PKCS#1：RSA加密 版本1.5

本备忘录的状态
本备忘录为Internet社区提供了信息。它没有讲述任何一种Internet标准.本备忘录的发
布不受任何限制。
版权声明
Copyright(C)TheInternetSociety(1998).保留所有权利。
略读
此篇文章描述了如何使用RSA公钥密码体系加密数据。
目录
1、范围 2
2、参考 2
3、定义 4
4、标志和缩写 5
5、总的概述 5
6、密钥生成 5
7、密钥语法 6
7．1公钥语法 6
7．2私钥语法 6
8、加密过程 7
8．1加密块格式化 7
8．28位字节串到整数的转换 8
8．3RSA计算 8
8．4整数到字节串的转换 9
9、解密过程 9
9．1字节串到整数的转换 9
9．2RSA计算 9
9．3整数到字节串的转换 9
9．4需加密块解析 10
10、签名算法 10
10．1签名过程 10
10．2验证过程 12
11、对象标识符 13
安全考虑 14
修订版记录 14
鸣谢 14
作者地址 14
版权声明 15
1、范围
此篇文档描述了如何使用RSA公钥密码体系加密数据。这将被用作数字签名和数字信
封，且在PKCS#7中有描述：
? 数字签名：签名内容首先被消息散列算法（如MD5）缩减成一个消息散列，然后
使用签名者的RSA私钥加密含有消息散列的字符串。原文和被加密的消息散列一
起组成符合PKCS#7中语法的数字签名。这种应用和PEM是兼容的。
? 数字信封：首先将被加信封的内容使用一个内容加密算法（例如DES）的内容加
密密钥加密，然后使用收件人的RSA公钥加密内容加密密钥。那个被加密内容和
被加密的密钥一起组成符合PKCS#7中语法的数字信封。这种应用和PEM是兼
容的。
此篇文档还描述了有关一个RSA公钥和私钥的语法。公钥语法被用于证书；私钥语法
被用于PKCS#8中的私钥信息。公钥语法在X.509和PEM是完全相同的。这样X.509/PEM
RSA密钥能被用于此篇文当中。
此篇文档还定义了三个签名算法，它们被用于签署X.509/PEM证书和CRL，PKCS#6
扩展证书，和其他使用数字签名的对象（例如X.401消息标记）。
有关消息散列和内容加密算法的细节并不属于此篇文档的范围，并且有关被文档要求
的假随机位的来源也不在此文档范围中。
2、参考
FIPSPUB46-1NationalBureauofStandards.FIPSPUB46-1:
DataEncryptionStandard.January1988.
PKCS#6RSALaboratories.PKCS#6:Extended-Certificate
Syntax.Version1.5,November1993.
PKCS#7RSALaboratories.PKCS#7:CryptographicMessage
Syntax.Version1.5,November1993.
PKCS#8RSALaboratories.PKCS#8:Private-KeyInformation
Syntax.Version1.2,November1993.
RFC1319Kaliski,B.,"TheMD2Message-Digest
Algorithm,"RFC1319,April1992.
RFC1320Rivest,R.,"TheMD4Message-Digest
Algorithm,"RFC1320,April1992.
RFC1321Rivest,R.,"TheMD5Message-Digest
Algorithm,"RFC1321,April1992.
RFC1423Balenson,D.,"PrivacyEnhancementfor
InternetElectronicMail:PartIII:Algorithms,
Modes,andIdentifiers,"RFC1423,February1993.
X.208CCITT.RecommendationX.208:Specificationof
AbstractSyntaxNotationOne(ASN.1).1988.
X.209CCITT.RecommendationX.209:Specificationof
BasicEncodingRulesforAbstractSyntaxNotation
One(ASN.1).1988.
X.411CCITT.RecommendationX.411:MessageHandling
Systems:MessageTransferSystem:AbstractService
DefinitionandProcedures.1988.
