Concise Binary Object Representation (CBOR) is a data format designed for small code size and small message size. There is a need to be able to define basic security services for this data format. This document defines a set of algorithms that can be used with the CBOR Object Signing and Encryption (COSE) protocol (RFC 9052).
コンパクトなバイナリオブジェクト表現(CBOR)は、コードサイズとメッセージサイズの小ささが求められるデータ形式です。このデータ形式に対して基本的な セキュリティーサービスを定義できる必要があります。このドキュメントは、CBORオブジェクト署名および暗号化(COSE)プロトコル(RFC 9052)で使用することができるアルゴリズムのセットを定義しています。
This document, along with RFC 9052, obsoletes RFC 8152.
このドキュメントは、RFC 9052と共にRFC 8152を廃止します。
This document is not an Internet Standards Track specification; it is published for informational purposes.
この文書は、インターネット標準トラックの仕様ではありません。情報提供のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are candidates for any level of Internet Standard; see Section 2 of RFC 7841.
このドキュメントは、インターネット技術者グループ(IETF)の成果物です。これは、IETFコミュニティの合意を表しています。公開レビューを受け、インターネット技術開発グループ(IESG)によって公開承認されました。IESGによって承認されたすべてのドキュメントがインターネット標準の候補となるわけではありません。詳細については、RFC 7841のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9053.
この文書の現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc9053で入手できます。
Copyright (c) 2022 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright (c) 2022 IETF Trust and the persons identified as the document authors. All rights reserved.
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
この文書は、BCP 78およびIETFドキュメントに関するIETFトラストの法的規定(https://trustee.ietf.org/license-info)にしたがう必要があります。これらの文書をよく確認し、この文書に関するあなたの権利と制限を説明しています。この文書から抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
There has been an increased focus on small, constrained devices that make up the Internet of Things (IoT). One of the standards that has come out of this process is "Concise Binary Object Representation (CBOR)" [STD94]. CBOR extended the data model of JavaScript Object Notation (JSON) [STD90] by allowing for binary data, among other changes. CBOR has been adopted by several of the IETF working groups dealing with the IoT world as their method of encoding data structures. CBOR was designed specifically to be small in terms of both messages transported and implementation size and to have a schema-free decoder. A need exists to provide message security services for IoT, and using CBOR as the message-encoding format makes sense.
IoT(Internet of Things)を構成する小規模で制約のあるデバイスに注目が集まっています。このプロセスから生まれた標準の一つは、「Concise Binary Object Representation(CBOR)」です[STD94]。CBORは、JavaScript Object Notation(JSON)のデータモデルを拡張し、他の変更と共にバイナリデータを許可しました[STD90]。CBORは、データ構造をエンコードする方法として、IETFのワーキンググループのいくつかで採用されています。CBORは、メッセージの輸送や実装サイズの両方でコンパクトであり、スキーマフリーのデコーダーを持つように特別に設計されました。IoTのメッセージ セキュリティーサービスを提供する必要があり、メッセージのエンコーディング形式としてCBORを使用することは理にかなっています。
The core COSE specification consists of two documents. [RFC9052] contains the serialization structures and the procedures for using the different cryptographic algorithms. This document provides an initial set of algorithms for use with those structures.
コアCOSE仕様は2つのドキュメントで構成されています。 [RFC9052]はシリアル化構造と異なる暗号アルゴリズムの使用手順を含んでいます。このドキュメントは、それらの構造の使用に関連する初期のアルゴリズムを提供します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
キーワード「しなければなりません(MUST)」、「してはなりません(MUST NOT)」、 「要求されています(REQUIRED)」、 「することになります(SHALL)」、「することはありません(SHALL NOT)」、 「すべきです(SHOULD)」、「すべきではありません(SHOULD NOT)」、 「推奨されます(RECOMMENDED)」、「推奨されません(NOT RECOMMENDED)」、 「してもよいです(MAY)」、「選択できます(OPTIONAL)」は、 BCP 14 [RFC2119] [RFC8174]に記載されているとおりに解釈されるものとします。 ただし、ここに示すようにすべて大文字で表示される場合に限ります。
In this document, we use the following terminology:
この文書では、以下の用語を使用します:
The term "byte string" is used for sequences of bytes, while the term "text string" is used for sequences of characters.
「バイトストリング」という用語は、バイトのシーケンスに使用され、「テキストストリング」という用語は、文字のシーケンスに使用されます。
The tables for algorithms contain the following columns:
アルゴリズムのためのテーブルは、以下の列を含んでいます。
Additional columns may be present in a table depending on the algorithms.
アルゴリズムによっては、テーブルに追加の列が存在する場合があります。
When COSE was originally written, the Concise Data Definition Language (CDDL) [RFC8610] had not yet been published in an RFC, so it could not be used as the data description language to normatively describe the CBOR data structures employed by COSE. For that reason, the CBOR data objects defined here are described in prose. Additional (non-normative) descriptions of the COSE data objects are provided in a subset of CDDL, described in [RFC9052].
A GitHub project has been created at [GitHub-Examples] that contains a set of testing examples. Each example is found in a JSON file that contains the inputs used to create the example, some of the intermediate values that can be used for debugging, and the output of the example. The results are encoded using both hexadecimal and CBOR diagnostic notation format.
[GitHub-Examples]でGitHubのプロジェクトが作成されました。このプロジェクトには、テストのための一連の例が含まれています。各例はJSONファイルに含まれており、例の作成に使用される入力、デバッグに使用されるいくつかの中間値、および例の出力が記載されています。結果は16進数とCBOR診断表記の形式でエンコードされています。
Some of the examples are designed to be failure-testing cases; these are clearly marked as such in the JSON file.
いくつかの例は、障害テストケースとして設計されています。これらはJSONファイルで明示的にマークされています。
Section 8.1 of [RFC9052] contains a generic description of signature algorithms. This document defines signature algorithm identifiers for two signature algorithms.
[RFC9052]のSection 8.1 は、署名アルゴリズムの一般的な説明を含んでいます。この文書では、2つの署名アルゴリズムに対する署名アルゴリズム識別子が定義されています。
The Elliptic Curve Digital Signature Algorithm (ECDSA) [DSS] defines a signature algorithm using Elliptic Curve Cryptography (ECC). Implementations SHOULD use a deterministic version of ECDSA such as the one defined in [RFC6979]. The use of a deterministic signature algorithm allows systems to avoid relying on random number generators in order to avoid generating the same value of "k" (the per-message random value). Biased generation of the value "k" can be attacked, and collisions of this value lead to leaked keys. It additionally allows performing deterministic tests for the signature algorithm. The use of deterministic ECDSA does not lessen the need to have good random number generation when creating the private key.
The ECDSA signature algorithm is parameterized with a hash function (h). In the event that the length of the hash function output is greater than the group of the key, the leftmost bytes of the hash output are used.
ECDSA署名アルゴリズムはハッシュ関数(h)でパラメータ化されます。ハッシュ関数の出力の長さが鍵のグループよりも大きい場合、ハッシュ出力の左側のバイトが使用されます。
The algorithms defined in this document can be found in Table 1.
このドキュメントで定義されているアルゴリズムは、Table 1 に見つけることができます。
| Name | Value | Hash | Description |
|---|---|---|---|
| ES256 | -7 | SHA-256 | ECDSA w/ SHA-256 |
| ES384 | -35 | SHA-384 | ECDSA w/ SHA-384 |
| ES512 | -36 | SHA-512 | ECDSA w/ SHA-512 |
| Name | Value | Hash | Description |
|---|---|---|---|
| ES256 | -7 | SHA-256 | ECDSA w/ SHA-256 |
| ES384 | -35 | SHA-384 | ECDSA w/ SHA-384 |
| ES512 | -36 | SHA-512 | ECDSA w/ SHA-512 |
This document defines ECDSA as working only with the curves P-256, P-384, and P-521. This document requires that the curves be encoded using the "EC2" (two coordinate elliptic curve) key type. Implementations need to check that the key type and curve are correct when creating and verifying a signature. Future documents may define it to work with other curves and key types in the future.
この文書では、ECDSAを曲線P-256、P-384、およびP-521とのみ動作するように定義します。この文書では、曲線を「EC2」(二次元座標楕円曲線)キータイプを使用してエンコードする必要があります。実装は、署名の作成と検証時にキータイプと曲線が正しいことを確認する必要があります。将来の文書では、他の曲線やキータイプでも動作するように定義される場合があります。
The signature algorithm results in a pair of integers (R, S). These integers will be the same length as the length of the key used for the signature process. The signature is encoded by converting the integers into byte strings of the same length as the key size. The length is rounded up to the nearest byte and is left padded with zero bits to get to the correct length. The two integers are then concatenated together to form a byte string that is the resulting signature.
署名アルゴリズムにより、整数(R、S)のペアが生成されます。これらの整数の長さは、署名プロセスに使用される鍵の長さと同じになります。署名は、整数を鍵のサイズと同じ長さのバイト文字列に変換することによってエンコードされます。長さは最も近いバイトに切り上げられ、正しい長さに達するためにゼロビットで左側にパディングされます。次に、2つの整数を連結して、結果の署名となるバイト文字列が形成されます。
Using the function defined in [RFC8017], the signature is:
≥MUST be generated using the RSASP1 algorithm with the user's private key. The signature MUST be encoded using the RSASSA-PKCS1-v1_5-encoder. The encoded signature MUST be an octet string of length k, where k
Signature = I2OSP(R, n) | I2OSP(S, n)
シグネチャ = I2OSP(R, n) | I2OSP(S, n)
where n = ceiling(key_length / 8)
n = ceil(key_length / 8)の場合
When using a COSE key for this algorithm, the following checks are made:
このアルゴリズムでCOSEキーを使用する場合、次のチェックが行われます:しなければなりません(MUST)
The security strength of the signature is no greater than the minimum of the security strength associated with the bit length of the key and the security strength of the hash function.
署名の セキュリティー強度は、鍵のビット長に関連付けられた セキュリティー強度とハッシュ関数の セキュリティー強度の最小値を上回ることはありません。
Note: Use of a deterministic signature technique is a good idea even when good random number generation exists. Doing so both reduces the possibility of having the same value of "k" in two signature operations and allows for reproducible signature values, which helps testing. There have been recent attacks involving faulting the device in order to extract the key. This can be addressed by combining both randomness and determinism [CFRG-DET-SIGS].
注意:良い乱数生成が存在する場合でも、決定論的署名技術の使用は良い考えです。これにより、2つの署名操作で同じ"k"の値が生じる可能性が低くなり、再現可能な署名値が可能となり、テストが容易になります。最近の攻撃では、デバイスを故障させてキーを抽出するという方法が存在しています。これは乱数性と決定性の両方を組み合わせることで対処できます[CFRG-DET-SIGS]。
There are two substitution attacks that can theoretically be mounted against the ECDSA signature algorithm.
理論的には、ECDSA署名アルゴリズムに対して実行できる置換攻撃が2つ存在します。
[RFC8032] describes the elliptic curve signature scheme Edwards-curve Digital Signature Algorithm (EdDSA). In that document, the signature algorithm is instantiated using parameters for the edwards25519 and edwards448 curves. The document additionally describes two variants of the EdDSA algorithm: Pure EdDSA, where no hash function is applied to the content before signing, and HashEdDSA, where a hash function is applied to the content before signing and the result of that hash function is signed. For EdDSA, the content to be signed (either the message or the prehash value) is processed twice inside of the signature algorithm. For use with COSE, only the pure EdDSA version is used. This is because it is not expected that extremely large contents are going to be needed and, based on the arrangement of the message structure, the entire message is going to need to be held in memory in order to create or verify a signature. Therefore, there does not appear to be a need to be able to do block updates of the hash, followed by eliminating the message from memory. Applications can provide the same features by defining the content of the message as a hash value and transporting the COSE object (with the hash value) and the content as separate items.
