Internet Engineering Task Force (IETF) M. Salter
Request for Comments: 6460 National Security Agency
Obsoletes: 5430 R. Housley
Category: Informational Vigil Security
ISSN: 2070-1721 January 2012
Suite B Profile for Transport Layer Security (TLS)
Abstract
抽象
The United States government has published guidelines for "NSA Suite B Cryptography" that define cryptographic algorithm policy for national security applications. This document defines a profile of Transport Layer Security (TLS) version 1.2 that is fully compliant with Suite B.
米国政府は、国家安全保障のアプリケーションのための暗号アルゴリズムのポリシーを定義する「NSAスイートB暗号化」のためのガイドラインを発表しました。この文書では、スイートB.に完全に準拠しているトランスポート層セキュリティ(TLS)バージョン1.2のプロファイルを定義します
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。 IESGによって承認されていないすべての文書がインターネットStandardのどんなレベルの候補です。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6460.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc6460で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2012 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2012 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
この材料の一部がIETFトラストにこのような材料の変更を許可する権利を与えられていない可能性がありますにこの文書は、2008年、IETFドキュメントまたは11月10日以前に発行または公開さIETF貢献から著作権を支配する者(複数可)材料を含んでいてもよいですIETF標準化プロセスの外。そのような材料の著作権を管理者(単数または複数)から適切なライセンスを取得することなく、この文書は、IETF標準化過程の外側修正されないかもしれません、そして、それの派生物は、IETF標準化過程の外側に作成されない場合があり、それをフォーマットする以外出版RFCとして、英語以外の言語に翻訳します。
Table of Contents
目次
1. Introduction ....................................................2
2. Conventions Used in This Document ...............................3
3. Suite B Requirements ............................................3
3.1. Minimum Levels of Security (minLOS) for Suite B TLS ........4
3.2. Suite B TLS Authentication .................................5
4. Suite B Compliance and Interoperability Requirements ............5
4.1. Acceptable Curves ..........................................6
4.2. Certificates ...............................................7
4.3. signature_algorithms Extension .............................7
4.4. CertificateRequest Message .................................8
4.5. CertificateVerify Message ..................................8
4.6. ServerKeyExchange Message Signature ........................8
5. Security Considerations .........................................8
6. Acknowledgments .................................................9
7. References ......................................................9
7.1. Normative References .......................................9
7.2. Informative References ....................................10
Annex A. A Transitional Suite B Profile for TLS 1.1 and 1.0 .......11
Annex B. Changes since RFC 5430 ...................................13
This document specifies the conventions for using National Security Agency (NSA) Suite B Cryptography [SuiteB] with the Transport Layer Security (TLS) protocol, and the Datagram Transport Layer Security (DTLS) protocol.
この文書では、トランスポート層セキュリティ(TLS)プロトコル、およびデータグラムトランスポート層セキュリティ(DTLS)プロトコルで国家安全保障局(NSA)スイートB暗号化[SuiteB]を使用するための規則を指定します。
This document does not define any new cipher suites; instead, it defines a Suite B compliant profile for use with TLS version 1.2 [RFC5246], DTLS version 1.2 [RFC6347], and the cipher suites defined in [RFC5289]. This profile uses only Suite B algorithms.
このドキュメントは、新しい暗号スイートを定義していません。代わりに、TLSバージョン1.2 [RFC5246]、DTLSバージョン1.2 [RFC6347]及び[RFC5289]で定義された暗号スイートで使用するためのスイートB準拠プロファイルを定義します。このプロファイルは、唯一のスイートBアルゴリズムを使用しています。
RFC 5430 defined an additional transitional profile for use with TLS versions 1.0 [RFC2246] and 1.1 [RFC4346] or with DTLS version 1.0 [RFC4347] and the cipher suites defined in [RFC4492]. When either the client or the server does not support TLS version 1.2 and DTLS version 1.2, the transitional profile can be used to achieve interoperability that is not Suite B compliant. The description for the transitional profile appears in Annex A of this document.
RFC 5430は、TLSバージョン1.0 [RFC2246]と1.1 [RFC4346]またはDTLSバージョン1.0 [RFC4347]及び[RFC4492]で定義された暗号スイートで使用するための追加の移行プロファイルを定義しました。クライアントまたはサーバがTLSバージョン1.2およびDTLSバージョン1.2をサポートしていない場合は、移行プロファイルに準拠Bをスイートされていない相互運用性を達成するために使用することができます。移行プロファイルの説明は、この文書の附属書Aに表示されます。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はあります[RFC2119]に記載されているように解釈されます。
We will use the notation "ECDSA-256" to represent the use of the Elliptic Curve Digital Signature Algorithm (ECDSA) with the P-256 curve and the SHA-256 hash function. Similarly, "ECDSA-384" will represent the use of the ECDSA with the P-384 curve and the SHA-384 hash function.
我々は、P-256曲線およびSHA-256ハッシュ関数を用いて楕円曲線デジタル署名アルゴリズム(ECDSA)の使用を表すために表記「ECDSA-256」を使用します。同様に、「ECDSA-384」は、P-384曲線およびSHA-384ハッシュ関数とECDSAを使用することを表すことになります。
The Fact Sheet on Suite B Cryptography requires key establishment and authentication algorithms based on Elliptic Curve Cryptography and encryption using AES [AES]. Suite B algorithms are defined to support two minimum levels of security: 128 and 192 bits.
