ネットワーク WG
Request for Comments: 1321
R. Rivest
MIT Laboratory for Computer Science
and RSA Data Security, Inc.
1992年 4月

English

MD5メッセージダイジェストアルゴリズム
(The MD5 Message-Digest Algorithm)

このメモの位置付け

このメモは、インターネットコミュニティに情報を提供するものである。 インターネット標準を規定するものではない。 このメモの配布に制限はない。

謝辞

多くの有用なコメントと提案を頂いたDon Coppersmith氏、Burt Kaliski氏、Ralph Merkle氏、David Chaum氏およびNoam Nisan氏に感謝する。

目次

1. 要約 English

本書において、 MD5メッセージダイジェストアルゴリズムについて記述する。 このアルゴリズムは、任意の長さのメッセージを受け取り、 128 ビットの「指紋」、 すなわち入力の「メッセージダイジェスト」を出力する。 同じメッセージダイジェストとなる2つのメッセージを作成すること、 または、 あらかじめ指定されたメッセージダイジェストとなるメッセージを作成することは、 計算上実行不可能であると推測される。 MD5アルゴリズムは、 電子署名アプリケーションにおける利用が意図されている。 この場合、大きなサイズのファイルは、 RSA等の公開鍵暗号方式における私有鍵で暗号化される前に、 セキュアな作法で「圧縮」されなければならない。

MD5アルゴリズムは、 32ビットマシンで非常に速く処理できるように設計されている。 さらに、MD5アルゴリズムは、大きなテーブルも必要とせず、 全くコンパクトにアルゴリズムをコード化することができる。

MD5アルゴリズムは、 MD4メッセージダイジェストアルゴリズム [1, 2] を拡張したものである。 MD5は、MD4に比してわずかに遅いが、 設計的にはMD4よりも「保守的」である。 MD5が設計されたのは、 MD4が現存する重要なレヴューの正当性という理由より、 むしろその速さにより採用されている感触があったからである。 MD4は、特に高速演算ができるように設計されたため、 暗号解析攻撃が成功してしまうリスクについて、 「ギリギリ」である。 MD5においては、少し引き返し、究極のセキュリティを追求するために、 速度を少し犠牲にしている。 これには、様々なレヴュー者によるいくつかの提案と、 さらなる最適化が含まれている。 MD5アルゴリズムは、レヴュー、 そして標準採用への可能性という理由によりパブリックドメインにされている。

OSIに基づくアプリケーションにおいては、 MD5のオブジェクト識別子は、 下記のようなものである。

md5 OBJECT IDENTIFIER ::=
iso(1) member-body(2) US(840) rsadsi(113549) digestAlgorithm(2) 5}

X.509のAlgorithmIdentifier型 [3]では、 MD5におけるparametersは、NULL型であるべきである。

2. 用語と記法 English

本書においては、1「ワード」は、32ビットであり、 1「バイト」は8ビットである。 ビット列は、そのまま、バイト列として解釈することができる。 連続した8ビットのグループは1バイトとして解釈され、 それぞれのバイトで最初にリストされるビットは高位(最上位)ビットとなる。 同様に、バイト列は、32ビットの「ワード」列として解釈できる。 連続した4バイトのグループは、1ワードとして解釈され、 最初に与えられるバイトは低位(最下位)バイトとなる。

x_i は、"添え字i付きのx"を意味する。 添え字が式であるときには、x_{i+1} のように、それをかっこで挟む。 同様に、^は、上付き(指数)を表す。 そのため、x^iは、xのi乗を意味する。

記号 + は、ワードの加算(すなわち、2^32を法とする加算)を意味する。 X <<< sは、 Xをsビットだけ左に巡回シフト(回転)することを意味する。 not(X)は、Xに関する補数を意味する。 X v Yは、ビットに関するXとYのORを意味する。 X xor Yは、ビットに関するXとYのXORを意味する。 そしてXYは、ビットに関するXとYのANDを意味する。

3. MD5 アルゴリズム English

まず、入力としてbビットのメッセージがあり、 そのメッセージダイジェストを見つけることを考える。 ここで、bは任意の非負の整数である。 bは、ゼロになってもよい。 bは、8の倍数である必要はなく、任意の大きさをもつ。 メッセージにおけるそれぞれのビットを、次のように示す。

m_0 m_1 ... m_{b-1}

以下の5つのステップが、 メッセージのメッセージダイジェストを計算するために実行される。

3.1 ステップ 1. パディングビットの付加 English

メッセージは、「パディングされ」(拡張され)て、 その長さ(ビット)は、512を法としたときの448とされる。 すなわち、メッセージは拡張されることにより、 512の倍数のビット長に対して、 ちょうど64ビットだけ足りない長さにされる。 このパディングは常に実行される。 メッセージの長さが、 既に512を法としたときの448に一致していても実行される。

