<p><protocol_draft_analysis; ;="" code="HMTFTP" focus="IoT_Security" status="draft-moriarty-tftp-aead"></protocol_draft_analysis;></p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Authenticated Encryption for TFTP (HMTFTP) : draft-moriarty-tftp-aead</h1> <h3 class="wp-block-heading">【背景と設計目標】</h3> <p>軽量なTFTPにAEAD（認証付き暗号）を導入し、DTLSの実装が困難な極小リソースのIoTデバイスへ、安全なファームウェア更新手段を提供する。</p> <p>既存のRFC 1350（TFTP）との上位互換性を維持しつつ、RFC 2347（Option Extension）を利用して暗号化パラメーターをネゴシエーションする、既存プロトコルの段階的強化案です。</p> <h3 class="wp-block-heading">【通信シーケンスと動作】</h3> <p>HMTFTPは、通常のTFTPハンドシェイク時に特定のオプション（”aead”）を付与することで開始されます。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> sequenceDiagram participant "Client as HMTFTP Client" participant "Server as HMTFTP Server" Note over Client, Server: 事前共有鍵(PSK)または鍵交換完了済み Client ->> Server: WRQ/RRQ [filename, mode, aead=aes-128-gcm] Server -->> Client: OACK [aead=aes-128-gcm, nonce=random_val] Client ->> Server: DATA (Block #1, Encrypted Payload, Tag) Server -->> Client: ACK (Block #1, Tag) Note over Client, Server: 以降、ブロックごとにAEADで保護された転送 </pre></div> <ol class="wp-block-list"> <li><p><strong>Option Negotiation</strong>: クライアントがRRQ/WRQにて暗号アルゴリズムを提案。</p></li> <li><p><strong>Initial Nonce</strong>: サーバーがOACKで暗号化に使用する初期ナンス（Nonce）を提示。</p></li> <li><p><strong>Authenticated Transfer</strong>: 各データブロックに認証タグを付加し、改ざん検知と暗号化を同時に実現。</p></li> </ol> <h3 class="wp-block-heading">【データ構造 / パケットフォーマット】</h3> <p>HMTFTPのDATAパケット構造は、標準のTFTPヘッダーを拡張し、AEADタグをペイロードの末尾に配置します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"> 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Opcode (3:DATA) [16 bits] | Block # [16 bits] | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Encrypted Data Payload (Variable Length) | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Authentication Tag (e.g., 128 bits) | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ </pre> </div> <ul class="wp-block-list"> <li><p><strong>Opcode</strong>: 標準TFTP（3=DATA, 4=ACK）を流用。</p></li> <li><p><strong>Encrypted Data</strong>: 選択されたAEADアルゴリズム（AES-GCM等）で暗号化。</p></li> <li><p><strong>Authentication Tag</strong>: MAC（メッセージ認証符号）。パケット全体の完全性を保証。</p></li> </ul> <h3 class="wp-block-heading">【技術的な特徴と比較】</h3> <p>HMTFTPは、フルスタックのセキュリティ（HTTPS/CoAP+DTLS）と、全くセキュリティのないTFTPの中間に位置します。</p> <figure class="wp-block-table"><table> <thead> <tr> <th style="text-align:left;">機能 / プロトコル</th> <th style="text-align:left;">TFTP (RFC1350)</th> <th style="text-align:left;">HMTFTP (Draft)</th> <th style="text-align:left;">CoAP + DTLS</th> </tr> </thead> <tbody> <tr> <td style="text-align:left;"><strong>暗号化方式</strong></td> <td style="text-align:left;">なし</td> <td style="text-align:left;">AEAD (AES-GCM等)</td> <td style="text-align:left;">TLS 1.2/1.3準拠</td> </tr> <tr> <td style="text-align:left;"><strong>オーバーヘッド</strong></td> <td style="text-align:left;">極小</td> <td style="text-align:left;">低 (Tag分のみ)</td> <td style="text-align:left;">高 (Handshake/Record)</td> </tr> <tr> <td style="text-align:left;"><strong>HOL Blocking</strong></td> <td style="text-align:left;">あり (Stop-and-Wait)</td> <td style="text-align:left;">あり</td> <td style="text-align:left;">部分的に解消可</td> </tr> <tr> <td style="text-align:left;"><strong>0-RTT</strong></td> <td style="text-align:left;">N/A</td> <td style="text-align:left;">実質可能 (PSK利用時)</td> <td style="text-align:left;">対応 (TLS 1.3)</td> </tr> <tr> <td style="text-align:left;"><strong>実装サイズ</strong></td> <td style="text-align:left;">最小 (数KB)</td> <td style="text-align:left;">小 (AEADライブラリ依存)</td> <td style="text-align:left;">中〜大</td> </tr> </tbody> </table></figure> <h3 class="wp-block-heading">【セキュリティ考慮事項】</h3> <ol class="wp-block-list"> <li><p><strong>リプレイ攻撃への耐性</strong>: TFTPのBlock NumberをAEADの追加認証データ（AAD）に含めることで、パケットの入れ替えや再送攻撃を検知します。</p></li> <li><p><strong>前方秘匿性（PFS）の欠如</strong>: 本ドラフトは主にPSK（事前共有鍵）を想定しており、PFSが必要な場合は上位層での鍵交換（Ephemeral Diffie-Hellman等）を別途組み合わせる必要があります。</p></li> <li><p><strong>初期ベクトルの再利用禁止</strong>: 同一の鍵でNonce（ナンス）が重複すると暗号強度が著しく低下するため、カウンタ管理の実装には厳格さが求められます。</p></li> </ol> <h3 class="wp-block-heading">【まとめと実装への影響】</h3> <p>ネットワークエンジニアおよび開発者が留意すべき点は以下の3点です。</p> <ul class="wp-block-list"> <li><p><strong>省リソース環境の救世主</strong>: DTLSの複雑なステートマシンを実装できない8ビット/16ビットマイコンにおいて、実用的なセキュリティを最小限のコードサイズで提供できる。</p></li> <li><p><strong>既存ツールとの非互換性</strong>: 標準のTFTPサーバー/クライアントではオプションを無視してエラーになるか、暗号化パケットを平文として誤認するため、エンドツーエンドでのHMTFTP対応が必須。</p></li> <li><p><strong>鍵管理の外部依存</strong>: HMTFTP自体には鍵交換機能が含まれていない。製造時に鍵を埋め込むか、LwM2M等の別スキームで鍵を配布する運用設計が不可欠となる。</p></li> </ul>

sequenceDiagram
    participant "Client as HMTFTP Client"
    participant "Server as HMTFTP Server"
    Note over Client, Server: 事前共有鍵(PSK)または鍵交換完了済み
    Client ->> Server: WRQ/RRQ [filename, mode, aead=aes-128-gcm]
    Server -->> Client: OACK [aead=aes-128-gcm, nonce=random_val]
    Client ->> Server: DATA (Block #1, Encrypted Payload, Tag)
    Server -->> Client: ACK (Block #1, Tag)
    Note over Client, Server: 以降、ブロックごとにAEADで保護された転送

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  Opcode (3:DATA) [16 bits]    |     Block # [16 bits]         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
|             Encrypted Data Payload (Variable Length)          |
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
|                Authentication Tag (e.g., 128 bits)            |
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+