Quelques RFCs
D'autres RFCs
Publicité
RFC 4270 Tradução Português. |
 |
 |
 |
 |
 |
 |
Rede Grupo de Trabalho P. Hoffman
Pedido de Comentários: 4270 VPN Consortium
Categoria: informacional B. Schneier
Counterpane Internet Security
Novembro 2005
Os ataques aos protocolos criptográficos hashes na Internet
Status do presente memorando
Esta nota fornece informações para a comunidade da Internet. Fá -
Internet não especificar um padrão de qualquer tipo. Distribuição dessa
memo é ilimitado.
Nota dos Direitos de Autor
Copyright (C) A Internet Society (2005).
Resumo
Os recentes anúncios de melhores do que previsto na colisão ataques
Hash populares algoritmos ter causado algumas pessoas para saber se
comum protocolos Internet precisam de ser alterados e, em caso afirmativo, de que forma. Este
documento resume o uso de hashes em muitos protocolos, discute
afetam o modo como a colisão ataques e não afectam os protocolos,
mostra como a frustrar ataques conhecidos em certificados digitais, e
discute rumos para o futuro protocolo designers.
1. Introdução
No Verão de 2004, uma equipe de pesquisadores mostraram indícios concretos que
o hash MD5 algoritmo era susceptível a ataques colisão
[MD5-ataque]. No início de 2005, a mesma equipe demonstrou uma similares
atentado contra uma variante do SHA-1 [RFC3174] Hash algoritmo, com um
predição que os normalmente utilizados SHA-1 também seria suscetível
com uma grande quantidade de trabalho (mas a um nível inferior a qual deverá ser
exigida se SHA-1 funcionou corretamente) [SHA-1-ataque]. Além disso, no início
2005, pesquisadores demonstraram uma construção específica dos certificados PKIX
[RFC3280] que utilizam para a assinatura MD5 [PKIX-MD5-construção], e
outro pesquisador mostrou um método mais rápido para encontrar MD5 colisões
(oito horas em um computador 1.6-GHz) [MD5-mais rápido].
Devido a estas declarações, tem havido um grande esforço de
discussão com especialistas criptografia, protocolo designers, e outros
sobre aquilo que as pessoas em causa, se alguma coisa, deve ser feito com base na
Hoffman & Schneier Informativa [Page 1]
RFC 4270 Ataques em Hashes novembro 2005
notícias. Infelizmente, algumas dessas discussões foram baseadas em
interpretações erradas de ambas as notícias e sobre a forma como algoritmos hash
são utilizados em comum protocolos Internet.
Hash algoritmos são utilizados pelos criptógrafos em uma variedade de segurança
protocolos, para uma variedade de fins, em todos os níveis da Internet
protocolo pilha. Eles são usados porque têm duas segurança
propriedades: uma maneira de ser e de colisão livre. (Não há mais informações sobre
estas propriedades na próxima seção; eles são mais fáceis de explicar, em
termos de quebra-los.) Os ataques recentes têm demonstrado que
uma dessas propriedades de segurança não é verdade. Embora seja certamente
possível, e, à primeira vista até mesmo provável, que o quebrado
propriedade de segurança não irá afectar a segurança global de muitos
Internet protocolos específicos, o conservador é a abordagem de segurança
Hash mudança algoritmos. A comunidade precisa de protocolo Internet
migrar de uma forma ordenada de distância de SHA-1 e MD5 - especialmente
MD5 - e mais seguro em direção algoritmos hash.
Este documento resume o que é conhecido actualmente cerca de hash
algoritmos e os protocolos de Internet, que utilizá-los. Ele também dá
conselhos sobre a forma de evitar os problemas actualmente conhecidos e com MD5
SHA-1, e aquilo que se previa a considerar os ataques tornou real.
Um alto nível resumo da actual situação é a seguinte:
Tanto o MD5 e SHA-1 ter encontrado recentemente os ataques contra eles, o
ataques contra MD5 sendo muito mais grave do que os ataques
contra o SHA-1.
Os ataques contra o MD5 são práticos em qualquer computador moderno.
Os ataques contra o SHA-1 não são viáveis com computadores de hoje,
mas será que os ataques são melhorados ou lei de Moore continua
computação para poder fazer mais barato.
Muitos protocolos Internet comum o uso de formas que são hashes
inalteradas por esses ataques.
o A maioria dos afetados protocolos uso de assinaturas digitais.
o Melhor algoritmos hash irá reduzir a susceptibilidade desses
ataques a um nível aceitável para todos os usuários.
2. Hash Algoritmos e dos atentados em Them
Um "perfeito" hash algoritmo possui algumas propriedades básicas. O algoritmo
converte um pedaço de dados (normalmente, uma mensagem) de qualquer tamanho em uma
resultado de tamanho fixo. A duração do resultado é chamado de "hash
Hoffman & Schneier Informativa [Página 2]
RFC 4270 Ataques em Hashes novembro 2005
comprimento ", e é muitas vezes denominado" L "; o resultado da aplicação da hash
algoritmo em particular um pedaço de dados é chamado de "valor hash"
para que os dados. Qualquer duas mensagens diferentes de qualquer tamanho deve ter uma
extremamente pequena probabilidade de ter o mesmo valor hash,
ou similar, independentemente da forma como as mensagens são diferentes.
Esta descrição leva a dois resultados matemáticos. Encontrar um par
de mensagens M1 e M2 que têm o mesmo valor hash leva 2 ^ (L / 2)
tentativas. Para qualquer hash razoável duração, esta é uma impossibilidade
problema a resolver (colisão livre). Além disso, dada uma mensagem M1, encontrando
M2 qualquer outra mensagem que tem o mesmo valor hash como M1 leva 2 L ^
tentativas. Este é um problema ainda mais difícil de resolver (um curso).
Note que esta é a descrição perfeita de um algoritmo hash; se o
algoritmo é menos do que perfeito, um invasor pode gastar menos do que o
totalidade do montante do esforço para encontrar duas mensagens com o mesmo valor hash.
Existem dois tipos de ataques.
Ataques contra o "livre de colisão" propriedade:
o Um "colisão ataque" permite que um atacante para encontrar duas mensagens M1
e M2 que têm o mesmo valor hash, em menos de 2 ^ (L / 2)
tentativas.
Ataques contra o "one-way" propriedade:
o Um "primeiro-preimage ataque" permite que um atacante que sabe um desejados
valor hash de encontrar uma mensagem que resulta em que o valor em menos
que 2 ^ L tentativas.
o Um "preimage segunda-ataque" permite que um atacante que tem um desejados
M1 mensagem M2 para encontrar outra mensagem que tem o mesmo valor hash
em menos de 2 ^ L tentativas.