パディングは、次のように実行される。 “1”の値を持つ1つのビットをメッセージに付加し、 次に“0”の値を持つビットを付加して、 パディングされたメッセージのビットの長さが、 512を法としたときの448になるようにする。 最小で1ビット、最大で 512 ビットが付加される。

3.2 ステップ 2. 長さ付加 English

b(すなわちパディングビットが付加される前のメッセージの長さ)の64ビットにおける表記が、 前のステップの結果に付加される。 可能性の低いイベントであるが、bが2^64よりも大きい場合、 bの下位64ビットのみを使用する。 (これらのビットは、32ビットワード2つとして付加される。 慣例に従い、下位ワードが最初に付加される。)

ここで、 (ビットとbの長さをパディングした後に)結果的に生成されるメッセージは、 512ビットの倍数の長さとなる。 同様に、このメッセージは16 (32ビット)ワードの倍数の長さとなる。 ここで、M[0 ... N-1]は、 結果として生成されるメッセージを表すものとする。 Nは、16の倍数である。

3.3 ステップ 3. MDバッファの初期化 English

4つのワードバッファ(A、B、C、D) が、 メッセージダイジェストを計算するのに使用される。 ここで、A、B、C、Dは、32ビットのレジスタである。 これらのレジスタは、16進で表される以下の値で、 下位バイトから順番に初期化される。

word A: 01 23 45 67
word B: 89 ab cd ef
word C: fe dc ba 98
word D: 76 54 32 10

3.4 ステップ 4. 16ワードブロックごとのメッセージ処理 English

最初に、32ビットワード3つを入力とし、 32ビットワード1つを出力する 4つの補助関数を定義する。

F(X,Y,Z) = XY v not(X) Z
G(X,Y,Z) = XZ v Y not(Z)
H(X,Y,Z) = X xor Y xor Z
I(X,Y,Z) = Y xor (X v not(Z))

関数Fは、それぞれのビット位置で条件付きとして振舞う。 Xが0でなければY、そうでなければZである。 関数Fは、vの代わりに+を使用して定義することができる。 なぜならば、 XYとnot(X)Zは同じビット位置では同時に1にならないからである。 X、YおよびZのビットが独立していてバイアスされてないならば、 F(X,Y,Z)のそれぞれのビットは独立でありバイアスされてない点は重要である。

関数G、HおよびIは、関数Fと同様である。 それゆえ、「ビットごとに平行」に振る舞い、X、Y、 Zのそれぞれのビットから出力を生成する。 X、Y、Zにおけるそれぞれ対応するビットが独立していてバイアスされていないならば、 G(X,Y,Z)、H(X,Y,Z)、 そしてI(X,Y,Z)のそれぞれのビットは独立でありバイアスされていない。 関数Hは、入力に対して、 ビットに関する“xor"または"パリティ"関数であることに注意。

このステップでは、64の要素を持つテーブルT[1 ... 64]を使用する。 これは、sin関数から生成されたものである。 T[i]は、テーブルの第i要素を意味し、 4294967296とabs(sin(i))の積の整数部に等しい。 ただし、iの単位は、ラジアンである。 テーブルの各要素は、補遺で与えられている。

そして以下を実行する。

/* それぞれの 16 ワードブロックを処理する */
For i = 0 to N/16-1 do

    /* ブロック i を X にコピーする */
    For j = 0 to 15 do
        Set X[j] to M[i*16+j].
    end /* j のループの終了 */

    /* AをAAとして、BをBBとして、CをCCとして、DをDDとして保存する */
    AA = A
    BB = B
    CC = C
    DD = D

    /* Round 1. */
    /* 以下の演算を、[abcd k s i] で表す:a = b + ((a + F(b,c,d) + X[k] + T[i]) <<< s) */
    /* 次の16の処理を実行する */
    [ABCD  0  7  1]  [DABC  1 12  2]  [CDAB  2 17  3]  [BCDA  3 22  4]
    [ABCD  4  7  5]  [DABC  5 12  6]  [CDAB  6 17  7]  [BCDA  7 22  8]
    [ABCD  8  7  9]  [DABC  9 12 10]  [CDAB 10 17 11]  [BCDA 11 22 12]
    [ABCD 12  7 13]  [DABC 13 12 14]  [CDAB 14 17 15]  [BCDA 15 22 16]

    /* Round 2. */
    /* 以下の演算を、[abcd k s i] で表す:a = b + ((a + G(b,c,d) + X[k] + T[i]) <<< s) */
    /* 次の16の処理を実行する */
    [ABCD  1  5 17]  [DABC  6  9 18]  [CDAB 11 14 19]  [BCDA  0 20 20]
    [ABCD  5  5 21]  [DABC 10  9 22]  [CDAB 15 14 23]  [BCDA  4 20 24]
    [ABCD  9  5 25]  [DABC 14  9 26]  [CDAB  3 14 27]  [BCDA  8 20 28]
    [ABCD 13  5 29]  [DABC  2  9 30]  [CDAB  7 14 31]  [BCDA 12 20 32]