スイートB暗号化のファクトシートは、AES [AES]を使用して楕円曲線暗号と暗号に基づく鍵確立および認証アルゴリズムが必要です。 128と192ビット:スイートBアルゴリズムは、セキュリティの2つの極小レベルをサポートするために定義されています。
In particular, Suite B includes the following:
具体的には、スイートBは、以下が含まれます。
Encryption: Advanced Encryption Standard (AES) [AES] -- FIPS 197 (with key sizes of 128 and 256 bits)
暗号化:高度暗号化標準(AES)[AES] - (128と256ビットのキーサイズを有する)FIPS 197
Digital Signature: Elliptic Curve Digital Signature Algorithm (ECDSA) [DSS] - FIPS 186-3 (using the curves with 256- and 384-bit prime moduli)
デジタル署名:楕円曲線デジタル署名アルゴリズム(ECDSA)[DSS] - (256と384ビットの素数モジュラスと曲線を使用して)FIPS 186-3
Key Exchange: Elliptic Curve Diffie-Hellman (ECDH) - NIST Special Publication 800-56A [PWKE] (using the curves with 256- and 384-bit prime moduli)
鍵交換:楕円曲線のDiffie-Hellmanの(ECDH) - は、NIST Special Publication 800-56A [PWKE](256および384ビットのプライムモジュライと曲線を使用して)
The two elliptic curves used in Suite B each appear in the literature under two different names. For sake of clarity, we list both names below:
各スイートBで使用される2つの楕円曲線は、二つの異なる名前で文献に現れます。明確にするために、我々は、以下の両方の名前をリスト:
Curve NIST name [SECG] name
--------------------------------
P-256 nistp256 secp256r1
P-384 nistp384 secp384r1
The purpose of this document is to specify the requirements for a Suite B compliant implementation of TLS (hereafter referred to as "Suite B TLS").
このドキュメントの目的は、(以下「スイートB TLS」と呼ばれる)TLSのスイートB準拠した実装のための要件を指定することです。
Suite B provides two levels of cryptographic security, namely a 128-bit minimum level of security (minLOS_128) and a 192-bit minimum level of security (minLOS_192). Each level defines a minimum strength that all cryptographic algorithms must provide.
スイートBは、暗号化、セキュリティ、セキュリティのすなわち128ビットの最小レベル(minLOS_128)及びセキュリティの192ビットの最小レベル(minLOS_192)2つのレベルを提供します。各レベルは、すべての暗号化アルゴリズムを提供しなければならない最低限の強度を規定します。
The following combination of algorithms and key sizes are used in Suite B TLS:
アルゴリズムと鍵のサイズを以下の組み合わせは、スイートB TLSで使用されています。
Suite B Combination 1 Suite B Combination 2
-------------------------------- --------------------------------
AES with 128-bit key in GCM mode AES with 256-bit key in GCM mode
ECDH using the 256-bit prime ECDH using the 384-bit prime
modulus curve P-256 [DSS] modulus curve P-384 [DSS]
TLS PRF with SHA-256 [SHS] TLS PRF with SHA-384 [SHS]
Suite B TLS configured at a minimum level of security of 128 bits MUST use a TLS cipher suite satisfying either SuiteB_Combination_1 in its entirety or SuiteB_Combination_2 in its entirety.
128ビットのセキュリティの最小レベルで構成スイートBのTLSは、その全体がその全体SuiteB_Combination_1又はSuiteB_Combination_2のいずれかを満たすTLS暗号スイートを使用しなければなりません。
Suite B TLS configured at a minimum level of security of 192 bits MUST use a TLS cipher suite satisfying SuiteB_Combination_2 in its entirety.
192ビットのセキュリティの最小レベルで構成スイートBのTLSは、その全体SuiteB_Combination_2を満足TLS暗号スイートを使用しなければなりません。
The specific Suite B compliant cipher suites for each combination are listed in Section 4.
組み合わせごとに固有のスイートB準拠した暗号スイートは、セクション4に記載されています。
For Suite B TLS, ECDH uses the Ephemeral Unified Model Scheme with cofactor set to 1 (see Section 6.1.2.2 in [PWKE]).
スイートB TLSのために、ECDHは1([PWKE]で6.1.2.2項を参照)に設定補因子と統一エフェメラルモデルのスキームを使用しています。
To accommodate backward compatibility, a Suite B TLS client or server MAY be configured to accept a cipher suite that is not part of Suite B. However, whenever a Suite B TLS client and a Suite B TLS server establish a TLS version 1.2 session, Suite B algorithms MUST be employed.
下位互換性に対応するために、スイートB TLSクライアントまたはサーバがしかしスイートBの一部ではない暗号スイートを受け入れるように構成してもよいし、いつでもスイートB TLSクライアントとスイートB TLSサーバがTLSバージョン1.2セッションを確立し、スイートBアルゴリズムを使用しなければなりません。
Suite B TLS MUST use ECDSA for digital signatures; authentication methods other than ECDSA-256 and ECDSA-384 MUST NOT be used for TLS authentication. If a relying party receives a signature based on any other authentication method, it MUST return a TLS error and stop the TLS handshake.
スイートB TLSは、デジタル署名のためにECDSAを使用しなければなりません。 ECDSA-256およびECDSA-384以外の認証方法はTLS認証に使用してはいけません。依存者は、他の認証方式に基づいて署名を受信した場合、それはTLSエラーを返すと、TLSハンドシェイクを停止する必要があります。
A system compliant with the Suite B TLS and configured at a minimum level of security of 128 bits MUST use either ECDSA-256 or ECDSA-384 for client or server authentication. One party can authenticate with ECDSA-256 when the other party authenticates with ECDSA-384. This flexibility allows interoperation between a client and a server that have ECDSA authentication keys of different sizes.
スイートBのTLSに準拠し、128ビットのセキュリティの最小レベルで構成されたシステムは、クライアントまたはサーバー認証のためにECDSA-256またはECDSA-384のいずれかを使用しなければなりません。相手がECDSA-384で認証する場合、一方の当事者は、ECDSA-256を使用して認証することができます。この柔軟性は、クライアントと異なるサイズのECDSA認証キーを持っているサーバーとの間の相互運用を可能にします。
Clients and servers in a system configured at a minimum level of security of 128 bits MUST be able to verify ECDSA-256 signatures and SHOULD be able to verify ECDSA-384 signatures unless it is absolutely certain that the implementation will never need to verify certificates originating from an authority that uses an ECDSA-384 signing key.
