Network Working Group R. Rivest Request for Comments: 1321 MIT Laboratory for Computer Science and RSA Data Security, Inc. April 1992 MD5 メッセージダイジェストアルゴリズム このメモの位置付け このメモは、インターネット・コミュニティに情報を提供するものである。 インターネット標準を規定するものではない。このメモの配布は無制限である。 謝辞 多くの有用なコメントと提案を頂いたDon Coppersmith、Burt Kaliski、Ralph Merkle、David Chaum、そしてNoam Nisanに感謝する。 目次 1. 要約 1 2. 用語と記法 2 3. MD5 アルゴリズム 3 4. まとめ 6 5. MD4とMD5の違い 6 参考文献 7 付録 A - 参考実装 7 セキュリティに関する考察 21 著者のアドレス 21 1. 要約 このドキュメントでは、MD5メッセージダイジェストアルゴリズムを記述する。 アルゴリズムは、任意の長さのメッセージを受け取り、128ビットの「指紋」、 すなわち入力の「メッセージダイジェスト」を出力する。同じメッセージダイ ジェストとなる2つのメッセージを作成すること、またはあらかじめ指定された メッセージダイジェストとなるメッセージを作成することは、計算上実行不可能 であると推測される。 MD5アルゴリズムは、電子署名アプリケーションでの使用 が意図されている。この場合、大きなサイズのファイルは、RSAなどの公開鍵暗号 方式における私有鍵で暗号化される前に、安全な方法で「圧縮」されなければ ならない。 MD5アルゴリズムは、32ビットマシンで非常に速く処理できるように設計されて いる。 さらに、MD5アルゴリズムは、大きなテーブルも必要とせず、全くコンパ クトにアルゴリズムをコード化することができる。 MD5アルゴリズムは、MD4メッセージダイジェストアルゴリズム[1,2]を拡張した ものである。MD5はMD4よりもわずかに遅いが、設計的にはMD4よりも「保守的」 である。MD5が設計されたのは、MD4が、現存する重要なレビューの正当性という 理由よりも、その速さという理由で採用が行われていると感じられたからである。 MD4は、特に高速な計算ができるよう設計されたため、暗号解析攻撃が成功され てしまうという危険に関して、「ぎりぎり」である。MD5では少し引き返し、 究極のセキュリティを追求するために、速度を少し犠牲にしている。 これには 様々なレビュアーによって行われたいくつかの提案と、さらなる最適化が含まれ ている。MD5アルゴリズムは、レビュー、そして標準採用への可能性という理由 のために、パブリックドメインに置かれている。 OSIベースのアプリケーションでは、MD5のオブジェクト識別子は次のようなもの である。 md5 OBJECT IDENTIFIER ::= iso(1) member-body(2) US(840) rsadsi(113549) digestAlgorithm(2) 5} X.509の AlgorithmIdentifier型 [3]では、MD5での parameters は、NULL型で あるべきである。 2. 用語と記法 このドキュメントでは、1「ワード」は32ビットであり、1「バイト」は8ビット である。 ビット列はそのまま、バイト列として解釈することができる。連続し た8ビットのグループは1バイトとして解釈され、それぞれのバイトで最初にリス トされるビットは高位(最上位)ビットとなる。同様に、バイト列は32ビットの 「ワード」列として解釈できる。連続した4バイトのグループは1ワードとして 解釈され、最初に与えられるバイトは低位(最下位)バイトとなる。 x_iは、"添え字i付きのx"を意味する。添え字が式であるときには、x_{i+1}の ように、それを括弧でくくる。同様に、^は上付き(指数)を表す。そのため、 x^iは、xのi乗を意味する。 記号+は、ワードの加算(すなわち、2^32を法とする加算)を意味する。X <<< s は、Xをsビットだけ左に環状(回転)シフトすることを意味する。not(X)は、 Xに関する補数を意味する。 X v Yは、ビットに関するXとYのORを意味する。 X xor Yは、ビットに関するXとYのXORを意味する。そして XY は、ビットに 関するXとYのANDを意味する。 3. MD5 アルゴリズム まず、入力としてbビットのメッセージがあり、そのメッセージダイジェストを 見つけることを考える。ここで、bは任意の非負の整数である。bはゼロになって もよい。bは8の倍数である必要はなく、任意の大きさをもつ。メッセージにおけ るそれぞれのビットを、次のように示す。 m_0 m_1 ... m_{b-1} 以下の5つのステップが、メッセージのメッセージダイジェストを計算するため に実行される。 3.1 ステップ 1. パディングビットの付加 メッセージは「パディングされ」(拡張され)て、その長さ(ビット)は512を法と したときの448とされる。すなわち、メッセージは拡張されることにより、512の 倍数のビット長に対して、ちょうど64ビットだけ足りない長さにされる。この パディングは常に実行される。メッセージの長さが、既に512を法としたときの 448に一致していても実行される。 パディングは次のように実行される。”1”の値を持つ1つのビットをメッセージ に付加し、次に”0”の値を持つビットを付加して、パディングされたメッセー ジのビットの長さが、512を法としたときの448になるようにする。最小で1ビッ ト、最大で512ビットが付加される。 3.2 ステップ 2. 長さ付加 b(すなわちパディングビットが付加される前のメッセージの長さ)の64ビットで の表記が、前のステップの結果に付加される。ありそうもないが、もしbが2^64 よりも大きければ、bの下位64ビットのみを使用する。 (これらのビットは、32 ビットワード2つとして付加される。慣例に従い、下位ワードが最初に付加され る。) ここで、(ビットとbの長さをパディングした後に)結果的に生成されるメッセー ジは、512ビットの倍数の長さとなる。同時に、このメッセージは16(32ビット) ワードの倍数の長さとなる。ここで、M[0 ... N-1]は、結果として生成される メッセージを表すものとする。Nは16の倍数である。 3.3 ステップ 3. MDバッファの初期化 4つのワードバッファ(A、B、C、D)が、メッセージダイジェストを計算するのに 使用される。ここでA、B、C、Dは、32ビットのレジスタである。 