[RFC8032] は、楕円曲線署名方式であるEdwards-curve Digital Signature Algorithm (EdDSA)を説明しています。このドキュメントでは、署名アルゴリズムはedwards25519とedwards448の曲線のパラメータを使用してインスタンス化されます。このドキュメントではさらに、EdDSAアルゴリズムの2つのバリアントであるPure EdDSA(署名する前にコンテンツにハッシュ関数が適用されない)とHashEdDSA(署名する前にコンテンツにハッシュ関数が適用され、そのハッシュ関数の結果が署名される)についても説明しています。EdDSAでは、署名されるコンテンツ(メッセージまたは事前ハッシュ値)は署名アルゴリズム内で2回処理されます。COSEとの組み合わせでは、純粋なEdDSAバージョンのみが使用されます。非常に大きなコンテンツが必要とされることは予想されておらず、メッセージ構造の配置に基づいて、署名を作成または検証するためにメモリにメッセージ全体を保持する必要があるためです。したがって、ハッシュのブロック更新を行い、メッセージをメモリから削除する機能が必要であるとは思われません。アプリケーションは、メッセージのコンテンツをハッシュ値として定義し、COSEオブジェクト(ハッシュ値を含む)とコンテンツを別々のアイテムとして転送することで同じ機能を提供できます。
The algorithm defined in this document can be found in Table 2. A single signature algorithm is defined, which can be used for multiple curves.
このドキュメントで定義されたアルゴリズムは、Table 2 にあります。単一の署名アルゴリズムが定義されており、複数の曲線で使用することができます。
| Name | Value | Description |
|---|---|---|
| EdDSA | -8 | EdDSA |
| Name | Value | Description |
|---|---|---|
| EdDSA | -8 | EdDSA |
When using a COSE key for this algorithm, the following checks are made:
このアルゴリズムに対してCOSE鍵を使用する場合、以下のチェックが行われます:しなければなりません(MUST)
Public values are computed differently in EdDSA and Elliptic Curve Diffie-Hellman (ECDH); for this reason, the public key from one should not be used with the other algorithm.
公開値は、EdDSAと楕円曲線Diffie-Hellman(ECDH)で異なる方法で計算されます。そのため、片方のアルゴリズムで生成された公開鍵は他方のアルゴリズムで使用しないでください。
If batch signature verification is performed, a well-seeded cryptographic random number generator is REQUIRED (Section 8.2 of [RFC8032]). Signing and nonbatch signature verification are deterministic operations and do not need random numbers of any kind.
もしバッチ署名検証が行われる場合、適切にシードされた暗号的乱数生成器は要求されています(REQUIRED)です([RFC8032]のSection 8.2)。署名とバッチでない署名検証は、決定論的な操作であり、どのような種類の乱数も必要ありません。
Section 8.2 of [RFC9052] contains a generic description of MAC algorithms. This section defines the conventions for two MAC algorithms.
[RFC9052]のSection 8.2 は、MACアルゴリズムの一般的な説明を含んでいます。このセクションでは、2つのMACアルゴリズムのための規約を定義します。
HMAC [RFC2104] [RFC4231] was designed to deal with length extension attacks. The HMAC algorithm was also designed to allow new hash functions to be directly plugged in without changes to the hash function. The HMAC design process has been shown to be solid; although the security of hash functions such as MD5 has decreased over time, the security of HMAC combined with MD5 has not yet been shown to be compromised [RFC6151].
HMACは、長さ拡張攻撃に対処するために設計されました。HMACアルゴリズムは、ハッシュ関数の変更なしに新しいハッシュ関数を直接組み込むことが可能なようにも設計されています。HMACの設計プロセスは堅牢であり、MD5などのハッシュ関数の セキュリティーは時間の経過とともに低下していますが、MD5と組み合わせたHMACの セキュリティーはまだ危機にさらされていないことが示されています。
The HMAC algorithm is parameterized by an inner and outer padding, a hash function (h), and an authentication tag value length. For this specification, the inner and outer padding are fixed to the values set in [RFC2104]. The length of the authentication tag corresponds to the difficulty of producing a forgery. For use in constrained environments, we define one HMAC algorithm that is truncated. There are currently no known issues with truncation; however, the security strength of the message tag is correspondingly reduced in strength. When truncating, the leftmost tag-length bits are kept and transmitted.
This service does not support translations in XML format. However, I can provide you with the translation of the provided text in plain text format: HMACアルゴリズムは、内部および外部のパディング、ハッシュ関数(h)、および認証タグの値の長さによってパラメータ化されます。この仕様では、内部および外部のパディングは、[RFC2104]で設定された値に固定されています。認証タグの長さは、贋造を生成する難しさに対応しています。制約のある環境で使用するために、切り捨てられたHMACアルゴリズムを定義します。現時点では、切り捨てに関する既知の問題はありません。ただし、メッセージタグの セキュリティー強度はそれに応じて低下します。切り捨てを行う場合、左端のタグの長さビットが保持されて送信されます。
The algorithms defined in this document can be found in Table 3.
このドキュメントで定義されたアルゴリズムは、Table 3にあります。
| Name | Value | Hash | Tag Length | Description |
|---|---|---|---|---|
| HMAC 256/64 | 4 | SHA-256 | 64 | HMAC w/ SHA-256 truncated to 64 bits |
| HMAC 256/256 | 5 | SHA-256 | 256 | HMAC w/ SHA-256 |
| HMAC 384/384 | 6 | SHA-384 | 384 | HMAC w/ SHA-384 |
| HMAC 512/512 | 7 | SHA-512 | 512 | HMAC w/ SHA-512 |
| Name | Value | Hash | Tag Length | Description |
|---|---|---|---|---|
| HMAC 256/64 | 4 | SHA-256 | 64 | HMAC w/ SHA-256 truncated to 64 bits |
| HMAC 256/256 | 5 | SHA-256 | 256 | HMAC w/ SHA-256 |
| HMAC 384/384 | 6 | SHA-384 | 384 | HMAC w/ SHA-384 |
| HMAC 512/512 | 7 | SHA-512 | 512 | HMAC w/ SHA-512 |
Some recipient algorithms transport the key, while others derive a key from secret data. For those algorithms that transport the key (such as AES Key Wrap), the size of the HMAC key SHOULD be the same size as the output of the underlying hash function. For those algorithms that derive the key (such as ECDH), the derived key MUST be the same size as the output of the underlying hash function.
一部の受信者アルゴリズムは鍵を転送し、他のアルゴリズムは秘密データから鍵を導出します。鍵を転送するアルゴリズム(AES Key Wrapなど)の場合、HMAC鍵のサイズは推奨されます(SHOULD)が、基礎となるハッシュ関数の出力と同じサイズであるべきです。鍵を導出するアルゴリズム(ECDHなど)の場合、導出された鍵はしなければなりません(MUST)が、基礎となるハッシュ関数の出力と同じサイズでなければなりません。
When using a COSE key for this algorithm, the following checks are made:
このアルゴリズムでCOSEキーを使用する場合、以下のチェックが行われます:
Implementations creating and validating MAC values MUST validate that the key type, key length, and algorithm are correct and appropriate for the entities involved.
実装は、MAC値を生成および検証する場合、「キータイプ、キー長、およびアルゴリズムが正しいかつ関係するエンティティに適切であることをしなければなりません(MUST)」検証します。
HMAC has proved to be resistant to attack even when used with weakened hash algorithms. The current best known attack is to brute force the key. This means that key size is going to be directly related to the security of an HMAC operation.
HMACは、弱体化されたハッシュアルゴリズムと使用しても攻撃に耐性があることが証明されています。現在、最もよく知られた攻撃方法は鍵を総当たり攻撃することです。これは、鍵のサイズがHMAC操作の セキュリティーに直接関連することを意味します。
AES-CBC-MAC is the instantiation of the CBC-MAC construction (defined in [MAC]) using AES as the block cipher. For brevity, we also use "AES-MAC" to refer to AES-CBC-MAC. (Note that this is not the same algorithm as AES Cipher-Based Message Authentication Code (AES-CMAC) [RFC4493].)
AES-CBC-MACは、AESをブロック暗号として使用しているCBC-MAC構築のインスタンス化です。簡潔さのために、"AES-MAC"という用語もAES-CBC-MACを指すために使用します。(AES Cipher-Based Message Authentication Code(AES-CMAC)とは異なるアルゴリズムであることに注意してください。)
AES-CBC-MAC is parameterized by the key length, the authentication tag length, and the Initialization Vector (IV) used. For all of these algorithms, the IV is fixed to all zeros. We provide an array of algorithms for various key and tag lengths. The algorithms defined in this document are found in Table 4.
AES-CBC-MAC is parameterized by the key length, the authentication tag length, and the Initialization Vector (IV) used. For all of these algorithms, the IV is fixed to all zeros. We provide an array of algorithms for various key and tag lengths. The algorithms defined in this document are found in Table 4.
| Name | Value | Key Length | Tag Length | Description |
|---|---|---|---|---|
| AES-MAC 128/64 | 14 | 128 | 64 | AES-MAC 128-bit key, 64-bit tag |
| AES-MAC 256/64 | 15 | 256 | 64 | AES-MAC 256-bit key, 64-bit tag |
| AES-MAC 128/128 | 25 | 128 | 128 | AES-MAC 128-bit key, 128-bit tag |
| AES-MAC 256/128 | 26 | 256 | 128 | AES-MAC 256-bit key, 128-bit tag |
| Name | Value | Key Length | Tag Length | Description |
|---|---|---|---|---|
| AES-MAC 128/64 | 14 | 128 | 64 | AES-MAC 128-bit key, 64-bit tag |
| AES-MAC 256/64 | 15 | 256 | 64 | AES-MAC 256-bit key, 64-bit tag |
| AES-MAC 128/128 | 25 | 128 | 128 | AES-MAC 128-bit key, 128-bit tag |
| AES-MAC 256/128 | 26 | 256 | 128 | AES-MAC 256-bit key, 128-bit tag |
Keys may be obtained from either a key structure or a recipient structure. Implementations creating and validating MAC values MUST validate that the key type, key length, and algorithm are correct and appropriate for the entities involved.
キーはキー構造または受信者構造から取得することができます。MAC値を作成し、検証する実装はキーの種類、キーの長さ、およびアルゴリズムが正確であり、関係するエンティティに適切であることをしなければなりません(MUST)。
When using a COSE key for this algorithm, the following checks are made:
このアルゴリズムでCOSEキーを使用する場合、以下のチェックが行われます:
A number of attacks exist against Cipher Block Chaining Message Authentication Code (CBC-MAC) that need to be considered.
「Cipher Block Chaining Message Authentication Code (CBC-MAC) に対して複数の攻撃手法が存在し、考慮する必要があります。」
Section 8.3 of [RFC9052] contains a generic description of content encryption algorithms. This document defines the identifier and usages for three content encryption algorithms.
[RFC9052]のSection 8.3 には、コンテンツ暗号化アルゴリズムの一般的な説明が含まれています。このドキュメントでは、3つのコンテンツ暗号化アルゴリズムの識別子と使用法が定義されています。
The Galois/Counter Mode (GCM) mode is a generic AEAD block cipher mode defined in [AES-GCM]. The GCM mode is combined with the AES block encryption algorithm to define an AEAD cipher.
Galois/Counter Mode(GCMモード)は、[AES-GCM]で定義された汎用のAEADブロック暗号モードです。GCMモードは、AESブロック暗号アルゴリズムと組み合わせてAEAD暗号を定義します。
The GCM mode is parameterized by the size of the authentication tag and the size of the nonce. This document fixes the size of the nonce at 96 bits. The size of the authentication tag is limited to a small set of values. For this document, however, the size of the authentication tag is fixed at 128 bits.
