Internet Engineering Task Force (IETF) M. Groves
Request for Comments: 6509 CESG
Category: Informational February 2012
ISSN: 2070-1721
MIKEY-SAKKE: Sakai-Kasahara Key Encryption in
Multimedia Internet KEYing (MIKEY)
Abstract
抽象
This document describes the Multimedia Internet KEYing-Sakai-Kasahara Key Encryption (MIKEY-SAKKE), a method of key exchange that uses Identity-based Public Key Cryptography (IDPKC) to establish a shared secret value and certificateless signatures to provide source authentication. MIKEY-SAKKE has a number of desirable features, including simplex transmission, scalability, low-latency call setup, and support for secure deferred delivery.
この文書は、マルチメディア、インターネットキーイング・堺笠原鍵暗号(MIKEY-SAKKE)、ソース認証を提供するために、共有秘密値と非証明書の署名を確立するために、IDベースの公開鍵暗号(IDPKC)を使用して鍵交換の方法について説明します。 MIKEY-SAKKEは、シンプレックス伝送、スケーラビリティ、低レイテンシのコールセットアップ、およびセキュアな遅延配信のためのサポートを含む多くの望ましい特徴を持っています。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。 IESGによって承認されていないすべての文書がインターネットStandardのどんなレベルの候補です。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6509.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc6509で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2012 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2012 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
Table of Contents
目次
1. Introduction ....................................................3
1.1. Requirements Terminology ...................................3
2. A New MIKEY Mode: MIKEY-SAKKE ...................................4
2.1. Outline ....................................................4
2.1.1. Parameters ..........................................5
2.1.2. Key Types ...........................................5
2.2. Preparing and Processing MIKEY-SAKKE Messages ..............6
2.2.1. Components of the I_MESSAGE .........................6
2.2.2. Processing the I_MESSAGE ............................7
2.3. Forking and Retargeting ....................................8
2.4. Group Communications .......................................9
2.5. Deferred Delivery ..........................................9
3. Key Management ..................................................9
3.1. Generating Keys from the Shared Secret Value ...............9
3.2. Identifiers ...............................................10
3.3. Key Longevity and Update ..................................11
3.4. Key Delivery ..............................................12
4. Payload Encoding ...............................................12
4.1. Common Header Payload (HDR) ...............................12
4.2. SAKKE Payload .............................................13
4.3. SIGN Payload ..............................................14
4.4. IDR Payload ...............................................14
5. Applicability of MIKEY-SAKKE Mode ..............................14
6. Security Considerations ........................................14
6.1. Forking ...................................................15
6.2. Retargeting ...............................................16
6.3. Group Calls ...............................................16
6.4. Deferred Delivery .........................................16
7. IANA Considerations ............................................16
8. References .....................................................17
8.1. Normative References ......................................17
8.2. Informative References ....................................18
Appendix A. Parameters for Use in MIKEY-SAKKE......................20
Multimedia Internet KEYing (MIKEY) [RFC3830] defines a protocol framework for key distribution and specifies key distribution methods using pre-shared keys, RSA, and, optionally, a Diffie-Hellman Key Exchange. Since the original specification, several alternative key distribution methods for MIKEY have been proposed such as [RFC4650], [RFC4738], [RFC6043], and [RFC6267].
マルチメディアインターネットキーイング(MIKEY)[RFC3830]キー配信のためのプロトコル・フレームワークを定義し、事前共有キー、RSA、および、任意に、ディフィー・ヘルマン鍵共有を使用して、鍵配信方法を指定します。元の仕様ので、MIKEYためのいくつかの代替鍵配布方法は、[RFC4650]、[RFC4738]、[RFC6043]及び[RFC6267]として提案されています。
This document describes MIKEY-SAKKE, a method for key exchange and source authentication designed for use in IP Multimedia Subsystem (IMS) [3GPP.33.328] Media Plane Security, but with potential for wider applicability. This scheme makes use of a Key Management Service (KMS) as a root of trust and distributor of key material. The KMS provides users with assurance of the authenticity of the peers with which they communicate. Unlike traditional key distribution systems, MIKEY-SAKKE does not require the KMS to offer high availability. Rather, it need only distribute new keys to its users periodically.
この文書では、MIKEY-SAKKE、IPマルチメディアサブシステム(IMS)[3GPP.33.328]メディアプレーンのセキュリティに使用するために設計された鍵交換およびソース認証のための方法を説明しますが、より広い適用のための可能性を持ちます。この方式は、鍵材料の信頼と販売代理店のルートとしてキー管理サービス(KMS)を使用しています。 KMSは、彼らが通信するピアの真正性の保証をユーザーに提供します。伝統的な鍵配布システムとは異なり、MIKEY-SAKKEは、高可用性を提供するためにKMSを必要としません。むしろ、それだけで定期的にそのユーザーに新しい鍵を配布する必要が。
MIKEY-SAKKE consists of an Identity-based Public Key Cryptography (IDPKC) scheme based on that of Sakai and Kasahara [S-K], and a source authentication algorithm that is tailored to use Identifiers instead of certificates. The algorithms behind this protocol are described in [RFC6507] and [RFC6508].
MIKEY-SAKKEは堺と笠原[S-K]とに基づいて、IDベースの公開鍵暗号(IDPKC)方式、及び識別子の代わりに証明書を使用するように調整されたソース認証アルゴリズムから成ります。このプロトコルの背後にあるアルゴリズムは[RFC6507]及び[RFC6508]に記載されています。
The primary motivation for the MIKEY protocol design is the low-latency requirement of real-time communication; hence, many of the defined exchanges finish in one-half to one roundtrip. However, some exchanges, such as those described in [RFC6043] and [RFC6267], have been proposed that extend the latency of the protocol with the intent of providing additional security. MIKEY-SAKKE affords similarly enhanced security, but requires only a single simplex transmission (one-half roundtrip).
MIKEYプロトコル設計のための主要な動機は、リアルタイム通信の低レイテンシ要件です。したがって、定義された取引所の多くは、1回の往復に半分でフィニッシュ。しかしながら、このような[RFC6043]及び[RFC6267]に記載されているようないくつかの交換は、追加のセキュリティを提供することを意図してプロトコルの待ち時間を延ばすことが提案されています。 MIKEY-SAKKEも同様に強化されたセキュリティを提供するが、唯一つのシンプレックス送信(半往復)が必要です。
MIKEY-SAKKE additionally offers support for scenarios such as forking, retargeting, deferred delivery, and pre-encoded content.
MIKEY-SAKKEはさらに、フォーク、リターゲット、遅延配信、および事前符号化されたコンテンツとしてのシナリオをサポートしています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
キーワード "MUST"、 "MUST NOT"、 "REQUIRED"、 "SHALL"、 "SHOULD"、 "ないもの"、 "推奨" "ない(SHOULD NOT)"、 "MAY"、 "推奨NOT"、および「OPTIONAL 「本書では[RFC2119]で説明されるように解釈されるべきです。
The proposed MIKEY mode requires a single simplex transmission. The Initiator sends a MIKEY I_MESSAGE containing SAKKE Encapsulated Data and a signature to the intended recipient. The Responder MUST validate the signature. Following signature validation, the Responder processes the Encapsulated Data according to the operations defined in [RFC6508] to derive a Shared Secret Value (SSV). This SSV is used as the TGK (the TEK Generation Key defined in [RFC3830]).
提案MIKEYモードは、単一の片面伝送を必要とします。イニシエータは、目的の受信者にSAKKEカプセル化されたデータと署名を含むMIKEY I_MESSAGEを送信します。 Responderは、署名を検証する必要があります。署名検証以下、レスポンダは、共有秘密値(SSV)を導き出すために[RFC6508]で定義された操作に応じてカプセル化されたデータを処理します。このSSVはTGK([RFC3830]で定義されたTEK生成鍵)として使用されます。
A verification message from the Responder (as in pre-shared key mode, for example) is not needed, as the parties are mutually authenticated following processing of the single I_MESSAGE. The notation used for MIKEY messages and their payloads in Figure 1, and in the rest of this document, is defined in [RFC3830].
当事者が相互単一I_MESSAGEの処理に続いて認証される(例えば、事前共有キーモードにおけるように)レスポンダからの確認メッセージは、必要とされません。表記は図1にMIKEYメッセージとそのペイロードに使用され、本文書の残りの部分に、[RFC3830]で定義されています。
Initiator Responder
イニシエータレスポンダ
I_MESSAGE =
HDR, T, RAND, [IDRi], [IDRr], [IDRkmsi], [IDRkmsr],
[CERT], {SP}, SAKKE, SIGN --->
Figure 1: MIKEY-SAKKE Unicast Mode
図1:MIKEY-SAKKEユニキャストモード
The Initiator wants to establish a secure media session with the Responder. The Initiator and the Responder trust a third party, the KMS, which provisions them with key material by a secure mechanism. In addition to the public and secret keys corresponding to their Identifier, the KMS MUST provision devices with its KMS Public Key and, where [RFC6507] is used, its KMS Public Authentication Key. A description of all key material used in MIKEY-SAKKE can be found in Section 2.1.2. The Initiator and the Responder do not share any credentials; instead, the Initiator is able to derive the Responder's public Identifier.