これらのレジ スタは、16進で表される以下の値で、下位バイトから順番に初期化される。 word A: 01 23 45 67 word B: 89 ab cd ef word C: fe dc ba 98 word D: 76 54 32 10 3.4 ステップ 4. 16ワードブロックごとのメッセージ処理 最初に、32ビットワード3つを入力とし、32ビットワード1つを出力する4つの 補助関数を定義する。 F(X,Y,Z) = XY v not(X) Z G(X,Y,Z) = XZ v Y not(Z) H(X,Y,Z) = X xor Y xor Z I(X,Y,Z) = Y xor (X v not(Z)) 関数Fは、それぞれのビット位置で条件付きとして振舞う。Xが0でなければY、 そうでなければZである。関数Fは、vの代わりに+を使用して定義することが 出来る。なぜならば、XY と not(X)Z は同じビット位置では同時に1にならない からである。X、Y、およびZのビットが独立していてバイアスされてないなら ば、F(X,Y,Z)のそれぞれのビットは独立でありバイアスされてない点は重要 である。 関数G、H、およびIは、関数Fと同様である。それゆえ、「ビットごとに平行」 に振る舞い、X、Y、Zのそれぞれのビットから出力を生成する。X、Y、Zにおける それぞれ対応するビットが独立していてバイアスされていないならば、G(X,Y,Z)、 H(X,Y,Z)、そしてI(X,Y,Z)のそれぞれのビットは独立でありバイアスされてい ない。関数Hは、入力に対して、ビットに関する“xor"または"パリティ"関数で あることに注意。 このステップでは、64の要素を持つテーブルT[1 ... 64]を使用する。これはsin 関数から生成されたものである。T[i]は、テーブルの第i要素を意味し、 4294967296とabs(sin(i))の積の整数部に等しい。ただしiの単位はラジアンで ある。テーブルの各要素は付録で与えられている。 そして以下を実行する。 /* それぞれの16ワードブロックを処理する */ For i = 0 to N/16-1 do /* ブロックiをXにコピーする */ For j = 0 to 15 do Set X[j] to M[i*16+j]. end /* jのループの終了 */ /* AをAAとして、BをBBとして、CをCCとして、DをDDとして保存する */ AA = A BB = B CC = C DD = D /* Round 1. */ /* 以下の演算を、[abcd k s i] で表す: a = b + ((a + F(b,c,d) + X[k] + T[i]) <<< s) */ /* 次の16の処理を実行する */ [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] /* Round 2. */ /* 以下の演算を、[abcd k s i] で表す: a = b + ((a + G(b,c,d) + X[k] + T[i]) <<< s) */ /* 次の16の処理を実行する */ [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] /* Round 3. */ /* 以下の演算を、[abcd k s i] で表す: a = b + ((a + H(b,c,d) + X[k] + T[i]) <<< s) */ /* 次の16の処理を実行する */ [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] /* Round 4. */ /* 以下の演算を、[abcd k s i] で表す: a = b + ((a + I(b,c,d) + X[k] + T[i]) <<< s) */ /* 次の16の処理を実行する */ [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] /* そして次の加算を実行する。(このブロックが開始される前に保持して いた値で、4つのレジスタが加算される。) */ A = A + AA B = B + BB C = C + CC D = D + DD end /* i のループの終了 */ 3.5 ステップ 5. 出力 出力として生成されるメッセージダイジェストは A、B、C、D である。すなわち、 下位バイトAから始まり、高位バイトDで終わる。 これでMD5の表記を終了する。C言語を使用した参考実装が付録に記されている。 4. まとめ MD5メッセージダイジェストアルゴリズムは、実装するのが簡単であり、任意の 長さを持つメッセージに対する「指紋」、すなわちメッセージダイジェストを 提供する。同じメッセージダイジェストを持つ2つのメッセージを作成することが 困難であるのは、2^64オーダーの演算のためであり、またあらかじめ指定された メッセージダイジェストを持つメッセージを作成することが困難なのは、2^128 オーダーの演算のためであると推測される。MD5アルゴリズムは、その弱点が慎重 に精査されている。しかしながら、この種類の新しい提案が常にそうであるように、 比較的新しいアルゴリズムと一層のセキュリティ分析により、このアルゴリズム の正当性が評価される。 5. MD4とMD5の違い 以下はMD4とMD5の違いである: 1. 4回目のroundが追加された。 2. それぞれのステップでは、それぞれの加算値を持つようにされた。 3. round 2 での関数 g は、(XY v XZ v YZ) から (XZ v Y not(Z)) へ変更され、g の対称性がさらに弱められた。 4. 各ステップでは、前のステップの結果を加算する。これは、より 速い「雪崩効果」を促進する。 5. round2と3において、入力ワードにアクセスする順序が変えられ、 2つのアクセスパターンが似ることのないようにされた。 6. 各roundにおけるシフト量は、より速い「雪崩効果」をもたらす ために最適化された。 roundが異なれば、そのシフトも異なる。 参考文献 [1] Rivest, R., "The MD4 Message Digest Algorithm", RFC 1320, MIT and RSA Data Security, Inc., April 1992. [2] Rivest, R., "The MD4 message digest algorithm", in A.J. Menezes and S.A. Vanstone, editors, Advances in Cryptology - CRYPTO '90 Proceedings, pages 303-311, Springer-Verlag, 1991. [3] CCITT Recommendation X.509 (1988), "The Directory - Authentication Framework." 