doc/protocol/draft-ietf-tls-ecc-new-mac-05.txt

   1
   2
   3
   4 Network Working Group                                        E. Rescorla
   5 Internet-Draft                                                RTFM, Inc.
   6 Intended status:  Informational                           April 14, 2008
   7 Expires:  October 16, 2008
   8
   9
  10 TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter
  11                                   Mode
  12                    draft-ietf-tls-ecc-new-mac-05.txt
  13
  14 Status of this Memo
  15
  16    By submitting this Internet-Draft, each author represents that any
  17    applicable patent or other IPR claims of which he or she is aware
  18    have been or will be disclosed, and any of which he or she becomes
  19    aware will be disclosed, in accordance with Section 6 of BCP 79.
  20
  21    Internet-Drafts are working documents of the Internet Engineering
  22    Task Force (IETF), its areas, and its working groups.  Note that
  23    other groups may also distribute working documents as Internet-
  24    Drafts.
  25
  26    Internet-Drafts are draft documents valid for a maximum of six months
  27    and may be updated, replaced, or obsoleted by other documents at any
  28    time.  It is inappropriate to use Internet-Drafts as reference
  29    material or to cite them other than as "work in progress."
  30
  31    The list of current Internet-Drafts can be accessed at
  32    http://www.ietf.org/ietf/1id-abstracts.txt.
  33
  34    The list of Internet-Draft Shadow Directories can be accessed at
  35    http://www.ietf.org/shadow.html.
  36
  37    This Internet-Draft will expire on October 16, 2008.
  38
  39 Copyright Notice
  40
  41    Copyright (C) The IETF Trust (2008).
  42
  43 Abstract
  44
  45    RFC 4492 describes elliptic curve cipher suites for Transport Layer
  46    Security (TLS).  However, all those cipher suites use SHA-1 as their
  47    MAC algorithm.  This document describes sixteen new CipherSuites for
  48    TLS/DTLS which specify stronger digest algorithms.  Eight use HMAC
  49    with SHA-256 or SHA-384 and eight use AES in Galois Counter Mode
  50    (GCM).
  51
  52
  53
  54
  55 Rescorla                Expires October 16, 2008                [Page 1]
  56 \f
  57 Internet-Draft               TLS ECC New MAC                  April 2008
  58
  59
  60 Table of Contents
  61
  62    1.  Introduction  . . . . . . . . . . . . . . . . . . . . . . . . . 3
  63      1.1.  Conventions Used In This Document . . . . . . . . . . . . . 3
  64    2.  Cipher Suites . . . . . . . . . . . . . . . . . . . . . . . . . 3
  65      2.1.  HMAC-based Cipher Suites  . . . . . . . . . . . . . . . . . 3
  66      2.2.  Galois Counter Mode-based Cipher Suites . . . . . . . . . . 4
  67    3.  Security Considerations . . . . . . . . . . . . . . . . . . . . 5
  68    4.  IANA Considerations . . . . . . . . . . . . . . . . . . . . . . 5
  69    5.  Acknowledgements  . . . . . . . . . . . . . . . . . . . . . . . 5
  70    6.  References  . . . . . . . . . . . . . . . . . . . . . . . . . . 5
  71      6.1.  Normative References  . . . . . . . . . . . . . . . . . . . 5
  72      6.2.  Informative References  . . . . . . . . . . . . . . . . . . 6
  73    Author's Address  . . . . . . . . . . . . . . . . . . . . . . . . . 6
  74    Intellectual Property and Copyright Statements  . . . . . . . . . . 8
  75
  76
  77
  78
  79
  80
  81
  82
  83
  84
  85
  86
  87
  88
  89
  90
  91
  92
  93
  94
  95
  96
  97
  98
  99
 100
 101
 102
 103
 104
 105
 106
 107
 108
 109
 110
 111 Rescorla                Expires October 16, 2008                [Page 2]
 112 \f
 113 Internet-Draft               TLS ECC New MAC                  April 2008
 114
 115
 116 1.  Introduction
 117
 118    RFC 4492 [RFC4492] describes Elliptic Curve Cryptography (ECC) cipher
 119    suites for Transport Layer Security (TLS).  However, all of the RFC
 120    4492 suites use HMAC-SHA1 as their MAC algorithm.  Due to recent
 121    analytic work on SHA-1 [Wang05], the IETF is gradually moving away
 122    from SHA-1 and towards stronger hash algorithms.  This document
 123    specifies TLS ECC cipher suites which use SHA-256 and SHA-384 rather
 124    than SHA-1.