Os dois preimage ataques são muito semelhantes. Em um primeiro-preimage
ataque, como você sabe, um valor hash, mas não a mensagem de que ela criou,
e que pretende descobrir qualquer mensagem com o valor hash conhecido; em
a segunda-preimage ataque, você tem uma mensagem e pretende encontrar um
segunda mensagem que tem o mesmo hash. Os ataques que possam encontrar um
tipo de preimage muitas vezes podem encontrar os outros também.
Ao se analisar o uso de algoritmos de hash protocolos, é
importante para diferenciar qual das duas propriedades de hashes são
importante, sobretudo agora que o imóvel está livre de colisão
cada vez mais fraca de algoritmos hash populares atualmente. Ele é
certamente importantes para determinar quais as partes que selecionar o material
sendo desordenado. Além disso, como demonstrado por alguns dos primeiros trabalhos,
Hoffman & Schneier Informativa [Página 3]
RFC 4270 Ataques em Hashes novembro 2005
particularmente [PKIX-MD5-construção], é igualmente importante para a
consideram que partido pode prever o material no início do
hashed objeto.
2,1. Atualmente conhecido ataques
Todas as práticas actualmente conhecidos ou quase-prático sobre ataques MD5
e SHA-1 são colisão ataques. Trata-se feliz: significativo
primeira e de segunda preimage ataques a um algoritmo hash seria muito
mais devastadores do que no mundo real colisão ataques, como
descrito mais adiante neste documento.
Também é importante notar que o actual colisão ataques
exigirá, pelo menos uma das duas mensagens de ter um número razoável de
estrutura nos bits da mensagem. Isto significa que encontrar dois
mensagens que ambas têm o mesmo valor hash * e * são úteis em um
do mundo real ataque é mais difícil do que apenas encontrar duas mensagens
com o mesmo valor hash.
3. Como usar protocolos Internet Hash algoritmos
Hash algoritmos são utilizados em muitas maneiras na Internet. A maior parte
protocolos que usam algoritmos hash fazê-lo de uma forma que os torna
imune ao dano de colisão ataques. Isto não é por acaso: bom
protocolo designers desenvolverem os seus protocolos para suportar o maior número
futuras mudanças na criptografia subjacente que possível, incluindo
ataques contra os algoritmos criptográficos si próprios.
Utiliza algoritmos de hash incluem:
o não-repudiable assinaturas digitais nas mensagens. Não-repúdio é
um serviço de segurança que proporciona proteção contra falsos negação
de envolvimento numa comunicação. S / MIME e OpenPGP permitir mail
remetentes para assinar o conteúdo de uma mensagem que geram, e os
destinatário da mensagem que pode ou não verificar a assinatura
é realmente associado com a mensagem. Uma mensagem é usada para
não repúdio que a mensagem seja assinada eo destinatário da
mensagem pode usar depois da assinatura de provar que o signatário
na verdade criou a mensagem.
o, em certificados de assinaturas digitais confiáveis terceiros.
Embora este seja semelhante a "assinaturas digitais em mensagens",
certificados próprios são usados em muitos outros protocolos para
autenticação e de gestão das chaves.
o Desafio-resposta protocolos. Estes protocolos combinar um público
grande número aleatório com um valor para ajudar a esconder quando o valor a ser
enviadas mais de canais não criptografado.
Hoffman & Schneier Informativa [Página 4]
RFC 4270 Ataques em Hashes novembro 2005
Mensagem autenticação com o segredo compartilhado. Estes são semelhantes aos
desafio-resposta protocolos, exceto que ao invés de utilizar o público
valores, a mensagem é combinada com uma partilha de segredos antes
hash.
As principais funções o derivação. Estas funções fazer uso repetido de
Hash algoritmos para misturar os dados em uma seqüência aleatória para uso em uma ou
chaves criptográficas mais de um protocolo.
Misturando o funções. Estas funções também fazer uso repetido de hash
algoritmos para misturar dados aleatórios em cordas, para outros usos que não
chaves criptográficas.
o Integridade protecção. É comum para comparar um valor hash que
é recebido out-of-band para um arquivo com o valor hash do arquivo
após ser recebido mais de um protocolo quirografários como FTP.
Dos métodos acima, apenas os dois primeiros são afectadas por colisão
ataques e, mesmo assim, só em circunstâncias limitadas. Até agora, ela é
Acredita que, em geral, desafio-resposta protocolos não são
sensíveis, porque o remetente é autenticar um segredo já
guardados pelo beneficiário. Na mensagem com autenticação partilhada
segredos, o fato de que o segredo é conhecido por ambas as partes também é
Acredita sensata para evitar qualquer ataque. Todos os principais derivação
IETF assumir funções em protocolos aleatória contributos de ambas as partes, de forma
o atacante não tem qualquer forma de estruturar o hashed mensagem.
4. Hash colisão ataques e não-repúdio das assinaturas digitais
A idéia básica por trás do ataque colisão com um hash algoritmo utilizado
em um protocolo de assinatura digital é a de que o invasor cria dois
mensagens que têm o mesmo valor hash, provoca um deles para ser
assinado e, em seguida, usa esse tipo de assinatura por cima dos outros mensagem para alguns
nefasto efeito. As especificidades do ataque dependem da
protocolo a ser utilizados e qual a vítima é que quando se apresenta com o
mensagem assinada.
O exemplo canônico é onde você crie duas mensagens, uma das quais
diz: "Vou pagar R $ 10 para fazer este trabalho" e do outro do que diz
"Vou pagar US $ 10.000 para fazer esse trabalho". Você apresentará os primeiros
mensagem para a vítima, fazê-los a assiná-lo, fazer o trabalho, substituto
a segunda mensagem da autorização assinada, o actual alteradas
mensagem assinada (cuja assinatura ainda verifica), e exigir a
maior quantidade de dinheiro. Se a vítima recusa, levá-las para você
judiciais e mostrar a segunda mensagem assinada.
Hoffman & Schneier Informativa [Página 5]
RFC 4270 Ataques em Hashes novembro 2005
A maioria dos ataques não-repúdio confiar num homem que avalia a validade
da mensagem supostamente assinada. No caso do Hash-colisão
ataque, alegadamente assinado a mensagem da assinatura é válida, mas tão
é a assinatura sobre a mensagem original. A vítima pode produzir o
mensagem original, mostram que ele / ela assinou, e mostram que as duas
Hash valores são idênticos. A hipótese de que tal aconteça por acidente
é aquele em 2 ^ L, que é pequeno para infinitesimally quer ou MD5
SHA-1.