付録 A - 参考実装 この付録には、RSAREFとA Cryptographic Toolkit for Privacy-Enhanced Mail から引用された以下のファイルが含まれている。 global.h -- グローバルヘッダファイル md5.h -- MD5のヘッダファイル md5c.c -- MD5のソースコード RSAREFに関する詳細については、へメールのこと。 付録ではまた、以下のファイルが含まれている。 mddriver.c -- MD2、MD4、MD5用テストドライバ ドライバは、デフォルトでMD5のコンパイルを行うが、シンボルMDをCコンパイ ラコマンドライン上で2または4と定義すれば、MD2またはMD4のコンパイルを行う ことができる。 実装はポータブルであり、多くのプラットフォーム上で動くはずである。しかし ある特定のプラットホームのための最適化を行うのは、難しいことではない。 これは読者の練習として残しておく。例えば、「リトルエンディアン」プラット ホームでは、32ビットワードでもっとも低いアドレスをもつバイトは最下位に あるバイトであり、またアラインメントに関する制約は何もない。この場合、 MD5Transform内でコールしているDecode関数は、データ型をキャストするものに 置きかえることが出来る。 A.1 global.h /* GLOBAL.H - RSAREF types and constants */ /* PROTOTYPES should be set to one if and only if the compiler supports function argument prototyping. The following makes PROTOTYPES default to 0 if it has not already been defined with C compiler flags. */ #ifndef PROTOTYPES #define PROTOTYPES 0 #endif /* POINTER defines a generic pointer type */ typedef unsigned char *POINTER; /* UINT2 defines a two byte word */ typedef unsigned short int UINT2; /* UINT4 defines a four byte word */ typedef unsigned long int UINT4; /* PROTO_LIST is defined depending on how PROTOTYPES is defined above. If using PROTOTYPES, then PROTO_LIST returns the list, otherwise it returns an empty list. */ #if PROTOTYPES #define PROTO_LIST(list) list #else #define PROTO_LIST(list) () #endif A.2 md5.h /* MD5.H - header file for MD5C.C */ /* Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved. License to copy and use this software is granted provided that it is identified as the "RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing this software or this function. License is also granted to make and use derivative works provided that such works are identified as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing the derived work. RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is" without express or implied warranty of any kind. These notices must be retained in any copies of any part of this documentation and/or software. */ /* MD5 context. */ typedef struct { UINT4 state[4]; /* state (ABCD) */ UINT4 count[2]; /* number of bits, modulo 2^64 (lsb first) */ unsigned char buffer[64]; /* input buffer */ } MD5_CTX; void MD5Init PROTO_LIST ((MD5_CTX *)); void MD5Update PROTO_LIST ((MD5_CTX *, unsigned char *, unsigned int)); void MD5Final PROTO_LIST ((unsigned char [16], MD5_CTX *)); A.3 md5c.c /* MD5C.C - RSA Data Security, Inc., MD5 message-digest algorithm */ /* Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved. License to copy and use this software is granted provided that it is identified as the "RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing this software or this function. License is also granted to make and use derivative works provided that such works are