Network Working Group M. Salter
Request for Comments: 5430 National Security Agency
Category: Informational E. Rescorla
Network Resonance
R. Housley
Vigil Security
March 2009
Suite B Profile for Transport Layer Security (TLS)
Status of This Memo
このメモのステータス
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。それはどんな種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (c) 2009 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2009 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents in effect on the date of publication of this document (http://trustee.ietf.org/license-info). Please review these documents carefully, as they describe your rights and restrictions with respect to this document.
この文書では、BCP 78と、この文書(http://trustee.ietf.org/license-info)の発行日に有効なIETFドキュメントに関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
この材料の一部がIETFトラストにこのような材料の変更を許可する権利を与えられていない可能性がありますにこの文書は、2008年、IETFドキュメントまたは11月10日以前に発行または公開さIETF貢献から著作権を支配する者(複数可)材料を含んでいてもよいですIETF標準化プロセスの外。そのような材料の著作権を管理者(単数または複数)から適切なライセンスを取得することなく、この文書は、IETF標準化過程の外側修正されないかもしれません、そして、それの派生物は、IETF標準化過程の外側に作成されない場合があり、それをフォーマットする以外出版RFCとして、英語以外の言語に翻訳します。
Abstract
抽象
The United States government has published guidelines for "NSA Suite B Cryptography", which defines cryptographic algorithm policy for national security applications. This document defines a profile of Transport Layer Security (TLS) version 1.2 that is fully conformant with Suite B. This document also defines a transitional profile for use with TLS version 1.0 and TLS version 1.1 which employs Suite B algorithms to the greatest extent possible.
米国政府は、国家安全保障のアプリケーションのための暗号アルゴリズムポリシーを定義し、「NSAスイートB暗号化」のためのガイドラインを発表しました。この文書は、この文書はまた、可能な限りスイートBアルゴリズムを使用するTLSバージョン1.0とTLSバージョン1.1で使用するための移行プロファイルを定義スイートBと完全に準拠しているトランスポート層セキュリティ(TLS)バージョン1.2のプロファイルを定義します。
Table of Contents
目次
1. Introduction ....................................................2
2. Conventions Used in This Document ...............................3
3. Suite B Requirements ............................................3
4. Suite B Compliance and Interoperability Requirements ............4
4.1. Security Levels ............................................7
4.2. Acceptable Curves ..........................................8
4.3. Certificates ...............................................8
4.4. signature_algorithms Extension .............................9
4.5. CertificateRequest Message .................................9
4.6. CertificateVerify Message .................................10
4.7. ServerKeyExchange Message Signature .......................10
5. Security Considerations ........................................10
6. Acknowledgements ...............................................10
7. References .....................................................11
7.1. Normative References ......................................11
7.2. Informative References ....................................11
The United States government has posted the Fact Sheet on National Security Agency (NSA) Suite B Cryptography [NSA], and at the time of writing, it states:
米国政府は、国家安全保障局(NSA)スイートB暗号化[NSA]上のファクトシートを掲載している、と書いている時点で、それは述べて:
To complement the existing policy for the use of the Advanced
Encryption Standard (AES) to protect national security systems
and information as specified in The National Policy on the use of
the Advanced Encryption Standard (AES) to Protect National
Security Systems and National Security Information (CNSSP-15),
the National Security Agency (NSA) announced Suite B Cryptography
at the 2005 RSA Conference. In addition to the AES, Suite B
includes cryptographic algorithms for hashing, digital
signatures, and key exchange.
Suite B only specifies the cryptographic algorithms to be used. Many other factors need to be addressed in determining whether a particular device implementing a particular set of cryptographic algorithms should be used to satisfy a particular requirement.
スイートBにのみ使用する暗号化アルゴリズムを指定します。他の多くの要因は、暗号アルゴリズムの特定のセットを実装する特定のデバイスが特定の要件を満たすために使用すべきかどうかを決定する際に対処する必要があります。
Among those factors are "requirements for interoperability both domestically and internationally".
これらの要因の中で、「国内外の相互運用性のための必要条件」です。
This document does not define any new cipher suites; instead, it defines two profiles:
このドキュメントは、新しい暗号スイートを定義していません。代わりに、それは2つのプロファイルを定義しています。
o A Suite B compliant profile for use with TLS version 1.2 [RFC5246] and the cipher suites defined in [RFC5289]. This profile uses only Suite B algorithms.
TLSバージョン1.2 [RFC5246]及び[RFC5289]で定義された暗号スイートで使用するためのスイートB準拠プロファイルO。このプロファイルは、唯一のスイートBアルゴリズムを使用しています。
o A transitional profile for use with TLS version 1.0 [RFC2246] or TLS version 1.1 [RFC4346] and the cipher suites defined in [RFC4492]. This profile uses the Suite B cryptographic algorithms to the greatest extent possible and provides backward compatibility. While the transitional profile is not Suite B compliant, it provides a transition path towards the Suite B compliant profile.