    /* Round 3. */
    /* 以下の演算を、[abcd k s i] で表す:a = b + ((a + H(b,c,d) + X[k] + T[i]) <<< s) */
    /* 次の16の処理を実行する */
    [ABCD  5  4 33]  [DABC  8 11 34]  [CDAB 11 16 35]  [BCDA 14 23 36]
    [ABCD  1  4 37]  [DABC  4 11 38]  [CDAB  7 16 39]  [BCDA 10 23 40]
    [ABCD 13  4 41]  [DABC  0 11 42]  [CDAB  3 16 43]  [BCDA  6 23 44]
    [ABCD  9  4 45]  [DABC 12 11 46]  [CDAB 15 16 47]  [BCDA  2 23 48]

    /* Round 4. */
    /* 以下の演算を、[abcd k s i] で表す:a = b + ((a + I(b,c,d) + X[k] + T[i]) <<< s) */
    /* 次の16の処理を実行する */
    [ABCD  0  6 49]  [DABC  7 10 50]  [CDAB 14 15 51]  [BCDA  5 21 52]
    [ABCD 12  6 53]  [DABC  3 10 54]  [CDAB 10 15 55]  [BCDA  1 21 56]
    [ABCD  8  6 57]  [DABC 15 10 58]  [CDAB  6 15 59]  [BCDA 13 21 60]
    [ABCD  4  6 61]  [DABC 11 10 62]  [CDAB  2 15 63]  [BCDA  9 21 64]

    /* そして次の加算を実行する。(このブロックが開始される前に保持していた値で、4つのレジスタが加算される。) */
    A = A + AA
    B = B + BB
    C = C + CC
    D = D + DD
end /* i のループの終了 */
      

3.5 ステップ 5. 出力 English

出力として生成されるメッセージダイジェストは、A、B、C、Dである。 すなわち、下位バイトAから始まり、高位バイトDで終わる。

これでMD5の表記を終了する。 C言語を使用した参考実装が、 補遺に記されている。

4. まとめ English

MD5メッセージダイジェストアルゴリズムは、実装するのが単純であり、 任意の長さを持つメッセージに対する「指紋」、 すなわちメッセージダイジェストを提供する。 同じメッセージダイジェストを持つ2つのメッセージを作成することが困難であるのは、 2^64オーダーの演算によるものであり、また、 あらかじめ指定されたメッセージダイジェストを持つメッセージを作成することが困難なのは、 2^128オーダーの演算によると推測される。 MD5アルゴリズムは、その弱点が慎重に精査されている。 しかしながら、この種のいかなる新しい提案がそうであるように、 比較的新しいアルゴリズムと一層のセキュリティ分析により、 このアルゴリズムの正当性が評価される。

5. MD4とMD5の違い English

以下は、MD4とMD5の違いである。:

  1. 4回目のroundが追加された。
  2. それぞれのステップでは、それぞれの加算値を持つようにされた。
  3. round 2における関数gは、(XY v XZ v YZ)から(XZ v Y not(Z))へ変更され、gの対称性がさらに弱められた。
  4. 各ステップでは、前のステップの結果を加算する。これは、より速い「雪崩効果」を促進する。
  5. round 2とround 3において、入力ワードにアクセスする順序が変えられ、2つのアクセスパターンが似ることのないようにされた。
  6. 各roundにおけるシフト量は、より速い「雪崩効果」をもたらすために最適化された。roundが異なれば、そのシフトも異なる。

参考文献

[1] Rivest, R.,
"The MD4 Message Digest Algorithm", RFC 1320, MIT and RSA Data Security, Inc., 1992年 4月.
[2] Rivest, R.,
"The MD4 message digest algorithm", in A.J. Menezes and S.A. Vanstone, editors, Advances in Cryptology - CRYPTO '90 Proceedings, pages 303-311, Springer-Verlag, 1991年.
[3] CCITT Recommendation X.509 (1988年),
"The Directory - Authentication Framework."

