java - NIST SP 800-56A Concatenation/Single-Step Key Derivation Function の既存の実装?

Question

NIST SP 800-56A Concatenation Key Derivation Function / CONCAT KDF (できれば Java) の既存の実装を知っている人はいますか?

鍵導出関数は、NIST の出版物のセクション 5.8.1 に記載されています: 離散対数暗号を使用したペアワイズ鍵確立スキームの推奨

リンクはこちら: http://csrc.nist.gov/publications/nistpubs/800-56A/SP800-56A_Revision1_Mar08-2007.pdf

Microsoft の CNG にはここに実装がありますが、NIST SP 800-56A で文書化されているパラメーターと比較して、Microsoft によって実装された関数を比較すると、それらは一致せず、Microsoft による実装は使用できません。C++でもサンプルプログラムを実装しようとしましたが、パラメータが一致しませんでした。

誰かがそれを実装しようとしたり、既存の実装を知ったりすることはできますか?

NIST仕様に正確である理由を正当化できる実装を探しています。いくつかの実装を見てきましたが、それらは NIST 仕様に正確ではないと感じています (パラメーターの欠落、無効なロジック フローなど)。

自分で実装できる場合は、議論のために自分のソース コードを共有できることを常に嬉しく思います。ありがとう！これは、オープン ソース コミュニティへの良い貢献になるでしょう。

編集：

@Rasmus Faber のおかげで、ようやくこの質問を終わらせることができ、他のみんなが私と同じ質問に答えられることを願っています。

@Rasmus Faber と元のコードに基づいて編集したコードは次のとおりです。

ConcatKeyDerivationFunction.java

import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

/**
 * 
 * Implementation of Concatenation Key Derivation Function<br/>
 * http://csrc.nist.gov/publications/nistpubs/800-56A/SP800-56A_Revision1_Mar08-2007.pdf
 *
 */

public class ConcatKeyDerivationFunction {

    private static final long MAX_HASH_INPUTLEN = Long.MAX_VALUE;
    private static final long UNSIGNED_INT_MAX_VALUE = 4294967295L;
    private static MessageDigest md;

    public ConcatKeyDerivationFunction(String hashAlg) throws NoSuchAlgorithmException {
        md = MessageDigest.getInstance(hashAlg);
    }

    public byte[] concatKDF(byte[] z, int keyDataLen, byte[] algorithmID, byte[] partyUInfo, byte[] partyVInfo, byte[] suppPubInfo, byte[] suppPrivInfo) {
        int hashLen = md.getDigestLength() * 8;

        if (keyDataLen % 8 != 0) {
            throw new IllegalArgumentException("keydatalen should be a multiple of 8");
        }

        if (keyDataLen > (long) hashLen * UNSIGNED_INT_MAX_VALUE) {
            throw new IllegalArgumentException("keydatalen is too large");
        }

        if (algorithmID == null || partyUInfo == null || partyVInfo == null) {
            throw new NullPointerException("Required parameter is null");
        }

        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        try {
            baos.write(algorithmID);
            baos.write(partyUInfo);
            baos.write(partyVInfo);
            if (suppPubInfo != null) {
                baos.write(suppPubInfo);
            }
            if (suppPrivInfo != null) {
                baos.write(suppPrivInfo);
            }
        } catch (IOException e) {
            throw new RuntimeException(e);
        }

        byte[] otherInfo = baos.toByteArray();
        return concatKDF(z, keyDataLen, otherInfo);
    }

    private byte[] concatKDF(byte[] z, int keyDataLen, byte[] otherInfo) {
        keyDataLen = keyDataLen / 8;
        byte[] key = new byte[keyDataLen];

        int hashLen = md.getDigestLength();
        int reps = keyDataLen / hashLen;

        if (reps > UNSIGNED_INT_MAX_VALUE) {
            throw new IllegalArgumentException("Key derivation failed");
        }

        int counter = 1;
        byte[] counterInBytes = intToFourBytes(counter);