identified as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing the derived work. RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is" without express or implied warranty of any kind. These notices must be retained in any copies of any part of this documentation and/or software. */ #include "global.h" #include "md5.h" /* Constants for MD5Transform routine. */ #define S11 7 #define S12 12 #define S13 17 #define S14 22 #define S21 5 #define S22 9 #define S23 14 #define S24 20 #define S31 4 #define S32 11 #define S33 16 #define S34 23 #define S41 6 #define S42 10 #define S43 15 #define S44 21 static void MD5Transform PROTO_LIST ((UINT4 [4], unsigned char [64])); static void Encode PROTO_LIST ((unsigned char *, UINT4 *, unsigned int)); static void Decode PROTO_LIST ((UINT4 *, unsigned char *, unsigned int)); static void MD5_memcpy PROTO_LIST ((POINTER, POINTER, unsigned int)); static void MD5_memset PROTO_LIST ((POINTER, int, unsigned int)); static unsigned char PADDING[64] = { 0x80, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0 }; /* F, G, H and I are basic MD5 functions. */ #define F(x, y, z) (((x) & (y)) | ((~x) & (z))) #define G(x, y, z) (((x) & (z)) | ((y) & (~z))) #define H(x, y, z) ((x) ^ (y) ^ (z)) #define I(x, y, z) ((y) ^ ((x) | (~z))) /* ROTATE_LEFT rotates x left n bits. */ #define ROTATE_LEFT(x, n) (((x) << (n)) | ((x) >> (32-(n)))) /* FF, GG, HH, and II transformations for rounds 1, 2, 3, and 4. Rotation is separate from addition to prevent recomputation. */ #define FF(a, b, c, d, x, s, ac) { \ (a) += F ((b), (c), (d)) + (x) + (UINT4)(ac); \ (a) = ROTATE_LEFT ((a), (s)); \ (a) += (b); \ } #define GG(a, b, c, d, x, s, ac) { \ (a) += G ((b), (c), (d)) + (x) + (UINT4)(ac); \ (a) = ROTATE_LEFT ((a), (s)); \ (a) += (b); \ } #define HH(a, b, c, d, x, s, ac) { \ (a) += H ((b), (c), (d)) + (x) + (UINT4)(ac); \ (a) = ROTATE_LEFT ((a), (s)); \ (a) += (b); \ } #define II(a, b, c, d, x, s, ac) { \ (a) += I ((b), (c), (d)) + (x) + (UINT4)(ac); \ (a) = ROTATE_LEFT ((a), (s)); \ (a) += (b); \ } /* MD5 initialization. Begins an MD5 operation, writing a new context. */ void MD5Init (context) MD5_CTX *context; /* context */ { context->count[0] = context->count[1] = 0; /* Load magic initialization constants. */ context->state[0] = 0x67452301; context->state[1] = 0xefcdab89; context->state[2] = 0x98badcfe; context->state[3] = 0x10325476; } /* MD5 block update operation. Continues an MD5 message-digest operation, processing another message block, and updating the context. */ void MD5Update (context, input, inputLen) MD5_CTX *context; /* context */ unsigned char *input; /* input block */ unsigned int inputLen; /* length of input block */ { unsigned int i, index, partLen; /* Compute number of bytes mod 64 */ index = (unsigned int)((context->count[0] >> 3) & 0x3F); /* Update number of bits */ if ((context->count[0] += ((UINT4)inputLen << 3)) < ((UINT4)inputLen << 3)) context->count[1]++; context->count[1] += ((UINT4)inputLen >> 29); partLen = 64 - index; /* Transform as many times as possible. */ if (inputLen >= partLen) { MD5_memcpy ((POINTER)&context->buffer[index], (POINTER)input, partLen); MD5Transform (context->state, context->buffer); for (i = partLen; i + 63 < inputLen; i += 64) MD5Transform (context->state, &input[i]); index = 0; } else i = 0; /* Buffer remaining input */ MD5_memcpy ((POINTER)&context->buffer[index], (POINTER)&input[i], inputLen-i); } /* MD5 finalization. Ends an MD5 message-digest operation, writing the the message digest and zeroizing the context. */ void MD5Final (digest, context) unsigned char digest[16]; /* message digest */ MD5_CTX *context; /* context */ { unsigned char bits[8]; unsigned int index, padLen; /* Save number of bits */ Encode (bits, context->count, 8); /* Pad out to 56 mod 64. */ index = (unsigned int)((context->count[0] >> 3) & 0x3f); padLen = (index < 56) ? (56 - index) : (120 - index); MD5Update (context, PADDING, padLen); /* Append length (before padding) */ MD5Update (context, bits, 8); /* Store state in digest */ Encode (digest, context->state, 16); /* Zeroize sensitive information. */ MD5_memset ((POINTER)context, 0, sizeof (*context)); } /* MD5 basic transformation. Transforms state based on block. */ static void MD5Transform (state, block) UINT4 state[4]; unsigned char block[64]; { UINT4 a = state[0], b = state[1], c = state[2], d = state[3], x[16]; Decode (x, block, 64); /* Round 1 */ FF (a, b, c, d, x[ 0], S11, 0xd76aa478); /* 1 */ FF (d, a, b, c, x[ 1], S12, 0xe8c7b756); /* 2 */ FF (c, d, a, b, x[ 2], S13, 0x242070db); /* 3 */ FF (b, c, d, a, x[ 3], S14, 0xc1bdceee); /* 4 */ FF (a, b, c, d, x[ 4], S11, 0xf57c0faf); /* 5 */ FF (d, a, b, c, x[ 5], S12, 0x4787c62a); /* 6 */ FF (c, d, a, b, x[ 6], S13, 0xa8304613); /* 7 */ FF (b, c, d, a, x[ 7], S14, 0xfd469501); /* 8 */ FF (a, b, c, d, x[ 8], S11, 0x698098d8); /* 9 */ FF (d, a, b, c, x[ 9], S12, 0x8b44f7af); /* 10 */ FF (c, d, a, b, x[10], S13, 0xffff5bb1); /* 11 */ FF (b, c, d, a, x[11], S14, 0x895cd7be); /* 12 */ FF (a, b, c, d, x[12], S11, 0x6b901122); /* 13 */ FF (d, a, b, c, x[13], S12, 0xfd987193); /* 14 */ FF (c, d, a, b, x[14], S13, 0xa679438e); /* 15 */ FF (b, c, d, a, x[15], S14, 0x49b40821); /* 16 */ /* Round 2 */ GG (a, b, c, d, x[ 1], S21, 0xf61e2562); /* 17 */ GG (d, a, b, c, x[ 6], S22, 0xc040b340); /* 18 */ GG (c, d, a, b, x[11], S23, 0x265e5a51); /* 19 */ GG (b, c, d, a, x[ 0], S24, 0xe9b6c7aa); /* 20 */ GG (a, b, c, d, x[ 5], S21, 0xd62f105d); /* 21 */ GG (d, a, b, c, x[10], S22, 0x2441453); /* 22 */ GG (c, d, a, b, x[15], S23, 0xd8a1e681); /* 23 */ GG (b, c, d, a, x[ 4], S24, 0xe7d3fbc8); /* 24 */ GG (a, b, c, d, x[ 9], S21, 0x21e1cde6); /* 25 */ GG (d, a, b, c, x[14], S22, 0xc33707d6); /* 26 */ GG (c, d, a, b, x[ 3], S23, 0xf4d50d87); /* 27 */ GG (b, c, d, a, x[ 8], S24, 0x455a14ed); /* 28 */ GG (a, b, c, d, x[13], S21, 0xa9e3e905); /* 29 */ GG (d, a, b, c, x[ 2], S22, 0xfcefa3f8); /* 30 */ GG (c, d, a, b, x[ 7], S23, 0x676f02d9); /* 31 */ GG (b, c, d, a, x[12], S24, 0x8d2a4c8a); /* 32 */ /* Round 3 */ HH (a, b, c, d, x[ 5], S31, 0xfffa3942); /* 33 */ HH (d, a, b, c, x[ 8], S32, 0x8771f681); /* 34 */ HH (c, d, a, b, x[11], S33, 0x6d9d6122); /* 35 */ HH (b, c, d, a, x[14], S34, 0xfde5380c); /* 36 */ HH (a, b, c, d, x[ 1], S31, 0xa4beea44); /* 37 */ HH (d, a, b, c, x[ 4], S32, 0x4bdecfa9); /* 38 */ HH (c, d, a, b, x[ 7], S33, 0xf6bb4b60); /* 39 */ HH (b, c, d, a, x[10], S34, 0xbebfbc70); /* 40 */ HH (a, b, c, d, x[13], S31, 0x289b7ec6); /* 41 */ HH (d, a, b, c, x[ 0], S32, 0xeaa127fa); /* 42 */ HH (c, d, a, b, x[ 3], S33, 0xd4ef3085); /* 43 */ HH (b, c, d, a, x[ 6], S34, 0x4881d05); /* 44 */ HH (a, b, c, d, x[ 9], S31, 0xd9d4d039); /* 45 */ HH (d, a, b, c, x[12], S32, 0xe6db99e5); /* 46 */ HH (c, d, a, b, x[15], S33, 0x1fa27cf8); /* 47 */ HH (b, c, d, a, x[ 2], S34, 0xc4ac5665); /* 48 */ /* Round 4 */ II (a, b, c, d, x[ 0], S41, 0xf4292244); /* 49 */ II (d, a, b, c, x[ 7], S42, 0x432aff97); /* 50 */ II (c, d, a, b, x[14], S43, 0xab9423a7); /* 51 */ II (b, c, d, a, x[ 5], S44, 0xfc93a039); /* 52 */ II (a, b, c, d, x[12], S41, 0x655b59c3); /* 53 */ II (d, a, b, c, x[ 3], S42, 0x8f0ccc92); /* 54 */ II (c, d, a, b, x[10], S43, 0xffeff47d); /* 55 */ II (b, c, d, a, x[ 1], S44, 0x85845dd1); /* 56 */ II (a, b, c, d, x[ 8], S41, 0x6fa87e4f); /* 57 */ II (d, a, b, c, x[15], S42, 0xfe2ce6e0); /* 58 */ II (c, d, a, b, x[ 6], S43, 0xa3014314); /* 59 */ II (b, c, d, a, x[13], S44, 0x4e0811a1); /* 60 */ II (a, b, c, d, x[ 4], S41, 0xf7537e82); /* 61 */ II (d, a, b, c, x[11], S42, 0xbd3af235); /* 62 */ II (c, d, a, b, x[ 2], S43, 0x2ad7d2bb); /* 63 */ II (b, c, d, a, x[ 9], S44, 0xeb86d391); /* 64 */ state[0] += a; state[1] += b; state[2] += c; state[3] += d; /* Zeroize sensitive information. */ MD5_memset ((POINTER)x, 0, sizeof (x)); } /* Encodes input (UINT4) into output (unsigned char). Assumes len is a multiple of 4. */ static void Encode (output, input, len) unsigned char *output; UINT4 *input; unsigned int len; { unsigned int i, j; for (i = 0, j = 0; j < len; i++, j += 4) { output[j] = (unsigned char)(input[i] & 0xff); output[j+1] = (unsigned char)((input[i] >> 8) & 0xff); output[j+2] = (unsigned char)((input[i] >> 16) & 0xff); output[j+3] = (unsigned char)((input[i] >> 24) & 0xff); } } /* Decodes input (unsigned char) into output (UINT4). Assumes len is a multiple of 4. */ static void Decode (output, input, len) UINT4 *output; unsigned char *input; unsigned int len; { unsigned int i, j; for (i = 0, j = 0; j < len; i++, j += 4) output[i] = ((UINT4)input[j]) | (((UINT4)input[j+1]) << 8) | (((UINT4)input[j+2]) << 16) | (((UINT4)input[j+3]) << 24); } /* Note: Replace "for loop" with standard memcpy if possible. */ static void MD5_memcpy (output, input, len) POINTER