イニシエータは、レスポンダとの安全なメディアセッションを確立することを望んでいます。イニシエータとレスポンダは、安全なメカニズムによってキーマテリアルと規定して、サードパーティ、KMSを、信頼しています。その識別子に対応する公開鍵と秘密鍵のほかに、[RFC6507]で使用されるKMS MUST提供そのKMSの公開鍵によるデバイスと、そのKMS公開認証キー。 MIKEY-SAKKEで使用されるすべての鍵材料の説明は、セクション2.1.2に見出すことができます。イニシエータとレスポンダは、任意の資格情報を共有することはありません。代わりに、イニシエータは、レスポンダの公開識別子を導出することができます。
Implementations MAY provide support for multiple KMSs. In this case, rather than a single KMS, several different KMSs could be involved, e.g., one for the Initiator and one for the Responder. To allow this, each interoperating KMS MUST provide its users with the KMS public keys for every KMS subscriber domain with which its users communicate. It is not anticipated that large mutually communicating groups of KMSs will be needed, as each KMS only needs to provide its domain of devices with key material once per key period (see Section 3.3) rather than to be active in each call.
実装は、複数のKMSSためのサポートを提供することができます。この場合には、むしろ単一KMSよりも、いくつかの異なるKMSSは、例えば、イニシエータ用とレスポンダのための1つに関与し得ます。これを可能にするため、各相互運用KMSは、そのユーザーが通信するすべてのKMS加入者ドメインのKMSの公開鍵をそのユーザーに提供しなければなりません。各KMS一度だけキー期間当たり鍵材料とデバイスのそのドメインを提供する(セクション3.3を参照)のではなく、各コールでアクティブにする必要があるように、必要となるKMSSの大きな相互連通グループと予想されていません。
As MIKEY-SAKKE is based on [RFC3830], the same terminology, processing, and considerations still apply unless otherwise stated. Following [RFC3830], messages are integrity protected and encryption is not applied to entire messages.
MIKEY-SAKKEは、[RFC3830]に基づいているように、特に断らない限り、同じ用語、処理、および考慮事項が適用されます。 [RFC3830]に続いて、メッセージが完全性が保護され、暗号化はメッセージ全体に適用されていないです。
[RFC6508] requires each application to define the set of public parameters to be used by implementations. The parameters in Appendix A SHOULD be used in MIKEY-SAKKE; alternative parameters MAY be subsequently defined; see Section 4.2.
[RFC6508]は実装によって使用される公開パラメータのセットを定義するために、各アプリケーションが必要となります。付録AのパラメータはMIKEY-SAKKEに使用されるべきです。代替パラメータは、その後に定義することができ、 4.2節を参照してください。
[RFC6507] requires each application to define the hash function and various other parameters to be used (see Section 4.1 of [RFC6507]). For MIKEY-SAKKE, the P-256 elliptic curve and base point [FIPS186-3] and SHA-256 [FIPS180-3] MUST be used.
[RFC6507]は、ハッシュ関数と使用される種々の他のパラメータ([RFC6507]のセクション4.1を参照)を定義するために、各アプリケーションが必要となります。 MIKEY-SAKKE、P-256楕円曲線及びベースポイントは[FIPS186-3]およびSHA-256 [FIPS180-3]を使用しなければなりません。
Users require keys for [RFC6508] and to sign messages. These keys MUST be provided by the users' KMS. It is RECOMMENDED that implementations support the scheme for signatures described in [RFC6507]. Alternatively, RSA signing as defined in [RFC3830] MAY be used.
ユーザーは、[RFC6508]のキーを必要とし、メッセージに署名します。これらのキーは、ユーザーのKMSによって提供されなければなりません。実装が[RFC6507]で説明署名の方式をサポートすることが推奨されます。あるいは、[RFC3830]で定義されるようにRSA署名を使用することができます。
SAKKE keys
バッグキー
SAKKE requires each user to have a Receiver Secret Key, created by the KMS, and the KMS Public Key. For systems that support multiple KMSs, each user also requires the KMS Public Key of every KMS subscriber domain with which communication is authorized.
SAKKEはKMSによって作成されたレシーバー秘密鍵、およびKMS公開鍵を持っているために、各ユーザーが必要です。複数KMSSをサポートするシステムでは、各ユーザーは、通信が許可されていると、すべてのKMS加入者ドメインのKMSの公開鍵が必要です。
ECCSI keys
ECCSIキー
If the Elliptic Curve-based Certificateless Signatures for Identity-based Encryption (ECCSI) signatures are used, each user requires a Secret Signing Key and Public Validation Token, created by the KMS, and the KMS Public Authentication Key. For systems that support multiple KMSs, each user also requires the KMS Public Authentication Key of every KMS subscriber domain with which communication is authorized.
(ECCSI)署名が使用されているIDベース暗号化のための楕円曲線をベースと非証明書署名した場合、各ユーザーは、秘密署名鍵とKMSによって作成されたパブリック・確認トークン、およびKMS公開認証キーが必要です。複数KMSSをサポートするシステムでは、各ユーザーは、通信が許可されていると、すべてのKMS加入者ドメインのKMS公開認証キーが必要です。
If instead RSA signatures are to be used, certificates and corresponding private keys MUST be supplied.
代わりに、RSA署名を使用する場合、証明書と対応する秘密鍵を指定する必要があります。
Preparation and parsing of MIKEY messages are as described in Sections 5.2 and 5.3 of [RFC3830]. Error handling is described in Section 5.1.2, and replay protection guidelines are in Section 5.4 of [RFC3830]. In the following, we describe the components of MIKEY-SAKKE messages and specify message processing and parsing rules in addition to those in [RFC3830].
セクション5.2と[RFC3830]の5.3に記載されるように調製およびMIKEYメッセージの解析があります。エラー処理は、セクション5.1.2に記載されており、再生保護ガイドラインは、[RFC3830]のセクション5.4です。以下では、MIKEY-SAKKEメッセージのコンポーネントを記述し、[RFC3830]のものに加えて、メッセージ処理と解析ルールを指定します。
MIKEY-SAKKE requires a single simplex transmission (a half roundtrip) to establish a shared TGK. The I_MESSAGE MUST contain the MIKEY Common Header Payload HDR defined in [RFC6043] together with the timestamp payload in order to provide replay protection. The HDR field contains a CSB_ID (Crypto Session Bundle ID) randomly selected by the Initiator. The V bit in the HDR payload MUST be set to '0' and ignored by the Responder, as a response is not expected in this mode. The timestamp payload MUST use TS type NTP-UTC (TS type 0) or NTP (TS type 1) as defined in Section 6.6 of [RFC3830] so that the Responder can determine the Identifiers used by the Initiator (see Section 3.2). It is RECOMMENDED that the time always be specified in UTC.
MIKEY-SAKKEは、共有TGKを確立するために、単一の単純送信(半往復)が必要です。 I_MESSAGEは、再生保護を提供するために、タイムスタンプペイロードと一緒に[RFC6043]で定義されたMIKEY共通ヘッダーペイロードHDRを含まなければなりません。 HDRフィールドには、ランダムにイニシエータによって選択されたCSB_ID(暗号化セッションバンドルID)が含まれています。 HDRペイロードにおけるVビットが「0」に設定され、応答がこのモードではないと予想されるように、レスポンダによって無視されなければなりません。 [RFC3830]のセクション6.6で定義されるようにレスポンダがイニシエータによって使用される識別子を決定することができるように、タイムスタンプペイロードがTS型NTP-UTC(TSタイプ0)またはNTP(TSタイプ1)を使用する必要があります(3.2節を参照)。時間は常にUTCで指定することをお勧めします。
The I_MESSAGE MUST be signed by the Initiator following either the procedure to sign MIKEY messages specified in [RFC3830], or using [RFC6507] as specified in this document. The SIGN payload contains this signature. Thus, the I_MESSAGE is integrity and replay protected. The ECCSI signature scheme [RFC6507] SHOULD be used. If this signature scheme is used, then the Initiator MUST NOT include a CERT payload. To form this signature type, the Initiator requires a Secret Signing Key that is provided by the KMS.
I_MESSAGEは[RFC3830]で指定MIKEYメッセージに署名するためのいずれかの手順に従ってイニシエータによって署名された、または本文書で指定されるように[RFC6507]を使用しなければなりません。 SIGNペイロードは、この署名が含まれています。したがって、I_MESSAGEは整合性とリプレイ保護されています。 ECCSI署名方式[RFC6507]は使用されるべきです。この署名方式を使用する場合、イニシエータは、CERTペイロードを含んではいけません。この署名タイプを形成するために、イニシエータは、KMSによって提供される秘密署名鍵が必要です。
Other signature types defined for use with MIKEY MAY be used. If signature types 0 or 1 (RSA) are used, then the Initiator SHOULD include a CERT payload; in this case, the CERT payload MAY be left out if it is expected that the Responder is able to obtain the certificate in some other manner. If a CERT payload is included, it MUST correspond to the private key used to sign the I_MESSAGE.
