ネットワーク WG
Request for Comments: 1321

R. Rivest
MIT Laboratory for Computer Science
and RSA Data Security, Inc.
1992年 4月

English

MD5 メッセージダイジェストアルゴリズム
(The MD5 Message-Digest Algorithm)

このメモの位置付け

このメモは、インターネットコミュニティに情報を提供するものである。インターネット標準を規定するものではない。このメモの配布に制限はない。

謝辞

多くの有用なコメントと提案を頂いた Don Coppersmith氏、Burt Kaliski氏、Ralph Merkle氏、David Chaum氏および Noam Nisan氏に感謝する。

目次

1. 要約

2. 用語と記法

3. MD5 アルゴリズム

4. まとめ

5. MD4 と MD 5 の違い

参考文献

補遺 A - 参考実装

セキュリティについての考慮事項

著者のアドレス

1. 要約 English

本書において、MD5 メッセージダイジェストアルゴリズムについて記述する。このアルゴリズムは、任意の長さのメッセージを受け取り、128 ビットの「指紋」、すなわち入力の「メッセージダイジェスト」を出力する。同じメッセージダイジェストとなる 2つのメッセージを作成すること、または、あらかじめ指定されたメッセージダイジェストとなるメッセージを作成することは、計算上実行不可能であると推測される。MD5 アルゴリズムは、電子署名アプリケーションにおける利用が意図されている。この場合、大きなサイズのファイルは、RSA 等の公開鍵暗号方式における私有鍵で暗号化される前に、セキュアな作法で「圧縮」されなければならない。

MD5 アルゴリズムは、32 ビットマシンで非常に速く処理できるように設計されている。さらに、MD5 アルゴリズムは、大きなテーブルも必要とせず、全くコンパクトにアルゴリズムをコード化することができる。

MD5 アルゴリズムは、MD4 メッセージダイジェストアルゴリズム [1, 2] を拡張したものである。MD5 は、MD4 に比してわずかに遅いが、設計的には MD4 よりも「保守的」である。MD5 が設計されたのは、MD4 が現存する重要なレヴューの正当性という理由より、むしろその速さにより採用されている感触があったからである。MD4 は、特に高速演算ができるように設計されたため、暗号解析攻撃が成功してしまうリスクについて、「ギリギリ」である。MD5 においては、少し引き返し、究極のセキュリティを追求するために、速度を少し犠牲にしている。これには、様々なレヴュー者によるいくつかの提案と、さらなる最適化が含まれている。MD5 アルゴリズムは、レヴュー、そして標準採用への可能性という理由によりパブリックドメインにされている。

OSI に基づくアプリケーションにおいては、MD5 のオブジェクト識別子は、下記のようなものである。

md5 OBJECT IDENTIFIER ::=

iso(1) member-body(2) US(840) rsadsi(113549) digestAlgorithm(2) 5}

X.509の AlgorithmIdentifier型 [3]では、MD5 における parameters は、NULL型であるべきである。

2. 用語と記法 English

本書においては、1「ワード」は、32ビットであり、1「バイト」は 8 ビットである。ビット列は、そのまま、バイト列として解釈することができる。連続した 8 ビットのグループは 1 バイトとして解釈され、それぞれのバイトで最初にリス トされるビットは高位(最上位)ビットとなる。同様に、バイト列は、32ビットの 「ワード」列として解釈できる。連続した 4バイトのグループは、1ワードとして解釈され、最初に与えられるバイトは低位(最下位)バイトとなる。

x_i は、"添え字i付きのx"を意味する。添え字が式であるときには、x_{i+1} のように、それをかっこで挟む。同様に、^は、上付き(指数)を表す。そのため、 x^i は、x の i 乗を意味する。

記号 + は、ワードの加算(すなわち、2^32 を法とする加算)を意味する。X <<< s は、X を s ビットだけ左に巡回シフト(回転)することを意味する。not(X) は、Xに関する補数を意味する。 X v Yは、ビットに関するXとYのORを意味する。 X xor Yは、ビットに関する X と Y の XOR を意味する。そして XY は、ビットに関する X と Yの AND を意味する。

3. MD5 アルゴリズム English

まず、入力として b ビットのメッセージがあり、そのメッセージダイジェストを見つけることを考える。ここで、b は任意の非負の整数である。b は、ゼロになってもよい。b は 、8 の倍数である必要はなく、任意の大きさをもつ。メッセージにおけるそれぞれのビットを、次のように示す。

m_0 m_1 ... m_{b-1}

以下の 5つのステップが、メッセージのメッセージダイジェストを計算するために実行される。

3.1 ステップ 1. パディングビットの付加 English

メッセージは、「パディングされ」(拡張され)て、その長さ(ビット)は、512 を法としたときの 448 とされる。すなわち、メッセージは拡張されることにより、512の 倍数のビット長に対して、ちょうど 64ビットだけ足りない長さにされる。このパディングは常に実行される。メッセージの長さが、既に 512 を法としたときの 448 に一致していても実行される。

