Network Working Group P. Chown
Request for Comments: 3268 Skygate Technology
Category: Standards Track June 2002
Advanced Encryption Standard (AES) Ciphersuites for Transport Layer Security (TLS)
トランスポート層セキュリティのためのAdvanced Encryption Standard(AES)暗号の組み合わせ(TLS)
Status of this Memo
このメモの位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2002). All Rights Reserved.
著作権(C)インターネット協会(2002)。全著作権所有。
Abstract
抽象
This document proposes several new ciphersuites. At present, the symmetric ciphers supported by Transport Layer Security (TLS) are RC2, RC4, International Data Encryption Algorithm (IDEA), Data Encryption Standard (DES), and triple DES. The protocol would be enhanced by the addition of Advanced Encryption Standard (AES) ciphersuites.
この文書では、いくつかの新しい暗号スイートを提案しています。現時点では、トランスポート層セキュリティ(TLS)でサポートされている対称暗号はRC2、RC4、国際データ暗号化アルゴリズム(IDEA)、データ暗号化規格(DES)、トリプルDESです。プロトコルは、AES(Advanced Encryption Standard)暗号スイートの追加によって強化されるだろう。
Overview
概要
At present, the symmetric ciphers supported by TLS are RC2, RC4, IDEA, DES, and triple DES. The protocol would be enhanced by the addition of AES [AES] ciphersuites, for the following reasons:
現在のところ、TLSによってサポートされる対称暗号はRC2、RC4、IDEA、DES、トリプルDESです。プロトコルは、以下の理由のために、AES [AES]暗号スイートの添加によって増強されるであろう。
1. RC2, RC4, and IDEA are all subject to intellectual property claims. RSA Security Inc. has trademark rights in the names RC2 and RC4, and claims that the RC4 algorithm itself is a trade secret. Ascom Systec Ltd. owns a patent on the IDEA algorithm.
1. RC2、RC4、およびIDEAは、すべての知的所有権の主張の対象となっています。 RSA Security Inc.のは、名前のRC2とRC4での商標権を持っている、とRC4アルゴリズム自体は企業秘密であると主張しています。アスコムシステック株式会社はIDEAアルゴリズムの特許を所有しています。
3. Now that the AES process is completed there will be commercial pressure to use the selected cipher. The AES is efficient and has withstood extensive cryptanalytic efforts. The AES is therefore a desirable choice.
3.ここAESプロセスが完了したことを選択された暗号を使用するために、市販の圧力があるでしょう。 AESは、効率的でかつ広範な暗号解析の努力を耐えてきました。 AESは、したがって、望ましい選択です。
4. Currently the DHE ciphersuites only allow triple DES (along with some "export" variants which do not use a satisfactory key length). At the same time the DHE ciphersuites are the only ones to offer forward secrecy.
4.現在のDHE暗号スイートは、(十分なキーの長さを使用していないいくつかの「輸出」の変種と一緒に)、トリプルDESをのみを許可します。同時に、DHE暗号群は前進の秘密保持を提供する唯一のものです。
This document proposes several new ciphersuites, with the aim of overcoming these problems.
この文書では、これらの問題を克服する目的で、いくつかの新しい暗号群を提案しています。
Cipher Usage
暗号使い方
The new ciphersuites proposed here are very similar to the following, defined in [TLS]:
ここで提案された新しい暗号スイートは、[TLS]で定義され、次のように非常によく似ています。
TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
All the ciphersuites described here use the AES in cipher block chaining (CBC) mode. Furthermore, they use SHA-1 [SHA-1] in an HMAC construction as described in section 5 of [TLS]. (Although the TLS ciphersuite names include the text "SHA", this actually refers to the modified SHA-1 version of the algorithm.)