GCMモードは、認証タグのサイズとノンスのサイズをパラメーター化します。このドキュメントでは、ノンスのサイズを96ビットに固定します。認証タグのサイズは一部の値に制限されています。ただし、このドキュメントでは、認証タグのサイズを128ビットに固定します。
| Name | Value | Description |
|---|---|---|
| A128GCM | 1 | AES-GCM mode w/ 128-bit key, 128-bit tag |
| A192GCM | 2 | AES-GCM mode w/ 192-bit key, 128-bit tag |
| A256GCM | 3 | AES-GCM mode w/ 256-bit key, 128-bit tag |
| Name | Value | Description |
|---|---|---|
| A128GCM | 1 | AES-GCM mode w/ 128-bit key, 128-bit tag |
| A192GCM | 2 | AES-GCM mode w/ 192-bit key, 128-bit tag |
| A256GCM | 3 | AES-GCM mode w/ 256-bit key, 128-bit tag |
Keys may be obtained from either a key structure or a recipient structure. Implementations that are encrypting or decrypting MUST validate that the key type, key length, and algorithm are correct and appropriate for the entities involved.
キーはキー構造体または受信者構造体から取得することができます。暗号化または復号化を行っている実装は、キータイプ、キー長さ、およびアルゴリズムが正確であり、関連するエンティティに適切であることをしなければなりません(MUST)。
When using a COSE key for this algorithm, the following checks are made:
このアルゴリズムでCOSEキーを使用する場合、以下のチェックが行われます:
When using AES-GCM, the following restrictions MUST be enforced:
AES-GCMを使用する場合、次の制限はしなければなりません(MUST)。
Consideration was given to supporting smaller tag values; the constrained community would desire tag sizes in the 64-bit range. Such use drastically changes both the maximum message size (generally not an issue) and the number of times that a key can be used. Given that Counter with CBC-MAC (CCM) is the usual mode for constrained environments, restricted modes are not supported.
制約のあるコミュニティは、より小さいタグ値のサポートを検討しました。64ビットの範囲でのタグサイズが望まれます。このような使用法は、最大メッセージサイズ(通常は問題ではない)とキーの使用回数の両方を大幅に変更します。制約のある環境では、Counter with CBC-MAC(CCM)が通常のモードであるため、制限されたモードはサポートされません。
CCM is a generic authentication encryption block cipher mode defined in [RFC3610]. The CCM mode is combined with the AES block encryption algorithm to define an AEAD cipher that is commonly used in constrained devices.
CCMは、[RFC3610]で定義された一般的な認証暗号化ブロック暗号モードです。CCMモードは、AESブロック暗号アルゴリズムと組み合わせて、制約のあるデバイスでよく使用されるAEAD暗号を定義しています。
The CCM mode has two parameter choices. The first choice is M, the size of the authentication field. The choice of the value for M involves a trade-off between message growth (from the tag) and the probability that an attacker can undetectably modify a message. The second choice is L, the size of the length field. This value requires a trade-off between the maximum message size and the size of the nonce.
CCMモードには、2つのパラメータの選択肢があります。最初の選択肢は、認証フィールドのサイズであるMです。Mの値の選択は、メッセージの成長(タグからの成長)と、攻撃者がメッセージを検出できないように変更できる確率との間のトレードオフに関わります。2番目の選択肢は、長さフィールドのサイズであるLです。この値は、最大メッセージサイズとノンスのサイズとの間のトレードオフを必要とします。
It is unfortunate that the specification for CCM specified L and M as a count of bytes rather than a count of bits. This leads to possible misunderstandings where AES-CCM-8 is frequently used to refer to a version of CCM mode where the size of the authentication is 64 bits and not 8 bits. In most cryptographic algorithm specifications, these values have traditionally been specified as bit counts rather than byte counts. This document will follow the convention of using bit counts so that it is easier to compare the different algorithms presented in this document.
CCMの仕様では、LとMがバイト数ではなくビット数としてカウントされることが指定されており、これは残念なことです。これにより、AES-CCM-8がCCMモードの認証のサイズが8ビットではなく64ビットであるバージョンを指すように頻繁に使用される可能性があります。ほとんどの暗号アルゴリズムの仕様では、これらの値は従来、バイト数ではなくビット数として指定されてきました。このドキュメントでは、異なるアルゴリズムを比較しやすくするために、ビット数の使用に関する慣習に従うこととします。
We define a matrix of algorithms in this document over the values of L and M. Constrained devices are usually operating in situations where they use short messages and want to avoid doing recipient-specific cryptographic operations. This favors smaller values of both L and M. Less-constrained devices will want to be able to use larger messages and are more willing to generate new keys for every operation. This favors larger values of L and M.
このドキュメントでは、LおよびMの値に関してアルゴリズムの行列を定義します。制約のあるデバイスは通常、短いメッセージを使用し、受信者固有の暗号操作を避けたい状況で動作します。これにより、LおよびMの小さい値が好まれます。より制約の少ないデバイスでは、より大きなメッセージを使用し、各操作ごとに新しいキーを生成することにより柔軟性を持ちたいと考える傾向があります。これにより、LおよびMの大きな値が好まれます。
The following values are used for L:
次の値は、Lに使用されます。
The following values are used for M:
次の値は、Mに使用されます。
| Name | Value | L | M | Key Length | Description |
|---|---|---|---|---|---|
| AES-CCM-16-64-128 | 10 | 16 | 64 | 128 | AES-CCM mode 128-bit key, 64-bit tag, 13-byte nonce |
| AES-CCM-16-64-256 | 11 | 16 | 64 | 256 | AES-CCM mode 256-bit key, 64-bit tag, 13-byte nonce |
| AES-CCM-64-64-128 | 12 | 64 | 64 | 128 | AES-CCM mode 128-bit key, 64-bit tag, 7-byte nonce |
| AES-CCM-64-64-256 | 13 | 64 | 64 | 256 | AES-CCM mode 256-bit key, 64-bit tag, 7-byte nonce |
| AES-CCM-16-128-128 | 30 | 16 | 128 | 128 | AES-CCM mode 128-bit key, 128-bit tag, 13-byte nonce |
| AES-CCM-16-128-256 | 31 | 16 | 128 | 256 | AES-CCM mode 256-bit key, 128-bit tag, 13-byte nonce |
| AES-CCM-64-128-128 | 32 | 64 | 128 | 128 | AES-CCM mode 128-bit key, 128-bit tag, 7-byte nonce |
| AES-CCM-64-128-256 | 33 | 64 | 128 | 256 | AES-CCM mode 256-bit key, 128-bit tag, 7-byte nonce |
| Name | Value | L | M | Key Length | Description |
|---|---|---|---|---|---|
| AES-CCM-16-64-128 | 10 | 16 | 64 | 128 | AES-CCM mode 128-bit key, 64-bit tag, 13-byte nonce |
| AES-CCM-16-64-256 | 11 | 16 | 64 | 256 | AES-CCM mode 256-bit key, 64-bit tag, 13-byte nonce |
| AES-CCM-64-64-128 | 12 | 64 | 64 | 128 | AES-CCM mode 128-bit key, 64-bit tag, 7-byte nonce |
| AES-CCM-64-64-256 | 13 | 64 | 64 | 256 | AES-CCM mode 256-bit key, 64-bit tag, 7-byte nonce |
| AES-CCM-16-128-128 | 30 | 16 | 128 | 128 | AES-CCM mode 128-bit key, 128-bit tag, 13-byte nonce |
| AES-CCM-16-128-256 | 31 | 16 | 128 | 256 | AES-CCM mode 256-bit key, 128-bit tag, 13-byte nonce |
| AES-CCM-64-128-128 | 32 | 64 | 128 | 128 | AES-CCM mode 128-bit key, 128-bit tag, 7-byte nonce |
| AES-CCM-64-128-256 | 33 | 64 | 128 | 256 | AES-CCM mode 256-bit key, 128-bit tag, 7-byte nonce |
Keys may be obtained from either a key structure or a recipient structure. Implementations that are encrypting or decrypting MUST validate that the key type, key length, and algorithm are correct and appropriate for the entities involved.
キーはキー構造または受信者の構造から取得することができます。暗号化または復号化を行っている実装は、しなければなりません(MUST) キータイプ、キーの長さ、およびアルゴリズムが正しいかつ関連するエンティティに適していることを検証します。
When using a COSE key for this algorithm, the following checks are made:
このアルゴリズムでCOSEキーを使用する場合、以下のチェックが行われます:しなければなりません(MUST)
When using AES-CCM, the following restrictions MUST be enforced:
AES-CCMを使用する場合、次の制約を適用するしなければなりません(MUST):
[RFC3610] additionally calls out one other consideration of note. It is possible to do a precomputation attack against the algorithm in cases where portions of the plaintext are highly predictable. This reduces the security of the key size by half. Ways to deal with this attack include adding a random portion to the nonce value and/or increasing the key size used. Using a portion of the nonce for a random value will decrease the number of messages that a single key can be used for. Increasing the key size may require more resources in the constrained device. See Sections RFC3610 and RFC3610 of [RFC3610] for more information.
[RFC3610]は、注意すべき他の考慮事項も述べています。平文の一部が非常に予測可能な場合、アルゴリズムに対して事前計算攻撃を行うことが可能です。これにより、鍵サイズの セキュリティーが半分に減少します。この攻撃への対処方法には、nonce値にランダムな部分を追加することと/または使用する鍵サイズを増やすことが含まれます。ランダム値をnonceの一部に使用すると、単一の鍵で使用できるメッセージ数が減少します。鍵サイズを増やすと、制約のあるデバイスでより多くのリソースが必要になる場合があります。詳細は、RFC3610およびRFC3610のセクションを参照してください。詳細については[RFC3610]を参照してください。
ChaCha20 and Poly1305 combined together is an AEAD mode that is defined in [RFC8439]. This is an algorithm defined using a cipher that is not AES and thus would not suffer from any future weaknesses found in AES. These cryptographic functions are designed to be fast in software-only implementations.
ChaCha20とPoly1305を組み合わせたものは、[RFC8439]で定義されたAEADモードです。これは、AESではない暗号を使用して定義されたアルゴリズムであり、したがってAESに見つかる将来の脆弱性には影響を受けません。これらの暗号化関数は、ソフトウェアのみで高速に動作するように設計されています。
| Name | Value | Description |
|---|---|---|
| ChaCha20/Poly1305 | 24 | ChaCha20/Poly1305 w/ 256-bit key, 128-bit tag |
| Name | Value | Description |
|---|---|---|
| ChaCha20/Poly1305 | 24 | ChaCha20/Poly1305 w/ 256-bit key, 128-bit tag |
Keys may be obtained from either a key structure or a recipient structure. Implementations that are encrypting or decrypting MUST validate that the key type, key length, and algorithm are correct and appropriate for the entities involved.
キーは、キー構造または受信者構造から取得することができます。暗号化または復号化を行う実装は、関連するエンティティに対してキーの種類、キーの長さ、およびアルゴリズムが正確かつ適切であることを確認しなければなりません(MUST)。
When using a COSE key for this algorithm, the following checks are made:
When using a COSE key for this algorithm, the following checks are made:
The key and nonce values MUST be a unique pair for every invocation of the algorithm. Nonce counters are considered to be an acceptable way of ensuring that they are unique.
キーとノンスの値は、アルゴリズムの各呼び出しのたびにユニークなペアである必要があります。「しなければなりません(MUST)」。ノンスカウンタは、ユニークであることを保証するための受け入れ可能な方法と見なされます。
A more recent analysis in [ROBUST] indicates that the number of failed decryptions needs to be taken into account as part of determining when a key rollover is to be done. Following the recommendation in DTLS (Section 4.5.3 of [RFC9147]), the number of failed message decryptions should be limited to 236.
[ROBUST]におけるより最近の分析では、鍵交換が行われるタイミングを決定する一部として、復号に失敗した回数を考慮する必要があることが示されています。DTLSの推奨に従い([RFC9147]のSection 4.5.3)、メッセージの復号に失敗した回数は236に制限されるべきです。
[RFC8446] notes that the (64-bit) record sequence number would wrap before the safety limit is reached for ChaCha20/Poly1305. COSE implementations should not send more than 264 messages encrypted using a single ChaCha20/Poly1305 key.