パディングは、次のように実行される。”1”の値を持つ 1つのビットをメッセージに付加し、次に”0”の値を持つビットを付加して、パディングされたメッセー ジのビットの長さが、512 を法としたときの 448 になるようにする。最小で 1ビッ ト、最大で 512 ビットが付加される。

3.2 ステップ 2. 長さ付加 English

b (すなわちパディングビットが付加される前のメッセージの長さ)の 64ビットにおける表記が、前のステップの結果に付加される。可能性の低いイベントであるが、b が 2^64 よりも大きい場合、b の下位 64ビットのみを使用する。 (これらのビットは、32ビットワード 2つとして付加される。慣例に従い、下位ワードが最初に付加され る。)

ここで、(ビットとbの長さをパディングした後に)結果的に生成されるメッセー ジは、512 ビットの倍数の長さとなる。同様に、このメッセージは 16(32ビット) ワードの倍数の長さとなる。ここで、M[0 ... N-1] は、結果として生成される メッセージを表すものとする。N は、16 の倍数である。

3.3 ステップ 3. MD バッファの初期化 English

4つのワードバッファ (A、B、C、D) が、メッセージダイジェストを計算するのに使用される。ここで、A、B、C、Dは、32ビットのレジスタである。これらのレジスタは、16進で表される以下の値で、下位バイトから順番に初期化される。

word A: 01 23 45 67
word B: 89 ab cd ef
word C: fe dc ba 98
word D: 76 54 32 10

3.4 ステップ 4. 16 ワードブロックごとのメッセージ処理 English

最初に、32 ビットワード 3つを入力とし、32 ビットワード 1つを出力する 4つの補助関数を定義する。

F(X,Y,Z) = XY v not(X) Z
G(X,Y,Z) = XZ v Y not(Z)
H(X,Y,Z) = X xor Y xor Z
I(X,Y,Z) = Y xor (X v not(Z))

関数 F は、それぞれのビット位置で条件付きとして振舞う。X が 0 でなければ Y、そうでなければ Z である。関数 F は、v の代わりに + を使用して定義することができる。なぜならば、XY  と not(X)Z は同じビット位置では同時に 1 にならないからである。X、Y および Z のビットが独立していてバイアスされてないならば、F(X,Y,Z) のそれぞれのビットは独立でありバイアスされてない点は重要である。

関数 G、H および I は、関数 F と同様である。それゆえ、「ビットごとに平行」 に振る舞い、X、Y、Z のそれぞれのビットから出力を生成する。X、Y、Z におけるそれぞれ対応するビットが独立していてバイアスされていないならば、G(X,Y,Z)、 H(X,Y,Z)、そしてI(X,Y,Z) のそれぞれのビットは独立でありバイアスされていない。関数 H は、入力に対して、ビットに関する“xor"または"パリティ"関数であることに注意。

このステップでは、64 の要素を持つテーブル T[1 ... 64] を使用する。これは、sin 関数から生成されたものである。T[i] は、テーブルの第 i 要素を意味し、 4294967296 と abs(sin(i)) の積の整数部に等しい。ただし、i の単位は、ラジアンである。テーブルの各要素は、補遺で与えられている。

そして以下を実行する。

/* それぞれの 16 ワードブロックを処理する */
For i = 0 to N/16-1 do

/* ブロック i を X にコピーする */
For j = 0 to 15 do
Set X[j] to M[i*16+j].
end /* j のループの終了 */

/* A を AA として、B を BB として、C を CC として、D を DD として保存する */
AA = A
BB = B
CC = C
DD = D

/* Round 1. */
/* 以下の演算を、[abcd k s i] で表す: a = b + ((a + F(b,c,d) + X[k] + T[i]) <<< s) */
/* 次の16の処理を実行する */
[ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4]
[ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8]
[ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12]
[ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16]

/* Round 2. */
/* 以下の演算を、[abcd k s i] で表す: a = b + ((a + G(b,c,d) + X[k] + T[i]) <<< s) */
/* 次の16の処理を実行する */
[ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20]
[ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24]
[ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28]
[ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32]

/* Round 3. */
/* 以下の演算を、[abcd k s i] で表す: a = b + ((a + H(b,c,d) + X[k] + T[i]) <<< s) */
/* 次の16の処理を実行する */
[ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36]
[ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40]
[ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44]
[ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48]