X.509CCITT.RecommendationX.509:TheDirectory--
AuthenticationFramework.1988.
[dBB92]B.denBoerandA.Bosselaers.Anattackonthe
lasttworoundsofMD4.InJ.Feigenbaum,editor,
AdvancesinCryptology---CRYPTO"91Proceedings,
volume576ofLectureNotesinComputerScience,
pages194-203.Springer-Verlag,NewYork,1992.
[dBB93]B.denBoerandA.Bosselaers.Collisionsforthe
compressionfunctionofMD5.Presentedat
EUROCRYPT"93(Lofthus,Norway,May24-27,1993).
[DO86]Y.DesmedtandA.M.Odlyzko.Achosentextattack
ontheRSAcryptosystemandsomediscrete
logarithmschemes.InH.C.Williams,editor,
AdvancesinCryptology---CRYPTO"85Proceedings,
volume218ofLectureNotesinComputerScience,
pages516-521.Springer-Verlag,NewYork,1986.
[Has88]JohanHastad.Solvingsimultaneousmodular
equations.SIAMJournalonComputing,
17(2):336-341,April1988.
[IM90]ColinI"AnsonandChrisMitchell.Securitydefects
inCCITTRecommendationX.509--Thedirectory
authenticationframework.ComputerCommunications
Review,:30-34,April1990.
[Mer90]R.C.Merkle.NoteonMD4.Unpublishedmanuscript,
1990.
[Mil76]G.L.Miller.Riemann"shypothesisandtestsfor
primality.JournalofComputerandSystems
Sciences,13(3):300-307,1976.
[QC82]J.-J.QuisquaterandC.Couvreur.Fast
deciphermentalgorithmforRSApublic-key
cryptosystem.ElectronicsLetters,18(21):905-907,
October1982.
[RSA78]R.L.Rivest,A.Shamir,andL.Adleman.Amethod
foroBTainingdigitalsignaturesandpublic-key
cryptosystems.CommunicationsoftheACM,
21(2):120-126,February1978.
3、定义
由于此篇文档的目的，下列定义将被使用。
算法标识符：通过对象标识符定义一种算法和相关参数的类型，此类型被定义在X.509
中。
ASN.1：抽象语法标记1，定义在X.208中。
BER：基础编码规则，定义在X.209中。
DES：数据加密标准，定义在FIPSPUB46-1中。
MD2：RSADataSecurity,Inc.的MD2消息散列算法，定义在RFC1319中。
MD4：RSADataSecurity,Inc.的MD4消息散列算法，定义在RFC1320中。
MD5：RSADataSecurity,Inc.的MD5消息散列算法，定义在RFC1321中。
Modulus（模数）：由两个素数形成的整数。
PEM：因特网私人加密邮件，定义在RFC1423和相关文当中。
RSA：RSA公钥密码体系，定义在[RSA78]中。
私人密钥：模数和私人指数。
公开密钥：模数和公开指数。
4、标志和缩写
大写标志（例如BT）表示字符串和位串（就签名S而言），小写标志（例如c）表示
整数。
ab16进制8位组值c指数