[RFC8446]は、 ChaCha20/Poly1305において安全な限界に達する前に、(64ビットの) レコードシーケンス番号がラップする可能性があることを指摘しています。 COSEの実装では、1つのChaCha20/Poly1305キーを使用して暗号化されるメッセージは、264以上送信しないことすべきです。
Section 8.4 of [RFC9052] contains a generic description of key derivation functions. This document defines a single context structure and a single KDF. These elements are used for all of the recipient algorithms defined in this document that require a KDF process. These algorithms are defined in Sections 6.1.2, 6.3.1, and 6.4.1.
[RFC9052]のSection 8.4には鍵導出関数の一般的な説明が含まれています。この文書では、単一のコンテキスト構造と単一のKDFが定義されています。これらの要素は、KDFプロセスが必要なこの文書で定義されているすべての受信者アルゴリズムに使用されます。これらのアルゴリズムは、セクション6.1.2、6.3.1、および6.4.1で定義されています。
The HKDF algorithm takes these inputs:
HKDFアルゴリズムは、これらの入力を受け取ります:
HKDF is defined to use HMAC as the underlying PRF. However, it is possible to use other functions in the same construct to provide a different KDF that is more appropriate in the constrained world. Specifically, one can use AES-CBC-MAC as the PRF for the expand step, but not for the extract step. When using a good random shared secret of the correct length, the extract step can be skipped. For the AES algorithm versions, the extract step is always skipped.
HKDFは、基礎としてHMACを使用するように定義されています。ただし、制約のある世界でより適切なKDFを提供するために、同じ構造で他の関数を使用することも可能です。具体的には、AES-CBC-MACを拡張ステップのPRFとして使用できますが、抽出ステップでは使用できません。適切な長さの良質なランダム共有秘密を使用する場合、抽出ステップは省略できます。AESアルゴリズムのバージョンでは、常に抽出ステップは省略されます。
The extract step cannot be skipped if the secret is not uniformly random -- for example, if it is the result of an ECDH key agreement step. This implies that the AES HKDF version cannot be used with ECDH. If the extract step is skipped, the "salt" value is not used as part of the HKDF functionality.
秘密が一様にランダムでない場合、抽出ステップはスキップできません。たとえば、ECDH鍵合意ステップの結果である場合です。これは、AES HKDFバージョンがECDHとは使用できないことを意味します。抽出ステップがスキップされると、「salt」の値はHKDF機能の一部として使用されません。
The algorithms defined in this document are found in Table 8.
このドキュメントで定義されたアルゴリズムは、Table 8に記載されています。
| Name | PRF | Description |
|---|---|---|
| HKDF SHA-256 | HMAC with SHA-256 | HKDF using HMAC SHA-256 as the PRF |
| HKDF SHA-512 | HMAC with SHA-512 | HKDF using HMAC SHA-512 as the PRF |
| HKDF AES-MAC-128 | AES-CBC-MAC-128 | HKDF using AES-MAC as the PRF w/ 128-bit key |
| HKDF AES-MAC-256 | AES-CBC-MAC-256 | HKDF using AES-MAC as the PRF w/ 256-bit key |
| Name | PRF | Description |
|---|---|---|
| HKDF SHA-256 | HMAC with SHA-256 | HKDF using HMAC SHA-256 as the PRF |
| HKDF SHA-512 | HMAC with SHA-512 | HKDF using HMAC SHA-512 as the PRF |
| HKDF AES-MAC-128 | AES-CBC-MAC-128 | HKDF using AES-MAC as the PRF w/ 128-bit key |
| HKDF AES-MAC-256 | AES-CBC-MAC-256 | HKDF using AES-MAC as the PRF w/ 256-bit key |
| Name | Label | Type | Algorithm | Description |
|---|---|---|---|---|
| salt | -20 | bstr | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | Random salt |
| Name | Label | Type | Algorithm | Description |
|---|---|---|---|---|
| salt | -20 | bstr | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | Random salt |
The context information structure is used to ensure that the derived keying material is "bound" to the context of the transaction. The context information structure used here is based on that defined in [SP800-56A]. By using CBOR for the encoding of the context information structure, we automatically get the same type and length separation of fields that is obtained by the use of ASN.1. This means that there is no need to encode the lengths for the base elements, as it is done by the encoding used in JSON Object Signing and Encryption (JOSE) (Section 4.6.2 of [RFC7518]).
コンテキスト情報構造は、派生キー材料がトランザクションの文脈に「バインド」されることを保証するために使用されます。ここで使用されるコンテキスト情報構造は、[SP800-56A]で定義されたものに基づいています。コンテキスト情報構造のエンコーディングにCBORを使用することで、ASN.1の使用によって得られるフィールドの同じタイプと長さの区切りが自動的に得られます。これは、ベース要素の長さをエンコードする必要がないことを意味します。なぜなら、それはJSONオブジェクト署名と暗号化(JOSE)のエンコーディングで行われるようにされているからです([RFC7518]のSection 4.6.2)。
The context information structure refers to PartyU and PartyV as the two parties that are doing the key derivation. Unless the application protocol defines differently, we assign PartyU to the entity that is creating the message and PartyV to the entity that is receiving the message. By defining this association, different keys will be derived for each direction, as the context information is different in each direction.
コンテキスト情報の構造は、キー派生を行っているPartyUとPartyVを指します。アプリケーションプロトコルが異なる定義を行わない限り、私たちはメッセージを作成しているエンティティにPartyUを割り当て、メッセージを受信しているエンティティにPartyVを割り当てます。この関連付けを定義することで、コンテキスト情報が各方向で異なるため、異なるキーが各方向に派生されます。
The context structure is built from information that is known to both entities. This information can be obtained from a variety of sources:
コンテキスト構造は、両方のエンティティに既知の情報から構築されます。この情報はさまざまなソースから取得することができます。
| Name | Label | Type | Algorithm | Description |
|---|---|---|---|---|
| PartyU identity | -21 | bstr | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyU identity information |
| PartyU nonce | -22 | bstr / int | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyU provided nonce |
| PartyU other | -23 | bstr | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyU other provided information |
| PartyV identity | -24 | bstr | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyV identity information |
| PartyV nonce | -25 | bstr / int | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyV provided nonce |
| PartyV other | -26 | bstr | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyV other provided information |
| Name | Label | Type | Algorithm | Description |
|---|---|---|---|---|
| PartyU identity | -21 | bstr | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyU identity information |
| PartyU nonce | -22 | bstr / int | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyU provided nonce |
| PartyU other | -23 | bstr | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyU other provided information |
| PartyV identity | -24 | bstr | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyV identity information |
| PartyV nonce | -25 | bstr / int | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyV provided nonce |
| PartyV other | -26 | bstr | direct+HKDF-SHA-256, direct+HKDF-SHA-512, direct+HKDF-AES-128, direct+HKDF-AES-256, ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | PartyV other provided information |
We define a CBOR object to hold the context information. This object is referred to as COSE_KDF_Context. The object is based on a CBOR array type. The fields in the array are:
私たちは、コンテキスト情報を保持するためのCBORオブジェクトを定義します。このオブジェクトはCOSE_KDF_Contextと呼ばれます。このオブジェクトはCBORの配列型に基づいています。配列内のフィールドは次のとおりです:
This field holds information about PartyU. The PartyUInfo is encoded as a CBOR array. The elements of PartyUInfo are encoded in the order presented below. The elements of the PartyUInfo array are:
This contains the identity information for PartyU. The identities can be assigned in one of two manners. First, a protocol can assign identities based on roles. For example, the roles of "client" and "server" may be assigned to different entities in the protocol. Each entity would then use the correct label for the data it sends or receives. The second way for a protocol to assign identities is to use a name based on a naming system (i.e., DNS or X.509 names).
We define an algorithm parameter, "PartyU identity", that can be used to carry identity information in the message. However, identity information is often known as part of the protocol and can thus be inferred rather than made explicit. If identity information is carried in the message, applications SHOULD have a way of validating the supplied identity information. The identity information does not need to be specified and is set to nil in that case.
This contains a nonce value. The nonce can be either implicit from the protocol or carried as a value in the unprotected header bucket.
We define an algorithm parameter, "PartyU nonce", that can be used to carry this value in the message; however, the nonce value could be determined by the application and its value obtained in a different manner.
This option does not need to be specified; if not needed, it is set to nil.
This field contains public information that is mutually known to both parties, and is encoded as a CBOR array.
このフィールドにはPartyUに関する情報が格納されます。PartyUInfoはCBOR配列としてエンコードされます。PartyUInfoの要素は以下に示す順序でエンコードされます。PartyUInfo配列の要素は次のとおりです。
これには、PartyUのID情報が含まれています。IDは2つの方法のいずれかで割り当てることができます。まず、プロトコルは役割に基づいてIDを割り当てることができます。例えば、「クライアント」と「サーバー」の役割は、プロトコル内の異なるエンティティに割り当てることができます。各エンティティは、送受信するデータに対して正しいラベルを使用します。プロトコルがIDを割り当てるもう一つの方法は、名前ベースの命名システム(DNSやX.509名など)を使用することです。
We define an algorithm parameter, "PartyU identity", that can be used to carry identity information in the message. However, identity information is often known as part of the protocol and can thus be inferred rather than made explicit. If identity information is carried in the message, applications SHOULD have a way of validating the supplied identity information. The identity information does not need to be specified and is set to nil in that case.
これにはnonce値が含まれています。nonceは、プロトコルから暗黙的に取得するか、未保護のヘッダバケット内の値として運ばれることがあります。
我々は、この値をメッセージに含めるために使用できるアルゴリズムパラメータ「PartyU nonce」を定義しますが、このnonce値はアプリケーションによって決定され、異なる方法でその値を取得することもあります。
このオプションは指定する必要はありません。必要がなければ、nilに設定されます。
このフィールドには、両当事者に共知のパブリック情報が含まれており、CBOR配列としてエンコードされます。
The following CDDL fragment corresponds to the text above.
次のCDDLの断片は上記のテキストに対応します。
PartyInfo = (
identity : bstr / nil,
nonce : bstr / int / nil,
other : bstr / nil
)
COSE_KDF_Context = [
AlgorithmID : int / tstr,
PartyUInfo : [ PartyInfo ],
PartyVInfo : [ PartyInfo ],
SuppPubInfo : [
keyDataLength : uint,
protected : empty_or_serialized_map,
? other : bstr
],
? SuppPrivInfo : bstr
]
PartyInfo = (
identity : bstr / nil,
nonce : bstr / int / nil,
other : bstr / nil
)
COSE_KDF_Context = [
AlgorithmID : int / tstr,
PartyUInfo : [ PartyInfo ],
PartyVInfo : [ PartyInfo ],
SuppPubInfo : [
keyDataLength : uint,
protected : empty_or_serialized_map,
? other : bstr
],
? SuppPrivInfo : bstr
]
Section 8.5 of [RFC9052] contains a generic description of content key distribution methods. This document defines the identifiers and usage for a number of content key distribution methods.
[RFC9052]のSection 8.5には、コンテンツ鍵配布方法の一般的な説明が含まれています。この文書では、いくつかのコンテンツ鍵配布方法の識別子と使用方法が定義されています。
A direct encryption algorithm is defined in Section 8.5.1 of [RFC9052]. Information about how to fill in the COSE_Recipient structure is detailed there.
COSE_Recipient構造体の記入方法に関する情報は、[RFC9052]のSection 8.5.1で定義された直接暗号化アルゴリズムに詳細に記載されています。
This recipient algorithm is the simplest; the identified key is directly used as the key for the next layer down in the message. There are no algorithm parameters defined for this algorithm. The algorithm identifier value is assigned in Table 11.
この受信者アルゴリズムは最も単純です。識別されたキーは、メッセージの下位レイヤーで直接キーとして使用されます。このアルゴリズムには定義されたアルゴリズムパラメータはありません。アルゴリズム識別子の値は、Table 11で割り当てられます。
When this algorithm is used, the "protected" field MUST be zero length. The key type MUST be "Symmetric".