ここに記載されているすべての暗号スイートは、暗号ブロック連鎖(CBC)モードでAESを使用します。 [TLS]のセクション5に記載されるようにさらに、それらは、HMAC構造でSHA-1 [SHA-1]を使用します。 (TLSの暗号スイート名はテキスト「SHA」を含むが、これは実際のアルゴリズムの変形SHA-1バージョンをいいます。)
The ciphersuites differ in the type of certificate and key exchange method. The ciphersuites defined here use the following options for this part of the protocol:
暗号スイートは、証明書および鍵交換方式の種類が異なります。ここで定義された暗号スイートは、プロトコルのこの部分は、以下のオプションを使用します。
CipherSuite Certificate type (if applicable) and key exchange algorithm
CipherSuiteは証明書の種類(該当する場合)と、鍵交換アルゴリズム
TLS_RSA_WITH_AES_128_CBC_SHA RSA TLS_DH_DSS_WITH_AES_128_CBC_SHA DH_DSS TLS_DH_RSA_WITH_AES_128_CBC_SHA DH_RSA TLS_DHE_DSS_WITH_AES_128_CBC_SHA DHE_DSS TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE_RSA TLS_DH_anon_WITH_AES_128_CBC_SHA DH_anon
TLS_RSA_WITH_AES_128_CBC_SHA RSA TLS_DH_DSS_WITH_AES_128_CBC_SHA DH_DSS TLS_DH_RSA_WITH_AES_128_CBC_SHA DH_RSA TLS_DHE_DSS_WITH_AES_128_CBC_SHA DHE_DSS TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE_RSA TLS_DH_anon_WITH_AES_128_CBC_SHA DH_anon
TLS_RSA_WITH_AES_256_CBC_SHA RSA TLS_DH_DSS_WITH_AES_256_CBC_SHA DH_DSS TLS_DH_RSA_WITH_AES_256_CBC_SHA DH_RSA TLS_DHE_DSS_WITH_AES_256_CBC_SHA DHE_DSS TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE_RSA TLS_DH_anon_WITH_AES_256_CBC_SHA DH_anon
TLS_RSA_WITH_AES_256_CBC_SHA RSA TLS_DH_DSS_WITH_AES_256_CBC_SHA DH_DSS TLS_DH_RSA_WITH_AES_256_CBC_SHA DH_RSA TLS_DHE_DSS_WITH_AES_256_CBC_SHA DHE_DSS TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE_RSA TLS_DH_anon_WITH_AES_256_CBC_SHA DH_anon
For the meanings of the terms RSA, DH_DSS, DH_RSA, DHE_DSS, DHE_RSA and DH_anon, please refer to sections 7.4.2 and 7.4.3 of [TLS].
用語RSA、DH_DSS、DH_RSA、DHE_DSS、DHE_RSAとDH_anonの意味については、セクション7.4.2および[TLS]の7.4.3を参照してください。
The AES supports key lengths of 128, 192 and 256 bits. However, this document only defines ciphersuites for 128- and 256-bit keys. This is to avoid unnecessary proliferation of ciphersuites. Rijndael actually allows for 192- and 256-bit block sizes as well as the 128- bit blocks mandated by the AES process. The ciphersuites defined here all use 128-bit blocks.
AESは、128、192、および256ビットの鍵長をサポートしています。しかし、このドキュメントでは、128と256ビットキーの暗号スイートを定義します。これは、暗号スイートの不必要な増殖を避けるためです。ラインダールは、実際には192と256ビットのブロックサイズならびにAES法によって義務付け128ビットブロックを可能にします。ここで定義された暗号スイートはすべて128ビットのブロックを使用しています。
The new ciphersuites will have the following definitions:
新しい暗号スイートは、以下の定義があります:
CipherSuite TLS_RSA_WITH_AES_128_CBC_SHA = { 0x00, 0x2F };
CipherSuite TLS_DH_DSS_WITH_AES_128_CBC_SHA = { 0x00, 0x30 };
CipherSuite TLS_DH_RSA_WITH_AES_128_CBC_SHA = { 0x00, 0x31 };
CipherSuite TLS_DHE_DSS_WITH_AES_128_CBC_SHA = { 0x00, 0x32 };
CipherSuite TLS_DHE_RSA_WITH_AES_128_CBC_SHA = { 0x00, 0x33 };
CipherSuite TLS_DH_anon_WITH_AES_128_CBC_SHA = { 0x00, 0x34 };
CipherSuite TLS_RSA_WITH_AES_256_CBC_SHA = { 0x00, 0x35 };
CipherSuite TLS_DH_DSS_WITH_AES_256_CBC_SHA = { 0x00, 0x36 };
CipherSuite TLS_DH_RSA_WITH_AES_256_CBC_SHA = { 0x00, 0x37 };
CipherSuite TLS_DHE_DSS_WITH_AES_256_CBC_SHA = { 0x00, 0x38 };
CipherSuite TLS_DHE_RSA_WITH_AES_256_CBC_SHA = { 0x00, 0x39 };
CipherSuite TLS_DH_anon_WITH_AES_256_CBC_SHA = { 0x00, 0x3A };
Security Considerations
セキュリティの考慮事項
It is not believed that the new ciphersuites are ever less secure than the corresponding older ones. The AES is believed to be secure, and it has withstood extensive cryptanalytic attack.