Em outras palavras, para frustrar um hash colisão em um ataque não -
repúdio protocolo onde um homem está usando uma mensagem assinada como
autorização, o assinante precisa de manter uma cópia do original
mensagem que ele / ela assinou. As mensagens que têm com as outras mensagens
Hash mesmo deve ser criado pela mesma pessoa, e não acontecem por
acidente sob qualquer circunstância conhecida provável. O facto de a
duas mensagens têm o mesmo valor hash deve causar suficiente em dúvida
a mente da pessoa julgar a validade da assinatura de causar
o ataque ao fracasso jurídica (e, eventualmente, trazer fraude intencional
acusações contra o invasor).
Hash frustrar ataques de colisão automatizado não-repúdio
protocolos é potencialmente mais difícil, porque pode não haver
seres humanos dando atenção suficiente para poder argumentar sobre o que deveria
ter acontecido. Por exemplo, no intercâmbio electrónico de dados (EDI)
aplicações, as acções são geralmente tidos automaticamente após
autenticação de uma mensagem assinada. Determinando a prática
efeitos das colisões hash iria requerer uma avaliação detalhada da
protocolo.
5. Hash colisão ataques e certificados digitais de idôneo
Partes
Os certificados digitais são um caso especial de assinaturas digitais. Em
geral, não existe qualquer não-repúdio ao ataque confiáveis terceiros
devido ao facto de ter certificados específicos de formatação. Digital
certificados são muitas vezes utilizados em protocolos Internet para a chave de gestão
e para autenticar um partido com quem você se comunica,
possivelmente antes de conceder acesso a serviços de rede ou confiando a
parte com dados privados, tais como informações de cartão de crédito.
Por isso, é importante que a concessão das partes possa confiar que os
certificado identifica correctamente a pessoa ou identificadas pelo sistema
o certificado. Se o atacante pode obter um certificado para dois
diferentes identidades usando apenas uma chave pública, a vítima pode ser
enganado a pensar que uma pessoa seja alguém.
Hoffman & Schneier Informativa [Página 6]
RFC 4270 Ataques em Hashes novembro 2005
O ataque à colisão PKIX certificados descrito no início de 2005
se baseou na capacidade do atacante de criar dois diferentes públicos
chaves que poderiam causar o corpo do certificado, para ter o mesmo
valor hash. Por este ataque ao trabalho, o atacante precisa ser capaz
para predizer o conteúdo ea estrutura do certificado, antes que seja
emitidos, incluindo a identidade que serão utilizados, o número de série
que serão incluídas no certificado, e as datas de início e paragem
datas de o prazo de validade do certificado.
O resultado deste ataque eficaz é a de que uma pessoa usando um único
identidade pode obter um certificado digital mais de uma chave pública, mas é
capaz de fingir que se trata mais de uma outra chave pública (mas com o
mesma identidade, válido datas, e assim por diante). Devido ao facto de a identidade do
dois certificados é a mesma, há provavelmente nenhum do mundo real
exemplos em que um tal ataque seria o atacante obter qualquer vantagem.
Na melhor das hipóteses, alguém poderia alegar que a terceira parte confiável feita uma
erro ao emitir um certificado com a mesma identidade eo número de série
número baseado em duas chaves diferentes públicos. Este é, na verdade
, por muito forçado.
É muito importante que se note que só afecta os ataques colisão
peças de certificados que não têm qualquer informação em humanos de leitura
eles, tais como as chaves públicas. Um ataque que envolve a ficar um
certificado com um homem de leitura e de identidade que fazer
certificado útil para um segundo de leitura identidade humana exigiria
maior esforço do que uma simples colisão ataque.
5,1. Reduzir a probabilidade de Hash-ataques baseados em PKIX Certificados
Se uma terceira parte de confiança questões que pretende evitar certificados PKIX
o ataque descrito acima, eles podem evitar o ataque, tornando
outras partes do certificado assinado aleatória suficiente para eliminar qualquer
vantagem adquirida pelo ataque. Ideias que foram sugeridas
incluem:
o fazer parte do certificado número de série para o imprevisível
invasor
o aditamento de um componente, escolhidas aleatoriamente, com a identidade
o tornar a validade datas imprevisíveis para o atacante por desviando
cada um a frente ou para trás
Qualquer um desses mecanismos permitiria aumentar a quantidade de trabalho a
invasor precisa de fazer para enganar o emissor do certificado em
gerando um certificado que é suscetível ao ataque.
Hoffman & Schneier Informativa [Página 7]
RFC 4270 Ataques em Hashes novembro 2005
6. Ataques futuros e seus efeitos
Há uma divergência na comunidade de segurança sobre o que fazer
agora. Mesmo os dois autores deste documento discordam sobre o que fazer
agora.
Um de nós (Bruce) considera que todos devem começar a migrar para a
SHA-256 [SHA-256] agora, devido às deficiências que já tenham sido
demonstrou tanto no MD5 e SHA-1. Existe um velho ditado no interior
os E.U. Agência de Segurança Nacional (NSA): "Os ataques têm sempre melhor;
eles nunca pode piorar. "Os ataques contra a corrente colisão são MD5
feito facilmente em um único computador; colisão ataques contra o SHA-1
estão na extremidade da extremidade da viabilidade de hoje, mas só irá melhorar com
tempo. É preferível a migrar para o novo padrão antes de hash
há um pânico, ao invés de depois. Assim como todos nós migrado de
SHA-0 para SHA-1 baseada no descobertos alguns desconhecidos vulnerabilidade no interior
a ANS, precisamos de migrar de SHA-1 para SHA-256 baseado nestes mais
recentes ataques. SHA-256 tem um comprimento de 256 bits hash. Isto irá comprimento
nos dar uma muito maior margem de segurança em caso de recém -
descoberto ataques. Enquanto isso, uma maior investigação no interior da
criptográficas comunidade ao longo dos próximos vários anos deveria apontar
Algoritmo Hash novas melhorias no design, e, potencialmente, um
Algoritmo Hash ainda mais seguro.
O outro de nós (Paul) acredita que esta pode não ser sábio para dois
fundamentação. Em primeiro lugar, a colisão com os ataques atuais protocolos não tiverem
Foi demonstrado que tenham quaisquer efeitos do mundo real. Além disso,
ainda não está claro qual algoritmo hash mais forte será uma boa escolha
para o longo prazo. Passando a partir de um algoritmo para o outro leva à
inevitável falta de interoperabilidade e para a confusão típica cripto
usuários. (Claro, se for o caso prático ataques são formuladas antes
há consenso da comunidade das propriedades da cifra de base
Hash algoritmos, Paul iria mudar a sua opinião a "passar para SHA-256
agora ".)