BT块类型d私人指数
D数据e公开指数
EB需加密块k模数的8位组长度
ED被加密的数据n模数
M消息p,q模数的素数组成
MD消息散列x整数需加密块
MD"比较的消息散列y整数被加密数据
PS填充字符串modn模n
S签名XYX，Y的级连
XX字节长
5、总的概述
下面的六个章节具体的叙述了密钥生成，密钥语法，加密过程，解密过程，签名算法
和对象标识符。每个实体都要生成一对密钥：公钥和私钥。加密过程需要使用其中一个密钥，
解密过程需要使用另一个密钥。所以加密过程或是一个公钥操作过程或是一个私钥操作过
程，解密过程也一样。这两种过程都是把一个8位字符串转化成另一个8位字符串。这两个
过程是互相相反的，假如一个过程使用了一个实体的公钥，那么另一个过程使用同一实体的
私钥。加密和解密过程或是能实现典型的RSA转换，或是实现填充变换。
6、密钥生成
此章节描述RSA密钥生成。每个实体都需要选择一个正整数e作为它的公开指数。每
个实体都需要私人的随机的选择两个不同的奇素数p和q，以便e和（p-1）*（q-1）互素。
公开模数n是私人的素数p，q的乘积：n=p*q。私人指数是一个正整数d，以便d*e-1可
以被（p-1）*（q-1）整除。模数n的字节长为k，k满足2^(8(k-1))<=n<2^(8k)。模数长度
k必须是至少12个字节，使之适应此文档中的块格式（见第8章）。
注重：
（1） 公开模数在非凡应用程序中可以是标准化的。在X.509的附录C中提到使用3
或65537可以有一些实际的好处。
（2） 为了使模数n的因数分解更困难，可以考虑一些额外的选择素数的条件。这些
保障安全的条件超出了此文档的论述范围。长度k的下限是为了适应块格式，
并不是为了保障安全。
7、密钥语法
此章节给出了RSA公钥和私钥的语法
7．1公钥语法
一个RSA公钥需要有ASN.1的RSAPublicKey类型：
RSAPublicKey::=SEQUENCE{
modulusINTEGER,--n
publicEXPonentINTEGER--e}
（这个类型被定义于X.509中，保留在此处是为了兼容性。）
RSAPublicKey类型的字段有下列含义：
modulus是模数n；
publicExponent是公开指数e。
7．2私钥语法
一个RSA私钥有一个ASN.1的RSAPrivateKey类型：
RSAPrivateKey::=SEQUENCE{
versionVersion,
modulusINTEGER,--n
publicExponentINTEGER,--e
privateExponentINTEGER,--d
prime1INTEGER,--p
prime2INTEGER,--q
exponent1INTEGER,--dmod(p-1)
exponent2INTEGER,--dmod(q-1)
coefficientINTEGER--(inverseofq)modp}
Version::=INTEGER
RSAPrivateKey类型的字段有下列含义：
? version是一个为兼容将来此文档的修改的版本号。为了适应此文档的版本它
应该是0；
? modulus是模数n；
? publicExponent是公开指数e；
? privateExponent是私人指数d；
? prime1是组成模数n的一个素数p；
? prime2是组成模数n的一个素数q；
? exponent1是dmod(p-1)；
? exponent2是dmod(q-1)；
? coefficient是中国剩余理论中的系数q-1modp。
注重：
（1） 一个RSA私钥逻辑上仅包含模数n和私人指数d。p，q，dmod(p-1)，d
mod(p-1)和q-1modp的出现是为了提高效率，正如Quisquater和Couvreur
显示在[QC82]中。假如公钥知道的话，按照Miller[Mil76]的结果，一个不
包含其他值的私人密钥语法是很轻易转化成此处定义的语法。
（2） 公开指数e的出现是为了可以轻易的从私钥中得到公钥。
8、加密过程
此章节描述了RSA的加密过程。
加密过程包括4个步骤：加密块格式化，8位字符串到整数的转化，RSA计算，整数
到8位字符串的转化。加密过程的输入为数据8位字符串，模数n，指数c。对于公钥操作
来说，整数c是实体的公开指数e；对于私钥操作来说，整数c是实体的私人指数d。加密
过程的输出为被加密的数据，一个8位字符串ED。