/* Round 4. */
/* 以下の演算を、[abcd k s i] で表す: a = b + ((a + I(b,c,d) + X[k] + T[i]) <<< s) */
/* 次の16の処理を実行する */
[ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52]
[ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56]
[ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60]
[ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64]

/* そして次の加算を実行する。(このブロックが開始される前に保持して いた値で、4つのレジスタが加算される。) */
A = A + AA
B = B + BB
C = C + CC
D = D + DD

end /* i のループの終了 */

3.5 ステップ 5. 出力 English

出力として生成されるメッセージダイジェストは、A、B、C、D である。すなわち、下位バイト A から始まり、高位バイト D で終わる。

これで MD5 の表記を終了する。C言語を使用した参考実装が、補遺に記されている。

4. まとめ English

MD5 メッセージダイジェストアルゴリズムは、実装するのが単純であり、任意の長さを持つメッセージに対する「指紋」、すなわちメッセージダイジェストを提供する。同じメッセージダイジェストを持つ 2つのメッセージを作成することが困難であるのは、2^64 オーダーの演算によるものであり、また、あらかじめ指定されたメッセージダイジェストを持つメッセージを作成することが困難なのは、2^128 オーダーの演算によると推測される。MD5 アルゴリズムは、その弱点が慎重に精査されている。しかしながら、この種のいかなる新しい提案がそうであるように、比較的新しいアルゴリズムと一層のセキュリティ分析により、このアルゴリズムの正当性が評価される。

5. MD4 と MD5 の違い English

以下は、MD4 と MD5 の違いである。:

  1. 4回目の round が追加された。
     
  2. それぞれのステップでは、それぞれの加算値を持つようにされた。
     
  3. round 2 における関数 g は、(XY v XZ v YZ) から (XZ v Y not(Z)) へ変更され、g の対称性がさらに弱められた。
     
  4. 各ステップでは、前のステップの結果を加算する。これは、より 速い「雪崩効果」を促進する。
     
  5. round 2 と round 3 において、入力ワードにアクセスする順序が変えられ、2 つのアクセスパターンが似ることのないようにされた。
     
  6. 各 round におけるシフト量は、より速い「雪崩効果」をもたらすために最適化された。round が異なれば、そのシフトも異なる。

参考文献

[1] Rivest, R.,
"The MD4 Message Digest Algorithm",
RFC 1320, MIT and RSA Data Security, Inc., 1992年 4月.
 
[2] Rivest, R.,
"The MD4 message digest algorithm",
in A.J. Menezes and S.A. Vanstone, editors, Advances in Cryptology - CRYPTO '90 Proceedings, pages 303-311, Springer-Verlag, 1991年.
 
[3] CCITT Recommendation X.509 (1988年),
"The Directory - Authentication Framework."

補遺 A - 参考実装 English

この補遺には、RSAREF と A Cryptographic Toolkit for Privacy-Enhanced Mail から引用された以下のファイルが含まれている。:

global.h -- グローバルヘッダファイル

md5.h -- MD5 のヘッダファイル

md5c.c -- MD5のソースコード

RSAREFに関する詳細については、<rsaref@rsa.com>へメールのこと。

補遺には、また、以下のファイルが含まれている。:

mddriver.c -- MD2、MD4、MD5用テストドライバ

ドライバは、デフォルトで MD5 のコンパイルを行うが、シンボルMD を Cコンパイ ラコマンドライン上で 2 または 4 と定義すれば、MD2 または MD4 のコンパイルを行う ことができる。

実装は、移植可能であり、多くのプラットフォーム上で動くはずである。しかし、ある特定のプラットホームのための最適化を行うことは、難しいことではない。これは読者の練習として残しておく。例えば、「リトルエンディアン」プラットホームにおいては、32 ビットワードでもっとも低いアドレスをもつバイトは最下位にあるバイトであり、またアラインメントに関する制約は何もない。この場合、MD5Transform 内でコールしている Decode 関数は、データ型をキャストするものに置きかえることができる。

A.1 global.h

/* GLOBAL.H - RSAREF types and constants

 */



/* PROTOTYPES should be set to one if and only if the compiler supports

  function argument prototyping.

The following makes PROTOTYPES default to 0 if it has not already

  been defined with C compiler flags.

 */

#ifndef PROTOTYPES

#define PROTOTYPES 0

#endif



/* POINTER defines a generic pointer type */

typedef unsigned char *POINTER;



/* UINT2 defines a two byte word */

typedef unsigned short int UINT2;



/* UINT4 defines a four byte word */

typedef unsigned long int UINT4;



/* PROTO_LIST is defined depending on how PROTOTYPES is defined above.

