7.5. Short and Zero-length Message Authentication (短長および零長メッセージ認証)
7.5. Short and Zero-length Message Authentication (短長および零長メッセージ認証)
図 1 に示されているように, SRTP では認証タグが推奨されています。完全な 80 ビット認証タグを使用すべきですが, 以下の 2 つのアプリケーション環境のいずれかをサポートするために, 特定の条件下でより短いタグまたはゼロ長タグ (つまり, メッセージ認証なし) を使用してもかまいません。
-
帯域幅の保存が不可欠な環境では, 強力な認証が実用的でない場合があります。重要な特殊なケースは無線通信システムであり, 帯域幅は希少で高価なリソースです。研究により, 特定のアプリケーションとリンク技術では, 追加のバイトがスペクトル効率の大幅な低下をもたらす可能性があることが示されています [SWO]。スペクトル効率を改善するために IP ヘッダー圧縮技術を設計するためにかなりの努力が払われてきました [RFC3095]。典型的な音声アプリケーションは 20 バイトのサンプルを生成し, 許容可能な無線帯域幅の経済性を得るためには, RTP, UDP, IP ヘッダーを平均 1 ~ 2 バイトに共同圧縮する必要があります [RFC3095]。この場合, 強力な認証はほぼ 50 パーセントのオーバーヘッドを課すことになります。
-
認証タグによる拡張に対応できない固定幅フィールドを持つデータリンクを使用するアプリケーションでは, 認証が実用的ではありません。これは, いくつかの重要な既存の無線チャネルの場合です。例えば, CDMA2000 VoIP サービスでは, レガシー IS-95 ベアラーチャネルに EVRC/SMV 音声を適合させるためにゼロバイトヘッダー圧縮が使用されています。データに 1 オクテットも追加できないことがわかり, これが ROHC [RFC3242] のゼロバイトプロファイルの作成を動機付けました。
短いタグは, 制限されたアプリケーションセットに対して安全です。例えば, 32 ビットメッセージ認証タグで保護された, 20 ミリ秒のパケット化間隔を持つ G.729 オーディオコーデックのような音声電話アプリケーションを考えてみましょう。任意のパケットが偽造に成功する可能性は 2^32 分の 1 に過ぎません。したがって, 攻撃者は平均して 994 日間で 20 ミリ秒を超える音声出力を制御することはできません。対照的に, アプリケーションがステートフルである場合, 単一の偽造パケットの影響ははるかに大きくなる可能性があります。パケット間で相対的または予測的な圧縮を使用するコーデックは, 悪意を持って生成された状態を伝播し, より長い期間の出力に影響を与えます。
確かに, すべての SRTP または電話アプリケーションが短い認証タグの基準を満たすわけではありません。セクション 9.5 は, 短い認証または null 認証の使用に関するガイドラインを提供しています。