数据D的长度不应该长于k-11个8位字节，其必为正数，因为模数的长度k是至少
12个8位字节。这种限制保证了填充串PS的长度至少为8个8位字节，这是一项安全措施。
注重：
（1） 在此文档的对于加密内容加密密钥和消息散列的典型应用中，D<=30。这样
RSA模数的长度至少需要328位（41个8位字节），这是合理的，并且和安全
建议是一致的。
（2） 假如被加密的数据在传输中被破坏，加密过程并不提供一个帮助错误侦察的外
在的完整性检查。然而，加密块的结构保证了破坏没被检查出的可能性小于
2-16，这是一个随机加密块看起来像类型2的可能性的上限。
（3） 定义在此的对于除了包含一个消息散列的8位字节串的数据的私钥操作的应用
并不被推荐，需要更多的研究。
（4） 此文档可以被扩展，来控制长度长于k-11个8位字节串
8．1加密块格式化
加密块是一个8位字节串EB，由块标记BT，填充块PS和数据D组成。
EB=00BTPS00D（1）
块标记BT是一个标记字节，表示加密块的结构。对于此文档的版本，它有00，
01，或02值。私钥操作为00，或01；公钥操作为02。
填充串PS为k-3-D长的8位字节字符串。对于00型，填充串为00；对于01型，
填充串为ff；对于02型，填充串为假散列生成的非0值。这使得加密块EB的长度为
k。
注重：
（1） 开始的00值字节保证了转化成整数后的加密块小于模数。
（2） 对于00型来说，数据D必须以一个非0字节开始，或是必须知道长度，
以便加密块能被清楚的解析。对于01和02型来说，加密块能被清楚的解
析，这是因为填充块PS不包含00值字节，它可以被一个00值字节从数据
D分开。
（3） 01型被推荐为私钥操作标志。01型有保证转化成整数的加密块很大的性
能，这能防止Desmedt和Odlyzko[DO86]所建议的某种攻击。
（4） 01和02型是和被描述在RFC1423中的PEMRSA的内容加密密钥和消息
散列的加密是兼容的。
（5） 对于02类型来说，建议为每一个加密过程都独立生成假散列字节，非凡是
假如相同的数据被输入多于一个的加密过程。Hastad的结果[Has88]促进
了这种建议。
（6） 对于02类型来说，填充串至少是8个字节长，这是对于公钥操作的一个安
全措施，为了防止攻击者通过测试所有可能的加密块来恢复数据。类似的，
对于01类型最小长度是一样的。
（7） 此文档将来可以扩展为包括其他类型。
8．28位字节串到整数的转换
加密块EB需要被转化为一个整数x，即整数加密块。从头到尾让EB1,...,Ebk
组成EB字节串。然后整数x应该满足：
k
x=SUM2^(8(k-i))EBi(2)
i=1
换句话来说，EB的第一个字节在整数中意义最重大，最后一个字节的重要性最
低。
注重：因为EB1=00并且2^(8(k-1))<=n，所以整数加密块x满足0<=x<n。
8．3RSA计算
整数加密块x需要被求c次方幂，然后模n，最后被赋给整数y，即整数被加密
数据。
y=x^cmodn,0<=y<n
这是一个典型的RSA计算。
8．4整数到字节串的转换
整数被加密数据y需要被转换成一个长度k的8位字节串ED，即被加密数据。
被加密数据应该满足：
k
y=SUM2^(8(k-i))EDi(3)
i=1
这里ED1,...,Edk就是字节串ED的组成。
换句话说，ED的第一个字节在整数中最为重要，ED的最后一个字节重要性最低。
9、解密过程
此章节描述了RSA解密过程。
解密过程包含4个步骤：字节串到整数的转换，RSA计算，整数到字节串的转换，和
需加密块解析。解密过程的输入是一个8位字节串ED，即被加密数据；模数n；指数c。对
一个公钥操作来说，整数c是一个实体的公开指数e；对一个私钥操作来说，整数c是一个
实体的私人指数d。解密过程的输出是一个8位字节串D，即原始数据。
假如被加密数据ED的长度不是k，则为错误。
简短来说，解密过程是根据加密过程来描述的。
9．1字节串到整数的转换
被加密的数据ED根据等式（3）被转化成整数被加密数据y。
假如整数被加密数据不满足0<=y<n，则为错误。
9．2RSA计算
整数被加密数据y需要被求c次方幂，然后模n，最后被赋给整数x，即整数需加密块。
x=y^cmodn,0<=x<n
这是一个典型的RSA计算。
9．3整数到字节串的转换
整数需加密块x根据等式（2）被转化成一个长度k的8位字节串EB，即需加密块。