このアルゴリズムが使用される場合、「protected」フィールドはゼロ長であるしなければなりません(MUST)。キーのタイプはSymmetricであるしなければなりません(MUST)。
| Name | Value | Description |
|---|---|---|
| direct | -6 | Direct use of content encryption key (CEK) |
| Name | Value | Description |
|---|---|---|
| direct | -6 | Direct use of content encryption key (CEK) |
This recipient algorithm has several potential problems that need to be considered:
この受信者アルゴリズムには考慮すべきいくつかの潜在的な問題があります:
These recipient algorithms take a common shared secret between the two parties and apply the HKDF function (Section 5.1), using the context structure defined in Section 5.2 to transform the shared secret into the CEK. The "protected" field can be of nonzero length. Either the "salt" parameter for HKDF (Table 9) or the "PartyU nonce" parameter for the context structure (Table 10) MUST be present (both can be present if desired). The value in the "salt"/"nonce" parameter can be generated either randomly or deterministically. The requirement is that it be a unique value for the shared secret in question.
これらの受信者アルゴリズムは、2つのパーティ間で共通の共有秘密を取り、HKDF関数(セクション5.1で定義される)を適用します。これにより、セクション5.2で定義されたコンテキスト構造を使用して、共有秘密をCEKに変換します。要求されています(REQUIRED)。 "protected"フィールドは、ゼロでない長さを持つ場合があります。HKDFのための"salt"パラメーター(表9)またはコンテキスト構造のための"PartyU nonce"パラメーター(表10)のいずれかがあります(MUST)(必要に応じて、両方が存在する場合もあります)。"salt"/"nonce"パラメーターの値は、ランダムにまたは決定論的に生成できます。要件は、それが質問の共有秘密の一意な値であることです。
If the salt/nonce value is generated randomly, then it is suggested that the length of the random value be the same length as the output of the hash function underlying HKDF. While there is no way to guarantee that it will be unique, there is a high probability that it will be unique. If the salt/nonce value is generated deterministically, it can be guaranteed to be unique, and thus there is no length requirement.
ソルト/ノンス値がランダムに生成される場合、ハッシュ関数に基づくHKDFの出力と同じ長さのランダム値の長さで生成することが推奨されます。ユニークであることを保証する方法はありませんが、高い確率でユニークになる可能性があります。ソルト/ノンス値が決定論的に生成される場合、ユニークであることが保証されるため、長さの要件はありません。
A new IV must be used for each message if the same key is used. The IV can be modified in a predictable manner, a random manner, or an unpredictable manner (e.g., encrypting a counter).
同じ鍵を使用する場合、各メッセージには新しいIVを使用しなければなりません(MUST)。IVは予測可能な方法、ランダムな方法、または予測不可能な方法で変更できます(例:カウンターの暗号化)。
The IV used for a key can also be generated using the same HKDF functionality used to generate the key. If HKDF is used for generating the IV, the algorithm identifier is set to 34 ("IV-GENERATION").
同じHKDF機能を使用してキーを生成する際に使用するIVも生成することができます。IVを生成するためにHKDFを使用する場合、アルゴリズム識別子は34(「IV-GENERATION」)に設定されます。
The set of algorithms defined in this document can be found in Table 12.
このドキュメントで定義されているアルゴリズムのセットは、Table 12に記載されています。
| Name | Value | KDF | Description |
|---|---|---|---|
| direct+HKDF-SHA-256 | -10 | HKDF SHA-256 | Shared secret w/ HKDF and SHA-256 |
| direct+HKDF-SHA-512 | -11 | HKDF SHA-512 | Shared secret w/ HKDF and SHA-512 |
| direct+HKDF-AES-128 | -12 | HKDF AES-MAC-128 | Shared secret w/ AES-MAC 128-bit key |
| direct+HKDF-AES-256 | -13 | HKDF AES-MAC-256 | Shared secret w/ AES-MAC 256-bit key |
| Name | Value | KDF | Description |
|---|---|---|---|
| direct+HKDF-SHA-256 | -10 | HKDF SHA-256 | Shared secret w/ HKDF and SHA-256 |
| direct+HKDF-SHA-512 | -11 | HKDF SHA-512 | Shared secret w/ HKDF and SHA-512 |
| direct+HKDF-AES-128 | -12 | HKDF AES-MAC-128 | Shared secret w/ AES-MAC 128-bit key |
| direct+HKDF-AES-256 | -13 | HKDF AES-MAC-256 | Shared secret w/ AES-MAC 256-bit key |
When using a COSE key for this algorithm, the following checks are made:
このアルゴリズムでCOSEキーを使用する場合、以下のチェックが行われます:
The shared secret needs to have some method of being regularly updated over time. The shared secret forms the basis of trust. Although not used directly, it should still be subject to scheduled rotation.
共有の秘密は定期的に更新される方法が必要です。共有の秘密は信頼の基礎となります。直接使用されないかもしれませんが、予定された定期的な入れ替えの対象となるべきです。
These methods do not provide for perfect forward secrecy, as the same shared secret is used for all of the keys generated; however, if the key for any single message is discovered, only the message or series of messages using that derived key are compromised. A new key derivation step will generate a new key that requires the same amount of work to get the key.
これらのメソッドは完全な順方向秘匿性を提供しません。同じ共有秘密鍵が生成されたすべての鍵に使用されるためです。ただし、単一のメッセージの鍵が発見された場合、その派生鍵を使用するメッセージまたはシリーズのみが危険にさらされます。新しい鍵生成手順により、同じ作業量で鍵を取得する新しい鍵が生成されます。
Key wrap is defined in Section 8.5.2 of [RFC9052]. Information about how to fill in the COSE_Recipient structure is detailed there.
キーラップは、[RFC9052]のSection 8.5.2で定義されています。COSE_Recipient構造体の入力方法に関する情報は、そこで詳細に説明されています。
The AES Key Wrap algorithm is defined in [RFC3394]. This algorithm uses an AES key to wrap a value that is a multiple of 64 bits. As such, it can be used to wrap a key for any of the content encryption algorithms defined in this document. The algorithm requires a single fixed parameter, the initial value. This is fixed to the value specified in Section 2.2.3.1 of [RFC3394]. There are no public key parameters that vary on a per-invocation basis. The protected header bucket MUST be empty.
The AES Key Wrap algorithm is defined in [RFC3394]. This algorithm uses an AES key to wrap a value that is a multiple of 64 bits. As such, it can be used to wrap a key for any of the content encryption algorithms defined in this document. The algorithm requires a single fixed parameter, the initial value. This is fixed to the value specified in [RFC3394]のSection 2.2.3.1. There are no public key parameters that vary on a per-invocation basis. The protected header bucket MUST be empty.
Keys may be obtained from either a key structure or a recipient structure. Implementations that are encrypting or decrypting MUST validate that the key type, key length, and algorithm are correct and appropriate for the entities involved.
キーは、キー構造または受信者構造から取得することができます。暗号化または複合化を行っている実装は、関係するエンティティに対してキーのタイプ、キーの長さ、およびアルゴリズムが正しいか適切であることをしなければなりません(MUST)。
When using a COSE key for this algorithm, the following checks are made:
このアルゴリズムでCOSEキーを使用する場合、以下のチェックが行われます:しなければなりません(MUST)。
| Name | Value | Key Size | Description |
|---|---|---|---|
| A128KW | -3 | 128 | AES Key Wrap w/ 128-bit key |
| A192KW | -4 | 192 | AES Key Wrap w/ 192-bit key |
| A256KW | -5 | 256 | AES Key Wrap w/ 256-bit key |
| Name | Value | Key Size | Description |
|---|---|---|---|
| A128KW | -3 | 128 | AES Key Wrap w/ 128-bit key |
| A192KW | -4 | 192 | AES Key Wrap w/ 192-bit key |
| A256KW | -5 | 256 | AES Key Wrap w/ 256-bit key |
The shared secret needs to have some method of being regularly updated over time. The shared secret is the basis of trust.
The shared secret needs to have some method of being regularly updated over time. The shared secret is the basis of trust.
Direct Key Agreement is defined in Section 8.5.4 of [RFC9052]. Information about how to fill in the COSE_Recipient structure is detailed there.
ダイレクトキーアグリーメントは、[RFC9052]のSection 8.5.4で定義されています。COSE_Recipient構造体への入力方法の詳細については、そちらで説明されています。
ECDH is parameterized by the following:
ECDHは次のようにパラメータ化されます:
The curve selected controls not only the size of the shared secret, but the mathematics for computing the shared secret. The curve selected also controls how a point in the curve is represented and what happens for the identity points on the curve. In this specification, we allow for a number of different curves to be used. A set of curves is defined in Table 18.
The math used to obtain the computed secret is based on the curve selected and not on the ECDH algorithm. For this reason, a new algorithm does not need to be defined for each of the curves.
選択された曲線は、共有秘密のサイズだけでなく、共有秘密を計算するための数学も制御します。選択された曲線はまた、曲線上の各点の表現方法と、曲線上の単位点の挙動も制御します。この仕様では、複数の異なる曲線の使用を許可しています。曲線のセットは、Table 18で定義されています。
計算された秘密を得るために使用する数学は、選択された曲線に基づいており、ECDHアルゴリズムに基づいていません。このため、各曲線ごとに新しいアルゴリズムを定義する必要はありません。
COSE does not have an Ephemeral-Ephemeral version defined. The reason for this is that COSE is not an online protocol by itself and thus does not have a method of establishing ephemeral secrets on both sides. The expectation is that a protocol would establish the secrets for both sides, and then they would be used as Static-Static for the purposes of COSE, or that the protocol would generate a shared secret and a direct encryption would be used.
COSEにはエフェメラル-エフェメラルバージョンが定義されていません。これは、COSE自体がオンラインプロトコルではなく、両方の側でエフェメラルな秘密を確立する方法を持っていないためです。期待されているのは、プロトコルが両側の秘密を確立し、それらがCOSEの目的においてスタティック-スタティックとして使用されるか、プロトコルが共有秘密を生成し、直接暗号化が使用されることです。
The set of direct ECDH algorithms defined in this document is found in Table 14.
このドキュメントで定義された直接ECDHアルゴリズムのセットは、Table 14で見つけることができます。
| Name | Value | KDF | Ephemeral-Static | Key Wrap | Description |
|---|---|---|---|---|---|
| ECDH-ES + HKDF-256 | -25 | HKDF -- SHA-256 | yes | none | ECDH ES w/ HKDF -- generate key directly |
| ECDH-ES + HKDF-512 | -26 | HKDF -- SHA-512 | yes | none | ECDH ES w/ HKDF -- generate key directly |
| ECDH-SS + HKDF-256 | -27 | HKDF -- SHA-256 | no | none | ECDH SS w/ HKDF -- generate key directly |
| ECDH-SS + HKDF-512 | -28 | HKDF -- SHA-512 | no | none | ECDH SS w/ HKDF -- generate key directly |
| Name | Value | KDF | Ephemeral-Static | Key Wrap | Description |
|---|---|---|---|---|---|
| ECDH-ES + HKDF-256 | -25 | HKDF -- SHA-256 | yes | none | ECDH ES w/ HKDF -- generate key directly |
| ECDH-ES + HKDF-512 | -26 | HKDF -- SHA-512 | yes | none | ECDH ES w/ HKDF -- generate key directly |
| ECDH-SS + HKDF-256 | -27 | HKDF -- SHA-256 | no | none | ECDH SS w/ HKDF -- generate key directly |
| ECDH-SS + HKDF-512 | -28 | HKDF -- SHA-512 | no | none | ECDH SS w/ HKDF -- generate key directly |
| Name | Label | Type | Algorithm | Description |
|---|---|---|---|---|
| ephemeral key | -1 | COSE_Key | ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW | Ephemeral public key for the sender |
| static key | -2 | COSE_Key | ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | Static public key for the sender |
| static key id | -3 | bstr | ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | Static public key identifier for the sender |
| Name | Label | Type | Algorithm | Description |
|---|---|---|---|---|
| ephemeral key | -1 | COSE_Key | ECDH-ES+HKDF-256, ECDH-ES+HKDF-512, ECDH-ES+A128KW, ECDH-ES+A192KW, ECDH-ES+A256KW | Ephemeral public key for the sender |
| static key | -2 | COSE_Key | ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | Static public key for the sender |
| static key id | -3 | bstr | ECDH-SS+HKDF-256, ECDH-SS+HKDF-512, ECDH-SS+A128KW, ECDH-SS+A192KW, ECDH-SS+A256KW | Static public key identifier for the sender |
This document defines these algorithms to be used with the curves P-256, P-384, P-521, X25519, and X448. Implementations MUST verify that the key type and curve are correct. Different curves are restricted to different key types. Implementations MUST verify that the curve and algorithm are appropriate for the entities involved.