O TLSバージョン1.0 [RFC2246]またはTLS 1.1 [RFC4346]及び[RFC4492]で定義された暗号スイートで使用するための移行プロファイル。このプロファイルは、可能な限りスイートB暗号化アルゴリズムを使用して、下位互換性を提供します。遷移プロファイルはB準拠に合っていないが、それはスイートB準拠プロファイルへの移行パスを提供します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はあります[RFC2119]に記載されているように解釈されます。
The Fact Sheet on Suite B Cryptography requires that key establishment and authentication algorithms be based on Elliptic Curve Cryptography, and that the encryption algorithm be AES [AES]. Suite B defines two security levels, of 128 and 192 bits.
スイートB暗号化のファクトシートは、鍵の確立および認証アルゴリズムは、楕円曲線暗号をもとに行うことを要求し、暗号化アルゴリズムはAES [AES]であること。スイートBは128と192ビットの2つのセキュリティレベルを定義します。
In particular, Suite B includes:
具体的には、スイートBが含まれています:
Encryption: Advanced Encryption Standard (AES) [AES] --
FIPS 197 (with key sizes of 128 and 256 bits)
Digital Signature: Elliptic Curve Digital Signature Algorithm (ECDSA) [DSS] - FIPS 186-2 (using the curves with 256- and 384-bit prime moduli)
デジタル署名:楕円曲線デジタル署名アルゴリズム(ECDSA)[DSS] - (256と384ビットの素数モジュラスと曲線を使用して)FIPS 186-2
Key Exchange: Elliptic Curve Diffie-Hellman (ECDH) - NIST Special Publication 800-56A [PWKE] (using the curves with 256- and 384-bit prime moduli)
鍵交換:楕円曲線のDiffie-Hellmanの(ECDH) - は、NIST Special Publication 800-56A [PWKE](256および384ビットのプライムモジュライと曲線を使用して)
The 128-bit security level corresponds to an elliptic curve size of 256 bits and AES-128; it also makes use of SHA-256 [SHS]. The 192- bit security level corresponds to an elliptic curve size of 384 bits and AES-256; it also makes use of SHA-384 [SHS].
128ビットのセキュリティ・レベルは、256ビット、AES-128の楕円曲線のサイズに対応します。それはまた、SHA-256 [SHS]を使用しています。 192ビットのセキュリティ・レベルは384ビット、AES-256の楕円曲線のサイズに対応します。それはまた、SHA-384 [SHS]を使用しています。
Note: Some people refer to the two security levels based on the AES key size that is employed instead of the overall security provided by the combination of Suite B algorithms. At the 128-bit security level, an AES key size of 128 bits is used, which does not lead to any confusion. However, at the 192-bit security level, an AES key size of 256 bits is used, which sometimes leads to an expectation of more security than is offered by the combination of Suite B algorithms.
注意:一部の人々は、スイートBアルゴリズムの組み合わせにより提供される全体的なセキュリティの代わりに採用されているAESキーのサイズに基づいて、2つのセキュリティレベルを参照してください。 128ビットのセキュリティレベルでは、128ビットのAES鍵のサイズは、任意の混乱を招くない、使用されています。しかし、192ビットのセキュリティ・レベルで、256ビットのAES鍵のサイズは、時々、スイートBアルゴリズムの組み合わせによって提供されるよりもセキュリティの予想をもたらす、使用されています。
To accommodate backward compatibility, a Suite B compliant client or server can be configured to accept a cipher suite that is not part of Suite B. However, whenever a Suite B compliant client and a Suite B compliant server establish a TLS version 1.2 session, only Suite B algorithms are employed.
下位互換性に対応するために、スイートB準拠のクライアントまたはサーバは、スイートB準拠のクライアントおよびスイートB準拠のサーバーがTLSバージョン1.2セッションを確立したときにのみ、しかし、スイートBの一部ではない暗号スイートを受け入れるように設定することができますスイートBアルゴリズムが採用されています。
TLS version 1.1 [RFC4346] and earlier do not support Galois Counter Mode (GCM) cipher suites [RFC5289]. However, TLS version 1.2 [RFC5246] and later do support GCM. For Suite B TLS compliance, GCM cipher suites are REQUIRED to be used whenever both the client and the server support the necessary cipher suites. Also, for Suite B TLS compliance, Cipher Block Chaining (CBC) cipher suites are employed when GCM cipher suites cannot be employed.