9．4需加密块解析
需加密块EB根据等式（1）被解析成一个由块标记BT，填充块PS和数据D组成的
数据块。
假如有下列情况发生，则为错误：
? 需加密块不能被明白的解析（见8.1节的注重）。
? 填充串PS少于8字节，或是和块标记BT不匹配。
? 解密过程是一个公钥操作过程，块标记不能为00或01；或者解密过程是一个私
钥操作过程，块标记不能为02。
10、签名算法
本章定义了3个基于被描述在第8、9章中的RSA加密过程的签名算法。签名算法主
要被用于签署X.509/PEM证书，CRL，PKCS#6扩展证书，以及其他使用数字签名的对象，
例如X.401消息环。算法并不被特意用来构建PKCS#7的数字签名。第一个签名算法把MD2
散列算法和RSA结合起来（简称MD2withRSA）；第二个签名算法把MD4散列算法和RSA
结合起来（简称MD4withRSA）；第三个签名算法把MD5散列算法和RSA结合起来（简
称MD5withRSA）。
本章节描述了两个算法的签名过程和验证过程。所选的散列算法取决于签名算法，
MD2或MD5。签名过程使用一个实体的私钥；而验证过程使用一个实体的公钥。签名过程
把一个8位字节串（消息）转化成一个位串（签名）；而验证过程检验一个位串（签名）是
否为一个8位字节串（消息）的签名。
注重：被定义在此的签名算法和在PKCS#7中构建签名的方法（加密消息散列）之间
的仅有的不同是此处的签名用位串表示，这和X.509SIGNED宏是一致的。在PKCS#7中
被加密的消息散列是8位字节串。
10．1签名过程
签名过程包括4个步骤：消息散列，数据编码，RSA加密和8位字节串到位串的转换。
签名过程的输入是一个8位字节串M，即消息；签名者的私人密钥。其输出是一个位串S，
即签名。
10．1．1消息散列
使用所选的消息散列算法来散列消息M，得到一个8位字节串MD，即消息散列。
10．1．2数据编码
消息散列MD和消息散列算法标识符组成了以下描述的ASN.1类型DigestInfo的值，
此类型将通过BER编码来生成一个8位字节串D，即原始数据。
DigestInfo::=SEQUENCE{
digestAlgorithmDigestAlgorithmIdentifier,
digestDigest}
DigestAlgorithmIdentifier::=AlgorithmIdentifier
Digest::=OCTETSTRING
类型DigestInfo的域有下列含义：
? digestAlgorithm表示用于散列的算法（以及相关参数）。对应用程序来说，它标识
了所选的散列算法，MD2，MD4或MD5。作为参考，以下是相关的对象标识符：
md2OBJECTIDENTIFIER::=
{iso(1)member-body(2)US(840)rsadsi(113549)
digestAlgorithm(2)2}md4OBJECTIDENTIFIER::=
{iso(1)member-body(2)US(840)rsadsi(113549)
digestAlgorithm(2)4}md5OBJECTIDENTIFIER::=
{iso(1)member-body(2)US(840)rsadsi(113549)
digestAlgorithm(2)5}
对这些对象标识符来说，散列算法的参数域是空。
? digest是消息散列过程的结果，例如消息散列MD。
注重：
1. DigestInfo值包含了一个消息散列算法标识符，用来限制由于使用消息散列算法
压缩数据而导致的破坏。举例来说，假如攻击者能够找出带有给定的MD2消息
散列的消息，那么他就可以通过找出一个表面无害的带有相同MD2散列的消息，
并强迫签名者签署这个表面无害的消息，来伪造消息签名。这种攻击方法只有在
使用MD2散列算法时才会成功。假如DigestInfo值只包括消息散列，攻击者就能
攻击使用任何消息散列的签名者。
2. 虽然使用SEQUENCE类型违反了在X.509SIGNED和SIGNATURE宏中的签名
是一个ENCRYPTEDOCTETSTRING的书面声明，但是正如I"Anson和Mitchell
在[IM90]中指出的，这样的书面阐明并不被要求。
3. 没有理由说MD4不是一个安全度很高的数字签名方案，但是由于MD4被设计的
非常快，所以它处于被成功攻击的危险中。假如有人找出拥有同一个散列的两个