Ambos os autores concordam que o trabalho deve ser feito para que todas Internet
protocolos capazes de utilizar diferentes algoritmos de hash longo hash
valores. Felizmente, a maioria dos protocolos que hoje já são capazes de
este; aqueles que não se deve ser fixada em breve.
Os autores deste documento sentir do mesmo modo para novos protocolos sendo
desenvolvida: Bruce pensa que eles deveriam começar a usar o SHA-256 a partir do
início, e Paul pensa que eles devem usar SHA-1, desde que o novo
protocolos não são suscetíveis a ataques colisão. Qualquer novo protocolo
devem ter a capacidade de mudar todos os seus algoritmos criptográficos,
não apenas o seu algoritmo hash.
Hoffman & Schneier Informativa [Página 8]
RFC 4270 Ataques em Hashes novembro 2005
7. Considerações de Segurança
O documento discute segurança na Internet.
A discussão deste documento assume que os ataques em apenas hash
algoritmos utilizados nos protocolos Internet são colisão ataques. Alguns
significativos preimaging ataques já foram descobertos
[Preimaging-ataque], mas eles ainda não são práticos. Se uma prática
preimaging ataque é descoberto, seria drasticamente afecta muitos
Protocolos Internet. Neste caso, "prática" significa que ela poderia ser
executados por um atacante em uma significativa quantidade de tempo para uma
significativa quantidade de dinheiro. Um ataque que preimaging custos trilhões
de dólares e leva décadas para preimage um valor hash desejada ou
uma mensagem não é prático, um custo que alguns milhares de dólares
e leva algumas semanas pode ser muito prático.
8. Referências informativas
[MD5-ataque] X. Wang, D. Feng, X. Lai, e H. Yu,
"As colisões de Funções Hash MD4, MD5,
Haval-128 e RIPEMD ", agosto de 2004,
<http://eprint.iacr.org/2004/199>.
[MD5-mais rápido] Vlastimil Klima, "Finding MD5 abalroamentos - um
Para que um brinquedo Notebook ", março de 2005,
<http://cryptography.hyperlink.cz/
md5/MD5_collisions.pdf>.
[PKIX-MD5-construção] Arjen Lenstra e Benne de Weger, "On a
possibilidade de construção de sentido hash
colisões de chaves públicas ", fevereiro de 2005,
<http://www.win.tue.nl/ ~ bdeweger /
CollidingCertificates / ddl-Final.pdf>.
[Preimaging-ataque] John Kelsey e Bruce Schneier, "SEGUNDA
Preimages em n-bit Funções de hash Grande
Menos de 2 ^ n Trabalho ", novembro de 2004,
<http://eprint.iacr.org/2004/304>.
[RFC3174] Eastlake, D. e P. Jones, "E.U. Secure Hash
Algoritmo 1 (SHA1) ", RFC 3174,
Setembro de 2001.
[RFC3280] Housley, R., Polk, W., Ford, W., e de D. Solo,
"Internet X.509 Public Key Infrastructure
Lista de revogação de certificado eo certificado
(LCR) Perfil ", RFC 3280, abril de 2002.
Hoffman & Schneier Informativa [Página 9]
RFC 4270 Ataques em Hashes novembro 2005
[SHA-1-ataque] Xiaoyun Wang, Yiqun Lisa Yin e Hongbo Yu,
"Collision Pesquisa Ataques a SHA1",
Fevereiro de 2005,
<http://theory.csail.mit.edu/~yiqun/shanote.pdf>.
[SHA-256] NIST, "Federal Information Processing
Publicação Standards (FIPS PUB) 180-2,
Secure Hash Standard ", agosto de 2002.
Hoffman & Schneier Informativa [Página 10]
RFC 4270 Ataques em Hashes novembro 2005
Apêndice A. Agradecimentos
Os autores gostariam de agradecer à comunidade IETF, especialmente
aqueles sobre os ativos SAAG mailing list, para a sua entrada. Gostaríamos
também de agradecer ao Eric Rescorla cedo para material que entrou em
a primeira versão, e Arjen Lenstra e Benne de Weger para
observações significativas sobre a primeira versão deste documento.
Autores' Endereços
Paul Hoffman
VPN Consortium
EMail: paul.hoffman @ vpnc.org
Bruce Schneier
Counterpane Internet Security
EMail: schneier@counterpane.com
Hoffman & Schneier Informativa [Página 11]
RFC 4270 Ataques em Hashes novembro 2005
Copyright plena afirmação
Copyright (C) A Internet Society (2005).
Este documento está sujeito a direitos, licenças e restrições
contidas no BCP 78, e exceto conforme estabelecido aí, os autores
conservam todos os seus direitos.
Este documento e as informações contidas neste documento são fornecidas por uma
"COMO ESTÁ" O contribuinte e de base, a organização que representa
Ou seja patrocinado por (se houver), a sociedade da Internet e da Internet
Engenharia task force REJEITAM TODAS AS GARANTIAS, expressa ou implícita,
Incluindo mas não limitados a qualquer garantia de que a utilização do
Informações aqui contidas não infrinja qualquer direito ou qualquer implícitas
GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM DETERMINADO PROPÓSITO.
Propriedade Intelectual
O IETF não toma posição quanto à validade ou âmbito de qualquer
Direitos de propriedade intelectual ou outros direitos que possa ser reivindicada a
relacionadas com a execução ou a utilização da tecnologia descrita em
esse documento ou a medida em que qualquer licença ao abrigo desses direitos
pode ou não estar disponível, nem que ela tem que representar
independente feito qualquer esforço para identificar cada um desses direitos. Informações
sobre os procedimentos no que diz respeito aos direitos na RFC documentos podem ser
BCP encontradas em 78 e BCP 79.
Cópias dos DPI divulgações feitas para a Secretaria e qualquer IETF
garantias de licenças a ser disponibilizado, ou o resultado de uma
tentativa de obter uma licença ou autorização geral para a utilização de
tais direitos proprietários ou utilizadores a implementadores do presente
especificação pode ser obtida a partir da IETF em linha DPI em repositório
http://www.ietf.org/ipr.
O IETF convida qualquer parte interessada, para trazer ao seu conhecimento qualquer
direitos de autor, patentes ou pedidos de patentes, ou outros títulos de propriedade
direitos que podem abranger tecnologia que possam ser necessárias para implementar
esta norma. Por favor, abordar as informações para o IETF em IETF -
ipr@ietf.org.
Aviso
Financiamento para o RFC Editor função é actualmente assegurada pela
Internet Society.