128ビットのセキュリティの最小レベルで構成されたシステムでは、クライアントとサーバーは、ECDSA-256の署名を検証できなければならない、実装が元の証明書を検証する必要がないことを絶対確実でない限り、ECDSA-384の署名を検証することができるべきですECDSA-384署名キーを使用しています権威から。
A system compliant with the Suite B TLS and configured at a minimum level of security of 192 bits MUST use ECDSA-384 for client and server authentication.
スイートBのTLSに準拠し、192ビットのセキュリティの最小レベルで構成されたシステムは、クライアントとサーバーの認証のためにECDSA-384を使用しなければなりません。
Clients and servers in a system configured at a minimum level of security of 192 bits MUST be able to verify ECDSA-384 signatures.
192ビットのセキュリティの最小レベルで構成されたシステムにおいて、クライアントとサーバは、ECDSA-384の署名を検証できなければなりません。
In all cases, the client MUST authenticate the server. The server MAY authenticate the client, as needed by the specific application.
すべての場合において、クライアントはサーバーを認証する必要があります。特定のアプリケーションで必要に応じて、サーバは、クライアントを認証するかもしれません。
TLS versions 1.1 [RFC4346] and earlier do not support Galois/ Counter Mode (GCM) cipher suites [RFC5289]. However, TLS version 1.2 [RFC5246] and later do support GCM. For Suite B TLS, GCM cipher suites MUST be used; therefore, a Suite B TLS client MUST implement TLS version 1.2 or later.
TLSバージョン1.1 [RFC4346]およびそれ以前のガロア/カウンタモード(GCM)暗号スイート[RFC5289]をサポートしていません。ただし、TLSバージョン1.2 [RFC5246]以降ではサポートGCMを行います。スイートB TLSの場合は、GCM暗号スイートを使用しなければなりません。そのため、スイートB TLSクライアントはTLSバージョン1.2以降を実行しなければなりません。
A Suite B TLS client configured at a minimum level of security of 128 bits MUST offer the TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 or the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite in the ClientHello message. The TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 cipher suite is preferred; if offered, it MUST appear before the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite.
128ビットのセキュリティの最小レベルで構成スイートB TLSクライアントはTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256又はClientHelloメッセージでTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384暗号スイートを提供しなければなりません。 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256暗号スイートが好ましいです。提供されている場合、それはTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384暗号スイートの前に現れなければなりません。
If configured at a minimum level of security of 192 bits, the client MUST offer the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite and MUST NOT offer the TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 cipher suite.
192ビットのセキュリティの最小レベルで構成されている場合、クライアントはTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384暗号スイートを提供しなければならないとTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256暗号スイートを提供してはいけません。
One of these two cipher suites MUST be the first (most preferred) cipher suites in the ClientHello message. A Suite B TLS client that offers interoperability with servers that are not Suite B compliant MAY offer additional cipher suites, but any additional cipher suites MUST appear after the two Suite B compliant cipher suites in the ClientHello message.
これらの二つの暗号スイートの一つは、ClientHelloメッセージ内の最初の(最も好ましい)暗号スイートでなければなりません。追加の暗号スイートを提供することがあります準拠したBをスイートされていないサーバーとの相互運用性を提供していますスイートB TLSクライアントが、任意の追加の暗号スイートは、ClientHelloメッセージに2つのスイートB準拠した暗号スイートの後に現れなければなりません。
A Suite B TLS server MUST implement TLS version 1.2 or later.
スイートB TLSサーバがTLSバージョン1.2以降を実行しなければなりません。
A Suite B TLS server configured at a minimum level of security of 128 bits MUST accept either the TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 cipher suite or the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite if it is offered in the ClientHello message, with the TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 cipher suite being preferred.
それはTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256暗号スイートが好ましいと、ClientHelloメッセージで提供されている場合、128ビットのセキュリティの最小レベルで構成スイートB TLSサーバはTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256暗号スイートまたはTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384暗号スイートのいずれかを受け入れなければなりません。
A Suite B TLS server configured at a minimum level of security of 192 bits MUST accept the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite if it is offered in the ClientHello message.
それはClientHelloメッセージで提供された場合に192ビットのセキュリティの最小レベルで構成スイートB TLSサーバはTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384暗号スイートを受け入れなければなりません。
If the server is not offered either of the Suite B cipher suites, and interoperability with clients that are not Suite B compliant is desired, then the Suite B TLS server MAY accept another offered cipher suite that is considered acceptable by the server administrator.
サーバーが要求されるB準拠のスイートされていないクライアントとスイートB暗号スイートのいずれか、および相互運用性を提供されていない場合は、スイートBのTLSサーバは、サーバ管理者が許容可能であると考えられる別の提供暗号スイートを受け入れることができます。
RFC 4492 defines a variety of elliptic curves. Suite B TLS connections MUST use secp256r1(23) or secp384r1(24). These are the same curves that appear in FIPS 186-3 [DSS] as P-256 and P-384, respectively. Secp256r1 MUST be used for the key exchange in all cipher suites in this specification using AES-128; secp384r1 MUST be used for the key exchange in all cipher suites in this specification using AES-256. RFC 4492 requires that the uncompressed(0) form be supported. The ansiX962_compressed_prime(1) point format MAY also be supported.
