米国 NIST SP 800-224（初期公開ドラフト） 鍵付きハッシュメッセージ認証コード（HMAC）： HMACの仕様とメッセージ認証の推奨事項 (2024.06.28)

こんにちは、丸山満彦です。

NISTが、ハッシュベースのメッセージ認証に関するSPのドラフトを公表し、意見募集をしています。現在、ハッシュベースのメッセージ認証については、FIPS 198-1 The Keyed-Hash Message Authentication Code (HMAC) に規定されていますが、SP800-224を発行するタイミングでFIPS198は廃止するようですね...

あと、関連するSPは、NIST SP 800-107 Rev. 1 Recommendation for Applications Using Approved Hash Algorithms

 

● NIST - ITL

プレス...

・2024.06.28 Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication | Draft SP 800-224 is Available for Public Comment

 

Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication | Draft SP 800-224 is Available for Public Comment	鍵付きハッシュメッセージ認証コード（HMAC）： HMACの仕様とメッセージ認証の推奨｜SP 800-224ドラフトがパブリックコメントに供される
The initial public draft (ipd) of NIST Special Publication (SP) 800-224, Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication, is now available for public comment.	NIST特別刊行物（SP）800-224「鍵付きハッシュメッセージ認証コード（HMAC）」の初期公開草案（ipd）である： HMAC の仕様とメッセージ認証の推奨事項』は、現在パブリック・コメントを受け付けている。
This publication includes the HMAC specification from Federal Information Processing Standard (FIPS) 198-1, The Keyed-Hash Message Authentication Code (HMAC) (2008) and incorporates some requirements from SP 800-107r1 (Revision 1), Recommendation for Applications Using Approved Hash Algorithms (2012). This development was proposed by the NIST Crypto Publication Review Board based on the reviews of FIPS 198-1 and SP 800-107r1 in 2022. The final version of SP 800-224 is expected to be published concurrently with the withdrawal of FIPS 198-1.	本書は、連邦情報処理標準（FIPS）198-1「鍵付きハッシュ・メッセージ認証コード（HMAC）」（2008年）のHMAC仕様を含み、SP 800-107r1（改訂1）「承認されたハッシュ・アルゴリズムを使用するアプリケーションの推奨」（2012年）の要件の一部を組み込んでいる。この開発は、2022年のFIPS 198-1とSP 800-107r1のレビューに基づいて、NIST暗号公開審査委員会によって提案された。SP 800-224 の最終版は、FIPS 198-1 の廃止と同時に発行される予定である。

 

文書...

・2024.06.28 NIST SP 800-224 (Initial Public Draft) Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication

NIST SP 800-224 (Initial Public Draft) Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication	NIST SP 800-224（初期公開ドラフト） 鍵付きハッシュメッセージ認証コード（HMAC）： HMACの仕様とメッセージ認証の推奨事項
Announcement	発表
This publication includes the HMAC specification from Federal Information Processing Standard (FIPS) 198-1, The Keyed-Hash Message Authentication Code (HMAC) (2008) and incorporates some requirements from SP 800-107r1 (Revision 1), Recommendation for Applications Using Approved Hash Algorithms (2012). This development was proposed by the Crypto Publication Review Board based on the reviews of FIPS 198-1 and SP 800-107r1 in 2022. The final version of SP 800-224 is expected to be published concurrently with the withdrawal of FIPS 198-1.	本書は、連邦情報処理標準（FIPS）198-1「鍵付きハッシュ・メッセージ認証コード（HMAC）」（2008年）のHMAC仕様を含み、SP 800-107r1（改訂1）「承認されたハッシュ・アルゴリズムを使用するアプリケーションの推奨」（2012年）の要件の一部を組み込んでいる。この開発は、2022 年の FIPS 198-1 と SP 800-107r1 のレビューに基づき、Crypto Publication Review Board によって提案された。SP 800-224 の最終版は、FIPS 198-1 の廃止と同時に発行される予定である。
...	...
Abstract	要旨
A message authentication code (MAC) scheme is a symmetric-key cryptographic mechanism that can be used with a secret key to produce and verify an authentication tag, which enables detecting unauthorized modifications to data (also known as a message). This NIST Special Publication (whose current version is an initial public draft) specifies the keyed-hash message authentication code (HMAC) construction, which is a MAC scheme that uses a cryptographic hash function as a building block. The publication also specifies a set of requirements for using HMAC for message authentication, including a list of NIST-approved cryptographic hash functions, requirements on the secret key, and parameters for optional truncation.	メッセージ認証コード（MAC）スキームは、データ（メッセージとも呼ばれる）に対する不正な変更を検 出することを可能にする認証タグを生成および検証するために、秘密鍵とともに使用できる対称 鍵暗号メカニズムである。この NIST 特別刊行物（現在のバージョンは初期公開ドラフト）は、暗号ハッシュ関数を構成 ブロックとして使用する MAC スキームである、鍵付きハッシュメッセージ認証コード（HMAC）構 成を規定している。本書はまた、メッセージ認証にHMACを使用するための一連の要件を規定する。これには、NISTが承認した暗号ハッシュ関数のリスト、秘密鍵に関する要件、およびオプションの切り捨てに関するパラメータが含まれる。