TLSバージョン1.1以前の[RFC4346]とガロアカウンタモード(GCM)暗号スイート[RFC5289]をサポートしていません。ただし、TLSバージョン1.2 [RFC5246]以降ではサポートGCMを行います。スイートB TLSに準拠するため、GCM暗号スイートは、クライアントとサーバーの両方が必要な暗号スイートをサポートする時はいつでも使用することが要求されます。 GCM暗号スイートを使用することができない場合も、スイートB TLS準拠の場合は、暗号ブロック連鎖(CBC)暗号スイートが使用されています。
For a client to implement the Suite B compliant profile, it MUST implement TLS version 1.2 or later, and the following cipher suite rules apply:
スイートB準拠したプロファイルを実装するためのクライアントの場合は、TLSバージョン1.2以降を実行しなければなりませんし、次の暗号スイートの規則が適用されます。
o A Suite B compliant TLS version 1.2 or later client MUST offer at least two cipher suites for each supported security level. For the 128-bit security level, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 and TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 MUST be offered in this order in the ClientHello message. For the 192-bit security level, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 and TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 MUST be offered in this order in the ClientHello message. One of these cipher suites MUST be the first (most preferred) cipher suite in the ClientHello message.
OスイートB準拠したTLSバージョン1.2以降のクライアントがサポートされている各セキュリティレベルのための少なくとも二つの暗号スイートを提供しなければなりません。 128ビットのセキュリティレベルに対して、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256とTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256はClientHelloメッセージにこの順序で提供されなければなりません。 192ビットのセキュリティレベルに対して、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384とTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384はClientHelloメッセージにこの順序で提供されなければなりません。これらの暗号スイートの一つは、ClientHelloメッセージ内の最初の(最も好ましい)暗号スイートでなければなりません。
o A Suite B compliant TLS version 1.2 or later client that offers backward compatibility with TLS version 1.1 or earlier servers MAY offer an additional cipher suite for each supported security level. If these cipher suites are offered, they MUST appear after the ones discussed above. For the 128-bit security level, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA MAY be offered in the ClientHello message. For the 192-bit security level, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA MAY be offered in the ClientHello message.
O TLSバージョン1.1以前のサーバーとの下位互換性を提供していますスイートB準拠したTLSバージョン1.2以降のクライアントがサポートされている各セキュリティレベルのための追加的な暗号スイートを提供することがあります。これらの暗号スイートが提供されている場合、それらは上述のものの後に現れなければなりません。 128ビットのセキュリティ・レベルのために、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAはClientHelloメッセージに提供することができます。 192ビットのセキュリティ・レベルのために、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAはClientHelloメッセージに提供することができます。
o A Suite B compliant TLS version 1.2 or later client that offers interoperability with non-Suite B compliant servers MAY offer additional cipher suites. If any additional cipher suites are offered, they MUST appear after the ones discussed above in the ClientHello message.
O非スイートB準拠したサーバとの相互運用性を提供していますスイートB準拠したTLSバージョン1.2以降のクライアントは、追加の暗号スイートを提供することがあります。任意の追加の暗号スイートが提供されている場合、それらはClientHelloメッセージに、上述のものの後に現れなければなりません。
For a client to implement the Suite B transitional profile, it MUST implement TLS version 1.1 or earlier and the following cipher suite rules apply:
スイートB移行プロファイルを実装するためのクライアントの場合は、TLSバージョン1.1またはそれ以前を実行しなければなりませんし、次の暗号スイートの規則が適用されます。
o A Suite B transitional TLS version 1.1 or earlier client MUST offer the cipher suite for the 128-bit security level, the cipher suite for the 192-bit security level, or both. For the 128-bit security level, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA MUST be offered in the ClientHello message. For the 192-bit security level, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA MUST be offered in the ClientHello message. One of these cipher suites MUST be the first (most preferred) cipher suite in the ClientHello message.
OスイートB過渡TLSバージョン1.1またはそれ以前のクライアントは、128ビットのセキュリティ・レベルに対する暗号スイート、192ビットのセキュリティ・レベル、またはその両方のための暗号スイートを提供しなければなりません。 128ビットのセキュリティ・レベルのために、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAはClientHelloメッセージで提供されなければなりません。 192ビットのセキュリティ・レベルのために、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAはClientHelloメッセージで提供されなければなりません。これらの暗号スイートの一つは、ClientHelloメッセージ内の最初の(最も好ましい)暗号スイートでなければなりません。
o A Suite B transitional TLS version 1.1 or earlier client that offers interoperability with non-Suite B compliant servers MAY offer additional cipher suites. If any additional cipher suites are offered, they MUST appear after the ones discussed above in the ClientHello message.
O非スイートB準拠したサーバとの相互運用性を提供していますスイートB移行TLSバージョン1.1またはそれ以前のクライアントは、追加の暗号スイートを提供することがあります。任意の追加の暗号スイートが提供されている場合、それらはClientHelloメッセージに、上述のものの後に現れなければなりません。
A Suite B compliant TLS server MUST be configured to support the 128- bit security level, the 192-bit security level, or both security levels. The cipher suite rules for each of these security levels is described below. If a Suite B compliant TLS server is configured to support both security levels, then the configuration MUST prefer one security level over the other. In practice, this means that the cipher suite rules associated with the cipher suites listed in Section 4.1 for the preferred security level are processed before the cipher suite rules for the less preferred security level.