Hoffman & Schneier Informativa [Página 12]
Pedido de Comentários: 4270 VPN Consortium
Categoria: informacional B. Schneier
Counterpane Internet Security
Novembro 2005
Os ataques aos protocolos criptográficos hashes na Internet
Status do presente memorando
Esta nota fornece informações para a comunidade da Internet. Fá -
Internet não especificar um padrão de qualquer tipo. Distribuição dessa
memo é ilimitado.
Nota dos Direitos de Autor
Copyright (C) A Internet Society (2005).
Resumo
Os recentes anúncios de melhores do que previsto na colisão ataques
Hash populares algoritmos ter causado algumas pessoas para saber se
comum protocolos Internet precisam de ser alterados e, em caso afirmativo, de que forma. Este
documento resume o uso de hashes em muitos protocolos, discute
afetam o modo como a colisão ataques e não afectam os protocolos,
mostra como a frustrar ataques conhecidos em certificados digitais, e
discute rumos para o futuro protocolo designers.
1. Introdução
No Verão de 2004, uma equipe de pesquisadores mostraram indícios concretos que
o hash MD5 algoritmo era susceptível a ataques colisão
[MD5-ataque]. No início de 2005, a mesma equipe demonstrou uma similares
atentado contra uma variante do SHA-1 [RFC3174] Hash algoritmo, com um
predição que os normalmente utilizados SHA-1 também seria suscetível
com uma grande quantidade de trabalho (mas a um nível inferior a qual deverá ser
exigida se SHA-1 funcionou corretamente) [SHA-1-ataque]. Além disso, no início
2005, pesquisadores demonstraram uma construção específica dos certificados PKIX
[RFC3280] que utilizam para a assinatura MD5 [PKIX-MD5-construção], e
outro pesquisador mostrou um método mais rápido para encontrar MD5 colisões
(oito horas em um computador 1.6-GHz) [MD5-mais rápido].
Devido a estas declarações, tem havido um grande esforço de
discussão com especialistas criptografia, protocolo designers, e outros
sobre aquilo que as pessoas em causa, se alguma coisa, deve ser feito com base na
Hoffman & Schneier Informativa [Page 1]
RFC 4270 Ataques em Hashes novembro 2005
notícias. Infelizmente, algumas dessas discussões foram baseadas em
interpretações erradas de ambas as notícias e sobre a forma como algoritmos hash
são utilizados em comum protocolos Internet.
Hash algoritmos são utilizados pelos criptógrafos em uma variedade de segurança
protocolos, para uma variedade de fins, em todos os níveis da Internet
protocolo pilha. Eles são usados porque têm duas segurança
propriedades: uma maneira de ser e de colisão livre. (Não há mais informações sobre
estas propriedades na próxima seção; eles são mais fáceis de explicar, em
termos de quebra-los.) Os ataques recentes têm demonstrado que
uma dessas propriedades de segurança não é verdade. Embora seja certamente
possível, e, à primeira vista até mesmo provável, que o quebrado
propriedade de segurança não irá afectar a segurança global de muitos
Internet protocolos específicos, o conservador é a abordagem de segurança
Hash mudança algoritmos. A comunidade precisa de protocolo Internet
migrar de uma forma ordenada de distância de SHA-1 e MD5 - especialmente
MD5 - e mais seguro em direção algoritmos hash.
Este documento resume o que é conhecido actualmente cerca de hash
algoritmos e os protocolos de Internet, que utilizá-los. Ele também dá
conselhos sobre a forma de evitar os problemas actualmente conhecidos e com MD5
SHA-1, e aquilo que se previa a considerar os ataques tornou real.
Um alto nível resumo da actual situação é a seguinte:
Tanto o MD5 e SHA-1 ter encontrado recentemente os ataques contra eles, o
ataques contra MD5 sendo muito mais grave do que os ataques
contra o SHA-1.
Os ataques contra o MD5 são práticos em qualquer computador moderno.
Os ataques contra o SHA-1 não são viáveis com computadores de hoje,
mas será que os ataques são melhorados ou lei de Moore continua
computação para poder fazer mais barato.
Muitos protocolos Internet comum o uso de formas que são hashes
inalteradas por esses ataques.
o A maioria dos afetados protocolos uso de assinaturas digitais.
o Melhor algoritmos hash irá reduzir a susceptibilidade desses
ataques a um nível aceitável para todos os usuários.
2. Hash Algoritmos e dos atentados em Them
Um "perfeito" hash algoritmo possui algumas propriedades básicas. O algoritmo
converte um pedaço de dados (normalmente, uma mensagem) de qualquer tamanho em uma
resultado de tamanho fixo. A duração do resultado é chamado de "hash
Hoffman & Schneier Informativa [Página 2]
RFC 4270 Ataques em Hashes novembro 2005
comprimento ", e é muitas vezes denominado" L "; o resultado da aplicação da hash
algoritmo em particular um pedaço de dados é chamado de "valor hash"
para que os dados. Qualquer duas mensagens diferentes de qualquer tamanho deve ter uma
extremamente pequena probabilidade de ter o mesmo valor hash,
ou similar, independentemente da forma como as mensagens são diferentes.
Esta descrição leva a dois resultados matemáticos. Encontrar um par
de mensagens M1 e M2 que têm o mesmo valor hash leva 2 ^ (L / 2)
tentativas. Para qualquer hash razoável duração, esta é uma impossibilidade
problema a resolver (colisão livre). Além disso, dada uma mensagem M1, encontrando
M2 qualquer outra mensagem que tem o mesmo valor hash como M1 leva 2 L ^
tentativas. Este é um problema ainda mais difícil de resolver (um curso).
Note que esta é a descrição perfeita de um algoritmo hash; se o
algoritmo é menos do que perfeito, um invasor pode gastar menos do que o
totalidade do montante do esforço para encontrar duas mensagens com o mesmo valor hash.
Existem dois tipos de ataques.
Ataques contra o "livre de colisão" propriedade:
o Um "colisão ataque" permite que um atacante para encontrar duas mensagens M1
e M2 que têm o mesmo valor hash, em menos de 2 ^ (L / 2)
tentativas.
Ataques contra o "one-way" propriedade:
o Um "primeiro-preimage ataque" permite que um atacante que sabe um desejados
valor hash de encontrar uma mensagem que resulta em que o valor em menos
que 2 ^ L tentativas.
o Um "preimage segunda-ataque" permite que um atacante que tem um desejados
M1 mensagem M2 para encontrar outra mensagem que tem o mesmo valor hash
em menos de 2 ^ L tentativas.