MIKEYで使用するために定義された他の署名タイプを使用することができます。署名タイプ0または1(RSA)が使用される場合、イニシエータは、CERTペイロードを含むべきです。 Responderが他の方法で証明書を取得することが可能であることが予想される場合は、この場合には、CERTペイロードは省略されるかもしれません。 CERTペイロードが含まれている場合、それはI_MESSAGEに署名するために使用される秘密鍵に対応しなければなりません。
The Initiator MUST include a RAND payload in the I_MESSAGE, as this is used to derive session keys.
これは、セッションキーを導出するために使用される開始剤は、I_MESSAGEでRANDペイロードを含まなければなりません。
The identities of the Initiator, Responder, the Initiator's KMS (root of trust for authentication of the Initiator), and the Responder's KMS (root of trust for authentication of the Responder) MAY be contained in the IDRi, IDRr, IDRkmsi, and IDRkmsr I_MESSAGEs, respectively. The ID Payload with Role Indicator (IDR) is defined in
イニシエータ、レスポンダ、イニシエータのKMS(イニシエータの認証のための信頼のルート)、およびレスポンダのKMS(レスポンダの認証のための信頼のルート)のアイデンティティはIDRI、IDRr、IDRkmsi、およびIDRkmsr I_MESSAGEsに含有させることができます、それぞれ。ロールインジケータ(IDR)とIDペイロードがで定義されています
[RFC6043] and modified in Section 4.4. When used, this payload provides the Identifier for any of the Initiator, the Responder, and their respective KMSs.
[RFC6043]とセクション4.4に変更。使用される場合、このペイロードは、イニシエータ、レスポンダ、およびそれぞれKMSSの任意の識別子を提供します。
The ID Role MUST be the Initiator (value 1) for the IDRi payload and Responder (value 2) for the IDRr payload. The Initiator's ID is used to validate signatures [RFC6507]. If included, the IDRi payload MUST contain the URI of the Initiator incorporated in the Identifier used to sign the I_MESSAGE (see Section 3.2). If included, the IDRr payload MUST contain the URI of the Responder incorporated in the Identifier that the Initiator used in SAKKE (see Section 3.2). If included, the ID Role MUST be the Initiator's KMS (value 6) for the IDRkmsi payload and Responder's KMS (value 7) for the IDRkmsr payload and MUST correspond to the KMS used as root of trust for the signature (for the IDRkmsi payload) and the KMS used as the root of trust for the SAKKE key exchange (for the IDRkmsr payload).
IDの役割はIDRrペイロード用IDRIペイロード及びレスポンダ(値2)のための開始剤(値1)でなければなりません。イニシエータのIDは、署名[RFC6507]を検証するために使用されます。含まれている場合、IDRIペイロードはI_MESSAGEに署名するために使用される識別子に組み込まれた開始剤のURIを含まなければなりません(セクション3.2を参照)。含まれている場合、IDRrペイロードはSAKKEに使用される開始剤は、(セクション3.2を参照)識別子に組み込まレスポンダのURIを含まなければなりません。含まれている場合、IDの役割IDRkmsrペイロードためIDRkmsiペイロード及びレスポンダのKMS(値7)のための開始剤のKMS(値6)でなければならないとKMSに対応しなければならない(IDRkmsiペイロードのための)署名の信頼のルートとして使用されますそして、KMSは(IDRkmsrペイロード用)SAKKE鍵交換のための信頼のルートとして使用します。
It is OPTIONAL to include any IDR payloads, as in some user groups Identifiers could be inferred by other means, e.g., through the signaling used to establish a call. Furthermore, a closed user group could rely on only one KMS, whose identity will be understood and need not be included in the signaling.
一部のユーザーグループ内の識別子は、呼を確立するために使用されるシグナリングを通じて、例えば、他の手段により推測することができるように、任意のIDRペイロードを含むように任意です。また、クローズドユーザーグループは、そのアイデンティティが理解されるであろうとシグナリングに含まれる必要がないだけで1 KMS、に頼ることができます。
The I_MESSAGE MUST contain a SAKKE payload constructed as defined in Section 4.2.
I_MESSAGEは、セクション4.2で定義されるように構成さSAKKEペイロードを含まなければなりません。
The Initiator MAY also send security policy (SP) payload(s) containing all the security policies that it supports. If the Responder does not support any of the policies included, it SHOULD reply with an error message of type "Invalid SPpar" (Error no. 10). The Responder has the option not to send the error message in MIKEY if a generic session establishment failure indication is deemed appropriate and communicated via other means (see Section 4.1.2 of [RFC4567] for additional guidance).
イニシエータはまた、サポートしているすべてのセキュリティポリシーを含むセキュリティポリシー(SP)のペイロード(複数可)を送るかもしれません。 Responderがポリシーのいずれかが含まれサポートされていない場合は、タイプ「無効SPpar」のエラーメッセージ(エラーなし。10)で応答すべきです。レスポンダは、一般的なセッション確立の失敗指示が適切と思われる他の手段(付加的なガイダンスについては、[RFC4567]のセクション4.1.2を参照)を介して通信される場合MIKEYにエラーメッセージを送信しないオプションを有しています。
The Responder MUST process the I_MESSAGE according to the rules specified in Section 5.3 of [RFC3830]. The following additional processing MUST also be applied.
レスポンダは、[RFC3830]のセクション5.3で指定された規則に従ってI_MESSAGEを処理しなければなりません。次の追加処理も適用されなければなりません。
* If the Responder does not support the MIKEY-SAKKE mode of operation, or otherwise cannot correctly parse the received MIKEY message, then it SHOULD send an error message "Unsupported message type" (Error no. 13). Error no. 13 is not defined in [RFC3830], and so implementations compliant with [RFC3830] MAY return an "Unspecified error" (Error no. 12).
Responderが正しく受信マイキーメッセージを解析することはできませんそれ以外の場合は、操作のマイキー・SAKKEモードをサポートしていない場合、あるいは*、それはエラーメッセージ「サポートされていないメッセージタイプを」送るべき(NO。13エラー)。エラーなし。 13は[RFC3830]で定義されていない、および[RFC3830]を有するので、実装準拠は(NO。12エラー)「予期しないエラー」を返すかもしれ。
* The Responder MAY compare the IDi payload against his local policy to determine whether he wishes to establish secure communications from the Initiator. If the Responder's policy does not allow this communication, then the Responder MAY respond with an "Auth failure" error (Error no. 0).
* Responderは、彼がイニシエータからのセキュアな通信を確立することを希望するかどうかを判断するために彼のローカルポリシーに反するのIDIペイロードを比較することができます。レスポンダのポリシーは、この通信を許可しない場合は、Responderは、「認証失敗」のエラー(エラーなし。0)で応答することができます。
* If the Responder supports MIKEY-SAKKE and has determined that it wishes to establish secure communications with the Initiator, then it MUST verify the signature according to the method described in Section 5.2.2 of [RFC6507] if it is of type 2, or according to the certificate used if a signature of type 0 or 1 is used. If the verification of the signature fails, then an "Auth failure" error (Error no. 0) MAY be sent to the Initiator.
レスポンダはMIKEY-SAKKEをサポートし、それがイニシエータとのセキュアな通信を確立したいと判断した場合は、タイプ2である場合*、それは、[RFC6507]のセクション5.2.2に記載した方法に従って署名を検証しなければならない、またはタイプ0または1の署名が使用される場合に使用される証明書に記載の方法。署名の検証が失敗した場合、「認証失敗」エラー(エラーなし。0)をイニシエータに送ってもよいです。
* If the authentication is successful, then the Responder SHALL process the SAKKE payload and derive the SSV according to the method described in [RFC6508].
認証が成功した場合*、次いでレスポンダはSAKKEペイロードを処理して、[RFC6508]に記載された方法に従ってSSVを導出するものとします。
Where forking is to be supported, Receiver Secret Keys can be held by multiple devices. To facilitate this, the Responder needs to load his Receiver Secret Key into each of his devices that he wishes to receive MIKEY-SAKKE communications. If forking occurs, each of these devices can then process the SAKKE payload, and each can verify the Identifier of the Initiator as they hold the KMS Public Authentication Key. Therefore, the traffic keys could be derived by any of these devices. However, this is the case for any scheme employing simplex transmission, and it is considered that the advantages of this type of scheme are significant for many users. Furthermore, it is for the owner of the Identifier to determine on which devices to allow his Receiver Secret Key to be loaded. Thus, it is anticipated that he would have control over all devices that hold his Receiver Secret Key. This argument also applies to applications such as call centers, in which the security relationship is typically between the call center and the individual calling the center, rather than the particular operative who receives the call.