補遺 A - 参考実装 English

この補遺には、 RSAREFとA Cryptographic Toolkit for Privacy-Enhanced Mail から引用された以下のファイルが含まれている。:

global.h -- グローバルヘッダファイル
md5.h -- MD5 のヘッダファイル
md5c.c -- MD5のソースコード

RSAREFに関する詳細については、<rsaref@rsa.com>へメールのこと。

補遺には、また、以下のファイルが含まれている。:

mddriver.c -- MD2、MD4、MD5用テストドライバ

ドライバは、デフォルトでMD5のコンパイルを行うが、 シンボルMDをCコンパイラコマンドライン上で2または4と定義すれば、 MD2またはMD4のコンパイルを行うことができる。

実装は、移植可能であり、多くのプラットフォーム上で動くはずである。 しかし、ある特定のプラットホームのための最適化を行うことは、 難しいことではない。 これは読者の練習として残しておく。 例えば、「リトルエンディアン」プラットホームにおいては、 32ビットワードでもっとも低いアドレスをもつバイトは最下位にあるバイトであり、 またアラインメントに関する制約は何もない。 この場合、MD5Transform内でコールしているDecode関数は、 データ型をキャストするものに置きかえることができる。

A.1 global.h

/* GLOBAL.H - RSAREF types and constants
 */

/* PROTOTYPES should be set to one if and only if the compiler supports
  function argument prototyping.
The following makes PROTOTYPES default to 0 if it has not already
  been defined with C compiler flags.
 */
#ifndef PROTOTYPES
#define PROTOTYPES 0
#endif

/* POINTER defines a generic pointer type */
typedef unsigned char *POINTER;

/* UINT2 defines a two byte word */
typedef unsigned short int UINT2;

/* UINT4 defines a four byte word */
typedef unsigned long int UINT4;

/* PROTO_LIST is defined depending on how PROTOTYPES is defined above.
If using PROTOTYPES, then PROTO_LIST returns the list, otherwise it
  returns an empty list.
 */
#if PROTOTYPES
#define PROTO_LIST(list) list
#else
#define PROTO_LIST(list) ()
#endif
    

A.2 md5.h

/* MD5.H - header file for MD5C.C
 */

/* Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All
rights reserved.

License to copy and use this software is granted provided that it
is identified as the "RSA Data Security, Inc. MD5 Message-Digest
Algorithm" in all material mentioning or referencing this software
or this function.

License is also granted to make and use derivative works provided
that such works are identified as "derived from the RSA Data
Security, Inc. MD5 Message-Digest Algorithm" in all material
mentioning or referencing the derived work.

RSA Data Security, Inc. makes no representations concerning either
the merchantability of this software or the suitability of this
software for any particular purpose. It is provided "as is"
without express or implied warranty of any kind.

These notices must be retained in any copies of any part of this
documentation and/or software.
 */

/* MD5 context. */
typedef struct {
  UINT4 state[4];                                   /* state (ABCD) */
  UINT4 count[2];        /* number of bits, modulo 2^64 (lsb first) */
  unsigned char buffer[64];                         /* input buffer */
} MD5_CTX;

void MD5Init PROTO_LIST ((MD5_CTX *));
void MD5Update PROTO_LIST
  ((MD5_CTX *, unsigned char *, unsigned int));
void MD5Final PROTO_LIST ((unsigned char [16], MD5_CTX *));
    

A.3 md5c.c

/* MD5C.C - RSA Data Security, Inc., MD5 message-digest algorithm
 */

/* Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All
rights reserved.

License to copy and use this software is granted provided that it
is identified as the "RSA Data Security, Inc. MD5 Message-Digest
Algorithm" in all material mentioning or referencing this software
or this function.

License is also granted to make and use derivative works provided
that such works are identified as "derived from the RSA Data
Security, Inc. MD5 Message-Digest Algorithm" in all material
mentioning or referencing the derived work.

RSA Data Security, Inc. makes no representations concerning either
the merchantability of this software or the suitability of this
software for any particular purpose. It is provided "as is"
without express or implied warranty of any kind.

These notices must be retained in any copies of any part of this
documentation and/or software.
 */

#include "global.h"
#include "md5.h"

/* Constants for MD5Transform routine.
 */

#define S11 7
#define S12 12
#define S13 17
#define S14 22
#define S21 5
#define S22 9
#define S23 14
#define S24 20
#define S31 4
#define S32 11
#define S33 16
#define S34 23
#define S41 6
#define S42 10
#define S43 15
#define S44 21

static void MD5Transform PROTO_LIST ((UINT4 [4], unsigned char [64]));
static void Encode PROTO_LIST
  ((unsigned char *, UINT4 *, unsigned int));
static void Decode PROTO_LIST
  ((UINT4 *, unsigned char *, unsigned int));
static void MD5_memcpy PROTO_LIST ((POINTER, POINTER, unsigned int));
static void MD5_memset PROTO_LIST ((POINTER, int, unsigned int));

static unsigned char PADDING[64] = {
  0x80, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,
  0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,
  0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0
};

/* F, G, H and I are basic MD5 functions.
 */
#define F(x, y, z) (((x) & (y)) | ((~x) & (z)))
#define G(x, y, z) (((x) & (z)) | ((y) & (~z)))
#define H(x, y, z) ((x) ^ (y) ^ (z))
#define I(x, y, z) ((y) ^ ((x) | (~z)))

/* ROTATE_LEFT rotates x left n bits.
 */
#define ROTATE_LEFT(x, n) (((x) << (n)) | ((x) >> (32-(n))))

