Network Working Group R. Rivest Request for Comments: 1320 MIT Laboratory for Computer Science Obsoletes: RFC 1186 and RSA Data Security, Inc. April 1992 MD4 メッセージダイジェストアルゴリズム このメモの位置付け このメモは、インターネット・コミュニティに対し情報を提供するものである。 インターネット標準を規定するものではない。このメモの配布は無制限である。 謝辞 多くの有用なコメントと提案を頂いたDon Coppersmith、Burt Kaliski、Ralph Merkle、そしてNoam Nisanに感謝する。 目次 1. 要約 1 2. 用語と記法 2 3. MD4 アルゴリズム 2 4. まとめ 6 参考文献 6 付録 A - 参考実装 6 セキュリティに関する考察 20 著者のアドレス 20 1. 要約 このドキュメントでは、MD4メッセージダイジェストアルゴリズム[1]を記述する。 アルゴリズムは、任意の長さのメッセージを受け取り、128ビットの「指紋」、 すなわち入力の「メッセージダイジェスト」を出力する。同じメッセージダイ ジェストとなる2つのメッセージを作成すること、またはあらかじめ指定された メッセージダイジェストとなるメッセージを作成することは、計算上実行不可能 であると推測される。 MD4アルゴリズムは、電子署名アプリケーションでの使用 が意図されている。この場合、大きなサイズのファイルは、RSAなどの公開鍵 暗号方式における私有鍵で暗号化される前に、安全な方法で「圧縮」されなけれ ばならない。 MD4アルゴリズムは、32ビットマシンで非常に速く処理できるように設計されて いる。 さらに、MD4アルゴリズムは、大きなテーブルも必要とせず、全くコンパ クトにアルゴリズムをコード化することができる。 MD4アルゴリズムは、レビュー、そして標準採用への可能性という理由のために、 パブリックドメインに置かれている。 このドキュメントは、1990年10月の RFC 1186 [2] を置きかえるものである。主 な違いは、付録におけるMD4の参考実装がよりポータブルになったことである。 OSIベースのアプリケーションでは、MD4のオブジェクト識別子は次のようなもの である。 md4 OBJECT IDENTIFIER ::= {iso(1) member-body(2) US(840) rsadsi(113549) digestAlgorithm(2) 4} X.509の AlgorithmIdentifier型 [3]では、MD4での parameters は、NULL型で あるべきである。 2. 用語と記法 このドキュメントでは、1「ワード」は32ビットであり、1「バイト」は8ビット である。 ビット列はそのまま、バイト列として解釈することができる。連続し た8ビットのグループは1バイトとして解釈され、それぞれのバイトで最初にリス トされるビットは高位(最上位)ビットとなる。同様に、バイト列は32ビットの 「ワード」列として解釈できる。連続した4バイトのグループは1ワードとして 解釈され、最初に与えられるバイトは低位(最下位)バイトとなる。 x_iは、"添え字i付きのx"を意味する。添え字が式であるときには、x_{i+1}の ように、それを括弧でくくる。同様に、^は上付き(指数)を表す。そのため、 x^iは、xのi乗を意味する。 記号+は、ワードの加算(すなわち、2^32を法とする加算)を意味する。X <<< s は、Xをsビットだけ左に環状(回転)シフトすることを意味する。not(X)は、 Xに関する補数を意味する。 X v Yは、ビットに関するXとYのORを意味する。 X xor Yは、ビットに関するXとYのXORを意味する。そして XY は、ビットに 関するXとYのANDを意味する。 3. MD4 アルゴリズム まず、入力としてbビットのメッセージがあり、そのメッセージダイジェストを 見つけることを考える。ここで、bは任意の非負の整数である。bはゼロになって もよい。bは8の倍数である必要はなく、任意の大きさをもつ。メッセージにおけ るそれぞれのビットを、次のように示す。 m_0 m_1 ... m_{b-1} 以下の5つのステップが、メッセージのメッセージダイジェストを計算するため に実行される。 3.1 ステップ 1. パディングビットの付加 メッセージは「パディングされ」(拡張され)て、その長さ(ビット)は512を法と したときの448とされる。すなわち、メッセージは拡張されることにより、512の 倍数のビット長に対して、ちょうど64ビットだけ足りない長さにされる。この パディングは常に実行される。メッセージの長さが、既に512を法としたときの 448に一致していても実行される。 パディングは次のように実行される。”1”の値を持つ1つのビットをメッセージ に付加し、次に”0”の値を持つビットを付加して、パディングされたメッセー ジのビットの長さが、512を法としたときの448になるようにする。最小で1ビッ ト、最大で512ビットが付加される。 3.2 ステップ 2. 長さ付加 b(すなわちパディングビットが付加される前のメッセージの長さ)の64ビットで の表記が、前ステップの結果に付加される。ありそうもないが、もしbが2^64 よりも大きければ、bの下位64ビットのみを使用する。 (これらのビットは、32 ビットワード2つとして付加される。慣例に従い、下位ワードが最初に付加され る。) ここで、(ビットとbの長さをパディングした後に)結果的に生成されるメッセー ジは、512ビットの倍数の長さとなる。同時に、このメッセージは16(32ビット) ワードの倍数の長さとなる。ここで、M[0 ... N-1]は、結果として生成される メッセージを表すものとする。Nは16の倍数である。 3.3 ステップ 3. MDバッファの初期化 4つのワードバッファ(A、B、C、D)が、メッセージダイジェストを計算するのに 使用される。ここでA、B、C、Dは、32ビットのレジスタである。 これらのレジ スタは、16進で表される以下の値で、下位バイトから順番に初期化される。 