この規格 プレビューページの目次
- IEEE 規格文書に関する重要な通知と免責事項Important Notices and Disclaimers Concerning IEEE Standards Documents
- IEEE 規格文書の使用に関する通知と免責事項Notice and Disclaimer of Liability Concerning the Use of IEEE Standards Documents
- 翻訳Translations
- 公式声明Official statements
- 標準に関するコメントComments on standards
- 法令Laws and regulations
- 著作権Copyrights
- コピーPhotocopies
- IEEE規格文書の更新Updating of IEEE Standards documents
- 正誤表Errata
- 特許Patents
- 参加者Participants
- 序章Introduction
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
この概要は、IEEE Std 802.21-2017/Cor 1-2017, ローカルおよびメトロポリタン エリア ネットワークの IEEE 標準 — Part 21: メディア独立サービス フレームワーク — 正誤表 1: グループ セッション キー導出におけるパラメーター定義の明確化の一部ではありません。
この正誤表は、IEEE Std 802.21-2017 で公開されているグループ セッション キー派生のパラメーター定義に対する技術的な説明と編集上の修正を提供します。
注- この正誤表に含まれる編集指示は、そこに含まれる資料を既存の基本規格とその修正に統合して包括的な規格を形成する方法を定義しています。
編集手順は、 太字のイタリック体 で示されています。変更、削除、挿入、置換の 4 つの編集命令が使用されます。 変更 は、既存のテキストまたは表を修正するために使用されます。編集指示では、変更の場所を指定し、取り消し線(古い内容を削除するため) と下線(新しい内容を追加するため) を使用して変更内容を説明します。 削除 は、既存の素材を削除します。 インサート は、既存の材料を乱すことなく新しい材料を追加します。挿入には再番号付けが必要な場合があります。その場合、再番号付けの指示は編集指示で与えられます。 置換 は、既存の図または方程式を削除して新しいものに置き換えることにより、図または方程式を変更するために使用されます。編集手順、変更マーク、およびこの注記は、変更が基本規格に組み込まれるため、将来の版には引き継がれません。
9. MIS プロトコル保護
9.6 グループ宛メッセージ保護
9.6.1 を次のように変更します。
9.6.1 グループセッションキーの導出
Key
GKB の受信者が GKB から MGK を正常に復号化すると、MGK からメディア非依存グループ セッション キー (MIGSK) が生成され、グループ操作コマンドとグループ アドレス指定コマンドが保護されます。
キーの導出には、次の表記とパラメータが使用されます。
- K: 鍵導出鍵。マスター グループ キー (MGK) から切り捨てられます。 Kの長さは、キー導出に使用される疑似乱数関数 (PRF) によって決定されます。 HMAC-SHA-1 または HMAC-SHA-256 が PRF として使用される場合、完全な MGK がキー派生キーKとして使用されます。 CMAC-AES が PRF として使用される場合、MGK の最初の 128 ビットが導出キーKとして使用されます。
- L: 導出されたキーイング マテリアル MIGSK および MIGKVK のバイナリ長。 L = L + L ;ここで、 L 1は選択されたグループ暗号スイート (9.6.5 で説明)によって決定され、 L 2 はグループ鍵配布暗号スイート (9.6.6 で説明) によって決定されます。
- h: キー導出で使用される PRF の出力バイナリ長。つまり、 hは、1 回の PRF 実行から派生したキーイング マテリアルのブロックの長さです。具体的には、HMAC-SHA-1 の場合、 h = 160 ビットです。 HMAC-SHA-256 の場合、 h = 256 ビット。 CMAC AES の場合、 h = 128 ビット。
- n: Lビットのキーイング マテリアルを生成するための PRF の反復回数。
- c: グループ暗号スイート コードは、各暗号スイートに指定された 1 オクテットの文字列です。コードは 9.6.5 で定義されています。
- v: カウンターのバイナリ表現の長さとキー マテリアルLの長さ。 vのデフォルト値は 32 です。
- "MIGSK": 0x4D4947534B, 文字列 "MIGSK" の 16 進数の ASCII コード。
- [a] 2: 指定された長さの整数aバイナリ表現。
特定の PRF について、MIGSK および MIGKVK のキー派生は、次の手順で説明できます。
固定入力値 : hおよびv 。
入力 : K 、 L 、およびグループ暗号スイート コード。
プロセス :
- a)
- b)n > 2 v − 1 の場合、エラーを表示して停止します。
- c)結果 (0):= 空の文字列。
- d) i = 1 からnの場合、
- 1)K (i):= PRF( K , "MIGSK" || [i] 2 || c || [ L ] 2 )
- 2)結果 (i) = 結果 (i − 1) || K (私)。
e) ReturnResult( n ) MIGSK は Result( n ) の左端のLビットであり、その長さはL 1 として表されます。MIGKVK は Result( n ) の残りの左端のビットであり、その長さはLLが「0」の場合、MIGKVKは含まれていません。
出力 : MIGSK || MIGKV
上記の手順により、図 73 に示すようにキー階層が導出されます。
このメカニズムは、NIST SP800-108 (カウンター モードの KDF) に準拠しています。
9.6.5 グループ暗号スイート
表 27を次のように変更します。
表 27 —グループ暗号スイート
| コード | 暗号化アルゴリズム | デジタル署名アルゴリズム | L_ |
|---|---|---|---|
| 10000100 | 零 | ECDSA-256 | 0 |
| 10010001 | AES_CCM-128 | 零 | 128 |
| 10010101 | AES_CCM-128 | ECDSA-256 | 128 |
9.6.6 グループ鍵配布暗号スイート
表 28を次のように変更します。
Key
| コード | ラッピングアルゴリズム | VerifyGroupCode の MAC アルゴリズム | L_ |
|---|---|---|---|
| 11010100 | AES_Key_Wrapping-128 | 零 | 0 |
| 11000100 | AES_ECB-128 | 零 | 0 |
| 11000101 | AES_ECB-128 | AES-CMAC-128 | 128 |
| 11000000 | グループキーの配布なし | 零 | 0 |
Introduction
This introduction is not part of IEEE Std 802.21-2017/Cor 1-2017, IEEE Standard for Local and metropolitan area networks—Part 21: Media Independent Services Framework—Corrigendum 1: Clarification of Parameter Definition in Group Session Key Derivation.