/* FF, GG, HH, and II transformations for rounds 1, 2, 3, and 4.
Rotation is separate from addition to prevent recomputation.
 */
#define FF(a, b, c, d, x, s, ac) { \
 (a) += F ((b), (c), (d)) + (x) + (UINT4)(ac); \
 (a) = ROTATE_LEFT ((a), (s)); \
 (a) += (b); \
  }
#define GG(a, b, c, d, x, s, ac) { \
 (a) += G ((b), (c), (d)) + (x) + (UINT4)(ac); \
 (a) = ROTATE_LEFT ((a), (s)); \
 (a) += (b); \
  }
#define HH(a, b, c, d, x, s, ac) { \
 (a) += H ((b), (c), (d)) + (x) + (UINT4)(ac); \
 (a) = ROTATE_LEFT ((a), (s)); \
 (a) += (b); \
  }
#define II(a, b, c, d, x, s, ac) { \
 (a) += I ((b), (c), (d)) + (x) + (UINT4)(ac); \
 (a) = ROTATE_LEFT ((a), (s)); \
 (a) += (b); \
  }

/* MD5 initialization. Begins an MD5 operation, writing a new context.
 */
void MD5Init (context)
MD5_CTX *context;                                        /* context */
{
  context->count[0] = context->count[1] = 0;
  /* Load magic initialization constants.
*/
  context->state[0] = 0x67452301;
  context->state[1] = 0xefcdab89;
  context->state[2] = 0x98badcfe;
  context->state[3] = 0x10325476;
}

/* MD5 block update operation. Continues an MD5 message-digest
  operation, processing another message block, and updating the
  context.
 */
void MD5Update (context, input, inputLen)
MD5_CTX *context;                                        /* context */
unsigned char *input;                                /* input block */
unsigned int inputLen;                     /* length of input block */
{
  unsigned int i, index, partLen;

  /* Compute number of bytes mod 64 */
  index = (unsigned int)((context->count[0] >> 3) & 0x3F);

  /* Update number of bits */
  if ((context->count[0] += ((UINT4)inputLen << 3))
   < ((UINT4)inputLen << 3))
 context->count[1]++;
  context->count[1] += ((UINT4)inputLen >> 29);

  partLen = 64 - index;

  /* Transform as many times as possible.
*/
  if (inputLen >= partLen) {
 MD5_memcpy
   ((POINTER)&context->buffer[index], (POINTER)input, partLen);
 MD5Transform (context->state, context->buffer);

 for (i = partLen; i + 63 < inputLen; i += 64)
   MD5Transform (context->state, &input[i]);

 index = 0;
  }
  else
 i = 0;

  /* Buffer remaining input */
  MD5_memcpy
 ((POINTER)&context->buffer[index], (POINTER)&input[i],
  inputLen-i);
}

/* MD5 finalization. Ends an MD5 message-digest operation, writing the
  the message digest and zeroizing the context.
 */
void MD5Final (digest, context)
unsigned char digest[16];                         /* message digest */
MD5_CTX *context;                                       /* context */
{
  unsigned char bits[8];
  unsigned int index, padLen;

  /* Save number of bits */
  Encode (bits, context->count, 8);

  /* Pad out to 56 mod 64.
*/
  index = (unsigned int)((context->count[0] >> 3) & 0x3f);
  padLen = (index < 56) ? (56 - index) : (120 - index);
  MD5Update (context, PADDING, padLen);

  /* Append length (before padding) */
  MD5Update (context, bits, 8);

  /* Store state in digest */
  Encode (digest, context->state, 16);

  /* Zeroize sensitive information.
*/
  MD5_memset ((POINTER)context, 0, sizeof (*context));
}

/* MD5 basic transformation. Transforms state based on block.
 */
static void MD5Transform (state, block)
UINT4 state[4];
unsigned char block[64];
{
  UINT4 a = state[0], b = state[1], c = state[2], d = state[3], x[16];

  Decode (x, block, 64);

  /* Round 1 */
  FF (a, b, c, d, x[ 0], S11, 0xd76aa478); /* 1 */
  FF (d, a, b, c, x[ 1], S12, 0xe8c7b756); /* 2 */
  FF (c, d, a, b, x[ 2], S13, 0x242070db); /* 3 */
  FF (b, c, d, a, x[ 3], S14, 0xc1bdceee); /* 4 */
  FF (a, b, c, d, x[ 4], S11, 0xf57c0faf); /* 5 */
  FF (d, a, b, c, x[ 5], S12, 0x4787c62a); /* 6 */
  FF (c, d, a, b, x[ 6], S13, 0xa8304613); /* 7 */
  FF (b, c, d, a, x[ 7], S14, 0xfd469501); /* 8 */
  FF (a, b, c, d, x[ 8], S11, 0x698098d8); /* 9 */
  FF (d, a, b, c, x[ 9], S12, 0x8b44f7af); /* 10 */
  FF (c, d, a, b, x[10], S13, 0xffff5bb1); /* 11 */
  FF (b, c, d, a, x[11], S14, 0x895cd7be); /* 12 */
  FF (a, b, c, d, x[12], S11, 0x6b901122); /* 13 */
  FF (d, a, b, c, x[13], S12, 0xfd987193); /* 14 */
  FF (c, d, a, b, x[14], S13, 0xa679438e); /* 15 */
  FF (b, c, d, a, x[15], S14, 0x49b40821); /* 16 */