 

・[PDF] NIST.SP.800-224.ipd

 

目次...

1. Introduction	1. 序文
2. HMAC Construction	2. HMACの構築
3. HMAC Requirements for Message Authentication	3. メッセージ認証のためのHMAC要件
4. Testing and Validation	4. テストと検証
5. Optimization via Pre-Computation of the Internal State	5. 内部状態の事前計算による最適化
6. Security Considerations	6. セキュリティに関する考察
6.1. Key Strength	6.1. 鍵の強度
6.2. HMAC Security Against Key-Recovery Attacks	6.2. 鍵復元攻撃に対するHMACの安全性
6.3. HMAC Unforgeability	6.3. HMACの偽造不可能性
6.3.1. HMAC with MD-based hash functions	6.3.1. MDベースのハッシュ関数によるHMAC
6.3.2. HMAC with sponge-based hash functions	6.3.2. スポンジベースのハッシュ関数によるHMAC
6.3.3. Impact of truncation and multiple tag verifications	6.3.3. 切り捨てと複数のタグ検証の影響
Appendix A. Development of the HMAC Standard	附属書A. HMAC標準の開発
Appendix B. Example Test Vector	附属書B. テストベクタの例
Appendix C. Glossary	附属書C. 用語集
Appendix D. Summary of Changes	附属書D. 変更点の概要

 