 125
 126    TLS 1.2 [I-D.ietf-tls-rfc4346-bis], adds support for authenticated
 127    encryption with additional data (AEAD) cipher modes [RFC5116].  This
 128    document also specifies a set of ECC cipher suites using one such
 129    mode, Galois Counter Mode (GCM) [GCM].  Another document
 130    [I-D.ietf-tls-rsa-aes-gcm], provides support for GCM with other key
 131    establishment methods.
 132
 133 1.1.  Conventions Used In This Document
 134
 135    The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
 136    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
 137    document are to be interpreted as described in [RFC2119].
 138
 139
 140 2.  Cipher Suites
 141
 142    This document defines 8 new cipher suites to be added to TLS.  All
 143    use Elliptic Curve Cryptography for key exchange and digital
 144    signature, as defined in RFC 4492.
 145
 146 2.1.  HMAC-based Cipher Suites
 147
 148    The first eight cipher suites use AES [AES] in CBC [CBC] mode with an
 149    HMAC-based MAC:
 150
 151        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256  = {0xXX,XX};
 152        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384  = {0xXX,XX};
 153        CipherSuite TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256   = {0xXX,XX};
 154        CipherSuite TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384   = {0xXX,XX};
 155        CipherSuite TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256    = {0xXX,XX};
 156        CipherSuite TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384    = {0xXX,XX};
 157        CipherSuite TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256     = {0xXX,XX};
 158        CipherSuite TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384     = {0xXX,XX};
 159
 160    These eight cipher suites are the same as the corresponding cipher
 161    suites in RFC 4492 (TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
 162    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
 163    TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,
 164
 165
 166
 167 Rescorla                Expires October 16, 2008                [Page 3]
 168 \f
 169 Internet-Draft               TLS ECC New MAC                  April 2008
 170
 171
 172    TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,
 173    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
 174    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
 175    TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, and
 176    TLS_ECDH_RSA_WITH_AES_256_CBC_SHA) except for the hash and PRF
 177    algorithms, which are SHA-256 and SHA-384 [SHS] as follows.
 178
 179        Cipher Suite                                MAC          PRF
 180        ------------                                ---          ---
 181        TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256     HMAC-SHA-256 P_SHA256
 182        TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384     HMAC-SHA-384 P_SHA384
 183        TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256      HMAC-SHA-256 P_SHA256
 184        TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384      HMAC-SHA-384 P_SHA384
 185        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256       HMAC-SHA-256 P_SHA256
 186        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384       HMAC-SHA-384 P_SHA384
 187        TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256        HMAC-SHA-256 P_SHA256
 188        TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384        HMAC-SHA-384 P_SHA384
 189
 190 2.2.  Galois Counter Mode-based Cipher Suites
 191
 192    The second eight cipher suites use the same asymmetric algorithms as
 193    those in the previous section but use the new authenticated
 194    encryption modes defined in TLS 1.2 with AES in Galois Counter Mode
 195    (GCM) [GCM]:
 196
 197        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256  = {0xXX,XX};
 198        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384  = {0xXX,XX};
 199        CipherSuite TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256   = {0xXX,XX};
 200        CipherSuite TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384   = {0xXX,XX};
 201        CipherSuite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256    = {0xXX,XX};
 202        CipherSuite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384    = {0xXX,XX};
 203        CipherSuite TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256     = {0xXX,XX};
 204        CipherSuite TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384     = {0xXX,XX};
 205
 206    These cipher suites use authenticated encryption with additional data
 207    algorithms AEAD_AES_128_GCM and AEAD_AES_256_GCM described in
 208    [RFC5116].  GCM is used as described in [I-D.ietf-tls-rsa-aes-gcm].