RFC 4492は、楕円曲線の様々な定義します。スイートB TLS接続がsecp256r1(23)またはsecp384r1(24)を使用する必要があります。これらは、それぞれ、P-256およびP-384としてFIPS 186-3 [DSS]に表示される同一の曲線です。 Secp256r1は、AES-128を使用して、本明細書中の全ての暗号スイートにおける鍵交換のために使用されなければなりません。 secp384r1は、AES-256を使用して、本明細書中のすべての暗号スイートにおける鍵交換のために使用しなければなりません。 RFC 4492は、圧縮されていない(0)形式がサポートされることを必要とします。 ansiX962_compressed_prime(1)小数点形式がサポートされてもよいです。
Clients desiring to negotiate only a Suite B TLS connection MUST generate a "Supported Elliptic Curves Extension" containing only the allowed curves. Clients operating at a minimum level of security of 128 bits MUST include secp256r1 and SHOULD include secp384r1 in the extension. Clients operating at a minimum level of security of 192 bits MUST include secp384r1 in the extension. In order to be able to verify ECDSA signatures, a client and server in a system configured at a minimum level of security of 128 bits MUST support secp256r1 and SHOULD support secp384r1 unless it is absolutely certain that the client and server will never need to use or verify certificates originating from an authority which uses an ECDSA-384 signing key. A client and server in a system configured at a minimum level of 192 bits MUST support secp384r1.
唯一のスイートB TLS接続を交渉することを望むクライアントはのみ許可された曲線を含む「サポートされている楕円曲線拡張」を発生させなければなりません。 128ビットのセキュリティの最小レベルで動作するクライアントはsecp256r1含まなければならないと拡張でsecp384r1を含むべきです。 192ビットのセキュリティの最小レベルで動作するクライアントは拡張子でsecp384r1を含まなければなりません。 ECDSA署名を検証できるようにするために、128ビットのセキュリティの最小レベルで構成されたシステムにおいて、クライアントとサーバがsecp256r1をサポートしなければならず、クライアントとサーバが使用する必要がないか、または決してことが絶対的に一定でない限りsecp384r1をサポートすべきですECDSA-384署名キーを使用して認証局から発信さの証明書を検証します。 192ビットの最小レベルで構成されたシステムにおいて、クライアントとサーバはsecp384r1サポートしなければなりません。
TLS connections that offer options that are both compliant and non-compliant with Suite B MAY omit the extension, or they MAY send the extension but offer other curves as well as the appropriate Suite B ones.
スイートBに準拠し、非準拠の両方であるオプションを提供TLS接続は拡張子を省略したり、彼らは拡張子を送るかもしれませんが、他の曲線と同様に、適切なスイートBのものを提供します。
Servers desiring to negotiate a Suite B TLS connection SHOULD check for the presence of the extension, but they MUST NOT select a curve that is not Suite B even if it is offered by the client. This allows a client that is willing to do either Suite B or non-Suite B TLS connections to interoperate with a server that will only do Suite B TLS. If the client does not advertise an acceptable curve, the server MUST generate a fatal "handshake_failure" alert and terminate the connection. Clients MUST check the chosen curve to make sure that it is one of the Suite B curves.
スイートB TLS接続を交渉することを望むサーバーは、拡張子の有無を確認する必要がありますが、彼らはそれがクライアントによって提供されている場合でもBをスイートされていないカーブを選択してはなりません。これは、スイートB TLSを行いますサーバーと相互運用するためにスイートBまたは非スイートB TLS接続のいずれかを行うには喜んでクライアントを許可します。クライアントが許容曲線を宣伝していない場合、サーバーは、致命的な「握手_」アラートを生成して、接続を終えなければなりません。クライアントは、それがスイートBカーブの一つであることを確認するために選ばれた曲線をチェックしなければなりません。
Server and client certificates used to establish a Suite B TLS connection MUST be signed with ECDSA and MUST be compliant with the "Suite B Certificate and Certificate Revocation List (CRL) Profile", [RFC5759].
スイートB TLS接続を確立するために使用されるサーバーおよびクライアント証明書は、ECDSAで署名しなければならないと「スイートB証明書と証明書失効リスト(CRL)プロフィール」、[RFC5759]に準拠しなければなりません。
The signature_algorithms extension is defined in Section 7.4.1.4.1 of TLS version 1.2 [RFC5246]. A Suite B TLS version 1.2 or later client MUST include the signature_algorithms extension. A Suite B TLS client configured at a minimum level of security of 128 bits MUST offer SHA-256 with ECDSA and SHOULD offer ECDSA with SHA-384 in the signature_algorithms extension unless it is absolutely certain that a client will never need to use or verify certificates originating from an authority that uses an ECDSA-384 signing key. A Suite B TLS client configured at a minimum level of 192 bits MUST offer ECDSA with SHA-384 in the signature_algorithms extension.
signature_algorithms拡張は、TLSバージョン1.2 [RFC5246]のセクション7.4.1.4.1に規定されています。スイートB TLSバージョン1.2以降のクライアントは、signature_algorithmsの拡張子を含める必要があります。それは絶対確実でない限り、128ビットのセキュリティの最小レベルで構成されたスイートB TLSクライアントは、クライアントが使用するか、証明書を確認する必要がないことをECDSAとSHA-256を提供しなければならないとsignature_algorithms延長にSHA-384とECDSAを提供する必要がありますECDSA-384署名キーを使用して権限由来します。 192ビットの最小レベルで構成スイートB TLSクライアントはsignature_algorithms拡張でSHA-384とECDSAを提供しなければなりません。
Following the guidance in [RFC5759], Suite B TLS connections MUST only accept signature algorithms ECDSA with either SHA-256 or SHA-384 for certification path validation. (Note that this is a change from [RFC5430].)