フォークがサポートされる場合、受信側の秘密鍵は、複数のデバイスによって保持することができます。これを容易にするために、Responderは、彼がMIKEY-SAKKE通信を受信したいという彼のデバイスのそれぞれに彼のレシーバー秘密鍵をロードする必要があります。フォークが発生した場合、これらのデバイスのそれぞれは、SAKKEペイロードを処理することができ、そして、彼らはKMS公開認証キーを保持するよう各イニシエータの識別子を確認することができます。そのため、トラフィックキーは、これらのデバイスのいずれかによって導出することができます。しかし、これは単純トランスミッションを採用した任意のスキームの場合で、スキームのこのタイプの利点は、多くのユーザーのために重要であると考えられます。さらに、それは識別子の所有者が彼のレシーバ秘密鍵をロードできるようにするためにどのデバイス上で判断するのです。したがって、彼が彼のレシーバの秘密鍵を保持するすべてのデバイスを管理しているであろうと予想されます。この引数は、セキュリティ関係がコールセンターやセンターを呼び出して、個々のではなく、呼び出しを受けた特定の手術の間で一般的になっている、などコールセンターなどのアプリケーションに適用されます。
Devices holding the same Receiver Secret Key ought to each hold a different Secret Signing Key corresponding to the same Identifier. This is possible because the Elliptic Curve-based Certificateless Signatures for Identity-based Encryption (ECCSI) scheme allows multiple keys to be generated by KMS for the same Identifier.
同じレシーバー秘密鍵を保持するデバイスは、それぞれに同じ識別子に対応する異なる秘密署名鍵を保持するべきです。 IDベース暗号化のため楕円曲線に基づく非証明書署名は(ECCSI)方式は、複数のキーが同じ識別子のKMSによって生成されることを可能にするので、これは可能です。
Secure retargeted calls can only be established in the situation where the Initiator is aware of the Identifier of the device to whom the call is being retargeted; in this case, the Initiator ought to initiate a new MIKEY-SAKKE session with the device to whom it has been retargeted (if willing to do so). Retargeting an Initiator's call to another device (with a different Identifier) is to be viewed as insecure when the Initiator is unaware that this has occurred, as this prevents authentication of the Responder.
セキュアリターゲット呼び出しは唯一イニシエータは、コールがリターゲットしている人へのデバイスの識別子を認識している状況で確立することができます。この場合、イニシエータは、(そうすることを喜んでいる場合)、それはリターゲットされた人へのデバイスとの新しいMIKEY-SAKKEセッションを開始するべきです。 (異なる識別子を有する)別のデバイスにイニシエータのコールを再標的化すると、イニシエータは、これがレスポンダの認証を防止するように、これは、発生したことを認識していないときに安全でないと見なすべきです。
SAKKE supports key establishment for group communications. The Initiator needs to form an I_MESSAGE for each member in the group, each using the same SSV. Alternatively, a bridge can be used. In this case, the bridge forms an I_MESSAGE for each member of the group. Any member of the group can invite new members directly by forming an I_MESSAGE using the group SSV.
SAKKEは、グループ通信のための鍵の確立をサポートしています。イニシエータは、それぞれ同じSSVを使用して、グループ内の各メンバーのI_MESSAGEを形成する必要があります。あるいは、ブリッジを使用することができます。この場合、ブリッジは、グループの各メンバーのI_MESSAGEを形成します。グループのメンバーは、グループSSVを使用してI_MESSAGEを形成することにより、直接、新しいメンバーを招待することができます。
Deferred delivery / secure voicemail is fully supported by MIKEY-SAKKE. A deferred delivery server that supports MIKEY-SAKKE needs to store the MIKEY-SAKKE I_MESSAGE along with the encrypted data. When the recipient of the voicemail requests his data, the server needs to initiate MIKEY-SAKKE using the stored I_MESSAGE. Thus, the data can be received and decrypted only by a legitimate recipient, who can also verify the Identifier of the sender. This requires no additional support from the KMS, and the deferred delivery server need not be trusted, as it is unable to read or tamper with the messages it receives. Note that the deferred delivery server does not need to fully implement MIKEY-SAKKE merely to store and forward the I_MESSAGE.
遅延配信/セキュアなボイスメールは、完全にMIKEY-SAKKEによってサポートされています。 MIKEY-SAKKEをサポートしている遅延配信サーバは、暗号化されたデータと一緒にMIKEY-SAKKE I_MESSAGEを格納する必要があります。ボイスメールの受信者が自分のデータを要求すると、サーバが格納されてI_MESSAGEを使用してMIKEY-SAKKEを開始する必要があります。したがって、データは、また、送信者のIDを確認することができ、正当な受信者によって受信及び復号化することができます。これは、KMSからの追加支援を必要とせず、遅延配信サーバは、読み取りまたは、それが受信したメッセージを改ざんすることができないとして、信頼される必要はありません。遅延配信サーバが完全に単にI_MESSAGEを保存して転送するためにMIKEY-SAKKEを実装する必要はないことに注意してください。
The deferred delivery message needs to be collected by its recipient before the key period in which it was sent expires (see Section 3.3 for a discussion of key periods). Alternatively, if greater longevity of deferred delivery payloads is to be supported, the Initiator needs to include an I_MESSAGE for each key period during the lifetime of the deferred delivery message, each using the same SSV. In this case, the deferred delivery server needs to forward the I_MESSAGE corresponding to the current key period to the recipient.
遅延配信メッセージは、(キー期間の議論については、セクション3.3を参照)、それが送信されたキー期間が満了する前に受信者によって収集される必要があります。遅延配信ペイロードの大きい寿命がサポートされる場合あるいは、イニシエータは、それぞれ同じSSVを使用して、遅延配信メッセージの存続期間中に各キー期間のI_MESSAGEを含む必要があります。この場合、遅延配信サーバは、受信者に現在のキーの期間に対応するI_MESSAGEを転送する必要があります。
Once a MIKEY-SAKKE I_MESSAGE has been successfully processed by the Responder, he will share an authenticated SSV with the Initiator. This SSV is used as the TGK. The keys used to protect application traffic are derived as specified in [RFC3830].
MIKEY-SAKKE I_MESSAGEが正常にレスポンダによって処理された後、彼はイニシエータで認証SSVを共有します。このSSVはTGKとして使用されています。 [RFC3830]で指定されたアプリケーショントラフィックを保護するために使用するキーが導出されています。
One of the primary features and advantages of Identity-Based Encryption (IBE) is that the public keys of users are their Identifiers, which can be constructed by their peers. This removes the need for Public Key or Certificate servers, so that all data transmission per session can take place directly between the peers, and high-availability security infrastructure is not needed. In order for the Identifiers to be constructable, they need to be unambiguously defined. This section defines the format of Identifiers for use in MIKEY-SAKKE.
IDベース暗号(IBE)の主な特徴と利点の一つは、ユーザーの公開鍵は、仲間によって構築することができ、その識別子、ということです。これは、セッションごとに、すべてのデータ伝送は、ピア間で直接行うことができるように、公開鍵や証明書のサーバーの必要性を除去し、そして高可用性のセキュリティインフラストラクチャは必要ありません。識別子が構築可能であるためには、それらを明確に定義する必要があります。このセクションでは、MIKEY-SAKKEにおける使用のための識別子のフォーマットを定義します。
If keys are updated regularly, a KMS is able to revoke devices. To this end, every Identifier for use in MIKEY-SAKKE MUST contain a timestamp value indicating the key period for which the Identifier is valid (see Section 3.3). This document uses a year and month format to enforce monthly changes of key material. Further Identifier schemes MAY be defined for communities that require different key longevity.
キーは定期的に更新されている場合、KMSは、デバイスを取り消すことが可能です。この目的のために、MIKEY-SAKKEにおいて使用するためのすべての識別子は、識別子が有効であるキー期間を示すタイムスタンプ値を含まなければなりません(セクション3.3を参照)。この文書では、キーマテリアルの月次変化を強制するために、年と月の形式を使用しています。また、識別子スキームは、異なるキー長寿を必要とする地域社会のために定義されるかもしれません。
An Identifier for use in MIKEY-SAKKE MUST take the form of a timestamp formatted as a US-ASCII string [ASCII] and terminated by a null byte, followed by identifying data which relates to the identity of the device or user, also represented by a US-ASCII string and terminated by a null byte.
MIKEY-SAKKEにおける使用のための識別子は、[ASCII] US-ASCII文字列としてフォーマットされたタイムスタンプの形をとり、また、で表される、デバイスまたはユーザの識別に関するデータを識別することによって、続いてヌルバイトで終了しなければなりませんUS-ASCII文字列とNULLバイトで終了しました。
For the purposes of this document, the timestamp MUST take the form of a year and month value, formatted according to [ISO8601], with the format "YYYY-MM", indicating a four-digit year, followed by a hyphen "-", followed by a two-digit month.