スイートB準拠のTLSサーバは、128ビットのセキュリティレベル、192ビットのセキュリティ・レベル、またはその両方のセキュリティレベルをサポートするように構成されなければなりません。これらのセキュリティレベルのそれぞれに対する暗号スイートルールは以下の通りです。スイートB準拠したTLSサーバは、両方のセキュリティレベルをサポートするように設定されている場合は、設定は、他の上の1つのセキュリティレベルを好むしなければなりません。実際には、これは好適なセキュリティレベルについては、セクション4.1に記載されている暗号スイートに関連付けられている暗号スイートのルールはあまり好ましくないセキュリティレベルのための暗号スイートルールの前に処理されることを意味します。
For a server to implement the Suite B conformant profile at the 128- bit security level, the following cipher suite rules apply:
サーバーは、128ビットのセキュリティ・レベルでスイートB準拠プロファイルを実装するために、以下の暗号スイートの規則が適用されます。
o A Suite B compliant TLS version 1.2 or later server MUST accept the TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 cipher suite if it is offered.
それが提供されている場合は、OスイートB準拠したTLSバージョン1.2以降のサーバーはTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256暗号スイートを受け入れなければなりません。
o If the preceding cipher suite is not offered, then a Suite B compliant TLS version 1.2 or later server MUST accept the TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 cipher suite if it is offered.
前の暗号スイートが提供されていない場合は、それが提供されている場合は、O、そしてスイートB準拠したTLSバージョン1.2以降のサーバーはTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256暗号スイートを受け入れなければなりません。
o If neither of the preceding two cipher suites is offered, then a Suite B compliant TLS version 1.2 or later server that offers backward compatibility with TLS version 1.1 or earlier clients MAY accept the TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA cipher suite if it is offered.
前の2つの暗号スイートのどちらも提供されている場合は、それが提供されている場合は、O、その後、TLSバージョン1.1またはそれ以前のクライアントとの下位互換性を提供していますスイートB準拠したTLSバージョン1.2以降のサーバーはTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA暗号スイートを受け入れることができます。
o If the server is not offered any of the preceding three cipher suites and interoperability with clients that are not compliant or interoperable with Suite B is desired, then the server MAY accept another offered cipher suite that is considered acceptable by the server administrator.
サーバはスイートBに準拠や相互運用可能でないクライアントと前の3つの暗号スイートとの相互運用性のいずれかが必要とされる提供されていない場合は、O、サーバは、サーバ管理者が許容可能であると考えられる別の提供暗号スイートを受け入れることができます。
For a server to implement the Suite B transitional profile at the 128-bit security level, the following cipher suite rules apply:
128ビットのセキュリティ・レベルでスイートB移行プロファイルを実装するためのサーバーの場合は、以下の暗号スイートの規則が適用されます。
o A Suite B transitional TLS version 1.1 or earlier server MUST accept the TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA cipher suite if it is offered.
それが提供されている場合は、OスイートB移行TLSバージョン1.1またはそれ以前のサーバがTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA暗号スイートを受け入れなければなりません。
o If the server is not offered the preceding cipher suite and interoperability with clients that are not Suite B transitional is desired, then the server MAY accept another offered cipher suite that is considered acceptable by the server administrator.
サーバーが要求されるBは過渡的スイートされていないクライアントと前の暗号スイートとの相互運用性を提供されていない場合は、O、サーバは、サーバ管理者が許容可能であると考えられる別の提供暗号スイートを受け入れることができます。
For a server to implement the Suite B conformant profile at the 192- bit security level, the following cipher suite rules apply:
192ビットのセキュリティ・レベルでスイートB準拠プロファイルを実装するためのサーバーの場合は、以下の暗号スイートの規則が適用されます。
o A Suite B compliant TLS version 1.2 or later server MUST accept the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite if it is offered.
それが提供されている場合は、OスイートB準拠したTLSバージョン1.2以降のサーバーはTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384暗号スイートを受け入れなければなりません。
o If the preceding cipher suite is not offered, then a Suite B compliant TLS version 1.2 or later server MUST accept the TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 cipher suite if it is offered.
前の暗号スイートが提供されていない場合は、それが提供されている場合は、O、そしてスイートB準拠したTLSバージョン1.2以降のサーバーはTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384暗号スイートを受け入れなければなりません。
o If neither of the preceding two cipher suites is offered, then a Suite B compliant TLS version 1.2 or later server that offers backward compatibility with TLS version 1.1 or earlier clients MAY accept the TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA cipher suite if it is offered.
前の2つの暗号スイートのどちらも提供されている場合は、それが提供されている場合は、O、その後、TLSバージョン1.1またはそれ以前のクライアントとの下位互換性を提供していますスイートB準拠したTLSバージョン1.2以降のサーバーはTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA暗号スイートを受け入れることができます。
o If the server is not offered any of the preceding three cipher suites and interoperability with clients that are not compliant or interoperable with Suite B is desired, then the server MAY accept another offered cipher suite that is considered acceptable by the server administrator.