[RFC5759]でガイダンスに従って、スイートB TLS接続は、認証パス検証のためのSHA-256やSHA-384のいずれかと署名アルゴリズムECDSAを受け入れなければなりません。 (これは[RFC5430]からの変化であることに注意してください。)
Other offerings MAY be included to indicate the acceptable signature algorithms in cipher suites that are offered for interoperability with servers not compliant with Suite B and to indicate the signature algorithms that are acceptable for certification path validation in non-compliant Suite B TLS connections.
その他の製品はスイートBに準拠していないサーバとの相互運用性のために提供されており、非準拠スイートB TLS接続で認証パス検証のために許容される署名アルゴリズムを示すために、暗号スイートにおける許容署名アルゴリズムを示すために含まれるかもしれません。
A Suite B TLS server configured at a minimum level of security of 128 bits MUST include ECDSA with SHA-256 and SHOULD include ECDSA with SHA-384 in the supported_signature_algorithms field of the CertificateRequest message unless it is absolutely certain that a server will never need to verify certificates originating from an authority that uses an ECDSA-384 signing key. A Suite B TLS server configured at a minimum level of security of 192 bits MUST include ECDSA with SHA-384 in the supported_signature_algorithms field.
128ビットのセキュリティの最小レベルで構成スイートB TLSサーバは、SHA-256とECDSAを含まなければなりませんし、サーバーが必要ないことを絶対的に一定でない限り、CertificateRequestメッセージのsupported_signature_algorithmsフィールドにSHA-384とECDSAを含むべきですECDSA-384署名キーを使用して認証局から発信さの証明書を検証します。 192ビットのセキュリティの最小レベルで構成スイートB TLSサーバはsupported_signature_algorithmsフィールドにSHA-384とECDSAを含まなければなりません。
Using the definitions found in Section 3.2, a Suite B TLS client MUST use ECDSA-256 or ECDSA-384 for the signature in the CertificateVerify message. A Suite B TLS client configured at a minimum security level of 128 bits MUST use ECDSA-256 or ECDSA-384. A Suite B TLS client configured at a minimum security level of 192 bits MUST use ECDSA-384.
3.2節で見つかった定義を使用して、スイートB TLSクライアントはCertificateVerifyメッセージに署名するためにECDSA-256またはECDSA-384を使用しなければなりません。 128ビットの最小のセキュリティレベルで構成スイートB TLSクライアントは、ECDSA-256またはECDSA-384を使用しなければなりません。 192ビットの最小のセキュリティレベルで構成スイートB TLSクライアントは、ECDSA-384を使用しなければなりません。
In the TLS_ECDHE_ECDSA-collection of cipher suites, the server sends its ephemeral ECDH public key and a specification of the corresponding curve in the ServerKeyExchange message. These parameters MUST be signed with ECDSA using the server's private key, which corresponds to the public key in the server's certificate.
暗号スイートのTLS_ECDHE_ECDSA・コレクションでは、サーバーはそのはかないECDH公開鍵とServerKeyExchangeメッセージに対応する曲線の仕様を送信します。これらのパラメータは、サーバの証明書の公開鍵に対応するサーバの秘密鍵を使用して、ECDSAで署名する必要があります。
A Suite B TLS server MUST sign the ServerKeyExchange message using either ECDSA-256 or ECDSA-384. A system configured at a minimum level of security of 128 bits MUST use either ECDSA-256 or ECDSA-384. A system configured at a minimum level of security of 192-bits MUST use ECDSA-384.
スイートB TLSサーバは、ECDSA-256またはECDSA-384のいずれかを使用して、ServerKeyExchangeメッセージに署名しなければなりません。 128ビットのセキュリティの最小レベルで構成されたシステムは、ECDSA-256またはECDSA-384のいずれかを使用しなければなりません。 192ビットのセキュリティの最小レベルで構成されたシステムは、ECDSA-384を使用しなければなりません。
Most of the security considerations for this document are described in "The Transport Layer Security (TLS) Protocol Version 1.2" [RFC5246], "Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)" [RFC4492], "AES Galois Counter Mode
この文書のセキュリティに関する考慮事項のほとんどは、[RFC4492]、「AES「トランスポート層セキュリティ(TLS)のための楕円曲線暗号(ECC)暗号スイート」「トランスポート層セキュリティ(TLS)プロトコルバージョン1.2」[RFC5246]に記載されており、ガロアカウンタモード
(GCM) Cipher Suites for TLS" [RFC5288], and "TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter Mode (GCM)" [RFC5289]. Readers should consult those documents.
(GCM)TLSの暗号スイート」[RFC5288]、および "SHA-384分の256およびAESガロアカウンタモードでTLS楕円曲線暗号スイート(GCM)" [RFC5289]。読者は、これらのドキュメントを参照する必要があります。
In order to meet the goal of a consistent security level for the entire cipher suite, Suite B TLS implementations MUST ONLY use the curves defined in Section 4.1. Otherwise, it is possible to have a set of symmetric algorithms with much weaker or stronger security properties than the asymmetric (ECC) algorithms.
全体の暗号スイートのための一貫したセキュリティレベルの目標を達成するためには、スイートB TLSの実装は、専用セクション4.1で定義された曲線を使用しなければなりません。それ以外の場合は、非対称(ECC)アルゴリズムよりはるかに弱い、またはより強力なセキュリティ特性を有する対称アルゴリズムのセットを有することが可能です。
The authors would like to thank Eric Rescorla for his work on the original RFC 5430.
著者は、元のRFC 5430で彼の仕事のためにエリックレスコラに感謝したいと思います。
This work was supported by the US Department of Defense.
この作品は、米国国防総省によってサポートされていました。
[AES] National Institute of Standards and Technology, "Specification for the Advanced Encryption Standard (AES)", FIPS 197, November 2001.
[AES]アメリカ国立標準技術研究所、「高度暗号化標準(AES)のための仕様」には、2001年11月、197 FIPS。
[DSS] National Institute of Standards and Technology, "Digital Signature Standard", FIPS 186-3, June 2009.