word A: 01 23 45 67 word B: 89 ab cd ef word C: fe dc ba 98 word D: 76 54 32 10 3.4 ステップ 4. 16ワードブロックごとのメッセージ処理 最初に、32ビットワード3つを入力とし、32ビットワード1つを出力する3つの 補助関数を定義する。 F(X,Y,Z) = XY v not(X) Z G(X,Y,Z) = XY v XZ v YZ H(X,Y,Z) = X xor Y xor Z 関数Fは、それぞれのビット位置で条件付きとして振舞う。Xが0でなければY、 そうでなければZである。関数Fは、vの代わりに+を使用して定義することが 出来る。なぜならば、XY と not(X)Z は同じビット位置では同時に1にならない からである。関数Gは、それぞれのビット位置で多数派関数である。X、Y、Z のうちの少なくとも2つが"1"であれば、Gはそのビット位置で"1"を持つ。 それ以外ではGは"0"のビットを持つ。X、Y、およびZのビットが独立していて バイアスされてないならば、F(X,Y,Z)のそれぞれのビットは独立でありバイ アスされてなく、同様に、G(X,Y,Z)の各ビットも独立していてバイアスされて ない点は重要である。関数Hは、ビットに関する“XOR"または"パリティ"関数 であり、関数FとGと同様の特性を持つ。 そして以下を実行する。 /* それぞれの16ワードブロックを処理する */ For i = 0 to N/16-1 do /* ブロックiをXにコピーする */ For j = 0 to 15 do Set X[j] to M[i*16+j]. end /* jのループの終了 */ /* AをAAとして、BをBBとして、CをCCとして、DをDDとして保存する */ AA = A BB = B CC = C DD = D /* Round 1. */ /* 以下の演算を、[abcd k s] で表す: a = (a + F(b,c,d) + X[k]) <<< s. */ /* 次の16の処理を実行する */ [ABCD 0 3] [DABC 1 7] [CDAB 2 11] [BCDA 3 19] [ABCD 4 3] [DABC 5 7] [CDAB 6 11] [BCDA 7 19] [ABCD 8 3] [DABC 9 7] [CDAB 10 11] [BCDA 11 19] [ABCD 12 3] [DABC 13 7] [CDAB 14 11] [BCDA 15 19] /* Round 2. */ /* 以下の演算を、[abcd k s] で表す: a = (a + G(b,c,d) + X[k] + 5A827999) <<< s. */ /* 次の16の処理を実行する */ [ABCD 0 3] [DABC 4 5] [CDAB 8 9] [BCDA 12 13] [ABCD 1 3] [DABC 5 5] [CDAB 9 9] [BCDA 13 13] [ABCD 2 3] [DABC 6 5] [CDAB 10 9] [BCDA 14 13] [ABCD 3 3] [DABC 7 5] [CDAB 11 9] [BCDA 15 13] /* Round 3. */ /* 以下の演算を、[abcd k s] で表す: a = (a + H(b,c,d) + X[k] + 6ED9EBA1) <<< s. */ /* 次の16の処理を実行する */ [ABCD 0 3] [DABC 8 9] [CDAB 4 11] [BCDA 12 15] [ABCD 2 3] [DABC 10 9] [CDAB 6 11] [BCDA 14 15] [ABCD 1 3] [DABC 9 9] [CDAB 5 11] [BCDA 13 15] [ABCD 3 3] [DABC 11 9] [CDAB 7 11] [BCDA 15 15] /* そして次の加算を実行する。(このブロックが開始される前に保持し ていた値で、4つのレジスタが加算される。) */ A = A + AA B = B + BB C = C + CC D = D + DD end /* i のループの終了 */ 注:値5A..99は、16進数で32ビットの定数である。高位の数字を最初に記述して いる。この定数は、2の平方根を意味している。この定数の8進数での値は 013240474631である。 値6E..A1は16進数で32ビットの定数である。高位の数字を最初に記述して いる。この定数は、3の平方根を意味している。この定数の8進数での値は 015666365641である。 Knuth著, The Art of Programming, Volume 2 (Seminumerical Algorithms), Second Edition (1981), Addison-Wesley. Table 2, page 660を参照。 3.5 ステップ 5. 出力 出力として生成されるメッセージダイジェストは A、B、C、D である。すなわち、 下位バイトAから始まり、高位バイトDで終わる。 これでMD4の表記を終了する。C言語を使用した参考実装が付録に記されている。 4. まとめ MD4メッセージダイジェストアルゴリズムは、実装するのが簡単であり、任意の 長さを持つメッセージに対する「指紋」すなわちメッセージダイジェストを提供 する。同じメッセージダイジェストを持つ2つのメッセージを作成することが困難 であるのは、2^64オーダーの演算のためであり、またあらかじめ指定されたメッ セージダイジェストを持つメッセージを作成することが困難なのは、2^128 オーダーの演算のためであると推測される。MD4アルゴリズムは、その弱点が慎重 に精査されている。しかしながら、この種類の新しい提案が常にそうである ように、比較的新しいアルゴリズムと一層のセキュリティ分析により、このアル ゴリズムの正当性が評価される。 