サーバはスイートBに準拠や相互運用可能でないクライアントと前の3つの暗号スイートとの相互運用性のいずれかが必要とされる提供されていない場合は、O、サーバは、サーバ管理者が許容可能であると考えられる別の提供暗号スイートを受け入れることができます。
For a server to implement the Suite B transitional profile at the 192-bit security level, the following cipher suite rules apply:
192ビットのセキュリティ・レベルでスイートB移行プロファイルを実装するためのサーバーの場合は、以下の暗号スイートの規則が適用されます。
o A Suite B transitional TLS version 1.1 or earlier server MUST accept the TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA cipher suite if it is offered.
それが提供されている場合は、OスイートB移行TLSバージョン1.1またはそれ以前のサーバがTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA暗号スイートを受け入れなければなりません。
o If the server is not offered the preceding cipher suite and interoperability with clients that are not Suite B transitional is desired, then the server MAY accept another offered cipher suite that is considered acceptable by the server administrator.
サーバーが要求されるBは過渡的スイートされていないクライアントと前の暗号スイートとの相互運用性を提供されていない場合は、O、サーバは、サーバ管理者が許容可能であると考えられる別の提供暗号スイートを受け入れることができます。
Note that these rules explicitly permit the use of CBC cipher suites in TLS version 1.2 connections in order to permit operation between Suite B compliant and non-Suite B compliant implementations. For instance, a Suite B compliant TLS version 1.2 client might offer TLS version 1.2 with both GCM and CBC cipher suites when communicating with a non-Suite B TLS version 1.2 server, which then selected the CBC cipher suites. This connection would nevertheless meet the requirements of this specification. However, any two Suite B compliant implementations will negotiate a GCM cipher suite when doing TLS version 1.2.
これらのルールは、明示的に1.2接続スイートB準拠し、非スイートB準拠する実装間の動作を可能にするために、TLSバージョンではCBC暗号スイートの使用を許可することに注意してください。例えば、スイートB準拠したTLSバージョン1.2クライアントは、CBC暗号スイートを選択された非スイートB TLSバージョン1.2サーバーと通信するGCMとCBCの暗号スイートの両方でTLSバージョン1.2を提供するかもしれません。この接続は、それにもかかわらず、この仕様の要件を満たしています。 TLSバージョン1.2を実行するときただし、任意の二つのスイートB準拠した実装では、GCM暗号スイートをネゴシエートします。
As described in Section 1, Suite B specifies two security levels: 128-bit and 192-bit. The following table lists the cipher suites for each security level. Within each security level, the cipher suites are listed in their preferred order for selection by a TLS version 1.2 implementation.
128ビットおよび192ビット:セクション1で説明したように、スイートBは、2つのセキュリティレベルを指定します。次の表は、各セキュリティレベルのための暗号スイートを示しています。各セキュリティレベル内で、暗号スイートは、TLSバージョン1.2実装による選択のためにそれらの好ましい順番に記載されています。
+-----------------------------------------+----------------+
| Cipher Suite | Security Level |
+-----------------------------------------+----------------+
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | 128 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | 128 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | 128 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | 192 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | 192 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | 192 |
+-----------------------------------------+----------------+
RFC 4492 defines a variety of elliptic curves. For cipher suites defined in this specification, only secp256r1(23) or secp384r1(24) may be used. These are the same curves that appear in FIPS 186-2 [DSS] as P-256 and P-384, respectively. For cipher suites at the 128-bit security level, secp256r1 MUST be used. For cipher suites at the 192-bit security level, secp384r1 MUST be used. RFC 4492 requires that the uncompressed(0) form be supported. The ansiX962_compressed_prime(1) point formats MAY also be supported.
RFC 4492は、楕円曲線の様々な定義します。本明細書で定義された暗号スイートのために、唯一secp256r1(23)またはsecp384r1(24)を使用することができます。これらは、それぞれ、P-256およびP-384としてFIPS 186-2 [DSS]に表示される同一の曲線です。 128ビットのセキュリティレベルで暗号スイートのために、secp256r1を使用しなければなりません。 192ビットのセキュリティ・レベルでの暗号スイートの場合は、secp384r1を使用しなければなりません。 RFC 4492は、圧縮されていない(0)形式がサポートされることを必要とします。 ansiX962_compressed_prime(1)ポイント・フォーマットがサポートされてもよいです。
Clients desiring to negotiate only a Suite B compliant connection MUST generate a "Supported Elliptic Curves Extension" containing only the allowed curves. These curves MUST match the cipher suite security levels being offered. Clients that are willing to do both Suite B compliant and non-Suite B compliant connections MAY omit the extension or send the extension but offer other curves as well as the appropriate Suite B ones.