 209
 210
 211         Cipher Suite                                PRF
 212         ------------                                ---
 213         TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256     P_SHA256
 214         TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384     P_SHA384
 215         TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256      P_SHA256
 216         TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384      P_SHA384
 217         TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256       P_SHA256
 218         TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384       P_SHA384
 219         TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256        P_SHA256
 220
 221
 222
 223 Rescorla                Expires October 16, 2008                [Page 4]
 224 \f
 225 Internet-Draft               TLS ECC New MAC                  April 2008
 226
 227
 228         TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384        P_SHA384
 229
 230
 231 3.  Security Considerations
 232
 233    The security considerations in RFC 4346, RFC 4492, and
 234    [I-D.ietf-tls-rsa-aes-gcm] apply to this document as well.  In
 235    addition, as described in [I-D.ietf-tls-rsa-aes-gcm], these cipher
 236    suites may only be used with TLS 1.2 or greater.
 237
 238
 239 4.  IANA Considerations
 240
 241    IANA has assigned the following values for these cipher suites:
 242
 243        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256  = {0xXX,XX};
 244        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384  = {0xXX,XX};
 245        CipherSuite TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256   = {0xXX,XX};
 246        CipherSuite TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384   = {0xXX,XX};
 247        CipherSuite TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256    = {0xXX,XX};
 248        CipherSuite TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384    = {0xXX,XX};
 249        CipherSuite TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256     = {0xXX,XX};
 250        CipherSuite TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384     = {0xXX,XX};
 251        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256  = {0xXX,XX};
 252        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384  = {0xXX,XX};
 253        CipherSuite TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256   = {0xXX,XX};
 254        CipherSuite TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384   = {0xXX,XX};
 255        CipherSuite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256    = {0xXX,XX};
 256        CipherSuite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384    = {0xXX,XX};
 257        CipherSuite TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256     = {0xXX,XX};
 258        CipherSuite TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384     = {0xXX,XX};
 259
 260
 261 5.  Acknowledgements
 262
 263    This work was supported by the US Department of Defense.
 264
 265    David McGrew contributed substantual sections of the GCM nonce text
 266    as well as providing a review of this document.
 267
 268
 269 6.  References
 270
 271 6.1.  Normative References
 272
 273    [RFC2119]  Bradner, S., "Key words for use in RFCs to Indicate
 274               Requirement Levels", BCP 14, RFC 2119, March 1997.
 275
 276
 277
 278
 279 Rescorla                Expires October 16, 2008                [Page 5]
 280 \f
 281 Internet-Draft               TLS ECC New MAC                  April 2008
 282
 283
 284    [RFC4492]  Blake-Wilson, S., Bolyard, N., Gupta, V., Hawk, C., and B.
 285               Moeller, "Elliptic Curve Cryptography (ECC) Cipher Suites
 286               for Transport Layer Security (TLS)", RFC 4492, May 2006.
 287
 288    [RFC5116]  McGrew, D., "An Interface and Algorithms for Authenticated
 289               Encryption", RFC 5116, January 2008.
 290
 291    [I-D.ietf-tls-rfc4346-bis]
 292               Dierks, T. and E. Rescorla, "The Transport Layer Security
 293               (TLS) Protocol Version 1.2", draft-ietf-tls-rfc4346-bis-10
 294               (work in progress), March 2008.
 295
 296    [AES]      National Institute of Standards and Technology,
 297               "Specification for the Advanced Encryption Standard
 298               (AES)", FIPS 197, November 2001.