本文書の目的のために、タイムスタンプは、ハイフンに続く4桁の年を示し、フォーマット「YYYY-MM」と、[ISO8601]に従ってフォーマット年月値の形を取らなければなりません「 - 」 、2桁の月が続きます。
For the Identifier scheme defined in this document, the identifying data MUST take the form of a constrained "tel" URI. If an alternative URI scheme is to be used to form SAKKE Identifiers, a subsequent RFC MUST define constraints to ensure that the URI can be formed unambiguously. The normalization procedures described in Section 6 of [RFC3986] MUST be used as part of the constraining rules for the URI format. It would also be possible to define Identifier types that used identifying data other than a URI.
この文書で定義された識別子スキームのために、識別データは、制約「TEL」URIの形式を取らなければなりません。代替URIスキームはSAKKE識別子を形成するために使用される場合、後続のRFCは、URIを明確に形成することができることを確実にするために制約を定義しなければなりません。 [RFC3986]のセクション6に記載された正規化手順は、URI形式の制約ルールの一部として使用されなければなりません。また、URI以外のデータを識別するための識別子タイプを定義することも可能です。
The restrictions for the "tel" URI scheme [RFC3966] for use in MIKEY-SAKKE Identifiers are as follows:
次のようにMIKEY-SAKKE識別子で使用する「TEL」URIスキーム[RFC3966]のための制限事項は次のとおりです。
* the "tel" URI for use in MIKEY-SAKKE MUST be formed in global notation,
* MIKEY-SAKKEにおける使用のための「TEL」URIはグローバル表記で形成されなければなりません、
* visual separators MUST NOT be included,
*視覚的セパレータを含んではいけません、
* the "tel" URI MUST NOT include additional parameters, and
*「TEL」URIは、追加のパラメータを含んではいけませんし、
* the "tel" URI MUST NOT include phone-context parameters.
*「TEL」URIは、電話・コンテキスト・パラメータを含んではいけません。
These constraints on format are necessary so that all parties can unambiguously form the "tel" URI.
すべての当事者が明確に「TEL」URIを形成することができるように形式上のこれらの制約は必要です。
For example, suppose a user's telephone number is +447700900123 and the month is 2011-02, then the user's Identifier is defined as the ASCII string:
たとえば、ユーザーの電話番号は447700900123で、月は2011-02であると仮定し、そのユーザーの識別子は、ASCII文字列として定義されています。
2011-02\0tel:+447700900123\0,
2011-02 \の0tel:447700900123 \ 0、
where '\0' denotes the null 8-bit ASCII character 0x00.
どこ '\ 0' nullの8ビットASCII文字は0x00を示しています。
If included in I_MESSAGE, the IDRi and IDRr payloads MUST contain the URI used to form the Identifier. The value of the month used to form the Identifiers MUST be equal to the month as specified by the data in the timestamp payload.
I_MESSAGEに含まれている場合、IDRIとIDRrペイロードはURI識別子を形成するために使用含まなければなりません。タイムスタンプ・ペイロード内のデータによって指定される識別子を形成するために使用される月の値は、月に等しくなければなりません。
Identifiers for use in MIKEY-SAKKE change regularly in order to force users to regularly update their key material; we term the interval for which a key is valid a "key period". This means that if a device is compromised (and this is reported procedurally), it can continue to communicate with other users for at most one key period. Key
マイキー・SAKKEで使用するための識別子は、定期的にキーマテリアルを更新することをユーザーに強制するために、定期的に変更します。私たちは、キーが有効「キー期間」であるために間隔を名づけます。これは、デバイスが損なわれている(これは手続き的に報告された)場合、それは最大1つのキー期間のため、他のユーザーとの通信を継続できることを意味します。キー
periods SHOULD be indicated by the granularity of the format of the timestamp used in the Identifier. In particular, the Identifier scheme in this document uses monthly key periods. Implementations MUST allow devices to hold two periods' keys simultaneously to allow for differences in system time between the Initiator and Responder.
期間は、識別子で使用されるタイムスタンプのフォーマットの粒度によって示されるべきです。具体的には、この文書の識別子スキームは毎月キーピリオドを使用しています。実装は、デバイスがイニシエータとレスポンダ間でのシステム時間の違いを許容するために、同時に2つのピリオド鍵を保持することを可能にしなければなりません。
Where a monthly key period applies, it is RECOMMENDED that implementations receive the new key material before the second-to-last day of the old month, commence allowing receipt of calls with the new key material on the second-to-last day of the old month, and continue to allow receipt calls with the old key material on the first and second days of the new month. Devices SHOULD cease to receive calls with key material corresponding to the previous month on the third day of the month; this is to allow compromised devices to be keyed out of the communicating user group.
毎月のキー期間が適用される場合、実装がの最後から2番目の日に新しいキーマテリアルで通話のできる受信を開始し、古い月の最後から2番目の日前に新しいキーマテリアルを受けることが推奨されます古い月、新しい月の第一および第二日には古い鍵材料とレシートの呼び出しを許可し続けます。デバイスは、月の三日目、前月に対応するキーマテリアルとの通話を受信するのをやめるべきです。これは、侵入先のデバイスが通信ユーザグループのキーアウトすることを可能にすることです。
KMSs MAY update their KMS Master Secret Keys and KMS Master Secret Authentication Keys. If such an update is not deemed necessary, then the corresponding KMS Public Keys and KMS Public Authentication Keys will be fixed. If KMS keys are to be updated, then this update MUST occur at the change of a key period, and new KMS Public Key(s) and KMS Public Authentication Key(s) MUST be provided to all users with their user key material.
KMSSはそのKMSマスターシークレットキーとKMSマスターシークレット認証キーを更新することができます。そのような更新が必要と判断されていない場合、対応するKMS公開鍵とKMS公開認証キーを固定します。 KMSキーが更新される場合は、このアップデートは、キー期間の変更で発生しなければならない、と新しいKMS公開鍵(S)とKMS公開認証キー(複数可)、ユーザーのキーマテリアルを持つすべてのユーザーに提供されなければなりません。
It is NOT RECOMMENDED for KMSs to distribute multiple key periods' keys simultaneously, as this prevents the periodic change of keys from excluding compromised devices.
KMSSは、同時に複数のキー期間キーを配布するために、これは妥協デバイスを除くから鍵の周期的な変化を防ぐようこれは、推奨されません。
This document does not seek to restrict the mechanisms by which the necessary key material might be obtained from the KMS. The mechanisms of [RFC5408] are not suitable for this application, as the MIKEY-SAKKE protocol does not require public parameters to be obtained from a server: these are fixed for all users in order to facilitate interoperability and simplify implementation.
この文書では、必要なキー材料がKMSから取得される可能性がありますするメカニズムを制限しようとしません。これらは、すべてのユーザーのために固定された相互運用性を容易にし、実装を簡単にするために:MIKEY-SAKKEプロトコルは、公開パラメータをサーバから取得する必要がないように[RFC5408]のメカニズムは、この用途には適していません。
The delivery mechanism used MUST provide confidentiality to all secret keys, integrity protection to all keys, and mutual authentication of the device and the KMS.
すべての秘密鍵の機密性、すべてのキーへの完全性保護、およびデバイスの相互認証とKMSを提供しなければならない使用配信メカニズム。
This section describes the new SAKKE payload and also the payloads for which changes have been made compared to [RFC3830]. A detailed description of MIKEY payloads is provided in [RFC3830].
このセクションでは、新しいSAKKEペイロードとも変化は[RFC3830]と比較して行われているためにペイロードを記述する。 MIKEYペイロードの詳細な説明は、[RFC3830]に提供されます。
An additional value is added to the data type and next payload fields.
追加の値は、データ型と次ペイロードフィールドに追加されます。
* Data type (8 bits): describes the type of message.
*データ型(8ビット):メッセージのタイプを記述する。
Data type | Value | Comment
-----------------------------------------------
SAKKE msg | 26 | Initiator's SAKKE message
Table 1: Data type (additions)
表1:データタイプ(付加)
* Next payload (8 bits): identifies the payload that is added after this payload.
*次ペイロード(8ビット):このペイロードの後に追加されたペイロードを識別する。
Next payload | Value | Section
-------------------------------
SAKKE | 26 | 4.2
Table 2: Next payload (additions)
表2:次のペイロード(付加)
* V (1 bit): flag to indicate whether a response message is expected ('1') or not ('0'). It MUST be set to '0' and ignored by the Responder in a SAKKE message.
* V(1ビット):応答メッセージが期待されているかどうかを示すフラグ( '1')か否( '0')。これは、「0」に設定され、SAKKEメッセージでレスポンダを無視しなければなりません。
The SAKKE payload contains the SAKKE Encapsulated Data as defined in [RFC6508].
[RFC6508]で定義されるようSAKKEペイロードはSAKKEカプセル化されたデータを含んでいます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
! Next payload ! SAKKE params ! ID scheme ! SAKKE data ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
~ length (cont) ! SAKKE data ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Table 3: SAKKE payload
表3:ドロップされたペイロード
* Next payload (8 bits): identifies the payload that is added after this payload.
*次ペイロード(8ビット):このペイロードの後に追加されたペイロードを識別する。
* SAKKE params (8 bits): indicates the SAKKE parameter set to be used.