Os dois preimage ataques são muito semelhantes. Em um primeiro-preimage
ataque, como você sabe, um valor hash, mas não a mensagem de que ela criou,
e que pretende descobrir qualquer mensagem com o valor hash conhecido; em
a segunda-preimage ataque, você tem uma mensagem e pretende encontrar um
segunda mensagem que tem o mesmo hash. Os ataques que possam encontrar um
tipo de preimage muitas vezes podem encontrar os outros também.
Ao se analisar o uso de algoritmos de hash protocolos, é
importante para diferenciar qual das duas propriedades de hashes são
importante, sobretudo agora que o imóvel está livre de colisão
cada vez mais fraca de algoritmos hash populares atualmente. Ele é
certamente importantes para determinar quais as partes que selecionar o material
sendo desordenado. Além disso, como demonstrado por alguns dos primeiros trabalhos,
Hoffman & Schneier Informativa [Página 3]
RFC 4270 Ataques em Hashes novembro 2005
particularmente [PKIX-MD5-construção], é igualmente importante para a
consideram que partido pode prever o material no início do
hashed objeto.
2,1. Atualmente conhecido ataques
Todas as práticas actualmente conhecidos ou quase-prático sobre ataques MD5
e SHA-1 são colisão ataques. Trata-se feliz: significativo
primeira e de segunda preimage ataques a um algoritmo hash seria muito
mais devastadores do que no mundo real colisão ataques, como
descrito mais adiante neste documento.
Também é importante notar que o actual colisão ataques
exigirá, pelo menos uma das duas mensagens de ter um número razoável de
estrutura nos bits da mensagem. Isto significa que encontrar dois
mensagens que ambas têm o mesmo valor hash * e * são úteis em um
do mundo real ataque é mais difícil do que apenas encontrar duas mensagens
com o mesmo valor hash.
3. Como usar protocolos Internet Hash algoritmos
Hash algoritmos são utilizados em muitas maneiras na Internet. A maior parte
protocolos que usam algoritmos hash fazê-lo de uma forma que os torna
imune ao dano de colisão ataques. Isto não é por acaso: bom
protocolo designers desenvolverem os seus protocolos para suportar o maior número
futuras mudanças na criptografia subjacente que possível, incluindo
ataques contra os algoritmos criptográficos si próprios.
Utiliza algoritmos de hash incluem:
o não-repudiable assinaturas digitais nas mensagens. Não-repúdio é
um serviço de segurança que proporciona proteção contra falsos negação
de envolvimento numa comunicação. S / MIME e OpenPGP permitir mail
remetentes para assinar o conteúdo de uma mensagem que geram, e os
destinatário da mensagem que pode ou não verificar a assinatura
é realmente associado com a mensagem. Uma mensagem é usada para
não repúdio que a mensagem seja assinada eo destinatário da
mensagem pode usar depois da assinatura de provar que o signatário
na verdade criou a mensagem.
o, em certificados de assinaturas digitais confiáveis terceiros.
Embora este seja semelhante a "assinaturas digitais em mensagens",
certificados próprios são usados em muitos outros protocolos para
autenticação e de gestão das chaves.
o Desafio-resposta protocolos. Estes protocolos combinar um público
grande número aleatório com um valor para ajudar a esconder quando o valor a ser
enviadas mais de canais não criptografado.
Hoffman & Schneier Informativa [Página 4]
RFC 4270 Ataques em Hashes novembro 2005
Mensagem autenticação com o segredo compartilhado. Estes são semelhantes aos
desafio-resposta protocolos, exceto que ao invés de utilizar o público
valores, a mensagem é combinada com uma partilha de segredos antes
hash.
As principais funções o derivação. Estas funções fazer uso repetido de
Hash algoritmos para misturar os dados em uma seqüência aleatória para uso em uma ou
chaves criptográficas mais de um protocolo.
Misturando o funções. Estas funções também fazer uso repetido de hash
algoritmos para misturar dados aleatórios em cordas, para outros usos que não
chaves criptográficas.
o Integridade protecção. É comum para comparar um valor hash que
é recebido out-of-band para um arquivo com o valor hash do arquivo
após ser recebido mais de um protocolo quirografários como FTP.
Dos métodos acima, apenas os dois primeiros são afectadas por colisão
ataques e, mesmo assim, só em circunstâncias limitadas. Até agora, ela é
Acredita que, em geral, desafio-resposta protocolos não são
sensíveis, porque o remetente é autenticar um segredo já
guardados pelo beneficiário. Na mensagem com autenticação partilhada
segredos, o fato de que o segredo é conhecido por ambas as partes também é
Acredita sensata para evitar qualquer ataque. Todos os principais derivação
IETF assumir funções em protocolos aleatória contributos de ambas as partes, de forma
o atacante não tem qualquer forma de estruturar o hashed mensagem.
4. Hash colisão ataques e não-repúdio das assinaturas digitais
A idéia básica por trás do ataque colisão com um hash algoritmo utilizado
em um protocolo de assinatura digital é a de que o invasor cria dois
mensagens que têm o mesmo valor hash, provoca um deles para ser
assinado e, em seguida, usa esse tipo de assinatura por cima dos outros mensagem para alguns
nefasto efeito. As especificidades do ataque dependem da
protocolo a ser utilizados e qual a vítima é que quando se apresenta com o
mensagem assinada.
O exemplo canônico é onde você crie duas mensagens, uma das quais
diz: "Vou pagar R $ 10 para fazer este trabalho" e do outro do que diz
"Vou pagar US $ 10.000 para fazer esse trabalho". Você apresentará os primeiros
mensagem para a vítima, fazê-los a assiná-lo, fazer o trabalho, substituto
a segunda mensagem da autorização assinada, o actual alteradas
mensagem assinada (cuja assinatura ainda verifica), e exigir a
maior quantidade de dinheiro. Se a vítima recusa, levá-las para você
judiciais e mostrar a segunda mensagem assinada.
Hoffman & Schneier Informativa [Página 5]
RFC 4270 Ataques em Hashes novembro 2005
A maioria dos ataques não-repúdio confiar num homem que avalia a validade
da mensagem supostamente assinada. No caso do Hash-colisão
ataque, alegadamente assinado a mensagem da assinatura é válida, mas tão
é a assinatura sobre a mensagem original. A vítima pode produzir o
mensagem original, mostram que ele / ela assinou, e mostram que as duas
Hash valores são idênticos. A hipótese de que tal aconteça por acidente
é aquele em 2 ^ L, que é pequeno para infinitesimally quer ou MD5
SHA-1.