If using PROTOTYPES, then PROTO_LIST returns the list, otherwise it

  returns an empty list.

 */

#if PROTOTYPES

#define PROTO_LIST(list) list

#else

#define PROTO_LIST(list) ()

#endif

A.2 md5.h

/* MD5.H - header file for MD5C.C

 */



/* Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All

rights reserved.



License to copy and use this software is granted provided that it

is identified as the "RSA Data Security, Inc. MD5 Message-Digest

Algorithm" in all material mentioning or referencing this software

or this function.



License is also granted to make and use derivative works provided

that such works are identified as "derived from the RSA Data

Security, Inc. MD5 Message-Digest Algorithm" in all material

mentioning or referencing the derived work.



RSA Data Security, Inc. makes no representations concerning either

the merchantability of this software or the suitability of this

software for any particular purpose. It is provided "as is"

without express or implied warranty of any kind.



These notices must be retained in any copies of any part of this

documentation and/or software.

 */



/* MD5 context. */

typedef struct {

  UINT4 state[4];                                   /* state (ABCD) */

  UINT4 count[2];        /* number of bits, modulo 2^64 (lsb first) */

  unsigned char buffer[64];                         /* input buffer */

} MD5_CTX;



void MD5Init PROTO_LIST ((MD5_CTX *));

void MD5Update PROTO_LIST

  ((MD5_CTX *, unsigned char *, unsigned int));

void MD5Final PROTO_LIST ((unsigned char [16], MD5_CTX *));

A.3 md5c.c

/* MD5C.C - RSA Data Security, Inc., MD5 message-digest algorithm

 */



/* Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All

rights reserved.



License to copy and use this software is granted provided that it

is identified as the "RSA Data Security, Inc. MD5 Message-Digest

Algorithm" in all material mentioning or referencing this software

or this function.



License is also granted to make and use derivative works provided

that such works are identified as "derived from the RSA Data

Security, Inc. MD5 Message-Digest Algorithm" in all material

mentioning or referencing the derived work.



RSA Data Security, Inc. makes no representations concerning either

the merchantability of this software or the suitability of this

software for any particular purpose. It is provided "as is"

without express or implied warranty of any kind.



These notices must be retained in any copies of any part of this

documentation and/or software.

 */



#include "global.h"

#include "md5.h"



/* Constants for MD5Transform routine.

 */



#define S11 7

#define S12 12

#define S13 17

#define S14 22

#define S21 5

#define S22 9

#define S23 14

#define S24 20

#define S31 4

#define S32 11

#define S33 16

#define S34 23

#define S41 6

#define S42 10

#define S43 15

#define S44 21



static void MD5Transform PROTO_LIST ((UINT4 [4], unsigned char [64]));

static void Encode PROTO_LIST

  ((unsigned char *, UINT4 *, unsigned int));

static void Decode PROTO_LIST

  ((UINT4 *, unsigned char *, unsigned int));

static void MD5_memcpy PROTO_LIST ((POINTER, POINTER, unsigned int));

static void MD5_memset PROTO_LIST ((POINTER, int, unsigned int));



static unsigned char PADDING[64] = {

  0x80, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,

  0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,

  0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0

};



/* F, G, H and I are basic MD5 functions.

 */

#define F(x, y, z) (((x) & (y)) | ((~x) & (z)))

#define G(x, y, z) (((x) & (z)) | ((y) & (~z)))

#define H(x, y, z) ((x) ^ (y) ^ (z))

#define I(x, y, z) ((y) ^ ((x) | (~z)))



/* ROTATE_LEFT rotates x left n bits.

 */

#define ROTATE_LEFT(x, n) (((x) << (n)) | ((x) >> (32-(n))))



/* FF, GG, HH, and II transformations for rounds 1, 2, 3, and 4.

Rotation is separate from addition to prevent recomputation.

 */

#define FF(a, b, c, d, x, s, ac) { \

 (a) += F ((b), (c), (d)) + (x) + (UINT4)(ac); \

 (a) = ROTATE_LEFT ((a), (s)); \

 (a) += (b); \

  }

#define GG(a, b, c, d, x, s, ac) { \

 (a) += G ((b), (c), (d)) + (x) + (UINT4)(ac); \

 (a) = ROTATE_LEFT ((a), (s)); \

 (a) += (b); \

  }

#define HH(a, b, c, d, x, s, ac) { \

 (a) += H ((b), (c), (d)) + (x) + (UINT4)(ac); \

 (a) = ROTATE_LEFT ((a), (s)); \

 (a) += (b); \

  }

#define II(a, b, c, d, x, s, ac) { \

 (a) += I ((b), (c), (d)) + (x) + (UINT4)(ac); \

 (a) = ROTATE_LEFT ((a), (s)); \

 (a) += (b); \

  }



/* MD5 initialization. Begins an MD5 operation, writing a new context.