消息这样的冲突，那么这个散列算法可以被认为是打破的（broken）。当冲突被发
现在仅有两个散列循环[Mer90][dBB92]的MD4的变体中，并没有冲突出现在有三
个散列循环的MD4中。在进一步的研究后，我们可以认为MD4有很高的安全性。
MD5有四个散列循环，比MD4更慢。在MD4被研究前，它是被推荐使用的。
在MD5内部的压缩功能[dBB93]中的假冲突并没有任何实际的安全影响。
MD2是三者中最慢的一个，它有最保守的设计，没有任何对MD2的攻击被公布
出来。
10．1．3RSA加密
正如在第7章中描述的数据D被签名者的RSA私钥加密，生成一个8位字节串ED，
即被加密的数据。其块标记为01（见8.1节）。
10．1．48位字节串到位串的转换
被加密数据ED被转换成一个位串S，即签名。具体来说，被加密数据的第一个字节
的第一位成为签名的第一个数据位，以此类推，直到被加密数据的最后一个字节的最后一位，
它将变成签名的最后一个数据位。
注重：签名S的位长度是8的倍数。
10．2验证过程
验证过程包括四个步骤：位串到字节串的转换，RSA解密，数据解码，消息散列和比
较。验证过程的输入是字节串M，即消息；签名者的公钥；位串S，即签名。其输出是验证
成功或失败的标记号。
10．2．1位串到字节串的转换
签名S被转换成字节串ED，即被加密的数据。具体来说，假设S的位长度是8的倍
数，S的第一位将变成字节串的第一个字节的第一位，以此类推，直到签名的最后一位变成
字节串的最后一个字节的最后一位。
假如签名的位长度不是8的倍数，则是错误。
10．2．2RSA解密
正如在第8章节中描述的使用签名者的公钥对被加密数据ED进行解密，得到字节串
D，即原始数据。
假如在解密过程中恢复的块标记位不是01，则是错误的（见9.4节）。
10．2．3数据解码
原始数据D将被BER解码为类型DigestInfo的ASN.1值，此值被分成消息散列MD
和消息散列算法标识符。消息散列算法标识符决定了下一步所选的消息散列算法。
假如消息散列算法标识符不是MD2，MD4或MD5消息散列算法，则为错误。
10．2．4消息散列和比较
使用所选的消息散列算法对消息M进行散列，得到字节串MD`，即将进行比较的消
息散列。假如MD`和MD相同，则表示验证成功，否则为失败。
11、对象标识符
本文档定义了5个对象标识符：pkcs-1，rsaEncryption，md2WithRSAEncryption，
md4WithRSAEncryption和md5WithRSAEncryption。
对象标识符pkcs-1等同于本篇文档。
pkcs-1OBJECTIDENTIFIER::=
{iso(1)member-body(2)US(840)rsadsi(113549)
pkcs(1)1}
对象标识符rsaEncryption等同于定义在第7章节中的RSA公/私钥和定义在第8、9章
节中的RSA加/解密过程。
rsaEncryptionOBJECTIDENTIFIER::={pkcs-11}
rsaEncryption对象标识符被用于AlgorithmIdentifier类型的algorithm域的一个值。此
类型的parameters域有算法特定的语法ANYDEFINEDBYalgorithm，在rsaEncryption算法
中，其值为空。
对象标识符md2WithRSAEncryption，md4WithRSAEncryption和
md5WithRSAEncryption各自表示定义在第10章节中的MD2withRSA，MD4withRSA和
MD5withRSA签名及验证过程。
md2WithRSAEncryptionOBJECTIDENTIFIER::={pkcs-12}
md4WithRSAEncryptionOBJECTIDENTIFIER::={pkcs-13}
md5WithRSAEncryptionOBJECTIDENTIFIER::={pkcs-14}
这些对象标识符被用于AlgorithmIdentifier类型中的algorithm域的一个值。此类型的
parameters域有算法特定的语法ANYDEFINEDBYalgorithm，在此三个算法中，其值为空。
注重：X.509的对象标识符rsa也表示定义在第7章节中的RSA公钥，但并不表示私钥，
并且表示不同的加/解密过程。一些应用程序期望将鉴别RSA公钥。这些公钥和本文档是兼