 299
 300    [SHS]      National Institute of Standards and Technology, "Secure
 301               Hash Standard", FIPS 180-2, August 2002.
 302
 303    [CBC]      National Institute of Standards and Technology,
 304               "Recommendation for Block Cipher Modes of Operation -
 305               Methods and Techniques", SP 800-38A, December 2001.
 306
 307    [GCM]      National Institute of Standards and Technology,
 308               "Recommendation for Block Cipher Modes of Operation:
 309               Galois;/Counter Mode (GCM) for Confidentiality and
 310               Authentication", SP 800-38D, November 2007.
 311
 312 6.2.  Informative References
 313
 314    [Wang05]   Wang, X., Yin, Y., and H. Yu, "Finding Collisions in the
 315               Full SHA-1", CRYPTO 2005, August 2005.
 316
 317    [I-D.ietf-tls-rsa-aes-gcm]
 318               Salowey, J., Choudhury, A., and D. McGrew, "AES-GCM Cipher
 319               Suites for TLS", draft-ietf-tls-rsa-aes-gcm-02 (work in
 320               progress), February 2008.
 321
 322
 323
 324
 325
 326
 327
 328
 329
 330
 331
 332
 333
 334
 335 Rescorla                Expires October 16, 2008                [Page 6]
 336 \f
 337 Internet-Draft               TLS ECC New MAC                  April 2008
 338
 339
 340 Author's Address
 341
 342    Eric Rescorla
 343    RTFM, Inc.
 344    2064 Edgewood Drive
 345    Palo Alto  94303
 346    USA
 347
 348    Email:  ekr@rtfm.com
 349
 350
 351
 352
 353
 354
 355
 356
 357
 358
 359
 360
 361
 362
 363
 364
 365
 366
 367
 368
 369
 370
 371
 372
 373
 374
 375
 376
 377
 378
 379
 380
 381
 382
 383
 384
 385
 386
 387
 388
 389
 390
 391 Rescorla                Expires October 16, 2008                [Page 7]
 392 \f
 393 Internet-Draft               TLS ECC New MAC                  April 2008
 394
 395
 396 Full Copyright Statement
 397
 398    Copyright (C) The IETF Trust (2008).
 399
 400    This document is subject to the rights, licenses and restrictions
 401    contained in BCP 78, and except as set forth therein, the authors
 402    retain all their rights.
 403
 404    This document and the information contained herein are provided on an
 405    "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
 406    OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND
 407    THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS
 408    OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF
 409    THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
 410    WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
 411
 412
 413 Intellectual Property
 414
 415    The IETF takes no position regarding the validity or scope of any
 416    Intellectual Property Rights or other rights that might be claimed to
 417    pertain to the implementation or use of the technology described in
 418    this document or the extent to which any license under such rights
 419    might or might not be available; nor does it represent that it has
 420    made any independent effort to identify any such rights.  Information
 421    on the procedures with respect to rights in RFC documents can be
 422    found in BCP 78 and BCP 79.
 423
 424    Copies of IPR disclosures made to the IETF Secretariat and any
 425    assurances of licenses to be made available, or the result of an
 426    attempt made to obtain a general license or permission for the use of
 427    such proprietary rights by implementers or users of this
 428    specification can be obtained from the IETF on-line IPR repository at
 429    http://www.ietf.org/ipr.
 430
 431    The IETF invites any interested party to bring to its attention any
 432    copyrights, patents or patent applications, or other proprietary
 433    rights that may cover technology that may be required to implement
 434    this standard.  Please address the information to the IETF at
 435    ietf-ipr@ietf.org.
 436
 437
 438 Acknowledgment
 439
 440    Funding for the RFC Editor function is provided by the IETF
 441    Administrative Support Activity (IASA).
 442
 443
 444
 445
 446
 447 Rescorla                Expires October 16, 2008                [Page 8]
 448 \f