* SAKKEのparamsは(8ビット):使用するSAKKEパラメータセットを示しています。
SAKKE params | Value
------------------------------------------
Parameter Set 1 (See Appendix A) | 1
Table 4: SAKKE params
表4:バッグのparams
* ID scheme (8 bits): indicates the SAKKE identifier scheme to be used.
* IDスキーム(8ビット):使用するSAKKE識別子スキームを示します。
ID scheme | Value
----------------------------------------------------
tel URI with monthly keys (See Section 3.2) | 1
Table 5: ID scheme
表5:IDスキーム
* SAKKE data length (16 bits): length of SAKKE data (in bytes).
*削除されたデータ長(16ビット)(バイト単位)ドロップされたデータの長さ。
* SAKKE data (variable): the SAKKE Encapsulated Data formatted as defined in Section 4 of [RFC6508].
* SAKKEデータ(可変):[RFC6508]のセクション4で定義されるようSAKKEカプセル化されたデータフォーマット。
To enable use of the ECCSI signature algorithm, which has efficiency benefits for use with Identity-based encryption, we define an additional signature type.
アイデンティティベースの暗号化で使用するための効率の利点がありECCSI署名アルゴリズムの使用を可能にするために、我々は追加の署名のタイプを定義します。
* S type (4 bits): indicates the signature algorithm applied by the Signer.
* S型(4ビット):署名者によって適用される署名アルゴリズムを示しています。
S type | Value | Comments
-----------------------------------
ECCSI | 2 | ECCSI signature
Table 6: S type (additions)
表6:Sタイプ(付加)
The IDR payload was defined in [RFC6043], but its definition only provided the facility to identify one KMS per exchange. Since it is possible that different KMSs could be used by the Initiator and Responder, this payload is extended to define an ID Role for the KMS of the Initiator and the KMS of the Responder.
IDRペイロードは[RFC6043]で定義され、その定義は、交換ごとに1つのKMSを識別するための施設を提供しました。それは異なるKMSSイニシエータとレスポンダによって使用されることが可能であるので、このペイロードは、イニシエータのKMSとレスポンダのKMSのためのIDの役割を定義するために拡張されます。
* ID Role (8 bits): specifies the sort of identity.
* IDの役割(8ビット):アイデンティティの並べ替えを指定します。
ID Role | Value
---------------------------------
Initiator's KMS (IDRkmsi) | 6
Responder's KMS (IDRkmsr) | 7
Table 7: ID Role (additions)
表7:ID役割(付加)
MIKEY-SAKKE is suitable for use in a range of applications in which secure communications under a clear trust model are needed. In particular, the KMS need not provide high availability, as it is only necessary to provide a periodic refresh of key material. Devices are provided with a high level of authentication, as the KMS acts as a root of trust for both key exchange and signatures.
MIKEY-SAKKEは、明確な信頼モデルの下でセキュアな通信が必要とされる用途の範囲での使用に適しています。主要材料の定期的な更新を提供することだけが必要であるとして具体的には、KMSは、高可用性を提供する必要はありません。 KMSは鍵交換と署名の両方のための信頼のルートとして動作するようデバイスは、認証の高レベルが設けられています。
Unless explicitly stated, the security properties of the MIKEY protocol as described in [RFC3830] apply to MIKEY-SAKKE as well. In addition, MIKEY-SAKKE inherits some properties of Identity-based cryptography. For instance, by concatenating the "date" with the URI to form the Identifier, the need for any key revocation mechanisms is virtually eliminated. It is NOT RECOMMENDED for KMSs to distribute multiple months' keys simultaneously in an IBE system, as this prevents the monthly change of keys from excluding compromised devices.
特に明記しないかぎり、[RFC3830]に記載されているようにMIKEYプロトコルのセキュリティ特性は、同様MIKEY-SAKKEに適用されます。また、MIKEY-SAKKEは、IDベース暗号のいくつかのプロパティを継承します。例えば、識別子を形成するためのURIと「日付」を連結することによって、任意の鍵失効メカニズムの必要性が事実上排除されます。これは妥協デバイスを除くからのキーの毎月の変化を防ぐようKMSSは、IBEシステムで同時に複数ヵ月の鍵を配布することはお勧めしません。
The solution proposed provides protection suitable for high-security user groups, but is scalable enough that it could be used for large numbers of users. Traffic keys cannot be derived by any infrastructure component other than the KMS.
提案されたソリューションは、高セキュリティのユーザーグループに適した保護を提供し、それは多数のユーザーのために使用することができることを十分にスケーラブルです。トラフィックキーはKMS以外の任意のインフラストラクチャコンポーネントによって導出することはできません。
The effective security of the public parameters defined in this document is 112 bits, as this is the security offered by the prime p of size 1024 bits used in SAKKE (see Section 7 of [RFC6508]). For similar parameter sizes, MIKEY-SAKKE provides equivalent levels of effective security to other schemes of this type (such as [RFC6267]). For reasons of efficiency and security, it is RECOMMENDED to use a mode of AES-128 [AES] in the traffic application to which MIKEY-SAKKE supplies key material, but users SHOULD be aware that 112 bits of security are offered by the defined public parameters. Following [SP800-57], this choice of security strength is appropriate for use to protect data until 2030.
これはSAKKEで使用サイズ1024ビットの素数pによって提供されるセキュリティ([RFC6508]のセクション7を参照)、この文書で定義された公開パラメータの効果的なセキュリティは、112ビットです。同様のパラメータの大きさのために、MIKEY-SAKKEは、([RFC6267]など)は、このタイプの他の方式に効果的なセキュリティと同等レベルを提供します。効率とセキュリティの理由のために、MIKEY-SAKKE鍵材料を供給するが、ユーザーがセキュリティの112ビットが定義されているパブリックによって提供されることに注意すべきトラフィックアプリケーションで[AES] AES-128のモードを使用することが推奨されますパラメーター。 [SP800-57]に続いて、セキュリティ強度のこの選択は、2030年までのデータを保護するために使用するために適切です。
User identities cannot be spoofed, since the Public Authentication Token is tied to the Identifier of the sender by the KMS. In particular, the Initiator is provided with assurance that nobody other than a holder of the legitimate Receiver Secret Key can process the SAKKE Encapsulated Data, and the signature binds the holder of the Initiator's Secret Signing Key to the I_MESSAGE. Since these keys are provided via a secure channel by the KMS, mutual authentication is provided. This mechanism protects against both passive and active attacks.
公共認証トークンはKMSにより、送信者の識別子に関連付けられていますので、ユーザーIDは、詐称することはできません。具体的には、イニシエータは、正規受信秘密鍵の所有者以外の誰もがSAKKEカプセル化されたデータを処理することはできないという保証が設けられており、署名はI_MESSAGEへのイニシエータの秘密署名鍵のホルダーを結合しています。これらのキーは、KMSによってセキュアなチャネルを介して提供されているので、相互認証が提供されます。このメカニズムは、パッシブとアクティブの両方の攻撃から保護します。
If there were a requirement that a caller remain anonymous from any called parties, then it would be possible to remove the signature from the protocol. A called user could then decide, according to local policy, whether to accept such a secure session.
呼び出し側がどの呼者から匿名の要求があった場合、プロトコルから署名を削除することも可能です。呼ばれるユーザーがそのような安全なセッションを受け入れるかどうか、ローカルポリシーに従って、決めることができました。
Where forking is used, the view is taken that it is not necessary for each device to have a separate Receiver Secret Key. Rather, where a user wishes his calls to be forked between his devices, he loads the same Receiver Secret Key onto each of them. This does not compromise his security as he controls each of the devices, and is consistent with the Initiator's expectation that he is authenticated to the owner of the Identifier he selected when initiating the call.
フォークが使用される場合、ビューには、各デバイスが別々のレシーバ秘密鍵を持っていることが必要ではないことを取られます。ユーザーが自分のコールが自分のデバイス間でフォークすることを希望する場所ではなく、彼はそれらのそれぞれに同じレシーバー秘密鍵をロードします。これは彼が各デバイスを制御して、彼のセキュリティを危険にさらす、と彼はコールを開始するとき、彼は選択された識別子の所有者に認証されたイニシエータの期待と一致していません。
Since the Initiator is made aware by the forwarding server of the change to the Identifier of the Responder, he creates an I_MESSAGE that can only be processed by this legitimate Responder. The Initiator MAY also choose to discontinue the session after checking his local policy.
イニシエータは、レスポンダの識別子への変更の転送サーバによって認識されているので、彼がこれだけの正当なレスポンダで処理できるI_MESSAGEを作成します。イニシエータはまた彼のローカルポリシーを確認した後、セッションを中止することを選ぶかもしれません。
Any device that possesses an SSV can potentially provide it securely to any other device using SAKKE. Thus, group calls can either be established by an Initiator, or can be extended to further Responders by any party to whom the original Initiator has sent an I_MESSAGE.