 */

void MD5Init (context)

MD5_CTX *context;                                        /* context */

{

  context->count[0] = context->count[1] = 0;

  /* Load magic initialization constants.

*/

  context->state[0] = 0x67452301;

  context->state[1] = 0xefcdab89;

  context->state[2] = 0x98badcfe;

  context->state[3] = 0x10325476;

}



/* MD5 block update operation. Continues an MD5 message-digest

  operation, processing another message block, and updating the

  context.

 */

void MD5Update (context, input, inputLen)

MD5_CTX *context;                                        /* context */

unsigned char *input;                                /* input block */

unsigned int inputLen;                     /* length of input block */

{

  unsigned int i, index, partLen;



  /* Compute number of bytes mod 64 */

  index = (unsigned int)((context->count[0] >> 3) & 0x3F);



  /* Update number of bits */

  if ((context->count[0] += ((UINT4)inputLen << 3))

   < ((UINT4)inputLen << 3))

 context->count[1]++;

  context->count[1] += ((UINT4)inputLen >> 29);



  partLen = 64 - index;



  /* Transform as many times as possible.

*/

  if (inputLen >= partLen) {

 MD5_memcpy

   ((POINTER)&context->buffer[index], (POINTER)input, partLen);

 MD5Transform (context->state, context->buffer);



 for (i = partLen; i + 63 < inputLen; i += 64)

   MD5Transform (context->state, &input[i]);



 index = 0;

  }

  else

 i = 0;



  /* Buffer remaining input */

  MD5_memcpy

 ((POINTER)&context->buffer[index], (POINTER)&input[i],

  inputLen-i);

}



/* MD5 finalization. Ends an MD5 message-digest operation, writing the

  the message digest and zeroizing the context.

 */

void MD5Final (digest, context)

unsigned char digest[16];                         /* message digest */

MD5_CTX *context;                                       /* context */

{

  unsigned char bits[8];

  unsigned int index, padLen;



  /* Save number of bits */

  Encode (bits, context->count, 8);



  /* Pad out to 56 mod 64.

*/

  index = (unsigned int)((context->count[0] >> 3) & 0x3f);

  padLen = (index < 56) ? (56 - index) : (120 - index);

  MD5Update (context, PADDING, padLen);



  /* Append length (before padding) */

  MD5Update (context, bits, 8);



  /* Store state in digest */

  Encode (digest, context->state, 16);



  /* Zeroize sensitive information.

*/

  MD5_memset ((POINTER)context, 0, sizeof (*context));

}



/* MD5 basic transformation. Transforms state based on block.

 */

static void MD5Transform (state, block)

UINT4 state[4];

unsigned char block[64];

{

  UINT4 a = state[0], b = state[1], c = state[2], d = state[3], x[16];



  Decode (x, block, 64);