容的，使用RSA公钥的rsaEncryption过程等同于使用rsaEncryption公钥的rsaEncryption过
程。

安全考虑
安全内容在此备忘录中讨论。
修订版记录
版本1.0-1.3
此版本在1991的2月和3月被分发给RSADataSecurity,Inc.的Public-Key
CryptographyStandards会议的参加者。
版本1.4
此版本是在1991.6.3的第一次公开发布的PKCS中的一部分内容，并被发行作为
NIST/OSIImplementors的工作组文档SEC-SIG-91-18。
版本1.5
此版本包括了几处改变，其中有参考的更新和修订版记录的增加。下列是几处实质的
改变：
? 第10章节：增加了MD4withRSA的签名和验证过程。
? 第11章节：增加了md4WithRSAEncryption对象标识符。
代替1991.6.3的版本，它也被作为NIST/OSIImplementors的工作组文档
SEC-SIG-91-18。
鸣谢
本文档基于RSADataSecurity,Inc.的一个部门RSALaboratories的撰稿。任何实质的
使用本文档都必须感谢RSADataSecurity,Inc.。RSADataSecurity,Inc.要求所有对此文档的
资料的阐述和参考都必须表示为RSADataSecurity,Inc.PKCS#1。
作者地址
BurtKaliski
RSALaboratoriesEast
20CrosbyDrive
Bedford,MA01730
Phone:(617)687-7000
EMail:burt@rsa.com
版权声明
Copyright(C)TheInternetSociety(1998).AllRightsReserved.
Thisdocumentandtranslationsofitmaybecopiedandfurnishedtoothers,andderivative
worksthatcommentonorotherwiseexplainitorassistinitsimplementationmaybeprepared,
copied,publishedanddistributed,inwholeorinpart,withoutrestrictionofanykind,provided
thattheabovecopyrightnoticeandthisparagraphareincludedonallsUChcopiesandderivative
works.However,thisdocumentitselfmaynotbemodifiedinanyway,suchasbyremovingthe
copyrightnoticeorreferencestotheInternetSocietyorotherInternetorganizations,exceptas
neededforthepurposeofdevelopingInternetstandardsinwhichcasetheproceduresfor
copyrightsdefinedintheInternetStandardsprocessmustbefollowed,orasrequiredtotranslateit
intolanguagesotherthanEnglish.
ThelimitedpermissionsgrantedaboveareperpetualandwillnotberevokedbytheInternet
Societyoritssuccessorsorassigns.
Thisdocumentandtheinformationcontainedhereinisprovidedonan"ASIS"basisandTHE
INTERNETSOCIETYANDTHEINTERNETENGINEERINGTASKFORCEDISCLAIMS
ALLWARRANTIES,EXPRESSORIMPLIED,INCLUDINGBUTNOTLIMITEDTOANY
WARRANTYTHATTHEUSEOFTHEINFORMATIONHEREINWILLNOTINFRINGE
ANYRIGHTSORANYIMPLIEDWARRANTIESOFMERCHANTABILITYORFITNESS
FORAPARTICULARPURPOSE.