参考文献 [1] Rivest, R., "The MD4 message digest algorithm", in A.J. Menezes and S.A. Vanstone, editors, Advances in Cryptology - CRYPTO '90 Proceedings, pages 303-311, Springer-Verlag, 1991. [2] Rivest, R., "The MD4 Message Digest Algorithm", RFC 1186, MIT, October 1990. [3] CCITT Recommendation X.509 (1988), "The Directory - Authentication Framework". [4] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, MIT and RSA Data Security, Inc, April 1992. 付録 A - 参考実装 この付録には、以下のファイルが含まれている。 global.h -- グローバルヘッダファイル md4.h -- MD4のヘッダファイル md4c.c -- MD4のソースコード mddriver.c -- MD2、MD4、MD5用テストドライバ ドライバは、デフォルトでMD5のコンパイルを行うが、シンボルMDをCコンパイ ラコマンドライン上で2または4と定義すれば、MD2またはMD4のコンパイルを行う ことができる。 実装はポータブルであり、多くのプラットフォーム上で動くはずである。しかし ある特定のプラットホームのための最適化を行うのは、難しいことではない。 これは読者の練習として残しておく。例えば、「リトルエンディアン」プラット ホームでは、32ビットワードでもっとも低いアドレスをもつバイトは最下位に あるバイトであり、またアラインメントに関する制約は何もない。この場合、 MD4Transform内でコールしているDecode関数は、データ型をキャストするものに 置きかえることが出来る。 A.1 global.h /* GLOBAL.H - RSAREF types and constants */ /* PROTOTYPES should be set to one if and only if the compiler supports function argument prototyping. The following makes PROTOTYPES default to 0 if it has not already been defined with C compiler flags. */ #ifndef PROTOTYPES #define PROTOTYPES 0 #endif /* POINTER defines a generic pointer type */ typedef unsigned char *POINTER; /* UINT2 defines a two byte word */ typedef unsigned short int UINT2; /* UINT4 defines a four byte word */ typedef unsigned long int UINT4; /* PROTO_LIST is defined depending on how PROTOTYPES is defined above. If using PROTOTYPES, then PROTO_LIST returns the list, otherwise it returns an empty list. */ #if PROTOTYPES #define PROTO_LIST(list) list #else #define PROTO_LIST(list) () #endif A.2 md4.h /* MD4.H - header file for MD4C.C */ /* Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved. License to copy and use this software is granted provided that it is identified as the "RSA Data Security, Inc. MD4 Message-Digest Algorithm" in all material mentioning or referencing this software or this function. License is also granted to make and use derivative works provided that such works are identified as "derived from the RSA Data Security, Inc. MD4 Message-Digest Algorithm" in all material mentioning or referencing the derived work. RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is" without express or implied warranty of any kind. These notices must be retained in any copies of any part of this documentation and/or software. */ /* MD4 context. */ typedef struct { UINT4 state[4]; /* state (ABCD) */ UINT4 count[2]; /* number of bits, modulo 2^64 (lsb first) */ unsigned char buffer[64]; /* input buffer */ } MD4_CTX; void MD4Init PROTO_LIST ((MD4_CTX *)); void MD4Update PROTO_LIST ((MD4_CTX *, unsigned char *, unsigned int)); void MD4Final PROTO_LIST ((unsigned char [16], MD4_CTX *)); A.3 md4c.c /* MD4C.C - RSA Data Security, Inc., MD4 