SSVを保有する任意のデバイスは、潜在的にSAKKEを使用して、他のデバイスに安全に提供することができます。このように、グループ通話は、イニシエータによって確立されるか、または元のイニシエータがI_MESSAGEを送信した者に当事者によってさらにレスポンダに拡張することができます。
The Initiator in this context MAY be a conference bridge. If a mode of operation in which a bridge has no knowledge of the SSV is needed, the role of the MIKEY-SAKKE Initiator MUST be carried out by one or more of the communicating parties, not by the bridge.
この文脈でのイニシエータは、会議ブリッジかもしれ。ブリッジはSSVの知識を持たないような動作モードが必要な場合は、MIKEY-SAKKEイニシエータの役割はない橋で、通信相手の一つ以上によって行われなければなりません。
Where multi-way communications (rather than broadcast) are needed, the application using the supplied key material MUST ensure that a suitable Initialization Vector (IV) scheme is used in order to prevent cryptovariable re-use.
(むしろ放送より)マルチ双方向通信が必要とされる場合、供給された鍵材料を使用するアプリケーションは、適切な初期化ベクトル(IV)方式がcryptovariable再使用を防止するために使用されていることを確認しなければなりません。
Secure deferred delivery is supported in a manner such that no trust is placed on the deferred delivery server. This is a significant advantage, as it removes the need for secure infrastructure components beyond the KMS.
固定遅延配信が全く信頼が遅延配信サーバ上に置かれないように支持されています。それはKMSを越えてセキュアなインフラストラクチャコンポーネントの必要性を取り除くので、これは重要な利点です。
This document defines new values for the namespaces Data Type, Next Payload, and S type defined in [RFC3830], and for the ID Role namespace defined in [RFC6043]. The following IANA assignments have been added to the MIKEY Payload registry:
このドキュメントは[RFC3830]で定義された名前空間データ型、次にペイロード、及びS型のため、および[RFC6043]で定義されるIDの役割の名前空間の新しい値を定義します。以下のIANAの割り当ては、MIKEYペイロードレジストリに追加されました。
* 26 - Data type (see Table 1)
* 26 - データ・タイプ(表1参照)
* 26 - Next payload (see Table 2)
* 26 - 次にペイロード(表2参照)
* 2 - S type (see Table 6)
* 2 - S型(表6参照)
* ID Role (see Table 7) * 6 - Initiator's KMS (IDRkmsi) * 7 - Responder's KMS (IDRkmsr)
* IDの役割(表7を参照)* 6 - イニシエータのKMS(IDRkmsi)* 7 - レスポンダのKMS(IDRkmsr)
The SAKKE payload defined in Section 4.2 defines two fields for which IANA has created and now maintains namespaces in the MIKEY Payload registry. These two fields are the 8-bit SAKKE Params field, and the 8-bit ID Scheme field. IANA has recorded the pre-defined values defined in Section 4.2 for each of the two name spaces. Values in the range 1-239 SHOULD be approved by the process of Specification Required, values in the range 240-254 are for Private Use, and the values 0 and 255 are Reserved according to [RFC5226].
セクション4.2で定義されたSAKKEペイロードは、IANAが作成され、今MIKEYペイロードレジストリに名前空間を維持しているために2つのフィールドを定義します。これらの2つのフィールドは8ビットSAKKEのParamsフィールド、および8ビットのIDスキームフィールドです。 IANAは、2つの名前空間のそれぞれについて、セクション4.2で定義された事前定義された値が記録されています。範囲1から239の値は、仕様が必要のプロセスによって承認されるべきで、範囲240から254の値は、私的使用のためであり、値が0と255は、[RFC5226]に従って予約されています。
Initial values for the SAKKE Params registry are given below. Assignments consist of a SAKKE parameters name and its associated value.
SAKKEのparamsレジストリの初期値は以下の通りです。割り当てはSAKKEパラメータ名とその値で構成されています。
Value SAKKE params Definition
----- ------------ ----------
0 Reserved
1 Parameter Set 1 See Appendix A
2-239 Unassigned
240-254 Private Use
255 Reserved
Initial values for the ID scheme registry are given below. Assignments consist of a name of an identifier scheme name and its associated value.
IDスキームレジストリの初期値は以下の通りです。割り当ては、識別子スキーム名とその値の名前から成ります。
Value ID Scheme Definition
----- ------------ ----------
0 Reserved
1 tel URI with monthly keys See Section 3.2
2-239 Unassigned
240-254 Private Use
255 Reserved
[AES] NIST, "Advanced Encryption Standard (AES)", FIPS PUB 197, November 2001, http://www.itl.nist.gov/fipspubs/ by-num.htm.
[AES] NIST、 "高度暗号化標準(AES)"、FIPS PUBの197、2001年11月、http://www.itl.nist.gov/fipspubs/バイnum.htm。
[ASCII] American National Standards Institute, "Coded Character Sets - 7-Bit American National Standard Code for Information Interchange (7-Bit ASCII)", ANSI X3.4, 1986.
[ASCII]米国規格協会は、「コード化文字セット - 情報交換(7ビットASCII)のための7ビットの米国標準コード」、ANSI X3.4、1986。
[FIPS180-3] Federal Information Processing Standards Publication (FIPS PUB) 180-3, "Secure Hash Standard (SHS)", October 2008.
[FIPS180-3]連邦情報処理規格出版(FIPS PUBの)180-3、 "セキュアハッシュ規格(SHS)"、2008年10月。
[FIPS186-3] Federal Information Processing Standards Publication (FIPS PUB) 186-3, "Digital Signature Standard (DSS)", June 2009.
[FIPS186-3]連邦情報処理規格出版(FIPS PUBの)186-3、 "デジタル署名標準(DSS)"、2009年6月。
[ISO8601] "Data elements and interchange formats -- Information interchange -- Representation of dates and times", ISO 8601:2004(E), International Organization for Standardization, December 2004.
[ISO8601]「データ要素と交換フォーマット - 情報交換 - 日付と時刻の表現」、ISO 8601:2004(E)、標準化、2004年12月のための国際機関。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC3830] Arkko, J., Carrara, E., Lindholm, F., Naslund, M., and K. Norrman, "MIKEY: Multimedia Internet KEYing", RFC 3830, August 2004.
[RFC3830] Arkko、J.、カララ、E.、リンドホルム、F.、Naslund、M.、およびK. Norrman、 "MIKEY:マルチメディアインターネットキーイング"、RFC 3830、2004年8月。
[RFC3966] Schulzrinne, H., "The tel URI for Telephone Numbers", RFC 3966, December 2004.
[RFC3966] Schulzrinneと、H.、 "電話番号については、TEL URI"、RFC 3966、2004年12月。
[RFC3986] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, January 2005.
[RFC3986]バーナーズ - リー、T.、フィールディング、R.、およびL. Masinter、 "ユニフォームリソース識別子(URI):汎用構文"、STD 66、RFC 3986、2005年1月。
[RFC6043] Mattsson, J. and T. Tian, "MIKEY-TICKET: Ticket-Based Modes of Key Distribution in Multimedia Internet KEYing (MIKEY)", RFC 6043, March 2011.
[RFC6043]マットソン、J.およびT.天、 "MIKEY-TICKET:マルチメディアインターネットキーイング(マイキー)で鍵配布のチケットベースモード"、RFC 6043、2011年3月。
[RFC6507] Groves, M., "Elliptic Curve-Based Certificateless Signatures for Identity-Based Encryption (ECCSI)", RFC 6507, February 2012.
[RFC6507]グローブス、RFC 6507、2012年2月M.、 "IDベース暗号化(ECCSI)のための楕円曲線ベースの非証明書署名"。
[RFC6508] Groves, M., "Sakai-Kasahara Key Encryption (SAKKE)", RFC 6508, February 2012.
[RFC6508]グローブス、M.、 "堺・笠原鍵暗号(SAKKE)"、RFC 6508、2012年2月。
[SP800-57] Barker, E., Barker, W., Burr, W., Polk, W., and M. Smid, "Recommendation for Key Management - Part 1: General (Revised)", NIST Special Publication 800-57, March 2007.
[SP800-57]バーカー、E.、バーカー、W.、バリ、W.、ポーク、W.、およびM. SMID、 "キー管理のための提言 - パート1:一般(改訂)"、は、NIST Special Publication 800- 57、2007年3月。
[3GPP.33.328] 3GPP, "IP Multimedia Subsystem (IMS) media plane security", 3GPP TS 33.328 10.0.0, April 2011.
[3GPP.33.328] 3GPP、 "IPマルチメディアサブシステム(IMS)メディア・プレーン・セキュリティ"、3GPP TS 33.328 10.0.0、2011年4月。
[RFC4567] Arkko, J., Lindholm, F., Naslund, M., Norrman, K., and E. Carrara, "Key Management Extensions for Session Description Protocol (SDP) and Real Time Streaming Protocol (RTSP)", RFC 4567, July 2006.