 /* Round 2 */
  GG (a, b, c, d, x[ 1], S21, 0xf61e2562); /* 17 */
  GG (d, a, b, c, x[ 6], S22, 0xc040b340); /* 18 */
  GG (c, d, a, b, x[11], S23, 0x265e5a51); /* 19 */
  GG (b, c, d, a, x[ 0], S24, 0xe9b6c7aa); /* 20 */
  GG (a, b, c, d, x[ 5], S21, 0xd62f105d); /* 21 */
  GG (d, a, b, c, x[10], S22,  0x2441453); /* 22 */
  GG (c, d, a, b, x[15], S23, 0xd8a1e681); /* 23 */
  GG (b, c, d, a, x[ 4], S24, 0xe7d3fbc8); /* 24 */
  GG (a, b, c, d, x[ 9], S21, 0x21e1cde6); /* 25 */
  GG (d, a, b, c, x[14], S22, 0xc33707d6); /* 26 */
  GG (c, d, a, b, x[ 3], S23, 0xf4d50d87); /* 27 */
  GG (b, c, d, a, x[ 8], S24, 0x455a14ed); /* 28 */
  GG (a, b, c, d, x[13], S21, 0xa9e3e905); /* 29 */
  GG (d, a, b, c, x[ 2], S22, 0xfcefa3f8); /* 30 */
  GG (c, d, a, b, x[ 7], S23, 0x676f02d9); /* 31 */
  GG (b, c, d, a, x[12], S24, 0x8d2a4c8a); /* 32 */

  /* Round 3 */
  HH (a, b, c, d, x[ 5], S31, 0xfffa3942); /* 33 */
  HH (d, a, b, c, x[ 8], S32, 0x8771f681); /* 34 */
  HH (c, d, a, b, x[11], S33, 0x6d9d6122); /* 35 */
  HH (b, c, d, a, x[14], S34, 0xfde5380c); /* 36 */
  HH (a, b, c, d, x[ 1], S31, 0xa4beea44); /* 37 */
  HH (d, a, b, c, x[ 4], S32, 0x4bdecfa9); /* 38 */
  HH (c, d, a, b, x[ 7], S33, 0xf6bb4b60); /* 39 */
  HH (b, c, d, a, x[10], S34, 0xbebfbc70); /* 40 */
  HH (a, b, c, d, x[13], S31, 0x289b7ec6); /* 41 */
  HH (d, a, b, c, x[ 0], S32, 0xeaa127fa); /* 42 */
  HH (c, d, a, b, x[ 3], S33, 0xd4ef3085); /* 43 */
  HH (b, c, d, a, x[ 6], S34,  0x4881d05); /* 44 */
  HH (a, b, c, d, x[ 9], S31, 0xd9d4d039); /* 45 */
  HH (d, a, b, c, x[12], S32, 0xe6db99e5); /* 46 */
  HH (c, d, a, b, x[15], S33, 0x1fa27cf8); /* 47 */
  HH (b, c, d, a, x[ 2], S34, 0xc4ac5665); /* 48 */

  /* Round 4 */
  II (a, b, c, d, x[ 0], S41, 0xf4292244); /* 49 */
  II (d, a, b, c, x[ 7], S42, 0x432aff97); /* 50 */
  II (c, d, a, b, x[14], S43, 0xab9423a7); /* 51 */
  II (b, c, d, a, x[ 5], S44, 0xfc93a039); /* 52 */
  II (a, b, c, d, x[12], S41, 0x655b59c3); /* 53 */
  II (d, a, b, c, x[ 3], S42, 0x8f0ccc92); /* 54 */
  II (c, d, a, b, x[10], S43, 0xffeff47d); /* 55 */
  II (b, c, d, a, x[ 1], S44, 0x85845dd1); /* 56 */
  II (a, b, c, d, x[ 8], S41, 0x6fa87e4f); /* 57 */
  II (d, a, b, c, x[15], S42, 0xfe2ce6e0); /* 58 */
  II (c, d, a, b, x[ 6], S43, 0xa3014314); /* 59 */
  II (b, c, d, a, x[13], S44, 0x4e0811a1); /* 60 */
  II (a, b, c, d, x[ 4], S41, 0xf7537e82); /* 61 */
  II (d, a, b, c, x[11], S42, 0xbd3af235); /* 62 */
  II (c, d, a, b, x[ 2], S43, 0x2ad7d2bb); /* 63 */
  II (b, c, d, a, x[ 9], S44, 0xeb86d391); /* 64 */

  state[0] += a;
  state[1] += b;
  state[2] += c;
  state[3] += d;