This corrigendum provides technical clarifications and editorial corrections to the parameter definition in group session key derivation published in IEEE Std 802.21-2017.
NOTE— The editing instructions contained in this corrigendum define how to merge the material contained therein into the existing base standard and its amendments to form the comprehensive standard.
The editing instructions are shown in bold italic . Four editing instructions are used: change, delete, insert, and replace. Change is used to make corrections in existing text or tables. The editing instruction specifies the location of the change and describes what is being changed by using strikethrough (to remove old material) and underscore (to add new material). Delete removes existing material. Insert adds new material without disturbing the existing material. Insertions may require renumbering. If so, renumbering instructions are given in the editing instruction. Replace is used to make changes in figures or equations by removing the existing figure or equation and replacing it with a new one. Editing instructions, change markings, and this NOTE will not be carried over into future editions because the changes will be incorporated into the base standard.
9. MIS protocol protection
9.6 Group addressed message protection
Change 9.6.1 as follows:
9.6.1 Group session key derivation
Figure 73—Key derivation example
When a recipient of a GKB successfully decrypts an MGK from the GKB, a media independent group session key (MIGSK) is derived from the MGK to protect group manipulation commands and group addressed commands:
For the key derivation, the following notations and parameters are used:
- K: key derivation key. It is truncated from a master group key (MGK). The length of K is determined by the pseudorandom function (PRF) used for key derivation. If HMAC-SHA-1 or HMAC-SHA-256 is used as a PRF, then the full MGK is used as key derivation key, K. If CMAC-AES is used as a PRF, then the first 128 bits of MGK are used as derivation key, K.
- L: The binary length of derived keying material MIGSK and MIGKVK. L = L1 + L2; where L1 is determined by selected group ciphersuite (described in 9.6.5) and L2 is determined by group key distribution ciphersuites (described in 9.6.6).
- h: The output binary length of PRF used in the key derivation. That is, h is the length of the block of the keying material derived by one PRF execution. Specifically, for HMAC-SHA-1, h = 160 bits; for HMAC-SHA-256, h = 256 bits; for CMAC-AES, h = 128 bits.
- n: The number of iterations of PRF in order to generate L-bits keying material.
- c: The group ciphersuite code is a one octet string specified for each ciphersuite. The code is defined in 9.6.5.
- v: The length of the binary representation of the counter and the length of keying material L. The default value for v is 32.
- “MIGSK”: 0x4D4947534B, ASCII code in hex for string “MIGSK.”
- [a]2: Binary representation of integer a with a given length.
For given PRF, the key derivation for MIGSK and MIGKVK can be described in the following procedures:
Fixed input values : h and v.
Input : K, L, and group ciphersuite code.
Process :
- a)
- b) If n > 2 v − 1, then indicate an error and stop.
- c) Result(0):= empty string.
- d) For i = 1 to n, do
- 1)K(i):= PRF(K, “MIGSK” || [i]2 || c || [L]2).
- 2) Result(i) = Result(i − 1) || K(i).
e) Return Result(n). and MIGSK is the leftmost L bits of Result(n) and its length is represented as L1. MIGKVK is the remaining leftmost bits of Result(n) and its length is represented as L2. If L2 is ‘0’, MIGKVK is not included.
Output : MIGSK || MIGKVK.
With the above procedure, a key hierarchy is derived as shown in Figure 73.
This mechanism conforms with NIST SP800-108 (KDF in Counter Mode).
9.6.5 Group ciphersuites
Change Table 27 as follows:
Table 27—Group ciphersuites
| Code | Encryption algorithm | Digital signature algorithm | L1 |
|---|---|---|---|
| 10000100 | NULL | ECDSA-256 | 0 |
| 10010001 | AES_CCM-128 | NULL | 128 |
| 10010101 | AES_CCM-128 | ECDSA-256 | 128 |
9.6.6 Group key distribution ciphersuites
Change Table 28 as follows:
Table 28—Group key distribution ciphersuites
| Code | Wrapping algorithm | MAC algorithm for VerifyGroupCode | L2 |
|---|---|---|---|
| 11010100 | AES_Key_Wrapping-128 | NULL | 0 |
| 11000100 | AES_ECB-128 | NULL | 0 |
| 11000101 | AES_ECB-128 | AES-CMAC-128 | 128 |
| 11000000 | No group key distribution | NULL | 0 |