[DSS]米国国立標準技術研究所、「デジタル署名標準」、186-3、2009年6月FIPS。
[PWKE] National Institute of Standards and Technology, "Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography (Revised)", NIST Special Publication 800-56A, March 2007.
[PWKE]米国国立標準技術研究所、「離散対数暗号を使用してペアワイズ鍵確立スキームのための勧告は(改訂)」、NIST特別出版800-56A、2007年3月。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC4347] Rescorla, E. and N. Modadugu, "Datagram Transport Layer Security", RFC 4347, April 2006.
[RFC4347]レスコラ、E.およびN. Modadugu、 "データグラムトランスポート層セキュリティ"、RFC 4347、2006年4月。
[RFC4492] Blake-Wilson, S., Bolyard, N., Gupta, V., Hawk, C., and B. Moeller, "Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)", RFC 4492, May 2006.
[RFC4492]ブレイク・ウィルソン、S.、Bolyard、N.、グプタ、V.、ホーク、C.、およびB.メラー、 "楕円曲線暗号(ECC)暗号スイートトランスポート層セキュリティ(TLS)のための"、RFC 4492 、2006年5月。
[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.
[RFC5246]ダークス、T.およびE.レスコラ、 "トランスポート層セキュリティ(TLS)プロトコルバージョン1.2"、RFC 5246、2008年8月。
[RFC5289] Rescorla, E., "TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter Mode (GCM)", RFC 5289, August 2008.
[RFC5289]レスコラ、E.、 "SHA-384分の256とTLS楕円曲線暗号スイートとAESガロア・カウンタ・モード(GCM)"、RFC 5289、2008年8月。
[RFC5759] Solinas, J. and L. Zieglar, "Suite B Certificate and Certificate Revocation List (CRL) Profile", RFC 5759, January 2010.
[RFC5759] Solinas、J.とL.チーグラー、 "スイートB証明書と証明書失効リスト(CRL)プロフィール"、RFC 5759、2010年1月。
[SHS] National Institute of Standards and Technology, "Secure Hash Standard", FIPS 180-3, October 2008.
[SHS]アメリカ国立標準技術研究所、「ハッシュ標準セキュア」には、2008年10月、180-3をFIPS。
[RFC6347] Rescorla, E. and N. Modadugu, "Datagram Transport Layer Security Version 1.2", RFC 6347, January 2012.
[RFC6347]レスコラ、E.およびN. Modadugu、 "データグラムトランスポート層セキュリティバージョン1.2"、RFC 6347、2012年1月。
[RFC2246] Dierks, T. and C. Allen, "The TLS Protocol Version 1.0", RFC 2246, January 1999.
[RFC2246]ダークス、T.とC.アレン、 "TLSプロトコルバージョン1.0"、RFC 2246、1999年1月。
[RFC4346] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.1", RFC 4346, April 2006.
[RFC4346]ダークス、T.およびE.レスコラ、 "トランスポート層セキュリティ(TLS)プロトコルバージョン1.1"、RFC 4346、2006年4月。
[RFC5288] Salowey, J., Choudhury, A., and D. McGrew, "AES Galois Counter Mode (GCM) Cipher Suites for TLS", RFC 5288, August 2008.
[RFC5288] Salowey、J.、チョードリー、A.、およびD.マグリュー、 "TLSのためのAESガロア・カウンタ・モード(GCM)暗号スイート"、RFC 5288、2008年8月。
[RFC5430] Salter, M., Rescorla, E., and R. Housley, "Suite B Profile for Transport Layer Security (TLS)", RFC 5430, March 2009.
[RFC5430]ソルター、M.、レスコラ、E.、およびR. Housley氏、RFC 5430、2009年3月 "トランスポート層セキュリティ(TLS)のためのスイートBプロファイル"。
[SECG] Brown, D., "SEC 2: Recommended Elliptic Curve Domain Parameters", http://www.secg.org/download/aid-784/sec2-v2.pdf, February 2010.
[SECG]ブラウン、D.、 "SEC 2:推奨楕円曲線ドメインパラメータ"、http://www.secg.org/download/aid-784/sec2-v2.pdf、2010年2月。
[SuiteB] National Security Agency, "Fact Sheet NSA Suite B Cryptography", November 2010, http://www.nsa.gov/ia/programs/suiteb_cryptography/.
[SuiteB]国家安全保障局(NSA)、 "ファクトシートNSAスイートB暗号化"、2010年11月、http://www.nsa.gov/ia/programs/suiteb_cryptography/。
Annex A. A Transitional Suite B Profile for TLS 1.1 and 1.0
TLS 1.1と1.0の附属書A A暫定スイートBさんのプロフィール
A transitional profile is described for use with TLS version 1.0 [RFC2246], TLS version 1.1 [RFC4346], or DTLS version 1.0 [RFC4347] and the cipher suites defined in [RFC4492]. This profile uses the Suite B cryptographic algorithms to the greatest extent possible and provides backward compatibility. While the transitional profile is not a Suite B Compliant implementation of TLS, it provides a transitional path towards the Suite B compliant Profile.