  /* Round 1 */

  FF (a, b, c, d, x[ 0], S11, 0xd76aa478); /* 1 */

  FF (d, a, b, c, x[ 1], S12, 0xe8c7b756); /* 2 */

  FF (c, d, a, b, x[ 2], S13, 0x242070db); /* 3 */

  FF (b, c, d, a, x[ 3], S14, 0xc1bdceee); /* 4 */

  FF (a, b, c, d, x[ 4], S11, 0xf57c0faf); /* 5 */

  FF (d, a, b, c, x[ 5], S12, 0x4787c62a); /* 6 */

  FF (c, d, a, b, x[ 6], S13, 0xa8304613); /* 7 */

  FF (b, c, d, a, x[ 7], S14, 0xfd469501); /* 8 */

  FF (a, b, c, d, x[ 8], S11, 0x698098d8); /* 9 */

  FF (d, a, b, c, x[ 9], S12, 0x8b44f7af); /* 10 */

  FF (c, d, a, b, x[10], S13, 0xffff5bb1); /* 11 */

  FF (b, c, d, a, x[11], S14, 0x895cd7be); /* 12 */

  FF (a, b, c, d, x[12], S11, 0x6b901122); /* 13 */

  FF (d, a, b, c, x[13], S12, 0xfd987193); /* 14 */

  FF (c, d, a, b, x[14], S13, 0xa679438e); /* 15 */

  FF (b, c, d, a, x[15], S14, 0x49b40821); /* 16 */



 /* Round 2 */

  GG (a, b, c, d, x[ 1], S21, 0xf61e2562); /* 17 */

  GG (d, a, b, c, x[ 6], S22, 0xc040b340); /* 18 */

  GG (c, d, a, b, x[11], S23, 0x265e5a51); /* 19 */

  GG (b, c, d, a, x[ 0], S24, 0xe9b6c7aa); /* 20 */

  GG (a, b, c, d, x[ 5], S21, 0xd62f105d); /* 21 */

  GG (d, a, b, c, x[10], S22,  0x2441453); /* 22 */

  GG (c, d, a, b, x[15], S23, 0xd8a1e681); /* 23 */

  GG (b, c, d, a, x[ 4], S24, 0xe7d3fbc8); /* 24 */

  GG (a, b, c, d, x[ 9], S21, 0x21e1cde6); /* 25 */

  GG (d, a, b, c, x[14], S22, 0xc33707d6); /* 26 */

  GG (c, d, a, b, x[ 3], S23, 0xf4d50d87); /* 27 */

  GG (b, c, d, a, x[ 8], S24, 0x455a14ed); /* 28 */

  GG (a, b, c, d, x[13], S21, 0xa9e3e905); /* 29 */

  GG (d, a, b, c, x[ 2], S22, 0xfcefa3f8); /* 30 */

  GG (c, d, a, b, x[ 7], S23, 0x676f02d9); /* 31 */

  GG (b, c, d, a, x[12], S24, 0x8d2a4c8a); /* 32 */



  /* Round 3 */

  HH (a, b, c, d, x[ 5], S31, 0xfffa3942); /* 33 */

  HH (d, a, b, c, x[ 8], S32, 0x8771f681); /* 34 */

  HH (c, d, a, b, x[11], S33, 0x6d9d6122); /* 35 */

  HH (b, c, d, a, x[14], S34, 0xfde5380c); /* 36 */

  HH (a, b, c, d, x[ 1], S31, 0xa4beea44); /* 37 */

  HH (d, a, b, c, x[ 4], S32, 0x4bdecfa9); /* 38 */

  HH (c, d, a, b, x[ 7], S33, 0xf6bb4b60); /* 39 */

  HH (b, c, d, a, x[10], S34, 0xbebfbc70); /* 40 */

  HH (a, b, c, d, x[13], S31, 0x289b7ec6); /* 41 */

  HH (d, a, b, c, x[ 0], S32, 0xeaa127fa); /* 42 */

  HH (c, d, a, b, x[ 3], S33, 0xd4ef3085); /* 43 */

  HH (b, c, d, a, x[ 6], S34,  0x4881d05); /* 44 */

  HH (a, b, c, d, x[ 9], S31, 0xd9d4d039); /* 45 */

  HH (d, a, b, c, x[12], S32, 0xe6db99e5); /* 46 */

  HH (c, d, a, b, x[15], S33, 0x1fa27cf8); /* 47 */

  HH (b, c, d, a, x[ 2], S34, 0xc4ac5665); /* 48 */



  /* Round 4 */

  II (a, b, c, d, x[ 0], S41, 0xf4292244); /* 49 */

  II (d, a, b, c, x[ 7], S42, 0x432aff97); /* 50 */

  II (c, d, a, b, x[14], S43, 0xab9423a7); /* 51 */

  II (b, c, d, a, x[ 5], S44, 0xfc93a039); /* 52 */

  II (a, b, c, d, x[12], S41, 0x655b59c3); /* 53 */

  II (d, a, b, c, x[ 3], S42, 0x8f0ccc92); /* 54 */

  II (c, d, a, b, x[10], S43, 0xffeff47d); /* 55 */

  II (b, c, d, a, x[ 1], S44, 0x85845dd1); /* 56 */

  II (a, b, c, d, x[ 8], S41, 0x6fa87e4f); /* 57 */

  II (d, a, b, c, x[15], S42, 0xfe2ce6e0); /* 58 */

  II (c, d, a, b, x[ 6], S43, 0xa3014314); /* 59 */

  II (b, c, d, a, x[13], S44, 0x4e0811a1); /* 60 */

  II (a, b, c, d, x[ 4], S41, 0xf7537e82); /* 61 */

  II (d, a, b, c, x[11], S42, 0xbd3af235); /* 62 */

  II (c, d, a, b, x[ 2], S43, 0x2ad7d2bb); /* 63 */

  II (b, c, d, a, x[ 9], S44, 0xeb86d391); /* 64 */



  state[0] += a;

  state[1] += b;

  state[2] += c;

  state[3] += d;



  /* Zeroize sensitive information.