message-digest algorithm */ /* Copyright (C) 1990-2, RSA Data Security, Inc. All rights reserved. License to copy and use this software is granted provided that it is identified as the "RSA Data Security, Inc. MD4 Message-Digest Algorithm" in all material mentioning or referencing this software or this function. License is also granted to make and use derivative works provided that such works are identified as "derived from the RSA Data Security, Inc. MD4 Message-Digest Algorithm" in all material mentioning or referencing the derived work. RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is" without express or implied warranty of any kind. These notices must be retained in any copies of any part of this documentation and/or software. */ #include "global.h" #include "md4.h" /* Constants for MD4Transform routine. */ #define S11 3 #define S12 7 #define S13 11 #define S14 19 #define S21 3 #define S22 5 #define S23 9 #define S24 13 #define S31 3 #define S32 9 #define S33 11 #define S34 15 static void MD4Transform PROTO_LIST ((UINT4 [4], unsigned char [64])); static void Encode PROTO_LIST ((unsigned char *, UINT4 *, unsigned int)); static void Decode PROTO_LIST ((UINT4 *, unsigned char *, unsigned int)); static void MD4_memcpy PROTO_LIST ((POINTER, POINTER, unsigned int)); static void MD4_memset PROTO_LIST ((POINTER, int, unsigned int)); static unsigned char PADDING[64] = { 0x80, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0 }; /* F, G and H are basic MD4 functions. */ #define F(x, y, z) (((x) & (y)) | ((~x) & (z))) #define G(x, y, z) (((x) & (y)) | ((x) & (z)) | ((y) & (z))) #define H(x, y, z) ((x) ^ (y) ^ (z)) /* ROTATE_LEFT rotates x left n bits. */ #define ROTATE_LEFT(x, n) (((x) << (n)) | ((x) >> (32-(n)))) /* FF, GG and HH are transformations for rounds 1, 2 and 3 */ /* Rotation is separate from addition to prevent recomputation */ #define FF(a, b, c, d, x, s) { \ (a) += F ((b), (c), (d)) + (x); \ (a) = ROTATE_LEFT ((a), (s)); \ } #define GG(a, b, c, d, x, s) { \ (a) += G ((b), (c), (d)) + (x) + (UINT4)0x5a827999; \ (a) = ROTATE_LEFT ((a), (s)); \ } #define HH(a, b, c, d, x, s) { \ (a) += H ((b), (c), (d)) + (x) + (UINT4)0x6ed9eba1; \ (a) = ROTATE_LEFT ((a), (s)); \ } /* MD4 initialization. Begins an MD4 operation, writing a new context. */ void MD4Init (context) MD4_CTX *context; /* context */ { context->count[0] = context->count[1] = 0; /* Load magic initialization constants. */ context->state[0] = 0x67452301; context->state[1] = 0xefcdab89; context->state[2] = 0x98badcfe; context->state[3] = 0x10325476; } /* MD4 block update operation. Continues an MD4 message-digest operation, processing another message block, and updating the context. */ void