Em outras palavras, para frustrar um hash colisão em um ataque não -
repúdio protocolo onde um homem está usando uma mensagem assinada como
autorização, o assinante precisa de manter uma cópia do original
mensagem que ele / ela assinou. As mensagens que têm com as outras mensagens
Hash mesmo deve ser criado pela mesma pessoa, e não acontecem por
acidente sob qualquer circunstância conhecida provável. O facto de a
duas mensagens têm o mesmo valor hash deve causar suficiente em dúvida
a mente da pessoa julgar a validade da assinatura de causar
o ataque ao fracasso jurídica (e, eventualmente, trazer fraude intencional
acusações contra o invasor).
Hash frustrar ataques de colisão automatizado não-repúdio
protocolos é potencialmente mais difícil, porque pode não haver
seres humanos dando atenção suficiente para poder argumentar sobre o que deveria
ter acontecido. Por exemplo, no intercâmbio electrónico de dados (EDI)
aplicações, as acções são geralmente tidos automaticamente após
autenticação de uma mensagem assinada. Determinando a prática
efeitos das colisões hash iria requerer uma avaliação detalhada da
protocolo.
5. Hash colisão ataques e certificados digitais de idôneo
Partes
Os certificados digitais são um caso especial de assinaturas digitais. Em
geral, não existe qualquer não-repúdio ao ataque confiáveis terceiros
devido ao facto de ter certificados específicos de formatação. Digital
certificados são muitas vezes utilizados em protocolos Internet para a chave de gestão
e para autenticar um partido com quem você se comunica,
possivelmente antes de conceder acesso a serviços de rede ou confiando a
parte com dados privados, tais como informações de cartão de crédito.
Por isso, é importante que a concessão das partes possa confiar que os
certificado identifica correctamente a pessoa ou identificadas pelo sistema
o certificado. Se o atacante pode obter um certificado para dois
diferentes identidades usando apenas uma chave pública, a vítima pode ser
enganado a pensar que uma pessoa seja alguém.
Hoffman & Schneier Informativa [Página 6]
RFC 4270 Ataques em Hashes novembro 2005
O ataque à colisão PKIX certificados descrito no início de 2005
se baseou na capacidade do atacante de criar dois diferentes públicos
chaves que poderiam causar o corpo do certificado, para ter o mesmo
valor hash. Por este ataque ao trabalho, o atacante precisa ser capaz
para predizer o conteúdo ea estrutura do certificado, antes que seja
emitidos, incluindo a identidade que serão utilizados, o número de série
que serão incluídas no certificado, e as datas de início e paragem
datas de o prazo de validade do certificado.
O resultado deste ataque eficaz é a de que uma pessoa usando um único
identidade pode obter um certificado digital mais de uma chave pública, mas é
capaz de fingir que se trata mais de uma outra chave pública (mas com o
mesma identidade, válido datas, e assim por diante). Devido ao facto de a identidade do
dois certificados é a mesma, há provavelmente nenhum do mundo real
exemplos em que um tal ataque seria o atacante obter qualquer vantagem.
Na melhor das hipóteses, alguém poderia alegar que a terceira parte confiável feita uma
erro ao emitir um certificado com a mesma identidade eo número de série
número baseado em duas chaves diferentes públicos. Este é, na verdade
, por muito forçado.
É muito importante que se note que só afecta os ataques colisão
peças de certificados que não têm qualquer informação em humanos de leitura
eles, tais como as chaves públicas. Um ataque que envolve a ficar um
certificado com um homem de leitura e de identidade que fazer
certificado útil para um segundo de leitura identidade humana exigiria
maior esforço do que uma simples colisão ataque.
5,1. Reduzir a probabilidade de Hash-ataques baseados em PKIX Certificados
Se uma terceira parte de confiança questões que pretende evitar certificados PKIX
o ataque descrito acima, eles podem evitar o ataque, tornando
outras partes do certificado assinado aleatória suficiente para eliminar qualquer
vantagem adquirida pelo ataque. Ideias que foram sugeridas
incluem:
o fazer parte do certificado número de série para o imprevisível
invasor
o aditamento de um componente, escolhidas aleatoriamente, com a identidade
o tornar a validade datas imprevisíveis para o atacante por desviando
cada um a frente ou para trás
Qualquer um desses mecanismos permitiria aumentar a quantidade de trabalho a
invasor precisa de fazer para enganar o emissor do certificado em
gerando um certificado que é suscetível ao ataque.
Hoffman & Schneier Informativa [Página 7]
RFC 4270 Ataques em Hashes novembro 2005
6. Ataques futuros e seus efeitos
Há uma divergência na comunidade de segurança sobre o que fazer
agora. Mesmo os dois autores deste documento discordam sobre o que fazer
agora.
Um de nós (Bruce) considera que todos devem começar a migrar para a
SHA-256 [SHA-256] agora, devido às deficiências que já tenham sido
demonstrou tanto no MD5 e SHA-1. Existe um velho ditado no interior
os E.U. Agência de Segurança Nacional (NSA): "Os ataques têm sempre melhor;
eles nunca pode piorar. "Os ataques contra a corrente colisão são MD5
feito facilmente em um único computador; colisão ataques contra o SHA-1
estão na extremidade da extremidade da viabilidade de hoje, mas só irá melhorar com
tempo. É preferível a migrar para o novo padrão antes de hash
há um pânico, ao invés de depois. Assim como todos nós migrado de
SHA-0 para SHA-1 baseada no descobertos alguns desconhecidos vulnerabilidade no interior
a ANS, precisamos de migrar de SHA-1 para SHA-256 baseado nestes mais
recentes ataques. SHA-256 tem um comprimento de 256 bits hash. Isto irá comprimento
nos dar uma muito maior margem de segurança em caso de recém -
descoberto ataques. Enquanto isso, uma maior investigação no interior da
criptográficas comunidade ao longo dos próximos vários anos deveria apontar
Algoritmo Hash novas melhorias no design, e, potencialmente, um
Algoritmo Hash ainda mais seguro.
O outro de nós (Paul) acredita que esta pode não ser sábio para dois
fundamentação. Em primeiro lugar, a colisão com os ataques atuais protocolos não tiverem
Foi demonstrado que tenham quaisquer efeitos do mundo real. Além disso,
ainda não está claro qual algoritmo hash mais forte será uma boa escolha
para o longo prazo. Passando a partir de um algoritmo para o outro leva à
inevitável falta de interoperabilidade e para a confusão típica cripto
usuários. (Claro, se for o caso prático ataques são formuladas antes
há consenso da comunidade das propriedades da cifra de base
Hash algoritmos, Paul iria mudar a sua opinião a "passar para SHA-256
agora ".)