*/

  MD5_memset ((POINTER)x, 0, sizeof (x));

}



/* Encodes input (UINT4) into output (unsigned char). Assumes len is

  a multiple of 4.

 */

static void Encode (output, input, len)

unsigned char *output;

UINT4 *input;

unsigned int len;

{

  unsigned int i, j;



  for (i = 0, j = 0; j < len; i++, j += 4) {

 output[j] = (unsigned char)(input[i] & 0xff);

 output[j+1] = (unsigned char)((input[i] >> 8) & 0xff);

 output[j+2] = (unsigned char)((input[i] >> 16) & 0xff);

 output[j+3] = (unsigned char)((input[i] >> 24) & 0xff);

  }

}



/* Decodes input (unsigned char) into output (UINT4). Assumes len is

  a multiple of 4.

 */

static void Decode (output, input, len)

UINT4 *output;

unsigned char *input;

unsigned int len;

{

  unsigned int i, j;



  for (i = 0, j = 0; j < len; i++, j += 4)

 output[i] = ((UINT4)input[j]) | (((UINT4)input[j+1]) << 8) |

   (((UINT4)input[j+2]) << 16) | (((UINT4)input[j+3]) << 24);

}



/* Note: Replace "for loop" with standard memcpy if possible.

 */



static void MD5_memcpy (output, input, len)

POINTER output;

POINTER input;

unsigned int len;

{

  unsigned int i;



  for (i = 0; i < len; i++)

 output[i] = input[i];

}



/* Note: Replace "for loop" with standard memset if possible.

 */

static void MD5_memset (output, value, len)

POINTER output;

int value;

unsigned int len;

{

  unsigned int i;



  for (i = 0; i < len; i++)

 ((char *)output)[i] = (char)value;

}



A.4 mddriver.c

/* MDDRIVER.C - test driver for MD2, MD4 and MD5

 */



/* Copyright (C) 1990-2, RSA Data Security, Inc. Created 1990. All

rights reserved.



RSA Data Security, Inc. makes no representations concerning either

the merchantability of this software or the suitability of this

software for any particular purpose. It is provided "as is"

without express or implied warranty of any kind.



These notices must be retained in any copies of any part of this

documentation and/or software.

 */



/* The following makes MD default to MD5 if it has not already been

  defined with C compiler flags.

 */

#ifndef MD

#define MD MD5

#endif



#include 

#include 

#include 

#include "global.h"

#if MD == 2

#include "md2.h"

#endif

#if MD == 4

#include "md4.h"

#endif

#if MD == 5

#include "md5.h"

#endif



/* Length of test block, number of test blocks.

 */

#define TEST_BLOCK_LEN 1000

#define TEST_BLOCK_COUNT 1000



static void MDString PROTO_LIST ((char *));

static void MDTimeTrial PROTO_LIST ((void));

static void MDTestSuite PROTO_LIST ((void));

static void MDFile PROTO_LIST ((char *));

static void MDFilter PROTO_LIST ((void));

static void MDPrint PROTO_LIST ((unsigned char [16]));



#if MD == 2

#define MD_CTX MD2_CTX

#define MDInit MD2Init

#define MDUpdate MD2Update

#define MDFinal MD2Final

#endif

#if MD == 4

#define MD_CTX MD4_CTX

#define MDInit MD4Init

#define MDUpdate MD4Update

#define MDFinal MD4Final

#endif

#if MD == 5

#define MD_CTX MD5_CTX

#define MDInit MD5Init

#define MDUpdate MD5Update

#define MDFinal MD5Final

#endif



/* Main driver.



Arguments (may be any combination):

  -sstring - digests string

  -t       - runs time trial

  -x       - runs test script

  filename - digests file

  (none)   - digests standard input

 */

int main (argc, argv)

int argc;

char *argv[];

{

  int i;



  if (argc > 1)

 for (i = 1; i < argc; i++)

   if (argv[i][0] == '-' && argv[i][1] == 's')

     MDString (argv[i] + 2);

   else if (strcmp (argv[i], "-t") == 0)

     MDTimeTrial ();

   else if (strcmp (argv[i], "-x") == 0)

     MDTestSuite ();

   else

     MDFile (argv[i]);

  else

 MDFilter ();



  return (0);

}



/* Digests a string and prints the result.

 */

static void MDString (string)

char *string;

{

  MD_CTX context;

  unsigned char digest[16];

  unsigned int len = strlen (string);



  MDInit (&context);

  MDUpdate (&context, string, len);

  MDFinal (digest, &context);



  printf ("MD%d (\"%s\") = ", MD, string);

  MDPrint (digest);

  printf ("\n");

}



/* Measures the time to digest TEST_BLOCK_COUNT TEST_BLOCK_LEN-byte

  blocks.

