メインコンテンツまでスキップ

4. Encryption and Checksum Specifications (暗号化とチェックサムの仕様)

4. Encryption and Checksum Specifications (暗号化とチェックサムの仕様)

Overview (概要)

本節では, Kerberosプロトコルで用いる暗号化およびチェックサムの仕組みを規定します。Kerberos V5は複数の暗号化アルゴリズムとチェックサムアルゴリズムをサポートできるよう設計されており, 暗号アジリティ (cryptographic agility) を実現します。

Key Concepts (主要概念)

Encryption Types (暗号化タイプ)

Kerberosでは, 暗号化タイプ番号 (etype) で識別される各種の暗号化アルゴリズムを用います。各暗号化タイプは次を規定します:

  • 暗号化アルゴリズム
  • 鍵の生成方法
  • 暗号モードおよびパラメータ

Checksum Types (チェックサムタイプ)

完全性の仕組みはチェックサムタイプ番号で識別されます。チェックサムは次を提供します:

  • 完全性の保護
  • 改ざんの検出
  • (鍵付きの場合) 認証

Cryptographic Requirements (暗号要件)

General Principles (一般原則)

  • すべての暗号化には, 明確に定義され登録されたアルゴリズムを用いなければなりません
  • 鍵は適切に生成・管理されなければなりません
  • 乱数値は暗号的に強い乱数生成器で生成されなければなりません
  • 実装は暗号アジリティをサポートすべきです (SHOULD)

Algorithm Profiles (アルゴリズムプロファイル)

Kerberosで用いる各暗号化アルゴリズムは, 次を規定しなければなりません:

  • 暗号化および復号の手順
  • パスワードまたは乱数データからの鍵生成
  • 暗号チェックサムの計算
  • メッセージ完全性コード (MIC) の計算
  • 鍵導出のための疑似乱数関数 (PRF)

Mandatory Implementations (必須実装)

相互運用のために特定の暗号化タイプが求められます。具体的な要件はセクション8を参照してください。

Key Usage Numbers (鍵使用番号)

プロトコル内の鍵の用途は鍵使用番号 (key usage number) で区別され, ある目的の鍵が別目的に再利用されないようにして, クロスプロトコル攻撃を防ぎます。

Cryptographic Profiles (暗号プロファイル)

詳細な暗号プロファイルは別文書 (RFC 3961, RFC 3962, RFC 4757 等) で定義され, 参照によって取り込まれます。

Reference (参照)

完全な技術詳細およびアルゴリズム仕様については, 次を参照してください:

最終更新