  /* Zeroize sensitive information.
*/
  MD5_memset ((POINTER)x, 0, sizeof (x));
}

/* Encodes input (UINT4) into output (unsigned char). Assumes len is
  a multiple of 4.
 */
static void Encode (output, input, len)
unsigned char *output;
UINT4 *input;
unsigned int len;
{
  unsigned int i, j;

  for (i = 0, j = 0; j < len; i++, j += 4) {
 output[j] = (unsigned char)(input[i] & 0xff);
 output[j+1] = (unsigned char)((input[i] >> 8) & 0xff);
 output[j+2] = (unsigned char)((input[i] >> 16) & 0xff);
 output[j+3] = (unsigned char)((input[i] >> 24) & 0xff);
  }
}

/* Decodes input (unsigned char) into output (UINT4). Assumes len is
  a multiple of 4.
 */
static void Decode (output, input, len)
UINT4 *output;
unsigned char *input;
unsigned int len;
{
  unsigned int i, j;

  for (i = 0, j = 0; j < len; i++, j += 4)
 output[i] = ((UINT4)input[j]) | (((UINT4)input[j+1]) << 8) |
   (((UINT4)input[j+2]) << 16) | (((UINT4)input[j+3]) << 24);
}

/* Note: Replace "for loop" with standard memcpy if possible.
 */

static void MD5_memcpy (output, input, len)
POINTER output;
POINTER input;
unsigned int len;
{
  unsigned int i;

  for (i = 0; i < len; i++)
 output[i] = input[i];
}

/* Note: Replace "for loop" with standard memset if possible.
 */
static void MD5_memset (output, value, len)
POINTER output;
int value;
unsigned int len;
{
  unsigned int i;

  for (i = 0; i < len; i++)
 ((char *)output)[i] = (char)value;
}
    

A.4 mddriver.c

/* MDDRIVER.C - test driver for MD2, MD4 and MD5
 */

/* Copyright (C) 1990-2, RSA Data Security, Inc. Created 1990. All
rights reserved.

RSA Data Security, Inc. makes no representations concerning either
the merchantability of this software or the suitability of this
software for any particular purpose. It is provided "as is"
without express or implied warranty of any kind.

These notices must be retained in any copies of any part of this
documentation and/or software.
 */

/* The following makes MD default to MD5 if it has not already been
  defined with C compiler flags.
 */
#ifndef MD
#define MD MD5
#endif

#include <stdio.h>
#include <time.h>
#include <string.h>
#include "global.h"
#if MD == 2
#include "md2.h"
#endif
#if MD == 4
#include "md4.h"
#endif
#if MD == 5
#include "md5.h"
#endif

/* Length of test block, number of test blocks.
 */
#define TEST_BLOCK_LEN 1000
#define TEST_BLOCK_COUNT 1000

static void MDString PROTO_LIST ((char *));
static void MDTimeTrial PROTO_LIST ((void));
static void MDTestSuite PROTO_LIST ((void));
static void MDFile PROTO_LIST ((char *));
static void MDFilter PROTO_LIST ((void));
static void MDPrint PROTO_LIST ((unsigned char [16]));

#if MD == 2
#define MD_CTX MD2_CTX
#define MDInit MD2Init
#define MDUpdate MD2Update
#define MDFinal MD2Final
#endif
#if MD == 4
#define MD_CTX MD4_CTX
#define MDInit MD4Init
#define MDUpdate MD4Update
#define MDFinal MD4Final
#endif
#if MD == 5
#define MD_CTX MD5_CTX
#define MDInit MD5Init
#define MDUpdate MD5Update
#define MDFinal MD5Final
#endif

/* Main driver.

Arguments (may be any combination):
  -sstring - digests string
  -t       - runs time trial
  -x       - runs test script
  filename - digests file
  (none)   - digests standard input
 */
int main (argc, argv)
int argc;
char *argv[];
{
  int i;

  if (argc > 1)
    for (i = 1; i < argc; i++)
      if (argv[i][0] == '-' && argv[i][1] == 's')
        MDString (argv[i] + 2);
      else if (strcmp (argv[i], "-t") == 0)
        MDTimeTrial ();
      else if (strcmp (argv[i], "-x") == 0)
        MDTestSuite ();
      else
        MDFile (argv[i]);
  else
  MDFilter ();

  return (0);
}

/* Digests a string and prints the result.
 */
static void MDString (string)
char *string;
{
  MD_CTX context;
  unsigned char digest[16];
  unsigned int len = strlen (string);