遷移プロファイルは、TLSバージョン1.0 [RFC2246]、TLSバージョン1.1 [RFC4346]、またはDTLSバージョン1.0 [RFC4347]及び[RFC4492]で定義された暗号スイートで使用するために記載されています。このプロファイルは、可能な限りスイートB暗号化アルゴリズムを使用して、下位互換性を提供します。移行プロファイルがTLSのスイートB準拠した実装ではありませんが、それはスイートB準拠したプロファイルへの移行パスを提供します。
The following combination of algorithms and key sizes are defined for use with the Suite B TLS transitional profile:
アルゴリズムと鍵のサイズを以下の組み合わせは、スイートB TLS移行プロファイルで使用するために定義されています。
Transitional Suite B Combination 1 Transitional Suite B Combination 2
---------------------------------- ----------------------------------
AES with 128-bit key in CBC mode AES with 256-bit key in CBC mode
ECDH using the 256-bit prime ECDH using the 384-bit prime
modulus curve P-256 [DSS] modulus curve P-384 [DSS]
Standard TLS PRF Standard TLS PRF
(with SHA-1 and MD5) (with SHA-1 and MD5)
HMAC with SHA-1 for message HMAC with SHA-1 for message
authentication authentication
A Transitional Suite B TLS system configured at a minimum level of security of 128 bits MUST use a TLS cipher suite satisfying either Transitional Suite B Combination 1 in its entirety or Transitional Suite B Combination 2 in its entirety.
128ビットのセキュリティの最小レベルで構成経過スイートB TLSシステムは、その全体またはその全体が移行スイートBコンビネーション2のいずれかに移行スイートBの組み合わせ1を満たすTLS暗号スイートを使用しなければなりません。
A Transitional Suite B TLS system configured at a minimum level of security of 192 bits MUST use a TLS cipher suite satisfying Transitional Suite B Combination 2 in its entirety.
192ビットのセキュリティの最小レベルで構成経過スイートB TLSシステムは、その全体が移行スイートBコンビネーション2を満たすTLS暗号スイートを使用しなければなりません。
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA and TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA satisfy the requirements of Transitional Suite B Combination 1 and Transitional Suite B Combination 2, respectively.
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAとTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAは、それぞれ、遷移スイートBの組み合わせ1の要件と移行スイートBコンビネーション2を満たします。
A Transitional Suite B TLS client MUST implement TLS version 1.1 or earlier.
暫定スイートB TLSクライアントはTLSバージョン1.1またはそれ以前を実装しなければなりません。
A Transitional Suite B TLS system configured at a minimum level of security of 128 bits, MUST offer the TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA cipher suite and/or the TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA cipher suite in the
128ビットのセキュリティの最小レベルで構成経過スイートB TLSシステムは、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA暗号スイートおよび/または中TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA暗号スイートを提供しなければなりません
ClientHello message. The TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA cipher suite is preferred; if it is offered, it MUST appear before the TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA cipher suite (if present).
ClientHelloメッセージ。 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA暗号スイートが好ましいです。それが提供されている場合、それはTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA暗号スイート(存在する場合)の前に現れなければなりません。
A Transitional Suite B TLS system configured at a minimum level of security of 192 bits MUST offer the TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA cipher suite in the ClientHello message.
192ビットのセキュリティの最小レベルで構成経過スイートB TLSシステムはClientHelloメッセージにTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA暗号スイートを提供しなければなりません。
One of these Transitional Suite B cipher suites MUST be the first (most preferred) in the ClientHello message.
これら過渡スイートB暗号スイートの一つは、ClientHelloメッセージ内の最初の(最も好ましい)でなければなりません。
A Transitional Suite B client that offers interoperability with servers that are not Suite B transitional MAY offer additional cipher suites. If any additional cipher suites are offered, they MUST appear after the Transitional Suite B cipher suites in the ClientHello message.
Bは過渡的スイートされていないサーバーとの相互運用性を提供しています暫定スイートBクライアントは、追加の暗号スイートを提供することがあります。任意の追加の暗号スイートが提供されている場合、それらはClientHelloメッセージで暫定スイートB暗号スイートの後に現れなければなりません。
A Transitional Suite B TLS server MUST implement TLS version 1.1 or earlier.
暫定スイートB TLSサーバがTLSバージョン1.1またはそれ以前を実装しなければなりません。
A Transitional Suite B TLS server configured at a minimum level of security of 128 bits MUST accept the TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA cipher suite (preferred) or the TLS_ECHDE_ECDSA_WITH_AES_256_CBC_SHA cipher suite if offered in the ClientHello message.
ClientHelloメッセージで提供される場合、128ビットのセキュリティの最小レベルで構成経過スイートB TLSサーバはTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA暗号スイート(好ましい)またはTLS_ECHDE_ECDSA_WITH_AES_256_CBC_SHA暗号スイートを受け入れなければなりません。
A Transitional Suite B TLS server configured at a minimum level of security of 192 bits MUST accept the TLS_ECHDE_ECDSA_WITH_AES_256_CBC_SHA cipher suite if offered in the ClientHello message.
ClientHelloメッセージで提供される場合に192ビットのセキュリティの最小レベルで構成経過スイートB TLSサーバはTLS_ECHDE_ECDSA_WITH_AES_256_CBC_SHA暗号スイートを受け入れなければなりません。
If a Transitional Suite B TLS server is not offered the Transitional Suite B cipher suites and interoperability with non-Transitional Suite B clients is desired, then the server MAY accept another offered cipher suite that is considered acceptable by the server administrator.
暫定スイートBのTLSサーバが要求される非移行スイートBクライアントと移行スイートB暗号スイートとの相互運用性を提供されていない場合、サーバーは、サーバー管理者が許容可能であると考えられる別の提供暗号スイートを受け入れることができます。
A Transitional Suite B TLS server MUST sign the ServerKeyExchange message using ECDSA with SHA-1. The Transitional Suite B profile does not impose any additional restrictions on the server certificate signature or the signature schemes used elsewhere in the certification path. Likewise, the Transitional Suite B Profile does not impose restrictions on signature schemes used in the certification path for the client's certificate when mutual authentication is employed.