[RFC4567] Arkko、J.、リンドホルム、F.、Naslund、M.、Norrman、K.、およびE.カララ、 "鍵管理拡張セッション記述プロトコル(SDP)、リアルタイムストリーミングプロトコル(RTSP)のための"、RFC 4567、2006年7月。
[RFC4650] Euchner, M., "HMAC-Authenticated Diffie-Hellman for Multimedia Internet KEYing (MIKEY)", RFC 4650, September 2006.
[RFC4650] EUCHNER、M.、 "マルチメディアインターネットキーイングのためのHMAC-認証済みのDiffie-Hellmanの(MIKEY)"、RFC 4650、2006年9月。
[RFC4738] Ignjatic, D., Dondeti, L., Audet, F., and P. Lin, "MIKEY-RSA-R: An Additional Mode of Key Distribution in Multimedia Internet KEYing (MIKEY)", RFC 4738, November 2006.
[RFC4738] Ignjatic、D.、Dondeti、L.、Audet、F.、およびP.林、 "MIKEY-RSA-R:マルチメディアインターネットキーイング(マイキー)で鍵配布の追加モード"、RFC 4738、2006年11月。
[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, May 2008.
[RFC5226] Narten氏、T.とH. Alvestrand、 "RFCsにIANA問題部に書くためのガイドライン"、BCP 26、RFC 5226、2008年5月。
[RFC5408] Appenzeller, G., Martin, L., and M. Schertler, "Identity-Based Encryption Architecture and Supporting Data Structures", RFC 5408, January 2009.
[RFC5408]アッペンツェル、G.、マーティン、L.、およびM. Schertler、 "アイデンティティベースの暗号化アーキテクチャとサポートするデータ構造"、RFC 5408、2009年1月。
[RFC6267] Cakulev, V. and G. Sundaram, "MIKEY-IBAKE: Identity-Based Authenticated Key Exchange (IBAKE) Mode of Key Distribution in Multimedia Internet KEYing (MIKEY)", RFC 6267, June 2011.
[RFC6267] Cakulev、V.およびG. Sundaram、 "MIKEY-IBAKE:マルチメディアインターネットキーイング(マイキー)における鍵配送のIDベースの認証鍵交換(IBAKE)モード"、RFC 6267、2011年6月。
[S-K] Sakai, R., Ohgishi, K., and M. Kasahara, "ID based cryptosystem based on pairing on elliptic curves", Symposium on Cryptography and Information Security - SCIS, 2001.
[S-K]酒井、R.、Ohgishi、K.、およびM.笠原は、 "IDベース暗号、楕円曲線上のペアリングに基づいて"、暗号と情報セキュリティシンポジウム - SCIS 2001。
Appendix A. Parameters for Use in MIKEY-SAKKE
マイキー・SAKKEで使用するための付録A.パラメータ
[RFC6508] requires each application to define the set of public parameters to be used by implementations. Parameter Set 1 is defined in this appendix. Descriptions of the parameters are provided in Section 2.1 of [RFC6508].
[RFC6508]は実装によって使用される公開パラメータのセットを定義するために、各アプリケーションが必要となります。パラメータセット1は、この付録で定義されています。パラメータの説明は、[RFC6508]のセクション2.1に提供されます。
n = 128
ん = 128
p = 997ABB1F 0A563FDA 65C61198 DAD0657A 416C0CE1 9CB48261 BE9AE358 B3E01A2E F40AAB27 E2FC0F1B 228730D5 31A59CB0 E791B39F F7C88A19 356D27F4 A666A6D0 E26C6487 326B4CD4 512AC5CD 65681CE1 B6AFF4A8 31852A82 A7CF3C52 1C3C09AA 9F94D6AF 56971F1F FCE3E823 89857DB0 80C5DF10 AC7ACE87 666D807A FEA85FEB
P = 997ABB1F 0A563FDA 65C61198 DAD0657A 416C0CE1 9CB48261 BE9AE358 B3E01A2E F40AAB27 E2FC0F1B 228730D5 31A59CB0 E791B39F F7C88A19 356D27F4 A666A6D0 E26C6487 326B4CD4 512AC5CD 65681CE1 B6AFF4A8 31852A82 A7CF3C52 1C3C09AA 9F94D6AF 56971F1F FCE3E823 89857DB0 80C5DF10 AC7ACE87 666D807A FEA85FEB
q = 265EAEC7 C2958FF6 99718466 36B4195E 905B0338 672D2098 6FA6B8D6 2CF8068B BD02AAC9 F8BF03C6 C8A1CC35 4C69672C 39E46CE7 FDF22286 4D5B49FD 2999A9B4 389B1921 CC9AD335 144AB173 595A0738 6DABFD2A 0C614AA0 A9F3CF14 870F026A A7E535AB D5A5C7C7 FF38FA08 E2615F6C 203177C4 2B1EB3A1 D99B601E BFAA17FB
Q = 265EAEC7 C2958FF6 99718466 36B4195E 905B0338 672D2098 6FA6B8D6 2CF8068B BD02AAC9 F8BF03C6 C8A1CC35 4C69672C 39E46CE7 FDF22286 4D5B49FD 2999A9B4 389B1921 CC9AD335 144AB173 595A0738 6DABFD2A 0C614AA0 A9F3CF14 870F026A A7E535AB D5A5C7C7 FF38FA08 E2615F6C 203177C4 2B1EB3A1 D99B601E BFAA17FB
Px = 53FC09EE 332C29AD 0A799005 3ED9B52A 2B1A2FD6 0AEC69C6 98B2F204 B6FF7CBF B5EDB6C0 F6CE2308 AB10DB90 30B09E10 43D5F22C DB9DFA55 718BD9E7 406CE890 9760AF76 5DD5BCCB 337C8654 8B72F2E1 A702C339 7A60DE74 A7C1514D BA66910D D5CFB4CC 80728D87 EE9163A5 B63F73EC 80EC46C4 967E0979 880DC8AB EAE63895
PX = 53FC09EE 332C29AD 0A799005 3ED9B52A 2B1A2FD6 0AEC69C6 98B2F204 B6FF7CBF B5EDB6C0 F6CE2308 AB10DB90 30B09E10 43D5F22C DB9DFA55 718BD9E7 406CE890 9760AF76 5DD5BCCB 337C8654 8B72F2E1 A702C339 7A60DE74 A7C1514D BA66910D D5CFB4CC 80728D87 EE9163A5 B63F73EC 80EC46C4 967E0979 880DC8AB EAE63895
Py = 0A824906 3F6009F1 F9F1F053 3634A135 D3E82016 02990696 3D778D82 1E141178 F5EA69F4 654EC2B9 E7F7F5E5 F0DE55F6 6B598CCF 9A140B2E 416CFF0C A9E032B9 70DAE117 AD547C6C CAD696B5 B7652FE0 AC6F1E80 164AA989 492D979F C5A4D5F2 13515AD7 E9CB99A9 80BDAD5A D5BB4636 ADB9B570 6A67DCDE 75573FD7 1BEF16D7
PY = 0A824906 3F6009F1 F9F1F053 3634A135 D3E82016 02990696 3D778D82 1E141178 F5EA69F4 654EC2B9 E7F7F5E5 F0DE55F6 6B598CCF 9A140B2E 416CFF0C A9E032B9 70DAE117 AD547C6C CAD696B5 B7652FE0 AC6F1E80 164AA989 492D979F C5A4D5F2 13515AD7 E9CB99A9 80BDAD5A D5BB4636 ADB9B570 6A67DCDE 75573FD7 1BEF16D7
g = 66FC2A43 2B6EA392 148F1586 7D623068 C6A87BD1 FB94C41E 27FABE65 8E015A87 371E9474 4C96FEDA 449AE956 3F8BC446 CBFDA85D 5D00EF57 7072DA8F 541721BE EE0FAED1 828EAB90 B99DFB01 38C78433 55DF0460 B4A9FD74 B4F1A32B CAFA1FFA D682C033 A7942BCC E3720F20 B9B7B040 3C8CAE87 B7A0042A CDE0FAB3 6461EA46
G = 66FC2A43 2B6EA392 148F1586 7D623068 C6A87BD1 FB94C41E 27FABE65 8E015A87 371E9474 4C96FEDA 449AE956 3F8BC446 CBFDA85D 5D00EF57 7072DA8F 541721BE EE0FAED1 828EAB90 B99DFB01 38C78433 55DF0460 B4A9FD74 B4F1A32B CAFA1FFA D682C033 A7942BCC E3720F20 B9B7B040 3C8CAE87 B7A0042A CDE0FAB3 6461EA46
Hash = SHA-256 (defined in [FIPS180-3]).
ハッシュ= SHA-256([FIPS180-3]で定義されます)。
Author's Address
著者のアドレス
Michael Groves CESG Hubble Road Cheltenham GL51 8HJ UK EMail: Michael.Groves@cesg.gsi.gov.uk
マイケル・グローブスCESGハッブル道路チェルトナムGL51 8HJ英国Eメール:Michael.Groves@cesg.gsi.gov.uk
M. Groves Informational [Page 21]
M. Grovesの情報[21ページ]