 */

static void MDTimeTrial ()

{

  MD_CTX context;

  time_t endTime, startTime;

  unsigned char block[TEST_BLOCK_LEN], digest[16];

  unsigned int i;



  printf

 ("MD%d time trial. Digesting %d %d-byte blocks ...", MD,

  TEST_BLOCK_LEN, TEST_BLOCK_COUNT);



  /* Initialize block */

  for (i = 0; i < TEST_BLOCK_LEN; i++)

 block[i] = (unsigned char)(i & 0xff);



  /* Start timer */

  time (&startTime);



  /* Digest blocks */

  MDInit (&context);

  for (i = 0; i < TEST_BLOCK_COUNT; i++)

 MDUpdate (&context, block, TEST_BLOCK_LEN);

  MDFinal (digest, &context);



  /* Stop timer */

  time (&endTime);



  printf (" done\n");

  printf ("Digest = ");

  MDPrint (digest);

  printf ("\nTime = %ld seconds\n", (long)(endTime-startTime));

  printf

 ("Speed = %ld bytes/second\n",

  (long)TEST_BLOCK_LEN * (long)TEST_BLOCK_COUNT/(endTime-startTime));

}



/* Digests a reference suite of strings and prints the results.

 */

static void MDTestSuite ()

{

  printf ("MD%d test suite:\n", MD);



  MDString ("");

  MDString ("a");

  MDString ("abc");

  MDString ("message digest");

  MDString ("abcdefghijklmnopqrstuvwxyz");

  MDString

 ("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789");

  MDString

 ("1234567890123456789012345678901234567890\

1234567890123456789012345678901234567890");

}



/* Digests a file and prints the result.

 */

static void MDFile (filename)

char *filename;

{

  FILE *file;

  MD_CTX context;

  int len;

  unsigned char buffer[1024], digest[16];



  if ((file = fopen (filename, "rb")) == NULL)

 printf ("%s can't be opened\n", filename);



  else {

 MDInit (&context);

 while (len = fread (buffer, 1, 1024, file))

   MDUpdate (&context, buffer, len);

 MDFinal (digest, &context);



 fclose (file);



 printf ("MD%d (%s) = ", MD, filename);

 MDPrint (digest);

 printf ("\n");

  }

}



/* Digests the standard input and prints the result.

 */

static void MDFilter ()

{

  MD_CTX context;

  int len;

  unsigned char buffer[16], digest[16];



  MDInit (&context);

  while (len = fread (buffer, 1, 16, stdin))

 MDUpdate (&context, buffer, len);

  MDFinal (digest, &context);



  MDPrint (digest);

  printf ("\n");

}



/* Prints a message digest in hexadecimal.

 */

static void MDPrint (digest)

unsigned char digest[16];

{

  unsigned int i;



  for (i = 0; i < 16; i++)

 printf ("%02x", digest[i]);

}



A.5 テストスイート

MD5 テストスイート(driver option "-x")は、次の結果を出力する必要がある。:

MD5 test suite:

MD5 ("") = d41d8cd98f00b204e9800998ecf8427e

MD5 ("a") = 0cc175b9c0f1b6a831c399e269772661

MD5 ("abc") = 900150983cd24fb0d6963f7d28e17f72

MD5 ("message digest") = f96b697d7cb7938d525a2f31aaf161d0

MD5 ("abcdefghijklmnopqrstuvwxyz") = c3fcd3d76192e4007dfb496cca67e13b

MD5 ("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789") =

d174ab98d277d9f5a5611c2c9f419d9f

MD5 ("123456789012345678901234567890123456789012345678901234567890123456

78901234567890") = 57edf4a22be3c955ac49da2e2107b67a


セキュリティについての考慮事項 English

このメモにおいて検討されているセキュリティのレベルは、MD5 と公開鍵暗号方式に基づく、非常に高いセキュリティをもつハイブリッド電子署名の実装に十分であると考えられる。

著者のアドレス

Ronald L. Rivest
Massachusetts Institute of Technology
Laboratory for Computer Science
NE43-324
545 Technology Square
Cambridge, MA 02139-1986

電話: (617) 253-5880
EMail: rivest@theory.lcs.mit.edu

翻訳者のアドレス

西原 啓輔, Ph.D
(株)日立製作所

EMail: k-west@mba.ocn.ne.jp

宮川 寧夫
情報処理推進機構

Email: miyakawa@ipa.go.jp


Copyright (C) The Internet Society (1992). All Rights Reserved.