MD4Update (context, input, inputLen) MD4_CTX *context; /* context */ unsigned char *input; /* input block */ unsigned int inputLen; /* length of input block */ { unsigned int i, index, partLen; /* Compute number of bytes mod 64 */ index = (unsigned int)((context->count[0] >> 3) & 0x3F); /* Update number of bits */ if ((context->count[0] += ((UINT4)inputLen << 3)) < ((UINT4)inputLen << 3)) context->count[1]++; context->count[1] += ((UINT4)inputLen >> 29); partLen = 64 - index; /* Transform as many times as possible. */ if (inputLen >= partLen) { MD4_memcpy ((POINTER)&context->buffer[index], (POINTER)input, partLen); MD4Transform (context->state, context->buffer); for (i = partLen; i + 63 < inputLen; i += 64) MD4Transform (context->state, &input[i]); index = 0; } else i = 0; /* Buffer remaining input */ MD4_memcpy ((POINTER)&context->buffer[index], (POINTER)&input[i], inputLen-i); } /* MD4 finalization. Ends an MD4 message-digest operation, writing the the message digest and zeroizing the context. */ void MD4Final (digest, context) unsigned char digest[16]; /* message digest */ MD4_CTX *context; /* context */ { unsigned char bits[8]; unsigned int index, padLen; /* Save number of bits */ Encode (bits, context->count, 8); /* Pad out to 56 mod 64. */ index = (unsigned int)((context->count[0] >> 3) & 0x3f); padLen = (index < 56) ? (56 - index) : (120 - index); MD4Update (context, PADDING, padLen); /* Append length (before padding) */ MD4Update (context, bits, 8); /* Store state in digest */ Encode (digest, context->state, 16); /* Zeroize sensitive information. */ MD4_memset ((POINTER)context, 0, sizeof (*context)); } /* MD4 basic transformation. Transforms state based on block. */ static void MD4Transform (state, block) UINT4 state[4]; unsigned char block[64]; { UINT4 a = state[0], b = state[1], c = state[2], d = state[3], x[16]; Decode (x, block, 64); /* Round 1 */ FF (a, b, c, d, x[ 0], S11); /* 1 */ FF (d, a, b, c, x[ 1], S12); /* 2 */ FF (c, d, a, b, x[ 2], S13); /* 3 */ FF (b, c, d, a, x[ 3], S14); /* 4 */ FF (a, b, c, d, x[ 4], S11); /* 5 */ FF (d, a, b, c, x[ 5], S12); /* 6 */ FF (c, d, a, b, x[ 6], S13); /* 7 */ FF (b, c, d, a, x[ 7], S14); /* 8 */ FF (a, b, c, d, x[ 8], S11); /* 9 */ FF (d, a, b, c, x[ 9], S12); /* 10 */ FF (c, d, a, b, x[10], S13); /* 11 */ FF (b, c, d, a, x[11], S14); /* 12 */ FF (a, b, c, d, x[12], S11); /* 13 */ FF (d, a, b, c, x[13], S12); /* 14 */ FF (c, d, a, b, x[14], S13); /* 15 */ FF (b, c, d, a, x[15], S14); /* 16 */ /* Round 2 */ GG (a, b, c, d, x[ 0], S21); /* 17 */ GG (d, a, b, c, x[ 4], S22); /* 18 */ GG (c, d, a, b, x[ 8], S23); /* 19 */ GG (b, c, d, a, x[12], S24); /* 20 */ GG (a, b, c, d, x[ 1], S21); /* 21 */ GG (d, a, b, c, x[ 