可以用于非商業用途自由轉載，但必須
保留本文檔的翻譯及版權信息。



Network Working Group                                         P. Metzger
Request for Comments: 1828                                      Piermont
Category: Standards Track                                     W. Simpson
                                                              Daydreamer
                                                             August 1995

使用鍵控MD5進行IP鑒別
(RFC1828 IP Authentication using Keyed MD5)

本備忘錄狀態
      本文檔講述了一種Internet通信的標準Internet跟蹤協議,并對其改進提出了討論和
建議。
請參考最新版本的"Internet Official Protocol Standards" (STD 1) 來獲得本協議的標準
化進程和狀態，
此備忘錄的發布不受任何限制。

摘要
      本文檔描述了在IP驗證頭中鍵控MD5的使用。

目錄
   1.介紹....................1
          1.1    密鑰........1
          1.2    數據尺寸.....1
          1.3    性能..........1
      2.    算法..................2
          2.1    安全考慮..........2
          2.2    感謝..............3
          2.3    參考.............3
          2.4    作者聯系........4

1.介紹
     驗證頭(AH)(RFC-1826)對IP數據包提供完整性和原始身份驗證服務。本規范描述了使
用鍵控報文摘要5
(MD5)(RFC-1321)的AH。
     所有保持和驗證頭規范(AH)一致或兼容的應用必須執行鍵控MD5機制。
     本文檔假設讀者已經熟悉相關的“IP協議的安全結構”(RFC-1825)文檔，它定義了完
全的IP安全設計，并且
提供了該協議的重要背景。

1.1密鑰
     通信雙方共享的安全驗證密鑰應該是隱秘的健壯的隨機數字，而不是一個可猜測的序
列。
     共享密鑰并不受這種轉換的限制。應用必須支持128位長的密鑰，雖然特殊的密鑰可以
更短，
但推薦使用較長的密鑰。

1.2數據尺寸
    MD5的128位輸出通常按64位排列。特別情況下，在驗證數據區沒有填充。

1.3性能
    對于普通配置的局域網和廣域網鏈路，軟件實現的MD5速度是足夠的，但是據稱對新的
鏈路技術(RFC-
1810)，它的速度是太慢了。
    注意：
       正在嘗試尋找一種可供選擇的驗證算法，它有更快的吞吐量，并沒有專利限制，保持
足夠的密碼健壯性。

2.計算
    就向在(RFC-1321)中描述的，128位的摘要被計算出來。MD5規范包括一個關于MD5算法
的方便的"C"程序
語言描述。
    鑒別報文的格式是：
            密鑰，密鑰填充，數據包，密鑰，MD5填充
     
    首先，可變長度的安全驗證密鑰被填充到相連的512位區域（就是一個個的512位的塊），
使用為MD5定義的
相同的填充長度技術。
    然后，密鑰填充的后面是固定的完整IP數據報(可變部分置0)，緊跟著的還是原來的可
變長度密鑰。
    最后MD5加上尾部填充，使完整的報文長度是512位的整數倍。128位的MD5摘要被計
算出來，結果插入驗證數據區。

    討論：
          當應用在IP數據包前后添加密鑰和填充時，必須注意的是密鑰和/或填充并不被
鏈路驅動器發送到
鏈路上。（它們只是為了計算摘要）

安全考慮：
      用戶應該知道本規范支持的安全質量完全依賴MD5散列函數的健壯性，執行算法的正
確性，密鑰管
理機制的安全性和它的執行情況，密鑰的健壯性(CN94)以及所有參與節點的正確執行。
      在制定本文檔時，MD5(dBB93)的壓縮函數導致沖突是可能的。實踐中還沒有發現一種
已知的方法
可以利用這些沖突來攻擊MD5，但是這種事實困擾著所有的設計者(Schneier94)。
      最近已經確定的是制造須花費1000萬美元，但可以找到兩個擁有相同MD5散列值的可
選正文變量的機器
是可能的。只是，還不清楚這種攻擊是否可以應用在鍵控MD5轉換上。這種攻擊大約需要24
天。相同形式的攻擊正在
任何的重復n-bit散列函數上使用，而對128位長的MD5散列的攻擊也完全是時間的問題。
      雖然對于大多的IP安全協議沒有本質上的弱點，但是MD5使用的128位散列長度正在
被現在的技術取代
是被大家公認的。在不遠的將來，極高級別的安全應用需要使用更長的散列。

感謝
   本文檔經Internet工程任務組（IETF）的IP安全工作組討論，注釋服從ipsec@ans.net
郵件列表。
   本規范的一些正文源自為SIP，SIPP和IPv6工作組工作的Randall Atkinson。
   基本內容和MD5的使用大部分源自為SNMPv2(RFC-1446)所做的工作。
   Steve Bellovin, Phil Karn, Charles Lynn, Dave Mihelcic, HilarieOrman, Jeffrey 
Schiller,
Joe Touch,和David Wagner為草案的早期版本提供了有價值的建議。

參考
   
   [CN94]   Carroll, J.M., and Nudiati, S., "On Weak Keys and Weak Data:
            Foiling the Two Nemeses", Cryptologia, Vol. 18 No. 23 pp.
            253-280, July 1994.

   [dBB93]  den Boer, B., and Bosselaers, A., "Collisions for the
            Compression function of MD5", Advances in Cryptology --
            Eurocrypt '93 Proceedings, Berlin: Springer-Verlag 1994

   [KR95]   Kaliski, B., and Robshaw, M., "Message authentication with
            MD5", CryptoBytes (RSA Labs Technical Newsletter), vol.1
            no.1, Spring 1995.

   [RFC-1321]
            Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321,
            MIT and RSA Data Security, Inc., April 1992.

   [RFC-1446]
            Galvin, J., and K. McCloghrie, "Security Protocols for
            Version 2 of the Simple Network Management Protocol
            (SNMPv2)", RFC 1446, TIS, Hughes LAN Systems, April
            1993.

   [RFC-1700]
            Reynolds, J., and J. Postel, "Assigned Numbers", STD 2,
            RFC 1700, USC/Information Sciences Institute, October 1994.

   [RFC-1800]
            Postel, J., "Internet Official Protocol Standards", STD 1,
            RFC 1800, USC/Information Sciences Institute, July 1995.

   [RFC-1810]
            Touch, J., "Report on MD5 Performance", RFC 1810,
            USC/Information Sciences Institute, June 1995.

   [RFC-1825]
            Atkinson, R., "Security Architecture for the Internet
            Protocol", RFC 1825, NRL, August 1995.

   [RFC-1826]
            Atkinson, R., "IP Authentication Header", RFC 1826, NRL
            August 1995.

   [Schneier94]
            Schneier, B., "Applied Cryptography", John Wiley & Sons, New
            York, NY, 1994.  ISBN 0-471-59756-2

   [vOW94]  van Oorschot, P. C., and Wiener, M. J., "Parallel Collision
            Search with Applications to Hash Functions and Discrete
            Logarithms", Proceedings of the 2nd ACM Conf. Computer and
            Communications Security, Fairfax, VA, November 1994.

作者地址
    關于本備忘錄的疑問可以直接訪問：
 	Perry Metzger
      Piermont Information Systems Inc.
      160 Cabrini Blvd., Suite #2
      New York, NY  10033

      perry@piermont.com

      William Allen Simpson
      Daydreamer
      Computer Systems Consulting Services
      1384 Fontaine
      Madison Heights, Michigan  48071

      Bill.Simpson@um.cc.umich.edu
          bsimpson@MorningStar.com
	

RFC1828 IP Authentication using Keyed MD5            使用鍵控MD5進行IP鑒別


1