唯一のスイートB準拠した接続を交渉することを望むクライアントはのみ許可された曲線を含む「サポートされている楕円曲線拡張」を発生させなければなりません。これらの曲線は、提供されている暗号スイートのセキュリティレベルと一致しなければなりません。準拠しており、非スイートB準拠した接続の両方スイートBをしても構わないと思っているクライアントは、拡張子を省略または拡張子を送るが、他の曲線と同様に、適切なスイートBのものを提供することがあります。
Servers desiring to negotiate a Suite B compliant connection SHOULD check for the presence of the extension, but MUST NOT negotiate inappropriate curves even if they are offered by the client. This allows a client that is willing to do either Suite B compliant or non-Suite B compliant modes to interoperate with a server that will only do Suite B compliant modes. If the client does not advertise an acceptable curve, the server MUST generate a fatal "handshake_failure" alert and terminate the connection. Clients MUST check the chosen curve to make sure it is acceptable.
スイートB準拠した接続を交渉することを望むサーバーは、拡張子の有無を確認する必要がありますが、それらは、クライアントによって提供されている場合でも、不適切なカーブを交渉してはなりません。これは、スイートB準拠したモードを行いますサーバーと相互運用するためにスイートBに準拠し、非スイートBのいずれかに準拠したモードを行うには喜んでクライアントを許可します。クライアントが許容曲線を宣伝していない場合、サーバーは、致命的な「握手_」アラートを生成して、接続を終えなければなりません。クライアントは、それが許容可能であることを確認するために選ばれた曲線をチェックしなければなりません。
Server and client certificates used to establish a Suite B compliant connection MUST be signed with ECDSA. Digital signatures MUST be calculated using either the P-256 curve along with the SHA-256 hash algorithm or calculated using the P-384 curve along with the SHA-384 hash algorithm. For certificates used at the 128-bit security level, the subject public key MUST use the P-256 curve and be signed with either the P-384 curve or the P-256 curve. For certificates used at the 192-bit security level, the subject public key MUST use the P-384 curve and be signed with the P-384 curve.
スイートB準拠した接続を確立するために使用されるサーバーおよびクライアント証明書は、ECDSAで署名されなければなりません。デジタル署名は、SHA-256ハッシュアルゴリズムと共にP-256曲線のいずれかを使用して計算またはSHA-384ハッシュアルゴリズムと共にP-384曲線を使用して計算しなければなりません。 128ビットのセキュリティ・レベルで使用される証明書は、サブジェクト公開鍵はP-256曲線を使用しなければならなくて、P-384曲線又はP-256曲線のいずれかで署名すること。 192ビットのセキュリティ・レベルで使用される証明書は、サブジェクト公開鍵はP-384曲線を使用しなければならなくて、P-384曲線を使用して署名すること。
In TLS version 1.0 and TLS version 1.1, the key exchange algorithm used in the TLS_ECDHE_ECDSA-collection of cipher suites requires the server's certificate to be signed with a particular signature scheme. TLS version 1.2 offers more flexibility. This specification does not impose any additional restrictions on the server certificate signature or the signature schemes used elsewhere in the certification path. (Often such restrictions will be useful, and it is expected that this will be taken into account in practices of certification authorities. However, such restrictions are not strictly required, even if it is beyond the capabilities of a client to completely validate a given certification path, the client may be able to validate the server's certificate by relying on a trusted certification authority whose certificate appears as one of the intermediate certificates in the certification path.)
TLSバージョン1.0とTLSバージョン1.1では、暗号スイートのTLS_ECDHE_ECDSAコレクションで使用される鍵交換アルゴリズムは、特定の署名方式で署名されるように、サーバーの証明書が必要です。 TLSバージョン1.2は、より多くの柔軟性を提供します。この仕様は、サーバ証明書の署名に追加の制限や証明書パスに他の場所で使用される署名スキームを課しません。 (多くの場合、そのような制限は有用であろう、そしてこれは認証機関の実務に考慮されることが期待される。しかし、そのような制限が厳しく要求されない、それは完全に与えられた認定を検証するために、クライアントの能力を超えている場合でも、パスは、クライアントは、その証明書の証明書パス内の中間証明書の1つとして表示されます、信頼できる認証局に依存することによって、サーバーの証明書を検証することができるかもしれません。)
Likewise, this specification does not impose restrictions on signature schemes used in the certification path for the client's certificate when mutual authentication is employed.
同様に、この仕様は、相互認証を採用した場合、クライアントの証明書の証明書パスで使用される署名方式に制限を課しません。
The signature_algorithms extension is defined in Section 7.4.1.4.1 of TLS version 1.2 [RFC5246]. A Suite B compliant TLS version 1.2 or later client MUST include the signature_algorithms extension. For the 128-bit security level, SHA-256 with ECDSA MUST be offered in the signature_algorithms extension. For the 192-bit security level, SHA-384 with ECDSA MUST be offered in the signature_algorithms extension. Other offerings MAY be included to indicate the signature algorithms that are acceptable in cipher suites that are offered for interoperability with servers that are not compliant with Suite B and to indicate the signature algorithms that are acceptable for certification path validation.