新しい暗号群が対応する古いものよりも、これまでより安全であるとは考えられません。 AESは安全であると考えられている、そしてそれは大規模な暗号解析攻撃に耐えてきました。
The ephemeral Diffie-Hellman ciphersuites provide forward secrecy without any known reduction in security in other areas. To obtain the maximum benefit from these ciphersuites:
はかないのDiffie-Hellman暗号スイートは、他の分野でのセキュリティでは、任意の公知低下させることなく前進の秘密保持を提供しています。これらの暗号スイートから最大の利益を得るためには:
1. The ephemeral keys should only be used once. With the TLS protocol as currently defined there is no significant efficiency gain from reusing ephemeral keys.
1.はかないキーは一度だけ使用する必要があります。 TLSプロトコルは、現在定義とはかないキーを再利用することから有意な効率利得は存在しません。
2. Ephemeral keys should be destroyed securely when they are no longer required.
彼らはもはや必要とされていない場合2.エフェメラルキーが安全に破棄しなければなりません。
3. The random number generator used to create ephemeral keys must not reveal past output even when its internal state is compromised.
3.はかないキーを作成するために使用される乱数生成器は、その内部状態が危険にさらされても過去の出力を明らかにしてはなりません。
[TLS] describes the anonymous Diffie-Hellman (ADH) ciphersuites as deprecated. The ADH ciphersuites defined here are not deprecated. However, when they are used, particular care must be taken:
廃止予定として[TLS]匿名のディフィー・ヘルマン(ADH)暗号スイートを記載しています。ここで定義されたADHの暗号スイートは廃止されていません。それらが使用されている場合しかし、特に注意しなければなりません。
1. ADH provides confidentiality but not authentication. This means that (if authentication is required) the communicating parties must authenticate to each other by some means other than TLS.
1. ADHは、機密性ではなく、認証を提供します。これは、(認証が必要な場合)、通信当事者がTLS以外の何らかの手段で相互に認証しなければならないことを意味します。
2. ADH is vulnerable to man-in-the-middle attacks, as a consequence of the lack of authentication. The parties must have a way of determining whether they are participating in the same TLS connection. If they are not, they can deduce that they are under attack, and presumably abort the connection.
2. ADHは認証の欠如の結果として、man-in-the-middle攻撃に対して脆弱です。当事者は、彼らが同じTLS接続に参加しているかどうかを決定する方法を持っている必要があります。そうでない場合、彼らは攻撃を受けていることを推測し、おそらく接続を中止することができます。
For example, if the parties share a secret, it is possible to compute a MAC of the TLS Finished message. An attacker would have to negotiate two different TLS connections; one with each communicating party. The Finished messages would be different in each case, because they depend on the parties' public keys (among other things). For this reason, the MACs computed by each party would be different.
当事者が秘密を共有した場合、TLS FinishedメッセージのMACを計算することが可能です。攻撃者は、二つの異なるTLS接続を交渉しなければなりません。各通信相手との1。彼らは(とりわけ)当事者の公開鍵に依存しているためFinishedメッセージは、それぞれのケースで異なるだろう。このため、各当事者によって計算されたMACは異なるだろう。
It is important to note that authentication techniques which do not use the Finished message do not usually provide protection from this attack. For example, the client could authenticate to the server with a password, but it would still be vulnerable to man-in-the-middle attacks.
通常、この攻撃からの保護を提供しないFinishedメッセージを使用していないことの認証技術を注意することが重要です。例えば、クライアントはパスワードを使用してサーバーへの認証ができ、それはまだman-in-the-middle攻撃に対して脆弱になります。
Recent research has identified a chosen plaintext attack which applies to all ciphersuites defined in [TLS] which use CBC mode. This weakness does not affect the common use of TLS on the World Wide Web, but may affect the use of TLS in other applications. When TLS is used in an application where this attack is possible, attackers can determine the truth or otherwise of a hypothesis that particular plaintext data was sent earlier in the session. No key material is compromised.
