组织:中国互动出版网(http://www.china-pub.com/)
RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm)
E-mail:ouyang@china-pub.com
译者:wanghai(javen_wang   ykilyfe@china.com)
译文发布时间:2001-6-10
版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须
保留本文档的翻译及版权信息。



Network Working Group                                         P. Metzger
Request for Comments: 1828                                      Piermont
Category: Standards Track                                     W. Simpson
                                                              Daydreamer
                                                             August 1995

使用键控MD5进行IP鉴别
(RFC1828 IP Authentication using Keyed MD5)

本备忘录状态
      本文档讲述了一种Internet通信的标准Internet跟踪协议,并对其改进提出了讨论和
建议。
请参考最新版本的"Internet Official Protocol Standards" (STD 1) 来获得本协议的标准
化进程和状态,
此备忘录的发布不受任何限制。

摘要
      本文档描述了在IP验证头中键控MD5的使用。

目录
   1.介绍....................1
          1.1    密钥........1
          1.2    数据尺寸.....1
          1.3    性能..........1
      2.    算法..................2
          2.1    安全考虑..........2
          2.2    感谢..............3
          2.3    参考.............3
          2.4    作者联系........4

1.介绍
     验证头(AH)(RFC-1826)对IP数据包提供完整性和原始身份验证服务。本规范描述了使
用键控报文摘要5
(MD5)(RFC-1321)的AH。
     所有保持和验证头规范(AH)一致或兼容的应用必须执行键控MD5机制。
     本文档假设读者已经熟悉相关的“IP协议的安全结构”(RFC-1825)文档,它定义了完
全的IP安全设计,并且
提供了该协议的重要背景。

1.1密钥
     通信双方共享的安全验证密钥应该是隐秘的健壮的随机数字,而不是一个可猜测的序
列。
     共享密钥并不受这种转换的限制。应用必须支持128位长的密钥,虽然特殊的密钥可以
更短,
但推荐使用较长的密钥。

1.2数据尺寸
    MD5的128位输出通常按64位排列。特别情况下,在验证数据区没有填充。

1.3性能
    对于普通配置的局域网和广域网链路,软件实现的MD5速度是足够的,但是据称对新的
链路技术(RFC-
1810),它的速度是太慢了。
    注意:
       正在尝试寻找一种可供选择的验证算法,它有更快的吞吐量,并没有专利限制,保持
足够的密码健壮性。

2.计算
    就向在(RFC-1321)中描述的,128位的摘要被计算出来。MD5规范包括一个关于MD5算法
的方便的"C"程序
语言描述。
    鉴别报文的格式是:
            密钥,密钥填充,数据包,密钥,MD5填充
     
    首先,可变长度的安全验证密钥被填充到相连的512位区域(就是一个个的512位的块),
使用为MD5定义的
相同的填充长度技术。
    然后,密钥填充的后面是固定的完整IP数据报(可变部分置0),紧跟着的还是原来的可
变长度密钥。
    最后MD5加上尾部填充,使完整的报文长度是512位的整数倍。128位的MD5摘要被计
算出来,结果插入验证数据区。

    讨论:
          当应用在IP数据包前后添加密钥和填充时,必须注意的是密钥和/或填充并不被
链路驱动器发送到
链路上。(它们只是为了计算摘要)

安全考虑:
      用户应该知道本规范支持的安全质量完全依赖MD5散列函数的健壮性,执行算法的正
确性,密钥管
理机制的安全性和它的执行情况,密钥的健壮性(CN94)以及所有参与节点的正确执行。
      在制定本文档时,MD5(dBB93)的压缩函数导致冲突是可能的。实践中还没有发现一种
已知的方法
可以利用这些冲突来攻击MD5,但是这种事实困扰着所有的设计者(Schneier94)。
      最近已经确定的是制造须花费1000万美元,但可以找到两个拥有相同MD5散列值的可
选正文变量的机器
是可能的。只是,还不清楚这种攻击是否可以应用在键控MD5转换上。这种攻击大约需要24
天。相同形式的攻击正在
任何的重复n-bit散列函数上使用,而对128位长的MD5散列的攻击也完全是时间的问题。
      虽然对于大多的IP安全协议没有本质上的弱点,但是MD5使用的128位散列长度正在
被现在的技术取代
是被大家公认的。在不远的将来,极高级别的安全应用需要使用更长的散列。

感谢
   本文档经Internet工程任务组(IETF)的IP安全工作组讨论,注释服从ipsec@ans.net
邮件列表。
   本规范的一些正文源自为SIP,SIPP和IPv6工作组工作的Randall Atkinson。
   基本内容和MD5的使用大部分源自为SNMPv2(RFC-1446)所做的工作。
   Steve Bellovin, Phil Karn, Charles Lynn, Dave Mihelcic, HilarieOrman, Jeffrey 
Schiller,
Joe Touch,和David Wagner为草案的早期版本提供了有价值的建议。

参考
   
   [CN94]   Carroll, J.M., and Nudiati, S., "On Weak Keys and Weak Data:
            Foiling the Two Nemeses", Cryptologia, Vol. 18 No. 23 pp.
            253-280, July 1994.

   [dBB93]  den Boer, B., and Bosselaers, A., "Collisions for the
            Compression function of MD5", Advances in Cryptology --
            Eurocrypt '93 Proceedings, Berlin: Springer-Verlag 1994

   [KR95]   Kaliski, B., and Robshaw, M., "Message authentication with
            MD5", CryptoBytes (RSA Labs Technical Newsletter), vol.1
            no.1, Spring 1995.

   [RFC-1321]
            Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321,
            MIT and RSA Data Security, Inc., April 1992.

   [RFC-1446]
            Galvin, J., and K. McCloghrie, "Security Protocols for
            Version 2 of the Simple Network Management Protocol
            (SNMPv2)", RFC 1446, TIS, Hughes LAN Systems, April
            1993.

   [RFC-1700]
            Reynolds, J., and J. Postel, "Assigned Numbers", STD 2,
            RFC 1700, USC/Information Sciences Institute, October 1994.

   [RFC-1800]
            Postel, J., "Internet Official Protocol Standards", STD 1,
            RFC 1800, USC/Information Sciences Institute, July 1995.

   [RFC-1810]
            Touch, J., "Report on MD5 Performance", RFC 1810,
            USC/Information Sciences Institute, June 1995.

   [RFC-1825]
            Atkinson, R., "Security Architecture for the Internet
            Protocol", RFC 1825, NRL, August 1995.

   [RFC-1826]
            Atkinson, R., "IP Authentication Header", RFC 1826, NRL
            August 1995.

   [Schneier94]
            Schneier, B., "Applied Cryptography", John Wiley & Sons, New
            York, NY, 1994.  ISBN 0-471-59756-2

   [vOW94]  van Oorschot, P. C., and Wiener, M. J., "Parallel Collision
            Search with Applications to Hash Functions and Discrete
            Logarithms", Proceedings of the 2nd ACM Conf. Computer and
            Communications Security, Fairfax, VA, November 1994.

作者地址
    关于本备忘录的疑问可以直接访问:
  Perry Metzger
      Piermont Information Systems Inc.
      160 Cabrini Blvd., Suite #2
      New York, NY  10033

      perry@piermont.com

      William Allen Simpson
      Daydreamer
      Computer Systems Consulting Services
      1384 Fontaine
      Madison Heights, Michigan  48071

      Bill.Simpson@um.cc.umich.edu
          bsimpson@MorningStar.com


RFC1828 IP Authentication using Keyed MD5            使用键控MD5进行IP鉴别


1