signature_algorithms拡張は、TLSバージョン1.2 [RFC5246]のセクション7.4.1.4.1に規定されています。スイートB準拠したTLSバージョン1.2以降のクライアントは、signature_algorithmsの拡張子を含める必要があります。 128ビットのセキュリティ・レベルのために、ECDSAとSHA-256 signature_algorithms拡張で提供されなければなりません。 192ビットのセキュリティ・レベルは、ECDSAとSHA-384はsignature_algorithms拡張で提供されなければなりません。その他の製品はスイートBに準拠していないと、認証パス検証のために許容される署名アルゴリズムを示すために、サーバとの相互運用性のために提供されている暗号スイートに許容される署名アルゴリズムを示すために含まれるかもしれません。
A Suite B compliant TLS version 1.2 or later server MUST include SHA-256 with ECDSA and/or SHA-384 with ECDSA in the supported_signature_algorithms field of the CertificateRequest message. For the 128-bit security level, SHA-256 with ECDSA MUST appear in the supported_signature_algorithms field. For the 192-bit security level, SHA-384 with ECDSA MUST appear in the supported_signature_algorithms field.
スイートB準拠TLSバージョン1.2またはそれ以降のサーバは、CertificateRequestメッセージのsupported_signature_algorithmsフィールドにSHA-256 ECDSAおよび/またはSHA-384 ECDSAを有するとを含まなければなりません。 128ビットのセキュリティ・レベルのために、ECDSAとSHA-256 supported_signature_algorithmsフィールドに表示されなければなりません。 192ビットのセキュリティレベルについては、ECDSAとSHA-384は、supported_signature_algorithmsフィールドに表示されなければなりません。
A Suite B compliant TLS version 1.2 or later client MUST use SHA-256 with ECDSA or SHA-384 with ECDSA for the signature in the CertificateVerify message. For the 128-bit security level, SHA-256 with ECDSA MUST be used. For the 192-bit security level, SHA-384 with ECDSA MUST be used.
スイートB準拠TLSバージョン1.2以降のクライアントはCertificateVerifyメッセージに署名するためのECDSAとECDSAまたはSHA-384とSHA-256を使用しなければなりません。 128ビットのセキュリティ・レベルのために、ECDSAとSHA-256を使用しなければなりません。 192ビットのセキュリティ・レベルは、ECDSAとSHA-384を使用しなければなりません。
In the TLS_ECDHE_ECDSA-collection of cipher suites, the server sends its ephemeral ECDH public key and a specification of the corresponding curve in the ServerKeyExchange message. These parameters MUST be signed with ECDSA using the private key corresponding to the public key in the server's certificate.
暗号スイートのTLS_ECDHE_ECDSA・コレクションでは、サーバーはそのはかないECDH公開鍵とServerKeyExchangeメッセージに対応する曲線の仕様を送信します。これらのパラメータは、サーバの証明書の公開鍵に対応する秘密鍵を使用して、ECDSAで署名する必要があります。
A TLS version 1.1 or earlier server MUST sign the ServerKeyExchange message using SHA-1 with ECDSA.
TLSバージョン1.1またはそれ以前のサーバは、ECDSAとSHA-1を使用して、ServerKeyExchangeメッセージに署名しなければなりません。
A Suite B compliant TLS version 1.2 or later server MUST sign the ServerKeyExchange message using either SHA-256 with ECDSA or SHA-384 with ECDSA. For the 128-bit security level, SHA-256 with ECDSA MUST be used. For the 192-bit security level, SHA-384 with ECDSA MUST be used.
スイートB準拠TLSバージョン1.2またはそれ以降のサーバは、ECDSA又はECDSAとSHA-384とSHA-256のいずれかを使用して、ServerKeyExchangeメッセージに署名しなければなりません。 128ビットのセキュリティ・レベルのために、ECDSAとSHA-256を使用しなければなりません。 192ビットのセキュリティ・レベルは、ECDSAとSHA-384を使用しなければなりません。
Most of the security considerations for this document are described in "The Transport Layer Security (TLS) Protocol Version 1.2" [RFC5246], "Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)" [RFC4492], "AES Galois Counter Mode (GCM) Cipher Suites for TLS" [RFC5288], and "TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter Mode (GCM)" [RFC5289]. Readers should consult those documents.
この文書のセキュリティに関する考慮事項のほとんどは、[RFC4492]、「AES「トランスポート層セキュリティ(TLS)のための楕円曲線暗号(ECC)暗号スイート」「トランスポート層セキュリティ(TLS)プロトコルバージョン1.2」[RFC5246]に記載されており、ガロア・カウンタ・モード(GCM)TLSの暗号スイート」[RFC5288]、および "SHA-384分の256とAESガロアカウンタモードとTLS楕円曲線暗号スイート(GCM)" [RFC5289]。読者はそれらの文書を参照する必要があります。
In order to meet the goal of a consistent security level for the entire cipher suite, in Suite B mode TLS implementations MUST ONLY use the curves defined in Section 4.2. Otherwise, it is possible to have a set of symmetric algorithms with much weaker or stronger security properties than the asymmetric (ECC) algorithms.