  MDInit (&context);
  MDUpdate (&context, string, len);
  MDFinal (digest, &context);

  printf ("MD%d (\"%s\") = ", MD, string);
  MDPrint (digest);
  printf ("\n");
}

/* Measures the time to digest TEST_BLOCK_COUNT TEST_BLOCK_LEN-byte
  blocks.
 */
static void MDTimeTrial ()
{
  MD_CTX context;
  time_t endTime, startTime;
  unsigned char block[TEST_BLOCK_LEN], digest[16];
  unsigned int i;

  printf
 ("MD%d time trial. Digesting %d %d-byte blocks ...", MD,
  TEST_BLOCK_LEN, TEST_BLOCK_COUNT);

  /* Initialize block */
  for (i = 0; i < TEST_BLOCK_LEN; i++)
    block[i] = (unsigned char)(i & 0xff);

  /* Start timer */
  time (&startTime);

  /* Digest blocks */
  MDInit (&context);
  for (i = 0; i < TEST_BLOCK_COUNT; i++)
    MDUpdate (&context, block, TEST_BLOCK_LEN);
  MDFinal (digest, &context);

  /* Stop timer */
  time (&endTime);

  printf (" done\n");
  printf ("Digest = ");
  MDPrint (digest);
  printf ("\nTime = %ld seconds\n", (long)(endTime-startTime));
  printf
 ("Speed = %ld bytes/second\n",
  (long)TEST_BLOCK_LEN * (long)TEST_BLOCK_COUNT/(endTime-startTime));
}

/* Digests a reference suite of strings and prints the results.
 */
static void MDTestSuite ()
{
  printf ("MD%d test suite:\n", MD);

  MDString ("");
  MDString ("a");
  MDString ("abc");
  MDString ("message digest");
  MDString ("abcdefghijklmnopqrstuvwxyz");
  MDString
 ("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789");
  MDString
 ("1234567890123456789012345678901234567890\
1234567890123456789012345678901234567890");
}

/* Digests a file and prints the result.
 */
static void MDFile (filename)
char *filename;
{
  FILE *file;
  MD_CTX context;
  int len;
  unsigned char buffer[1024], digest[16];

  if ((file = fopen (filename, "rb")) == NULL)
    printf ("%s can't be opened\n", filename);
  else {
    MDInit (&context);
    while (len = fread (buffer, 1, 1024, file))
      MDUpdate (&context, buffer, len);
    MDFinal (digest, &context);

    fclose (file);

    printf ("MD%d (%s) = ", MD, filename);
    MDPrint (digest);
    printf ("\n");
  }
}

/* Digests the standard input and prints the result.
 */
static void MDFilter ()
{
  MD_CTX context;
  int len;
  unsigned char buffer[16], digest[16];

  MDInit (&context);
  while (len = fread (buffer, 1, 16, stdin))
    MDUpdate (&context, buffer, len);
  MDFinal (digest, &context);

  MDPrint (digest);
  printf ("\n");
}

/* Prints a message digest in hexadecimal.
 */
static void MDPrint (digest)
unsigned char digest[16];
{
  unsigned int i;

  for (i = 0; i < 16; i++)
    printf ("%02x", digest[i]);
}
    

A.5 テストスイート

MD5テストスイート(driver option "-x")は、 次の結果を出力する必要がある。:

MD5 test suite:
MD5 ("") = d41d8cd98f00b204e9800998ecf8427e
MD5 ("a") = 0cc175b9c0f1b6a831c399e269772661
MD5 ("abc") = 900150983cd24fb0d6963f7d28e17f72
MD5 ("message digest") = f96b697d7cb7938d525a2f31aaf161d0
MD5 ("abcdefghijklmnopqrstuvwxyz") = c3fcd3d76192e4007dfb496cca67e13b
MD5 ("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789") =
d174ab98d277d9f5a5611c2c9f419d9f
MD5 ("123456789012345678901234567890123456789012345678901234567890123456
78901234567890") = 57edf4a22be3c955ac49da2e2107b67a
    

セキュリティについての考慮事項 English

このメモにおいて検討されているセキュリティのレベルは、 MD5と公開鍵暗号方式に基づく、 非常に高いセキュリティをもつハイブリッド電子署名の実装に十分であると考えられる。

著者のアドレス

Ronald L. Rivest
Massachusetts Institute of Technology
Laboratory for Computer Science
NE43-324
545 Technology Square
Cambridge, MA 02139-1986

電話: (617) 253-5880
EMail: rivest@theory.lcs.mit.edu

翻訳者のアドレス

西原 啓輔, Ph.D
(株)日立製作所

EMail: k-west@mba.ocn.ne.jp

宮川 寧夫
情報処理推進機構

Email: miyakawa@ipa.go.jp


Copyright (C) The Internet Society (1992). All Rights Reserved.