        if ((counterInBytes.length + z.length + otherInfo.length) * 8 > MAX_HASH_INPUTLEN) {
            throw new IllegalArgumentException("Key derivation failed");
        }

        for (int i = 0; i <= reps; i++) {
            md.reset();
            md.update(intToFourBytes(i + 1));
            md.update(z);
            md.update(otherInfo);

            byte[] hash = md.digest();
            if (i < reps) {
                System.arraycopy(hash, 0, key, hashLen * i, hashLen);
            } else {
                System.arraycopy(hash, 0, key, hashLen * i, keyDataLen % hashLen);
            }
        }
        return key;
    }

    private byte[] intToFourBytes(int i) {
        byte[] res = new byte[4];
        res[0] = (byte) (i >>> 24);
        res[1] = (byte) ((i >>> 16) & 0xFF);
        res[2] = (byte) ((i >>> 8) & 0xFF);
        res[3] = (byte) (i & 0xFF);
        return res;
    }
}

@Rasmus Faber: ご尽力いただきありがとうございます。上記のコードの完全な信用を与えます。上記のコードで行ったことは、NIST 仕様で要求される検証を実行するコードを追加することでした。

また、渡された keyDataLen がビット単位の長さを指定することを意図していたが、バイト単位の長さとして扱われていたバグを修正しました。したがって、生成されたキーは 8 倍の大きさになりました。

keyDataLen = keyDataLen/8;これは、2 番目のメソッドの最初の行に行を追加することで修正されました。

皆さんのサポートに感謝し、このコードがオープン ソース コミュニティに大いに役立つことを願っています!

Answer 1

これは簡単で汚い実装です：

    public byte[] concatKDF(String hashAlg, byte[] z, int keyDataLen, byte[] algorithmID, byte[] partyUInfo, byte[] partyVInfo, byte[] suppPubInfo, byte[] suppPrivInfo) throws NoSuchAlgorithmException
{
    ByteArrayOutputStream baos = new ByteArrayOutputStream();
    try {
        baos.write(algorithmID);
        baos.write(partyUInfo);
        baos.write(partyVInfo);
        baos.write(suppPubInfo);
        baos.write(suppPrivInfo);
    } catch (IOException e) {
        throw new RuntimeException(e);
    }

    byte[] otherInfo = baos.toByteArray();
    return concatKDF(hashAlg, z, keyDataLen, otherInfo);
}

public byte[] concatKDF(String hashAlg, byte[] z, int keyDataLen, byte[] otherInfo) throws NoSuchAlgorithmException
{
    byte[] key = new byte[keyDataLen];
    MessageDigest md = MessageDigest.getInstance(hashAlg);
    int hashLen = md.getDigestLength(); 
    int reps = keyDataLen / hashLen;
    for(int i=1;i<=reps;i++){
        md.reset();
        md.update(intToFourBytes(i));
        md.update(z);
        md.update(otherInfo);
        byte[] hash = md.digest();
        if(i<reps){
            System.arraycopy(hash, 0, key, hashLen*(i-1), hashLen);
        }else{
            if(keyDataLen % hashLen == 0){
                System.arraycopy(hash, 0, key, hashLen*(i-1), hashLen);
            }else{
                System.arraycopy(hash, 0, key, hashLen*(i-1), keyDataLen % hashLen);
            }
        }
    }
    return key;
}

public byte[] intToFourBytes(int i){
    byte[] res = new byte[4];
    res[0] = (byte) (i >>> 24);
    res[1] = (byte) ((i >>> 16) & 0xFF);
    res[2] = (byte) ((i >>> 8) & 0xFF);
    res[3] = (byte) (i & 0xFF);
    return res;
}

Answer 2

http://csrc.nist.gov/groups/STM/cavp/documents/components/componentval.htmlValidated Component Implementationsのリストですべてをテストしてから、それらを見つけることができるとは思わないでください。

Java でそれらを記述しているサプライヤは 1 つだけです - Entrust http://www.entrust.com。

それらはすべてKDFなしで検証されます:)。残りの作業はあなた次第です。