このドキュメントでは、これらのアルゴリズムをP-256、P-384、P-521、X25519、およびX448の曲線とともに使用するために定義します。実装は、鍵のタイプと曲線が正しいことを確認する必要があります(MUST)。異なる曲線は、異なる鍵のタイプに制限されています。実装は、関連する要素に適切な曲線とアルゴリズムであることを確認する必要があります(MUST)。
When using a COSE key for this algorithm, the following checks are made:
COSEキーをこのアルゴリズムに使用する場合、以下のチェックが行われます:
There is a method of checking that points provided from external entities are valid. For the "EC2" key format, this can be done by checking that the x and y values form a point on the curve. For the "OKP" format, there is no simple way to perform point validation.
外部エンティティから提供されるポイントが有効かどうかをチェックする方法があります。 「EC2」キー形式の場合、x値とy値が曲線上のポイントを形成しているかどうかをチェックすることでこれを行うことができます。 「OKP」形式の場合、ポイントの検証を行う簡単な方法はありません。
Consideration was given to requiring that the public keys of both entities be provided as part of the key derivation process (as recommended in Section 6.1 of [RFC7748]). This was not done, because COSE is used in a store-and-forward format rather than in online key exchange. In order for this to be a problem, either the receiver public key has to be chosen maliciously or the sender has to be malicious. In either case, all security evaporates anyway.
考慮された結果、キー派生プロセスの一部として、両エンティティの公開鍵が提供されることが必要とされました([RFC7748]のSection 6.1 で推奨されています)。ただし、COSEはオンラインキー交換ではなく、ストア・アンド・フォワード形式で使用されるため、これは行われていません。この問題になるためには、受信者の公開鍵が悪意を持って選択されるか、送信者が悪意を持っている必要があります。いずれの場合でも、 セキュリティーは消滅します。
A proof of possession of the private key associated with the public key is recommended when a key is moved from untrusted to trusted (either by the end user or by the entity that is responsible for making trust statements on keys).
公開鍵に関連する秘密鍵の所持の証明は、鍵が信頼されない状態から信頼された状態に移る場合(エンドユーザーまたは鍵について信頼性の宣言を行う実体によって移動される場合のいずれかであっても)、推奨されます。
Key Agreement with Key Wrap is defined in Section 8.5.5 of [RFC9052]. Information about how to fill in the COSE_Recipient structure is detailed there.
キー交換とキーラップに関しては、[RFC9052]のSection 8.5.5で定義されています。COSE_Recipient構造体の記入方法については、そこで詳細に説明されています。
ECDH with Key Agreement is parameterized by the same header parameters as for ECDH; see Section 6.3.1, with the following modifications:
ECDHキー契約には、ECDHと同じヘッダーパラメータがパラメータ設定されます。詳細はSection 6.3.1を参照してください。ただし、以下の修正があります:
| Name | Value | KDF | Ephemeral-Static | Key Wrap | Description |
|---|---|---|---|---|---|
| ECDH-ES + A128KW | -29 | HKDF -- SHA-256 | yes | A128KW | ECDH ES w/ HKDF and AES Key Wrap w/ 128-bit key |
| ECDH-ES + A192KW | -30 | HKDF -- SHA-256 | yes | A192KW | ECDH ES w/ HKDF and AES Key Wrap w/ 192-bit key |
| ECDH-ES + A256KW | -31 | HKDF -- SHA-256 | yes | A256KW | ECDH ES w/ HKDF and AES Key Wrap w/ 256-bit key |
| ECDH-SS + A128KW | -32 | HKDF -- SHA-256 | no | A128KW | ECDH SS w/ HKDF and AES Key Wrap w/ 128-bit key |
| ECDH-SS + A192KW | -33 | HKDF -- SHA-256 | no | A192KW | ECDH SS w/ HKDF and AES Key Wrap w/ 192-bit key |
| ECDH-SS + A256KW | -34 | HKDF -- SHA-256 | no | A256KW | ECDH SS w/ HKDF and AES Key Wrap w/ 256-bit key |
| Name | Value | KDF | Ephemeral-Static | Key Wrap | Description |
|---|---|---|---|---|---|
| ECDH-ES + A128KW | -29 | HKDF -- SHA-256 | yes | A128KW | ECDH ES w/ HKDF and AES Key Wrap w/ 128-bit key |
| ECDH-ES + A192KW | -30 | HKDF -- SHA-256 | yes | A192KW | ECDH ES w/ HKDF and AES Key Wrap w/ 192-bit key |
| ECDH-ES + A256KW | -31 | HKDF -- SHA-256 | yes | A256KW | ECDH ES w/ HKDF and AES Key Wrap w/ 256-bit key |
| ECDH-SS + A128KW | -32 | HKDF -- SHA-256 | no | A128KW | ECDH SS w/ HKDF and AES Key Wrap w/ 128-bit key |
| ECDH-SS + A192KW | -33 | HKDF -- SHA-256 | no | A192KW | ECDH SS w/ HKDF and AES Key Wrap w/ 192-bit key |
| ECDH-SS + A256KW | -34 | HKDF -- SHA-256 | no | A256KW | ECDH SS w/ HKDF and AES Key Wrap w/ 256-bit key |
When using a COSE key for this algorithm, the following checks are made:
このアルゴリズムでCOSEキーを使用する場合、以下のチェックが行われます:MUST
The COSE_Key object defines a way to hold a single key object. It is still required that the members of individual key types be defined. This section of the document is where we define an initial set of members for specific key types.
COSE_Keyオブジェクトは、単一のキーオブジェクトを保持する方法を定義します。個々のキータイプのメンバーが定義されることが依然として必要です。このドキュメントのこのセクションでは、特定のキータイプの初期メンバーセットを定義します。
For each of the key types, we define both public and private members. The public members are what is transmitted to others for their usage. Private members allow individuals to archive keys. However, there are some circumstances in which private keys may be distributed to entities in a protocol. Examples include: entities that have poor random number generation, centralized key creation for multicast-type operations, and protocols in which a shared secret is used as a bearer token for authorization purposes.
各キータイプについて、公開メンバーとプライベートメンバーを定義します。 公開メンバーは他の人が使用するために送信されるものです。 プライベートメンバーは個人がキーをアーカイブできるようにします。 ただし、プライベートキーがプロトコル内のエンティティに配布される場合もあります。 例としては、ランダム数生成が十分でないエンティティ、マルチキャスト型の操作のための中央集権化されたキー作成、および共有シークレットが認証目的のベアラトークンとして使用されるプロトコルがあります。
Key types are identified by the "kty" member of the COSE_Key object. In this document, we define four values for the member:
キータイプはCOSE_Keyオブジェクトの「kty」メンバーによって識別されます。この文書では、メンバーに対して4つの値を定義します。
| Name | Value | Description |
|---|---|---|
| OKP | 1 | Octet Key Pair |
| EC2 | 2 | Elliptic Curve Keys w/ x- and y-coordinate pair |
| Symmetric | 4 | Symmetric Keys |
| Reserved | 0 | This value is reserved |
| Name | Value | Description |
|---|---|---|
| OKP | 1 | Octet Key Pair |
| EC2 | 2 | Elliptic Curve Keys w/ x- and y-coordinate pair |
| Symmetric | 4 | Symmetric Keys |
| Reserved | 0 | This value is reserved |
Two different key structures are defined for elliptic curve keys. One version uses both an x-coordinate and a y-coordinate, potentially with point compression ("EC2"). This is the conventional elliptic curve (EC) point representation that is used in [RFC5480]. The other version uses only the x-coordinate, as the y-coordinate is either to be recomputed or not needed for the key agreement operation ("OKP").
楕円曲線鍵には2つの異なる鍵構造が定義されています。1つのバージョンは、x座標とy座標の両方を使用し、ポイント圧縮(「EC2」)を潜在的に使用します。これは、従来の楕円曲線(EC)ポイント表現であり、[RFC5480]で使用されています。もう1つのバージョンはx座標のみを使用し、y座標はキー合意操作において再計算されるか必要ないかどちらかです(「OKP」)。
Applications MUST check that the curve and the key type are consistent and reject a key if they are not.
アプリケーションは、カーブとキータイプが一致していない場合にはキーを拒否し、しなければなりません(MUST) 、と確認する必要があります。
| Name | Value | Key Type | Description |
|---|---|---|---|
| P-256 | 1 | EC2 | NIST P-256, also known as secp256r1 |
| P-384 | 2 | EC2 | NIST P-384, also known as secp384r1 |
| P-521 | 3 | EC2 | NIST P-521, also known as secp521r1 |
| X25519 | 4 | OKP | X25519 for use w/ ECDH only |
| X448 | 5 | OKP | X448 for use w/ ECDH only |
| Ed25519 | 6 | OKP | Ed25519 for use w/ EdDSA only |
| Ed448 | 7 | OKP | Ed448 for use w/ EdDSA only |
| Name | Value | Key Type | Description |
|---|---|---|---|
| P-256 | 1 | EC2 | NIST P-256, also known as secp256r1 |
| P-384 | 2 | EC2 | NIST P-384, also known as secp384r1 |
| P-521 | 3 | EC2 | NIST P-521, also known as secp521r1 |
| X25519 | 4 | OKP | X25519 for use w/ ECDH only |
| X448 | 5 | OKP | X448 for use w/ ECDH only |
| Ed25519 | 6 | OKP | Ed25519 for use w/ EdDSA only |
| Ed448 | 7 | OKP | Ed448 for use w/ EdDSA only |
Generally, protocols transmit elliptic-curve points as either the x-coordinate and y-coordinate or the x-coordinate and a sign bit for the y-coordinate. The latter encoding has not been recommended by the IETF due to potential IPR issues. However, for operations in constrained environments, the ability to shrink a message by not sending the y-coordinate is potentially useful.
一般に、プロトコルでは楕円曲線の点を、x座標とy座標またはx座標とy座標の符号ビットとして伝送します。後者のエンコーディングは、潜在的な知的財産権の問題のため、IETFによって推奨されていません。しかし、制約のある環境での動作において、y座標を送信しないことでメッセージを縮小することは、潜在的に有用です。
For EC keys with both coordinates, the "kty" member is set to 2 (EC2). The key parameters defined in this section are summarized in Table 19. The members that are defined for this key type are:
ECキーの両座標を持つ場合、「kty」メンバーは2(EC2)に設定されます。このセクションで定義されたキーパラメータはTable 19で要約されています。このキータイプに対して定義されたメンバーは以下の通りです。
For public keys, it is REQUIRED that "crv", "x", and "y" be present in the structure. For private keys, it is REQUIRED that "crv" and "d" be present in the structure. For private keys, it is RECOMMENDED that "x" and "y" also be present, but they can be recomputed from the required elements, and omitting them saves on space.