5], S22); /* 22 */ GG (c, d, a, b, x[ 9], S23); /* 23 */ GG (b, c, d, a, x[13], S24); /* 24 */ GG (a, b, c, d, x[ 2], S21); /* 25 */ GG (d, a, b, c, x[ 6], S22); /* 26 */ GG (c, d, a, b, x[10], S23); /* 27 */ GG (b, c, d, a, x[14], S24); /* 28 */ GG (a, b, c, d, x[ 3], S21); /* 29 */ GG (d, a, b, c, x[ 7], S22); /* 30 */ GG (c, d, a, b, x[11], S23); /* 31 */ GG (b, c, d, a, x[15], S24); /* 32 */ /* Round 3 */ HH (a, b, c, d, x[ 0], S31); /* 33 */ HH (d, a, b, c, x[ 8], S32); /* 34 */ HH (c, d, a, b, x[ 4], S33); /* 35 */ HH (b, c, d, a, x[12], S34); /* 36 */ HH (a, b, c, d, x[ 2], S31); /* 37 */ HH (d, a, b, c, x[10], S32); /* 38 */ HH (c, d, a, b, x[ 6], S33); /* 39 */ HH (b, c, d, a, x[14], S34); /* 40 */ HH (a, b, c, d, x[ 1], S31); /* 41 */ HH (d, a, b, c, x[ 9], S32); /* 42 */ HH (c, d, a, b, x[ 5], S33); /* 43 */ HH (b, c, d, a, x[13], S34); /* 44 */ HH (a, b, c, d, x[ 3], S31); /* 45 */ HH (d, a, b, c, x[11], S32); /* 46 */ HH (c, d, a, b, x[ 7], S33); /* 47 */ HH (b, c, d, a, x[15], S34); /* 48 */ state[0] += a; state[1] += b; state[2] += c; state[3] += d; /* Zeroize sensitive information. */ MD4_memset ((POINTER)x, 0, sizeof (x)); } /* Encodes input (UINT4) into output (unsigned char). Assumes len is a multiple of 4. */ static void Encode (output, input, len) unsigned char *output; UINT4 *input; unsigned int len; { unsigned int i, j; for (i = 0, j = 0; j < len; i++, j += 4) { output[j] = (unsigned char)(input[i] & 0xff); output[j+1] = (unsigned char)((input[i] >> 8) & 0xff); output[j+2] = (unsigned char)((input[i] >> 16) & 0xff); output[j+3] = (unsigned char)((input[i] >> 24) & 0xff); } } /* Decodes input (unsigned char) into output (UINT4). Assumes len is a multiple of 4. */ static void Decode (output, input, len) UINT4 *output; unsigned char *input; unsigned int len; { unsigned int i, j; for (i = 0, j = 0; j < len; i++, j += 4) output[i] = ((UINT4)input[j]) | (((UINT4)input[j+1]) << 8) | (((UINT4)input[j+2]) << 16) | (((UINT4)input[j+3]) << 24); } /* Note: Replace "for loop" with standard memcpy if possible. */ static void MD4_memcpy (output, input, len) POINTER output; POINTER input; unsigned int len; { unsigned int i; for (i = 0; i < len; i++) output[i] = input[i]; } /* Note: Replace "for loop" with standard memset if possible. */ static void MD4_memset (output, value, len) POINTER output; int value; unsigned int len; { unsigned int i; for (i = 0; i < len; i++) ((char *)output)[i] = (char)value; } A.4 mddriver.c /* MDDRIVER.C - test driver for MD2, MD4 and MD5 */ /* Copyright (C) 1990-2, RSA Data Security, Inc. Created 1990. All rights reserved. RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is" without express or implied warranty of any kind. These notices