変更点の概要

D. Summary of Changes	D. 変更点の概要
This publication contains numerous editorial adjustments compared to the previous versions in FIPS 198-1 [1] and SP 800-107r1 [2]. The following list summarizes the main updates:	本書には、FIPS 198-1 [1]および SP 800-107r1 [2]の旧版と比較して、多くの編集上の調整が含まれている。以下のリストは、主な更新点をまとめたものである：
1. Use of HMAC for message authentication versus other applications. Compared to FIPS 198-1, this publication includes requirements to approve the use of HMAC for message authentication, which was previously considered in SP 800 107r1. This publication informs the reader that HMAC can have other uses (e.g., PRF and key750 derivation), but the corresponding requirements are not in the scope of the present document. In particular, the revised introduction includes an enumeration of HMAC applications considered across other NIST Special Publications.	1. メッセージ認証におけるHMACの使用と他のアプリケーションとの比較。FIPS 198-1 と比較して、本書には、メッセージ認証に HMAC を使用することを承認する要件が含まれている。本書は、HMAC が他の用途（PRF や key750 の導出など）にも使用可能であることを読者 に通知しているが、対応する要件は本文書の範囲外である。特に、改訂された序文には、他の NIST 特別刊行物において考慮されている HMAC アプリケーションの列挙が含まれている。
2. Notation. The notation was revised, introducing a few changes:	2. 表記法。表記法が改訂され、いくつかの変更が導入された：
• Binary notation. All mentions of lengths in bytes have been updated to bits, allowing for better consistency with truncation, whose output bit-length need not be a multiple of eight. Lengths 𝐵 and 𝐿 (in bytes) were changed to 𝑏 and ℓ (in bits), respectively.	- バイナリ表記。長さ𝐵と𝑄（バイト）は、それぞれ𝐵と𝑄（ビット）に変更された。長さ "𝐵 "と "𝐿 "(バイト)は、それぞれ "𝑏 "と "ℓ "(ビット)に変更された。
• Other updates to variable names. The variable 𝑡𝑒𝑥𝑡 has been changed to 𝑀 (the message being authenticated). The symbols HMAC (the tag generation algorithm), 𝑙𝑒𝑛 (length function), and 𝑛 (bit-size of the internal state of a hash function) were introduced.	- その他、変数名が更新された。変数𝑡𝑒が𝑀（認証されるメッセージ）に変更された。記号HMAC（タグ生成的アルゴリズム）、𝑙𝑒𝑛 （長さ関数）、𝑛（ハッシュ関数の内部状態のビットサイズ）が導入された。
3. Revised requirements (indexation and content). In this publication, the set of require763 ments (in Section 3) is explicitly scoped within the context of an HMAC application to 764 message authentication. The requirements (based on requirements from FIPS 198-1 765 and SP 800 107r1) are now indexed and titled for easier referencing.	3. 要求事項の改訂（索引付けと内容）。本書では、（セクション3の）一連の要件は、メッセージ認証へのHMACアプリケーショ ンのコンテキスト内で明示的にスコープされる。要件（FIPS 198-1 765 および SP 800 107r1 の要件に基づく）は、参照しやすいように索引とタイトルが付けられた。
4. Approved hash functions. The approved hash functions listed in SP 800 107r1 included SHA-1 and did not include any SHA-3-based function. In comparison, this publication (see R1) does not approve SHA-1 and approves four SHA-3 based functions 769 for use in HMAC-based message authentication.	4. 承認ハッシュ機能。SP 800 107r1 に記載された承認ハッシュ機能には SHA-1 が含まれ、SHA-3 ベースの機能は含まれていなかった。対照的に、本書（R1参照）ではSHA-1を承認しておらず、HMACベースのメッセージ認証に使用する4つのSHA-3ベース関数を承認している。
5. Limited number of failed tag verifications. SP 800 107r1 required the key to be 771 changed before a maximum allowed number of failed tag verifications is reached. This publication rewrote the requirement, scoping it only to the cases when trun cation is used. This publication (see R8) explicitly requires that in such cases it is necessary to determine an acceptable maximum number of failed tag verifications.	5. タグ検証の失敗回数の制限。SP 800 107r1では、タグ検証の失敗回数が最大許容回数に達する前に、鍵を変更することを要 求していた。本書ではこの要件を書き直し、トランケーションが使用される場合のみにスコープした。本書(R8参照)では、このような場合、許容可能なタグ検証失敗の最大回数を決定する 必要があることを明確に要求している。
6. Validation context and test vectors. Section 4 improved the explanation of the object identifiers, test vectors, and validation context. The new Appendix B also adds a test vector that covers one HMAC input/output example for each possible underlying hash function.	6. 検証コンテキストとテストベクタ。 第 4 章では、オブジェクト識別子、テストベクター、検証コンテキストの説明を改善した。また、新しい附属書Bでは、各ハッシュ関数について1つのHMAC入出力例をカバーするテストベクターが追加されている。
7. Security notions. Section 6 explains some security notions at a high level, including the key strength (see Section 6.1); security strength against key-recovery attacks (see Section 6.2, which includes the notion of equivalent keys); and forgery attacks (see Section 6.3).	7. セキュリティ概念。 セクション6では、鍵強度(セクション6.1参照)、鍵回復攻撃に対する セキュリティ強度(等価鍵の概念を含むセクション6.2参照)、偽造攻撃 (セクション6.3参照)など、いくつかのセキュリティ概念を高いレベルで説明する。
8. References. The list of references has been substantially updated and extended.	8. 参考文献。 参考文献リストを大幅に更新・拡張した。
9. Glossary items. The glossary in Appendix C does not include all entries of the glos785 saries of FIPS 198-1and SP 800 107r1. The new glossary introduces the following 786 terms: block size, forgery, internal state size, key strength, pseudorandom function, secret key, should, tag, tag verification, truncation.	9. 用語集項目。附属書 C の用語集には、FIPS 198-1 および SP 800 107r1 の用語集のすべての項目が含まれていない。新しい用語集では、ブロック・サイズ、偽造、内部状態サイズ、鍵強度、擬似ランダム関数、秘密 鍵、should、タグ、タグ検証、切り捨てという用語が導入されている。