最近の研究では、CBCモードを使用し、[TLS]で定義されたすべての暗号スイートに適用される選択平文攻撃を識別しています。この弱点は、World Wide Web上のTLSの一般的な使用には影響しませんが、他のアプリケーションでTLSの使用に影響を与える可能性があります。 TLSは、この攻撃が可能なアプリケーションで使用されている場合、攻撃者は真実を決定するか、そうでない場合は、特定の平文データは、以前のセッションで送信された仮説のことができます。いいえキー材料が危険にさらされていません。
It is likely that the CBC construction will be changed in a future revision of the TLS protocol.
CBCの建設は、TLSプロトコルの将来の改訂版で変更される可能性があります。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use other technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the
IETFは、実装に関連するか、そのような権限下で、ライセンスがまたは使用できない場合がありますしている。この文書または範囲に記載されている他の技術を使用することを主張している可能性のある知的財産やその他の権利の有効性または範囲に関していかなる位置を取りません;また、そうした権利を特定するために取り組んできたことを表していないん。情報
IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementors or users of this specification can be obtained from the IETF Secretariat.
スタンダードトラックおよび標準関連文書の権利に関するIETFの手続きは、BCP-11に記載されています。権利の主張のコピーは、出版のために利用可能とライセンスの保証が利用できるようにする、または本仕様の実装者または利用者が、そのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますIETF事務局から。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.
IETFは、その注意にこの標準を実践するために必要な場合があり技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 IETF専務に情報を扱ってください。
During the development of the AES, NIST published the following statement on intellectual property:
AESの開発中に、NISTは、知的財産に関する次の文を発表しました:
SPECIAL NOTE - Intellectual Property
SPECIAL NOTE - 知的財産
NIST reminds all interested parties that the adoption of AES is being conducted as an open standards-setting activity. Specifically, NIST has requested that all interested parties identify to NIST any patents or inventions that may be required for the use of AES. NIST hereby gives public notice that it may seek redress under the antitrust laws of the United States against any party in the future who might seek to exercise patent rights against any user of AES that have not been disclosed to NIST in response to this request for information.
NISTは、AESの採用は、オープンな標準設定の活動として実施されているすべての利害関係者を連想させます。具体的には、NISTは、すべての利害関係者は、NISTにAESを使用するために必要とされ得る任意の特許または発明を識別することを要求しています。 NISTは、ここに、それは情報については、この要求に応答してNISTに開示されていないAESのいずれかのユーザーに対して特許権を行使することを求める可能性がある将来の任意のパーティに対する米国の反トラスト法の下で救済を求めることができることを公告をします。
Acknowledgements
謝辞
I would like to thank the ietf-tls mailing list contributors who have made helpful suggestions for this document.
私は、このドキュメントの役立つ提案を行っているIETF-TLSメーリングリストの貢献に感謝したいと思います。
References
リファレンス
[TLS] Dierks, T. and C. Allen, "The TLS Protocol Version 1.0", RFC 2246, January 1999.
[TLS]ダークス、T.とC.アレン、 "TLSプロトコルバージョン1.0"、RFC 2246、1999年1月。
[AES] National Institute of Standards and Technology, "Specification for the Advanced Encryption Standard (AES)" FIPS 197. November 26, 2001.
標準技術[AES]国立研究所、FIPS 197 2001年11月26日 "のAdvanced Encryption Standard(AES)のための仕様"。
[SHA-1] FIPS PUB 180-1, "Secure Hash Standard," National Institute of Standards and Technology, U.S. Department of Commerce, April 17, 1995.
[SHA-1] FIPS PUB 180-1の、 "セキュアハッシュ標準、" アメリカ国立標準技術研究所、米国商務省が、1995年4月17日。
Author's Address
著者のアドレス
Pete Chown Skygate Technology Ltd 8 Lombard Road London SW19 3TZ United Kingdom
ピートのchownスカイゲートTechnology社8ロンバードRoadロンドンSW19 3TZイギリス
Phone: +44 20 8542 7856 EMail: pc@skygate.co.uk
電話:+44 20 8542 7856 Eメール:pc@skygate.co.uk
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2002). All Rights Reserved.
著作権(C)インターネット協会(2002)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の制限は永久で、インターネット学会やその後継者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。