must be retained in any copies of any part of this documentation and/or software. */ /* The following makes MD default to MD5 if it has not already been defined with C compiler flags. */ #ifndef MD #define MD MD5 #endif #include #include #include #include "global.h" #if MD == 2 #include "md2.h" #endif #if MD == 4 #include "md4.h" #endif #if MD == 5 #include "md5.h" #endif /* Length of test block, number of test blocks. */ #define TEST_BLOCK_LEN 1000 #define TEST_BLOCK_COUNT 1000 static void MDString PROTO_LIST ((char *)); static void MDTimeTrial PROTO_LIST ((void)); static void MDTestSuite PROTO_LIST ((void)); static void MDFile PROTO_LIST ((char *)); static void MDFilter PROTO_LIST ((void)); static void MDPrint PROTO_LIST ((unsigned char [16])); #if MD == 2 #define MD_CTX MD2_CTX #define MDInit MD2Init #define MDUpdate MD2Update #define MDFinal MD2Final #endif #if MD == 4 #define MD_CTX MD4_CTX #define MDInit MD4Init #define MDUpdate MD4Update #define MDFinal MD4Final #endif #if MD == 5 #define MD_CTX MD5_CTX #define MDInit MD5Init #define MDUpdate MD5Update #define MDFinal MD5Final #endif /* Main driver. Arguments (may be any combination): -sstring - digests string -t - runs time trial -x - runs test script filename - digests file (none) - digests standard input */ int main (argc, argv) int argc; char *argv[]; { int i; if (argc > 1) for (i = 1; i < argc; i++) if (argv[i][0] == '-' && argv[i][1] == 's') MDString (argv[i] + 2); else if (strcmp (argv[i], "-t") == 0) MDTimeTrial (); else if (strcmp (argv[i], "-x") == 0) MDTestSuite (); else MDFile (argv[i]); else MDFilter (); return (0); } /* Digests a string and prints the result. */ static void MDString (string) char *string; { MD_CTX context; unsigned char digest[16]; unsigned int len = strlen (string); MDInit (&context); MDUpdate (&context, string, len); MDFinal (digest, &context); printf ("MD%d (\"%s\") = ", MD, string); MDPrint (digest); printf ("\n"); } /* Measures the time to digest TEST_BLOCK_COUNT TEST_BLOCK_LEN-byte blocks. */ static void MDTimeTrial () { MD_CTX context; time_t endTime, startTime; unsigned char block[TEST_BLOCK_LEN], digest[16]; unsigned int i; printf ("MD%d time trial. Digesting %d %d-byte blocks ...", MD, TEST_BLOCK_LEN, TEST_BLOCK_COUNT); /* Initialize block */ for (i = 0; i < TEST_BLOCK_LEN; i++) block[i] = (unsigned char)(i & 0xff); /* Start timer */ time (&startTime); /* Digest blocks */ MDInit (&context); for (i = 0; i < TEST_BLOCK_COUNT; i++) MDUpdate (&context, block, TEST_BLOCK_LEN); MDFinal (digest, &context); /* Stop timer */ time (&endTime); printf (" done\n"); printf ("Digest = "); MDPrint (digest); printf ("\nTime = %ld seconds\n", (long)(endTime-startTime)); printf ("Speed = %ld