過渡スイートB TLSサーバは、SHA-1とECDSAを用いServerKeyExchangeメッセージに署名しなければなりません。暫定スイートBプロファイルは、サーバ証明書の署名に追加の制限や証明書パスに他の場所で使用される署名スキームを課しません。同様に、暫定スイートBプロファイルは、相互認証を採用した場合、クライアントの証明書の証明書パスで使用される署名方式に制限を課しません。
Annex B. Changes since RFC 5430
RFC 5430以降の附属書Bに変更
The changes from RFC 5430 [RFC5430] are as follows:
次のようにRFC 5430 [RFC5430]からの変更は、次のとおり
- The transitional profile for use with TLS version 1.0, TLS version 1.1, and DTLS version 1.0 was moved to an annex.
- TLSバージョン1.0、TLSバージョン1.1、及びDTLSバージョン1.0で使用するための移行プロファイルは、附属書に移しました。
- The requirement of Section 4 of RFC 5430 that a Suite B TLS 1.2 Client offer the TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 or TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 cipher suites was removed.
- スイートB TLS 1.2クライアントがTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256またはTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384暗号スイートを提供してRFC 5430のセクション4の要件が削除されました。
- A Suite B TLS system configured at a minimum level of security of 128 bits MUST use either TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 or TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, with the first being preferred.
- 128ビットのセキュリティの最小レベルで構成スイートB TLSシステムは、好ましい第一と、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256又はTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384のいずれかを使用しなければなりません。
- A Suite B TLS system configured at a minimum level of security of 128 bits MUST use either ECDSA on the secp256r1 curve with SHA-256 or ECDSA on the secp384r1 curve with SHA-384. One party can authenticate with ECDSA on the secp256r1 curve and SHA-256 when the other party authenticates with ECDSA on the secp384r1 curve and SHA-384.
- 128ビットのセキュリティの最小レベルで構成スイートB TLSシステムは、SHA-384とsecp384r1曲線上のSHA-256やECDSAとsecp256r1曲線上ECDSAのいずれかを使用しなければなりません。相手がsecp384r1曲線上のECDSAおよびSHA-384を使用して認証する場合、一方の当事者がsecp256r1曲線とSHA-256にECDSAを使用して認証することができます。
- A system desiring to negotiate a Suite B TLS connection at a minimum level of security of 128 bits MUST generate a "Supported Elliptic Curves Extension", MUST include secp256r1 in the extension, and SHOULD include secp384r1 in the extension.
- 「サポートされている楕円曲線エクステンション」を生成しなければならない128ビットのセキュリティの最小レベルでスイートBのTLS接続を交渉することを望むシステムは、拡張にsecp256r1を含まなければなりません、そして拡張でsecp384r1を含むべきです。
- A client and server, in order to verify digital signatures in a Suite B TLS system configured at a minimum level of security of 128 bits, MUST support secp256r1 and SHOULD support secp384r1.
- クライアントとサーバーは、128ビットのセキュリティの最小レベルで構成スイートB TLSシステムにおけるデジタル署名を検証するために、secp256r1サポートしなければならないとsecp384r1をサポートしなければなりません。
- A Suite B TLS client configured at a minimum level of security of 128 bits MUST offer SHA-256 with ECDSA and SHOULD offer SHA-384 with ECDSA in the signature_algorithms extension.
- 128ビットのセキュリティの最小レベルで構成スイートB TLSクライアントは、ECDSAとSHA-256を提供しなければならないとsignature_algorithms拡張でECDSAとSHA-384を提供するべきです。
- Certification path validation MUST only include certificates containing an ECDSA public key on the secp256r1 curve or on the secp384r1 curve. The ECDSA public keys used in the certification path MUST be in non-descending order of size from the end entity public key to the root public key.
- 認証パス検証はsecp256r1曲線上またはsecp384r1曲線上のECDSA公開鍵を含む証明書のみを含まなければなりません。認証パスで使用ECDSA公開鍵は、ルート公開鍵のエンドエンティティの公開鍵のサイズの非降順でなければなりません。
- A Suite B TLS server configured at a minimum level of security of 128 bits MUST include ECDSA with SHA-256 and SHOULD include ECDSA with SHA-384 in the supported_signature_algorithms field of the CertificateRequest message.
- 128ビットのセキュリティの最小レベルで構成スイートB TLSサーバは、SHA-256とECDSAを含まなければなりませんし、CertificateRequestメッセージのsupported_signature_algorithmsフィールドにSHA-384とECDSAを含むべきです。
- A Suite B TLS client configured at a minimum level of security of 128 bits MUST use ECDSA on the secp256r1 curve and SHA-256 or ECDSA on the secp384r1 curve and SHA-384.
- 128ビットのセキュリティの最小レベルで構成スイートB TLSクライアントはsecp384r1曲線とSHA-384にsecp256r1曲線とSHA-256やECDSAにECDSAを使用しなければなりません。
- A Suite B TLS server configured at a minimum level of security of 128 bits MUST use either ECDSA on the secp256r1 curve and SHA-256 or ECDSA on the secp384r1 curve and SHA-384 when signing the ServerKeyExchange message.
- 128ビットのセキュリティの最小レベルで構成スイートBのTLSサーバは、ECDSA secp384r1曲線とSHA-384 ServerKeyExchangeメッセージを署名にsecp256r1曲線とSHA-256やECDSAのいずれかを使用しなければなりません。
Authors' Addresses
著者のアドレス
Margaret Salter National Security Agency 9800 Savage Rd. Fort Meade 20755-6709 USA EMail: misalte@nsa.gov
マーガレット・ソルター国家安全保障局(NSA)9800サベージRdを。フォートミード20755-6709 USA電子メール:misalte@nsa.gov
Russ Housley Vigil Security 918 Spring Knoll Drive Herndon 21070 USA EMail: housley@vigilsec.com
ラスHousleyビジルセキュリティ918春小山Driveハーンドン21070 USA Eメール:housley@vigilsec.com