Ambos os autores concordam que o trabalho deve ser feito para que todas Internet
protocolos capazes de utilizar diferentes algoritmos de hash longo hash
valores. Felizmente, a maioria dos protocolos que hoje já são capazes de
este; aqueles que não se deve ser fixada em breve.
Os autores deste documento sentir do mesmo modo para novos protocolos sendo
desenvolvida: Bruce pensa que eles deveriam começar a usar o SHA-256 a partir do
início, e Paul pensa que eles devem usar SHA-1, desde que o novo
protocolos não são suscetíveis a ataques colisão. Qualquer novo protocolo
devem ter a capacidade de mudar todos os seus algoritmos criptográficos,
não apenas o seu algoritmo hash.
Hoffman & Schneier Informativa [Página 8]
RFC 4270 Ataques em Hashes novembro 2005
7. Considerações de Segurança
O documento discute segurança na Internet.
A discussão deste documento assume que os ataques em apenas hash
algoritmos utilizados nos protocolos Internet são colisão ataques. Alguns
significativos preimaging ataques já foram descobertos
[Preimaging-ataque], mas eles ainda não são práticos. Se uma prática
preimaging ataque é descoberto, seria drasticamente afecta muitos
Protocolos Internet. Neste caso, "prática" significa que ela poderia ser
executados por um atacante em uma significativa quantidade de tempo para uma
significativa quantidade de dinheiro. Um ataque que preimaging custos trilhões
de dólares e leva décadas para preimage um valor hash desejada ou
uma mensagem não é prático, um custo que alguns milhares de dólares
e leva algumas semanas pode ser muito prático.
8. Referências informativas
[MD5-ataque] X. Wang, D. Feng, X. Lai, e H. Yu,
"As colisões de Funções Hash MD4, MD5,
Haval-128 e RIPEMD ", agosto de 2004,
<http://eprint.iacr.org/2004/199>.
[MD5-mais rápido] Vlastimil Klima, "Finding MD5 abalroamentos - um
Para que um brinquedo Notebook ", março de 2005,
<http://cryptography.hyperlink.cz/
md5/MD5_collisions.pdf>.
[PKIX-MD5-construção] Arjen Lenstra e Benne de Weger, "On a
possibilidade de construção de sentido hash
colisões de chaves públicas ", fevereiro de 2005,
<http://www.win.tue.nl/ ~ bdeweger /
CollidingCertificates / ddl-Final.pdf>.
[Preimaging-ataque] John Kelsey e Bruce Schneier, "SEGUNDA
Preimages em n-bit Funções de hash Grande
Menos de 2 ^ n Trabalho ", novembro de 2004,
<http://eprint.iacr.org/2004/304>.
[RFC3174] Eastlake, D. e P. Jones, "E.U. Secure Hash
Algoritmo 1 (SHA1) ", RFC 3174,
Setembro de 2001.
[RFC3280] Housley, R., Polk, W., Ford, W., e de D. Solo,
"Internet X.509 Public Key Infrastructure
Lista de revogação de certificado eo certificado
(LCR) Perfil ", RFC 3280, abril de 2002.
Hoffman & Schneier Informativa [Página 9]
RFC 4270 Ataques em Hashes novembro 2005
[SHA-1-ataque] Xiaoyun Wang, Yiqun Lisa Yin e Hongbo Yu,
"Collision Pesquisa Ataques a SHA1",
Fevereiro de 2005,
<http://theory.csail.mit.edu/~yiqun/shanote.pdf>.
[SHA-256] NIST, "Federal Information Processing
Publicação Standards (FIPS PUB) 180-2,
Secure Hash Standard ", agosto de 2002.
Hoffman & Schneier Informativa [Página 10]
RFC 4270 Ataques em Hashes novembro 2005
Apêndice A. Agradecimentos
Os autores gostariam de agradecer à comunidade IETF, especialmente
aqueles sobre os ativos SAAG mailing list, para a sua entrada. Gostaríamos
também de agradecer ao Eric Rescorla cedo para material que entrou em
a primeira versão, e Arjen Lenstra e Benne de Weger para
observações significativas sobre a primeira versão deste documento.
Autores' Endereços
Paul Hoffman
VPN Consortium
EMail: paul.hoffman @ vpnc.org
Bruce Schneier
Counterpane Internet Security
EMail: schneier@counterpane.com
Hoffman & Schneier Informativa [Página 11]
RFC 4270 Ataques em Hashes novembro 2005
Copyright plena afirmação
Copyright (C) A Internet Society (2005).
Este documento está sujeito a direitos, licenças e restrições
contidas no BCP 78, e exceto conforme estabelecido aí, os autores
conservam todos os seus direitos.
Este documento e as informações contidas neste documento são fornecidas por uma
"COMO ESTÁ" O contribuinte e de base, a organização que representa
Ou seja patrocinado por (se houver), a sociedade da Internet e da Internet
Engenharia task force REJEITAM TODAS AS GARANTIAS, expressa ou implícita,
Incluindo mas não limitados a qualquer garantia de que a utilização do
Informações aqui contidas não infrinja qualquer direito ou qualquer implícitas
GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM DETERMINADO PROPÓSITO.
Propriedade Intelectual
O IETF não toma posição quanto à validade ou âmbito de qualquer
Direitos de propriedade intelectual ou outros direitos que possa ser reivindicada a
relacionadas com a execução ou a utilização da tecnologia descrita em
esse documento ou a medida em que qualquer licença ao abrigo desses direitos
pode ou não estar disponível, nem que ela tem que representar
independente feito qualquer esforço para identificar cada um desses direitos. Informações
sobre os procedimentos no que diz respeito aos direitos na RFC documentos podem ser
BCP encontradas em 78 e BCP 79.
Cópias dos DPI divulgações feitas para a Secretaria e qualquer IETF
garantias de licenças a ser disponibilizado, ou o resultado de uma
tentativa de obter uma licença ou autorização geral para a utilização de
tais direitos proprietários ou utilizadores a implementadores do presente
especificação pode ser obtida a partir da IETF em linha DPI em repositório
http://www.ietf.org/ipr.
O IETF convida qualquer parte interessada, para trazer ao seu conhecimento qualquer
direitos de autor, patentes ou pedidos de patentes, ou outros títulos de propriedade
direitos que podem abranger tecnologia que possam ser necessárias para implementar
esta norma. Por favor, abordar as informações para o IETF em IETF -
ipr@ietf.org.
Aviso
Financiamento para o RFC Editor função é actualmente assegurada pela
Internet Society.
Hoffman & Schneier Informativa [Página 12]