公開鍵については、構造体に「crv」、「x」、「y」が要求されています(REQUIRED)。秘密鍵については、構造体に「crv」と「d」が要求されています(REQUIRED)。秘密鍵については、構造体に「x」と「y」も推奨されます(RECOMMENDED)が、これらは必要な要素から再計算することができ、省略することでスペースを節約できます。
| Key Type | Name | Label | CBOR Type | Description |
|---|---|---|---|---|
| 2 | crv | -1 | int / tstr | EC identifier -- Taken from the "COSE Elliptic Curves" registry |
| 2 | x | -2 | bstr | x-coordinate |
| 2 | y | -3 | bstr / bool | y-coordinate |
| 2 | d | -4 | bstr | Private key |
| Key Type | Name | Label | CBOR Type | Description |
|---|---|---|---|---|
| 2 | crv | -1 | int / tstr | EC identifier -- Taken from the "COSE Elliptic Curves" registry |
| 2 | x | -2 | bstr | x-coordinate |
| 2 | y | -3 | bstr / bool | y-coordinate |
| 2 | d | -4 | bstr | Private key |
A new key type is defined for Octet Key Pairs (OKPs). Do not assume that keys using this type are elliptic curves. This key type could be used for other curve types (for example, mathematics based on hyper-elliptic surfaces).
新しいキーのタイプがOctet Key Pairs (OKPs) 用に定義されます。このタイプのキーが楕円曲線であることは仮定しないでください。このキーのタイプは他の曲線タイプにも使用される可能性があります(例えば、超楕円曲面ベースの数学など)。
The key parameters defined in this section are summarized in Table 20. The members that are defined for this key type are:
このセクションで定義されている主要なパラメータは、Table 20 にまとめられています。この鍵タイプに定義されているメンバは以下の通りです:
For public keys, it is REQUIRED that "crv" and "x" be present in the structure. For private keys, it is REQUIRED that "crv" and "d" be present in the structure. For private keys, it is RECOMMENDED that "x" also be present, but it can be recomputed from the required elements, and omitting it saves on space.
公開鍵において、「crv」と「x」が構造に存在することが要求されています(REQUIRED)。秘密鍵においては、「crv」と「d」が構造に存在することが要求されています(REQUIRED)。秘密鍵においては、推奨されます(RECOMMENDED)が、「x」も存在することですが、必須要素から再計算できるため、省略することでスペースを節約できます。
| Name | Key Type | Label | Type | Description |
|---|---|---|---|---|
| crv | 1 | -1 | int / tstr | EC identifier -- Taken from the "COSE Elliptic Curves" registry |
| x | 1 | -2 | bstr | Public Key |
| d | 1 | -4 | bstr | Private key |
| Name | Key Type | Label | Type | Description |
|---|---|---|---|---|
| crv | 1 | -1 | int / tstr | EC identifier -- Taken from the "COSE Elliptic Curves" registry |
| x | 1 | -2 | bstr | Public Key |
| d | 1 | -4 | bstr | Private key |
Occasionally, it is required that a symmetric key be transported between entities. This key structure allows for that to happen.
時々、エンティティ間で対称鍵の転送が必要とされる場合があります。この鍵構造はそのためのものです。
For symmetric keys, the "kty" member is set to 4 ("Symmetric"). The member that is defined for this key type is:
対称鍵において、「kty」メンバは4("Symmetric")に設定されます。この鍵タイプに定義されたメンバは以下の通りです:
This key structure does not have a form that contains only public members. As it is expected that this key structure is going to be transmitted, care must be taken that it is never transmitted accidentally or insecurely. For symmetric keys, it is REQUIRED that "k" be present in the structure.
このキー構造には、公開メンバのみを含む形式がありません。このキー構造が送信されることを想定しているため、誤ってまたは安全でない方法で送信されないように注意が必要です。対称キーの場合、構造内に「k」が存在することが要求されています(REQUIRED)。
| Name | Key Type | Label | Type | Description |
|---|---|---|---|---|
| k | 4 | -1 | bstr | Key Value |
| Name | Key Type | Label | Type | Description |
|---|---|---|---|---|
| k | 4 | -1 | bstr | Key Value |
The capabilities of an algorithm or key type need to be specified in some situations. This has a counterpart in the S/MIME specifications, where SMIMECapabilities is defined in Section 2.5.2 of [RFC8551]. This document defines the same concept for COSE.
アルゴリズムまたは鍵の種類の機能は、一部の状況で指定する必要があります。これは、S/MIME仕様において対応するものがあり、SMIMECapabilitiesは[RFC8551]のSection 2.5.2で定義されています。このドキュメントは、COSEのために同じ概念を定義します。
The algorithm identifier is not included in the capabilities data, as it should be encoded elsewhere in the message. The key type identifier is included in the capabilities data, as it is not expected to be encoded elsewhere.
アルゴリズム識別子は、メッセージの他の場所でエンコードされる必要があるため、機能データには含まれていません。一方、キータイプ識別子は機能データに含まれており、他の場所でエンコードされることはありません。
Two different types of capabilities are defined: capabilities for algorithms and capabilities for key type. Once defined by registration with IANA, the list of capabilities for an algorithm or key type is immutable. If it is later found that a new capability is needed for a key type or algorithm, it will require that a new code point be assigned to deal with that. As a general rule, the capabilities are going to map to algorithm-specific header parameters or key parameters, but they do not need to do so. An example of this is the HSS-LMS key type capabilities defined below, where the hash algorithm used is included.
2つの異なるタイプの機能が定義されています:アルゴリズムのための機能と鍵の種類のための機能です。 IANAで登録された後、アルゴリズムまたは鍵の種類の機能のリストは変更されません。もし後で新たな機能が鍵の種類またはアルゴリズムに必要とされることが分かれば、新しいコードポイントを割り当てる必要があります。一般的なルールとして、機能はアルゴリズム固有のヘッダーパラメータや鍵パラメータにマッピングされる予定ですが、必ずしもそうする必要はありません。以下に示すHSS-LMS鍵の種類の機能が含まれる例があります。
The capability structure is an array of values; the values included in the structure are dependent on a specific algorithm or key type. For algorithm capabilities, the first element should always be a key type value if applicable, but the items that are specific to a key (for example, a curve) should not be included in the algorithm capabilities. This means that if one wishes to enumerate all of the capabilities for a device that implements ECDH, it requires that all of the combinations of algorithms and key pairs be specified. The last example of Section 8.3 provides a case where this is done by allowing for a cross product to be specified between an array of algorithm capabilities and key type capabilities (see the ECDH-ES+A25KW element). For a key, the first element should be the key type value. While this means that the key type value will be duplicated if both an algorithm and key capability are used, the key type is needed in order to understand the rest of the values.
能力構造体は値の配列です。構造体に含まれる値は、特定のアルゴリズムまたは鍵タイプに依存します。アルゴリズムの能力においては、適用可能な場合には常に最初の要素が鍵タイプの値であるべきですが、鍵に固有のアイテム(たとえば、曲線)はアルゴリズムの能力に含まれていてはなりません。つまり、ECDHを実装するデバイスのすべての能力を列挙したい場合には、アルゴリズムと鍵ペアの組み合わせのすべてが指定される必要があります。最後の例は、アルゴリズムの能力の配列と鍵タイプの能力の配列の直積が指定されることによって実現されており、この場合はECDH-ES+A25KW要素が使用されています(セクション8.3を参照)。鍵に関しては、最初の要素は鍵タイプの値であるべきです。したがって、アルゴリズムと鍵の能力が両方使用される場合、鍵タイプの値が重複することになりますが、鍵タイプは他の値を理解するために必要です。
For the current set of algorithms in the registry other than IV-GENERATION (those in this document as well as those in [RFC8230], [RFC8778], and [RFC9021]), the capabilities list is an array with one element, the key type (from the "COSE Key Types" Registry). It is expected that future registered algorithms could have zero, one, or multiple elements.
There are a number of pre-existing key types; the following deals with creating the capability definition for those structures:
事前に存在するいくつかのキータイプがあります。次に、これらの構造に対して能力定義を作成する方法について説明します。
OKP, EC2: The list of capabilities is:
RSA: The list of capabilities is:
Symmetric: The list of capabilities is:
HSS-LMS: The list of capabilities is:
WalnutDSA: The list of capabilities is:
OKP、EC2:機能のリストは次のとおりです:
RSA:可能性のリストは次のとおりです:
対称的:機能のリストは次のとおりです:
HSS-LMS: 機能のリストは次のとおりです:
WalnutDSA:capabilitayのリストは以下の通りです:
Capabilities can be used in a key derivation process to make sure that both sides are using the same parameters. The three examples below show different ways that one might utilize parameters in specifying an application protocol:
能力は、両側が同じパラメータを使用していることを確認するために、キー導出プロセスで使用することができます。以下の3つの例は、アプリケーションプロトコルの指定においてパラメータを利用するさまざまな方法を示しています。
Algorithm ES256 0x8102 / [2 \ EC2 \ ] / Key type EC2 with P-256 curve: 0x820201 / [2 \ EC2 \, 1 \ P-256 \] / ECDH-ES + A256KW with an X25519 curve: 0x8101820104 / [1 \ OKP \],[1 \ OKP \, 4 \ X25519 \] /
Algorithm ES256 0x8102 / [2 \ EC2 \ ] / Key type EC2 with P-256 curve: 0x820201 / [2 \ EC2 \, 1 \ P-256 \] / ECDH-ES + A256KW with an X25519 curve: 0x8101820104 / [1 \ OKP \],[1 \ OKP \, 4 \ X25519 \] /
The capabilities can also be used by an entity to advertise what it is capable of doing. The decoded example below is one of many encodings that could be used for that purpose. Each array element includes three fields: the algorithm identifier, one or more algorithm capabilities, and one or more key type capabilities.
機能は、エンティティが自身が何ができるかを広告するためにも使用できます。以下のデコードされた例は、その目的のために使用できる多くのエンコーディングの1つです。各配列要素には、アルゴリズム識別子、1つ以上のアルゴリズム機能、および1つ以上のキータイプ機能が含まれています。
[
[-8 / EdDSA /,
[1 / OKP key type /],
[
[1 / OKP /, 6 / Ed25519 / ],
[1 /OKP/, 7 /Ed448 /]
]
],
[-7 / ECDSA with SHA-256/,
[2 /EC2 key type/],
[
[2 /EC2/, 1 /P-256/],
[2 /EC2/, 3 /P-521/]
]
],
[ -31 / ECDH-ES+A256KW/,
[
[ 2 /EC2/],
[1 /OKP/ ]
],
[
[2 /EC2/, 1 /P-256/],
[1 /OKP/, 4 / X25519/ ]
]
],
[ 1 / A128GCM /,
[ 4 / Symmetric / ],
[ 4 / Symmetric /]
]
]
[
[-8 / EdDSA /,
[1 / OKP key type /],
[
[1 / OKP /, 6 / Ed25519 / ],
[1 /OKP/, 7 /Ed448 /]
]
],
[-7 / ECDSA with SHA-256/,
[2 /EC2 key type/],
[
[2 /EC2/, 1 /P-256/],
[2 /EC2/, 3 /P-521/]
]
],
[ -31 / ECDH-ES+A256KW/,
[
[ 2 /EC2/],
[1 /OKP/ ]
],
[
[2 /EC2/, 1 /P-256/],
[1 /OKP/, 4 / X25519/ ]
]
],
[ 1 / A128GCM /,
[ 4 / Symmetric / ],
[ 4 / Symmetric /]
]
]
Examining the above:
上記を調べると、
The entity does not advertise that it supports any MAC algorithms.
エンティティは、どのMACアルゴリズムもサポートしていないことを広告していません。
This document limits the restrictions it imposes on how the CBOR Encoder needs to work. The new encoding restrictions are aligned with the Core Deterministic Encoding Requirements specified in Section 4.2.1 of [STD94]. It has been narrowed down to the following restrictions:
この文書では、CBORエンコーダーの動作に課す制限を制限しています。新しいエンコードの制限は、[STD94]のSection 4.2.1で指定されたコアデターミニスティックエンコード要件に合わせられています。以下の制限に絞られています:
IANA has updated all COSE registries except for "COSE Header Parameters" and "COSE Key Common Parameters" to point to this document instead of [RFC8152].