bytes/second\n", (long)TEST_BLOCK_LEN * (long)TEST_BLOCK_COUNT/(endTime-startTime)); } /* Digests a reference suite of strings and prints the results. */ static void MDTestSuite () { printf ("MD%d test suite:\n", MD); MDString (""); MDString ("a"); MDString ("abc"); MDString ("message digest"); MDString ("abcdefghijklmnopqrstuvwxyz"); MDString ("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"); MDString ("1234567890123456789012345678901234567890\ 1234567890123456789012345678901234567890"); } /* Digests a file and prints the result. */ static void MDFile (filename) char *filename; { FILE *file; MD_CTX context; int len; unsigned char buffer[1024], digest[16]; if ((file = fopen (filename, "rb")) == NULL) printf ("%s can't be opened\n", filename); else { MDInit (&context); while (len = fread (buffer, 1, 1024, file)) MDUpdate (&context, buffer, len); MDFinal (digest, &context); fclose (file); printf ("MD%d (%s) = ", MD, filename); MDPrint (digest); printf ("\n"); } } /* Digests the standard input and prints the result. */ static void MDFilter () { MD_CTX context; int len; unsigned char buffer[16], digest[16]; MDInit (&context); while (len = fread (buffer, 1, 16, stdin)) MDUpdate (&context, buffer, len); MDFinal (digest, &context); MDPrint (digest); printf ("\n"); } /* Prints a message digest in hexadecimal. */ static void MDPrint (digest) unsigned char digest[16]; { unsigned int i; for (i = 0; i < 16; i++) printf ("%02x", digest[i]); } A.5 テストスイート MD4のテストスイート(ドライバオプション“-x")は、以下の結果を出力する はずである。 MD4 test suite: MD4 ("") = 31d6cfe0d16ae931b73c59d7e0c089c0 MD4 ("a") = bde52cb31de33e46245e05fbdbd6fb24 MD4 ("abc") = a448017aaf21d8525fc10ae87aa6729d MD4 ("message digest") = d9130a8164549fe818874806e1c7014b MD4 ("abcdefghijklmnopqrstuvwxyz") = d79e1c308aa5bbcdeea8ed63df412da9 MD4 ("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789") = 043f8582f241db351ce627e153e7f0e4 MD4 ("123456789012345678901234567890123456789012345678901234567890123456 78901234567890") = e33b4ddc9c38f2199c3e7b164fcc0536 セキュリティに関する考察 このメモで議論されているセキュリティのレベルは、MD4と公開鍵暗号方式に 基づく、非常に高いセキュリティをもつハイブリッド電子署名の実装に十分 であると考えられる。非常に高いセキュリティをもつ電子署名の実装において MD4が不十分であるという理由は特にないと思われるが、MD4は特に高速な計算 ができるように設計されているため、暗号解析攻撃が成功されてしまうという 危険に関して、「ぎりぎり」である。さらなる厳しいレビューの後に、非常に 高いセキュリティアプリケーションに対してMD4が適切であるとすることが出来る。 そのようなレビューが完全ではない、高セキュリティアプリケーションでは、 MD5アルゴリズム[4]が推奨される。 著者のアドレス Ronald L. Rivest Massachusetts Institute of Technology Laboratory for Computer Science NE43-324 545 Technology Square Cambridge, MA 02139-1986 Phone: (617) 253-5880 EMail: rivest@theory.lcs.mit.edu 日本語訳 西原 啓輔 2001年5月 訳者は、訳出した文書を利用することにより発生したいかなる損害に対しても 責任を負いません。 本文書には、技術的あるいは翻訳上の誤りがある可能性があります。技術的に 正しい知識を獲得しなければならない場合は、InterNIC/IETFから発行されて いる原文を参照してください。