output; POINTER input; unsigned int len; { unsigned int i; for (i = 0; i < len; i++) output[i] = input[i]; } /* Note: Replace "for loop" with standard memset if possible. */ static void MD5_memset (output, value, len) POINTER output; int value; unsigned int len; { unsigned int i; for (i = 0; i < len; i++) ((char *)output)[i] = (char)value; } A.4 mddriver.c /* MDDRIVER.C - test driver for MD2, MD4 and MD5 */ /* Copyright (C) 1990-2, RSA Data Security, Inc. Created 1990. All rights reserved. RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is" without express or implied warranty of any kind. These notices must be retained in any copies of any part of this documentation and/or software. */ /* The following makes MD default to MD5 if it has not already been defined with C compiler flags. */ #ifndef MD #define MD MD5 #endif #include #include #include #include "global.h" #if MD == 2 #include "md2.h" #endif #if MD == 4 #include "md4.h" #endif #if MD == 5 #include "md5.h" #endif /* Length of test block, number of test blocks. */ #define TEST_BLOCK_LEN 1000 #define TEST_BLOCK_COUNT 1000 static void MDString PROTO_LIST ((char *)); static void MDTimeTrial PROTO_LIST ((void)); static void MDTestSuite PROTO_LIST ((void)); static void MDFile PROTO_LIST ((char *)); static void MDFilter PROTO_LIST ((void)); static void MDPrint PROTO_LIST ((unsigned char [16])); #if MD == 2 #define MD_CTX MD2_CTX #define MDInit MD2Init #define MDUpdate MD2Update #define MDFinal MD2Final #endif #if MD == 4 #define MD_CTX MD4_CTX #define MDInit MD4Init #define MDUpdate MD4Update #define MDFinal MD4Final #endif #if MD == 5 #define MD_CTX MD5_CTX #define MDInit MD5Init #define MDUpdate MD5Update #define MDFinal MD5Final #endif /* Main driver. Arguments (may be any combination): -sstring - digests string -t - runs time trial -x - runs test script filename - digests file (none) - digests standard input */ int main (argc, argv) int argc; char *argv[]; { int i; if (argc > 1) for (i = 1; i < argc; i++) if (argv[i][0] == '-' && argv[i][1] == 's') MDString (argv[i] + 2); else if (strcmp (argv[i], "-t") == 0) MDTimeTrial (); else if (strcmp (argv[i], "-x") == 0) MDTestSuite (); else MDFile (argv[i]); else MDFilter (); return (0); } /* Digests a string and prints the result. */ static void MDString (string) char *string; { MD_CTX context; unsigned char digest[16]; unsigned int len = strlen (string); MDInit (&context); MDUpdate (&context, string, len); MDFinal (digest, &context); printf ("MD%d (\"%s\") = ", MD, string); MDPrint (digest); printf ("\n"); } /* Measures the time to digest TEST_BLOCK_COUNT TEST_BLOCK_LEN-byte blocks. */ static void MDTimeTrial () { MD_CTX context; time_t endTime, startTime; unsigned char block[TEST_BLOCK_LEN], digest[16]; unsigned int i; printf ("MD%d time trial. Digesting %d %d-byte blocks ...", MD, TEST_BLOCK_LEN, TEST_BLOCK_COUNT); /* Initialize block */ for (i = 