スイートBモードでTLSの実装は専用セクション4.2で定義された曲線を使用しなければなりません、全体の暗号スイートのための一貫性のあるセキュリティ・レベルの目標を満たすために。それ以外の場合は、非対称(ECC)アルゴリズムよりはるかに弱い、またはより強力なセキュリティ特性を有する対称アルゴリズムのセットを有することが可能です。
Thanks to Pasi Eronen, Steve Hanna, and Paul Hoffman for their review, comments, and insightful suggestions.
彼らのレビュー、コメント、および洞察力の提案のためのパシEronen、スティーブ・ハンナ、そしてポール・ホフマンに感謝します。
This work was supported by the US Department of Defense.
この作品は、米国国防総省によってサポートされていました。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC4492] Blake-Wilson, S., Bolyard, N., Gupta, V., Hawk, C., and B. Moeller, "Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)", RFC 4492, May 2006.
[RFC4492]ブレイク・ウィルソン、S.、Bolyard、N.、グプタ、V.、ホーク、C.、およびB.メラー、 "楕円曲線暗号(ECC)暗号スイートトランスポート層セキュリティ(TLS)のための"、RFC 4492 、2006年5月。
[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.
[RFC5246]ダークス、T.およびE.レスコラ、 "トランスポート層セキュリティ(TLS)プロトコルバージョン1.2"、RFC 5246、2008年8月。
[RFC5289] Rescorla, E., "TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter Mode (GCM)", RFC 5289, August 2008.
[RFC5289]レスコラ、E.、 "SHA-384分の256とTLS楕円曲線暗号スイートとAESガロア・カウンタ・モード(GCM)"、RFC 5289、2008年8月。
[AES] National Institute of Standards and Technology, "Specification for the Advanced Encryption Standard (AES)", FIPS 197, November 2001.
[AES]アメリカ国立標準技術研究所、「高度暗号化標準(AES)のための仕様」には、2001年11月、197 FIPS。
[DSS] National Institute of Standards and Technology, "Digital Signature Standard", FIPS 186-2, January 2000.
[DSS]米国国立標準技術研究所、「デジタル署名標準」、186-2、2000年1月FIPS。
[PWKE] National Institute of Standards and Technology, "Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography (Revised)", NIST Special Publication 800-56A, March 2007.
[PWKE]米国国立標準技術研究所、「離散対数暗号を使用してペアワイズ鍵確立スキームのための勧告は(改訂)」、NIST特別出版800-56A、2007年3月。
[SHS] National Institute of Standards and Technology, "Secure Hash Standard", FIPS 180-2, August 2002.
[SHS]アメリカ国立標準技術研究所、「ハッシュ標準セキュア」には、2002年8月、180-2をFIPS。
[RFC2246] Dierks, T. and C. Allen, "The TLS Protocol Version 1.0", RFC 2246, January 1999.
[RFC2246]ダークス、T.とC.アレン、 "TLSプロトコルバージョン1.0"、RFC 2246、1999年1月。
[RFC4346] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.1", RFC 4346, April 2006.
[RFC4346]ダークス、T.およびE.レスコラ、 "トランスポート層セキュリティ(TLS)プロトコルバージョン1.1"、RFC 4346、2006年4月。
[RFC5288] Salowey, J., Choudhury, A., and D. McGrew, "AES Galois Counter Mode (GCM) Cipher Suites for TLS", RFC 5288, August 2008.
[RFC5288] Salowey、J.、チョードリー、A.、およびD.マグリュー、 "TLSのためのAESガロア・カウンタ・モード(GCM)暗号スイート"、RFC 5288、2008年8月。
[NSA] National Security Agency, "Fact Sheet NSA Suite B Cryptography", <http://www.nsa.gov/ia/Industry/crypto_suite_b.cfm>.
[NSA]国家安全保障局、 "ファクトシートNSAスイートB暗号化"、<http://www.nsa.gov/ia/Industry/crypto_suite_b.cfm>。
Authors' Addresses
著者のアドレス
Margaret Salter National Security Agency 9800 Savage Rd. Fort Meade 20755-6709 USA
マーガレット・ソルター国家安全保障局(NSA)9800サベージRdを。フォートミード20755-6709 USA
EMail: msalter@restarea.ncsc.mil
メールアドレス:msalter@restarea.ncsc.mil
Eric Rescorla Network Resonance 2064 Edgewood Drive Palo Alto 94303 USA
エリックレスコラネットワークレゾナンス2064エッジウッドドライブパロアルト94303 USA
EMail: ekr@rtfm.com
メールアドレス:ekr@rtfm.com
Russ Housley Vigil Security 918 Spring Knoll Drive Herndon 21070 USA
ラスHousleyビジルセキュリティ918春小山Driveハーンドン21070 USA
EMail: housley@vigilsec.com
メールアドレス:housley@vigilsec.com