IANAは、「COSEヘッダパラメータ」と「COSEキーコモンパラメータ」以外のすべてのCOSEレジストリを、このドキュメントではなく、[RFC8152]を指すように更新しました。
IANA has added a new column in the "COSE Key Types" registry. The new column is labeled "Capabilities" and has been populated according to the entries in Table 22.
IANAは「COSEキータイプ」レジストリに新しい列を追加しました。新しい列は「Capabilities」とラベル付けされ、Table 22のエントリに基づいて埋められました。
| Value | Name | Capabilities |
|---|---|---|
| 1 | OKP | [kty(1), crv] |
| 2 | EC2 | [kty(2), crv] |
| 3 | RSA | [kty(3)] |
| 4 | Symmetric | [kty(4)] |
| 5 | HSS-LMS | [kty(5), hash algorithm] |
| 6 | WalnutDSA | [kty(6), N value, q value] |
| Value | Name | Capabilities |
|---|---|---|
| 1 | OKP | [kty(1), crv] |
| 2 | EC2 | [kty(2), crv] |
| 3 | RSA | [kty(3)] |
| 4 | Symmetric | [kty(4)] |
| 5 | HSS-LMS | [kty(5), hash algorithm] |
| 6 | WalnutDSA | [kty(6), N value, q value] |
IANA has added a new column in the "COSE Algorithms" registry. The new column is labeled "Capabilities" and has been populated with "[kty]" for all current, nonprovisional registrations.
IANAは「COSE Algorithms」登録に新しい列を追加しました。新しい列には「Capabilities」というラベルが付けられ、現在の非仮登録のすべての項目には「[kty]」が入力されています。
IANA has updated the Reference column in the "COSE Algorithms" registry to include this document as a reference for all rows where it was not already present.
IANAは「COSE Algorithms」レジストリの「Reference」列を更新し、このドキュメントを既に存在しないすべての行の参照として追加しました。
IANA has added a new row to the "COSE Algorithms" registry.
IANAは「COSEアルゴリズム」レジストリに新しい行を追加しました。
| Name | Value | Description | Reference | Recommended |
|---|---|---|---|---|
| IV-GENERATION | 34 | For doing IV generation for symmetric algorithms. | RFC 9053 | No |
| Name | Value | Description | Reference | Recommended |
|---|---|---|---|---|
| IV-GENERATION | 34 | For doing IV generation for symmetric algorithms. | RFC 9053 | No |
The Capabilities column for this registration is to be empty.
この登録の「Capabilities」欄は空白にする必要があります。
Expert reviewers should take the following into consideration:
専門的な審査者は、以下の点を考慮すべきです:
There are a number of security considerations that need to be taken into account by implementers of this specification. The security considerations that are specific to an individual algorithm are placed next to the description of the algorithm. While some considerations have been highlighted here, additional considerations may be found in the documents listed in the references.
この仕様の実装者は考慮すべき セキュリティーに関する事項があります。各アルゴリズムに特有の セキュリティーに関する事項は、アルゴリズムの説明の隣に配置されます。ここで強調されている事項以外にも、参考文献にリストされた文書に追加の考慮事項が存在する場合があります。
Implementations need to protect the private key material for all individuals. Some cases in this document need to be highlighted with regard to this issue.
実装は、個人のすべての秘密鍵素材を保護する必要があります。この資料では、この問題に関していくつかのケースを強調する必要があります。
The use of ECDH and direct plus KDF (with no key wrap) will not directly lead to the private key being leaked; the one-way function of the KDF will prevent that. There is, however, a different issue that needs to be addressed. Having two recipients requires that the CEK be shared between two recipients. The second recipient therefore has a CEK that was derived from material that can be used for the weak proof of origin. The second recipient could create a message using the same CEK and send it to the first recipient; the first recipient would, for either Static-Static ECDH or direct plus KDF, make an assumption that the CEK could be used for proof of origin, even though it is from the wrong entity. If the key wrap step is added, then no proof of origin is implied and this is not an issue.
ECDHと直接プラスKDF(キーラップなし)の使用は、秘密鍵の漏洩に直接つながることはありません。KDFのワンウェイ関数がそれを防ぎます。ただし、対処が必要な別の問題があります。2つの受信者がいる場合、CEKは2つの受信者間で共有される必要があります。したがって、第2の受信者は、弱い証跡のために使用できる材料から派生したCEKを持っています。第2の受信者は同じCEKを使用してメッセージを作成し、第1の受信者に送信することができます。第1の受信者は、Static-Static ECDHまたは直接プラスKDFの場合、CEKを証跡のために使用できると仮定しますが、実際には正しいエンティティからではありません。キーラップステップが追加されると、証跡が暗示されず、これは問題ではありません。
Although it has been mentioned before, it bears repeating that the use of a single key for multiple algorithms has been demonstrated in some cases to leak information about a key, providing the opportunity for attackers to forge integrity tags or gain information about encrypted content. Binding a key to a single algorithm prevents these problems. Key creators and key consumers are strongly encouraged to not only create new keys for each different algorithm, but to include that selection of algorithm in any distribution of key material and strictly enforce the matching of algorithms in the key structure to algorithms in the message structure. In addition to checking that algorithms are correct, the key form needs to be checked as well. Do not use an "EC2" key where an "OKP" key is expected.
以前にも触れられていますが、1つのキーを複数のアルゴリズムに使用することは、キーに関する情報漏洩の可能性があることがいくつかの事例で示されており、攻撃者が整合性タグの偽造または暗号化されたコンテンツの情報を入手する機会を提供します。1つのアルゴリズムにキーをバインドすることによって、これらの問題を防ぐことができます。キーの作成者とキーの利用者は、異なるアルゴリズムごとに新しいキーを作成するだけでなく、そのアルゴリズムの選択をキーの分配に含め、キーの構造とメッセージの構造のアルゴリズムを厳密に一致させることを強く推奨されます。正しいアルゴリズムを確認するだけでなく、キーの形式も確認する必要があります。"EC2"キーを期待する場所で"OKP"キーを使用しないでください。
Before using a key for transmission, or before acting on information received, a trust decision on a key needs to be made. Is the data or action something that the entity associated with the key has a right to see or a right to request? A number of factors are associated with this trust decision. Some highlighted here are:
送信にキーを使用する前、または受信した情報に対して操作する前に、キーについての信頼判断が必要です。データやアクションは、キーと関連するエンティティが見る権限や要求する権限があるものですか?この信頼判断にはいくつかの要素が関連しています。以下にいくつかの重要な要素を挙げます:
There are a large number of algorithms presented in this document that use nonce values. For all of the nonces defined in this document, there is some type of restriction on the nonce being a unique value for either a key or some other conditions. In all of these cases, there is no known requirement on the nonce being both unique and unpredictable; under these circumstances, it's reasonable to use a counter for creation of the nonce. In cases where one wants the pattern of the nonce to be unpredictable as well as unique, one can use a key created for that purpose and encrypt the counter to produce the nonce value.
このドキュメントには、ノンス値を使用する多数のアルゴリズムが示されています。このドキュメントで定義されているすべてのノンスについて、キーまたは他の条件に対してノンスが一意の値であるという制限が存在します。これらのすべての場合において、ノンスが一意かつ予測不可能であるという要件は不明です。そのような状況では、ノンスの作成にカウンタを使用することが合理的です。ノンスのパターンを予測不可能かつ一意にしたい場合は、その目的のために作成されたキーを使用し、カウンタを暗号化してノンスの値を生成することができます。
One area that has been getting exposure is traffic analysis of encrypted messages based on the length of the message. This specification does not provide a uniform method for providing padding as part of the message structure. An observer can distinguish between two different messages (for example, "YES" and "NO") based on the length for all of the content encryption algorithms that are defined in this document. This means that it is up to the applications to document how content padding is to be done in order to prevent or discourage such analysis. (For example, the text strings could be defined as "YES" and "NO ".)
暗号化されたメッセージのトラフィック分析は、メッセージの長さに基づいて注目されている分野の一つです。この仕様では、メッセージ構造の一部としてパディングを提供するための一貫した方法を提供していません。このドキュメントで定義されているすべてのコンテンツ暗号化アルゴリズムにおいて、観測者はメッセージの長さに基づいて2つの異なるメッセージ(例: 「YES」と「NO」)を区別することができます。つまり、メッセージのパディング方法を文書化することは、アプリケーションの役割であり、そのような分析を防止または妨げるための手段とする必要があります(例えば、テキスト文字列を「YES」と「NO 」と定義するなど)。
The analysis done in [RFC9147] is based on the number of records that are sent. This should map well to the number of messages sent when using COSE, so that analysis should hold here as well, under the assumption that the COSE messages are roughly the same size as DTLS records. It needs to be noted that the limits are based on the number of messages, but QUIC and DTLS are always pairwise-based endpoints. In contrast, [OSCORE-GROUPCOMM] uses COSE in a group communication scenario. Under these circumstances, it may be that no one single entity will see all of the messages that are encrypted, and therefore no single entity can trigger the rekey operation.
<bcp14>MUST</bcp14>、<bcp14>MUST NOT</bcp14>、<bcp14>REQUIRED</bcp14>、<bcp14>SHALL</bcp14>、<bcp14>SHALL NOT</bcp14>、<bcp14>SHOULD</bcp14>、<bcp14>SHOULD NOT</bcp14>、<bcp14>RECOMMENDED</bcp14>、<bcp14>NOT RECOMMENDED</bcp14>、<bcp14>MAY</bcp14>、および<bcp14>OPTIONAL</bcp14>は、それぞれ以下のように翻訳されます。「しなければなりません(MUST)」、「してはなりません(MUST NOT)」、「要求されています(REQUIRED)」、「することになります(SHALL)」、「することはありません(SHALL NOT)」、「すべきです(SHOULD)」、「すべきではありません(SHOULD NOT)」、「推奨されます(RECOMMENDED)」、「推奨されません(NOT RECOMMENDED)」、「してもよいです(MAY)」、「選択できます(OPTIONAL)」。 [RFC9147]で行われた分析は、送信されるレコードの数に基づいています。これはCOSEを使用する場合に送信されるメッセージの数と密接に関連しているため、COSEのメッセージがDTLSのレコードとほぼ同じサイズであるという仮定の下、この分析は同様に適用されるはずです。ただし、制限はメッセージの数に基づいていますが、QUICとDTLSは常にペアワイズベースのエンドポイントです。これに対し、<xref xmlns:xi="http://www.w3.org/2001/XInclude" target="I-D.ietf-core-oscore-groupcomm" format="default" sectionFormat="of" derivedContent="OSCORE-GROUPCOMM"/>はCOSEをグループ通信シナリオで使用します。これらの状況では、暗号化されたメッセージを完全に受信できる単一のエンティティが存在せず、したがって単一のエンティティによる再鍵操作をトリガーすることはできない可能性があります。
This document is a product of the COSE Working Group of the IETF.
このドキュメントは、IETFのCOSEワーキンググループの成果物です。
The following individuals are to blame for getting me started on this project in the first place: Richard Barnes, Matt Miller, and Martin Thomson.
最初からこのプロジェクトを始めさせたのは、次の個人のせいです:Richard Barnes、Matt Miller、およびMartin Thomson。
The initial draft version of the specification was based to some degree on the outputs of the JOSE and S/MIME Working Groups.
仕様の初期ドラフトバージョンは、一部、JOSEおよびS/MIME Working Groupsの成果に基づいています。
The following individuals provided input into the final form of the document: Carsten Bormann, John Bradley, Brian Campbell, Michael B. Jones, Ilari Liusvaara, Francesca Palombini, Ludwig Seitz, and Göran Selander.
次の個人が、この文書の最終形式に関する入力を提供しました:``Carsten Bormann``、``John Bradley``、``Brian Campbell``、``Michael B. Jones``、``Ilari Liusvaara``、``Francesca Palombini``、``Ludwig Seitz``、``Göran Selander``。