0; i < TEST_BLOCK_LEN; i++) block[i] = (unsigned char)(i & 0xff); /* Start timer */ time (&startTime); /* Digest blocks */ MDInit (&context); for (i = 0; i < TEST_BLOCK_COUNT; i++) MDUpdate (&context, block, TEST_BLOCK_LEN); MDFinal (digest, &context); /* Stop timer */ time (&endTime); printf (" done\n"); printf ("Digest = "); MDPrint (digest); printf ("\nTime = %ld seconds\n", (long)(endTime-startTime)); printf ("Speed = %ld bytes/second\n", (long)TEST_BLOCK_LEN * (long)TEST_BLOCK_COUNT/(endTime-startTime)); } /* Digests a reference suite of strings and prints the results. */ static void MDTestSuite () { printf ("MD%d test suite:\n", MD); MDString (""); MDString ("a"); MDString ("abc"); MDString ("message digest"); MDString ("abcdefghijklmnopqrstuvwxyz"); MDString ("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"); MDString ("1234567890123456789012345678901234567890\ 1234567890123456789012345678901234567890"); } /* Digests a file and prints the result. */ static void MDFile (filename) char *filename; { FILE *file; MD_CTX context; int len; unsigned char buffer[1024], digest[16]; if ((file = fopen (filename, "rb")) == NULL) printf ("%s can't be opened\n", filename); else { MDInit (&context); while (len = fread (buffer, 1, 1024, file)) MDUpdate (&context, buffer, len); MDFinal (digest, &context); fclose (file); printf ("MD%d (%s) = ", MD, filename); MDPrint (digest); printf ("\n"); } } /* Digests the standard input and prints the result. */ static void MDFilter () { MD_CTX context; int len; unsigned char buffer[16], digest[16]; MDInit (&context); while (len = fread (buffer, 1, 16, stdin)) MDUpdate (&context, buffer, len); MDFinal (digest, &context); MDPrint (digest); printf ("\n"); } /* Prints a message digest in hexadecimal. */ static void MDPrint (digest) unsigned char digest[16]; { unsigned int i; for (i = 0; i < 16; i++) printf ("%02x", digest[i]); } A.5 テストスイート MD5のテストスイート(ドライバオプション“-x")は、以下の結果を出力する はずである。 MD5 test suite: MD5 ("") = d41d8cd98f00b204e9800998ecf8427e MD5 ("a") = 0cc175b9c0f1b6a831c399e269772661 MD5 ("abc") = 900150983cd24fb0d6963f7d28e17f72 MD5 ("message digest") = f96b697d7cb7938d525a2f31aaf161d0 MD5 ("abcdefghijklmnopqrstuvwxyz") = c3fcd3d76192e4007dfb496cca67e13b MD5 ("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789") = d174ab98d277d9f5a5611c2c9f419d9f MD5 ("123456789012345678901234567890123456789012345678901234567890123456 78901234567890") = 57edf4a22be3c955ac49da2e2107b67a セキュリティに関する考察 このメモで議論されているセキュリティのレベルは、MD5と公開鍵暗号方式に 基づく、非常に高いセキュリティをもつハイブリッド電子署名の実装に十分 であると考えられる。 著者のアドレス Ronald L. Rivest Massachusetts Institute of Technology Laboratory for Computer Science NE43-324 545 Technology Square Cambridge, MA 02139-1986 Phone: (617) 253-5880 EMail: rivest@theory.lcs.mit.edu 日本語訳 西原 啓輔 2001年5月 訳者は、訳出した文書を利用することにより発生したいかなる損害に対しても 責任を負いません。 本文書には、技術的あるいは翻訳上の誤りがある可能性があります。技術的に 正しい知識を獲得しなければならない場合は、InterNIC/IETFから発行されて いる原文を参照してください。