doc/protocol/rfc4132.txt

   1
   2
   3
   4
   5
   6
   7 Network Working Group                                          S. Moriai
   8 Request for Comments: 4132              Sony Computer Entertainment Inc.
   9 Category: Standards Track                                        A. Kato
  10                                                 NTT Software Corporation
  11                                                                 M. Kanda
  12                               Nippon Telegraph and Telephone Corporation
  13                                                                July 2005
  14
  15
  16   Addition of Camellia Cipher Suites to Transport Layer Security (TLS)
  17
  18 Status of This Memo
  19
  20    This document specifies an Internet standards track protocol for the
  21    Internet community, and requests discussion and suggestions for
  22    improvements.  Please refer to the current edition of the "Internet
  23    Official Protocol Standards" (STD 1) for the standardization state
  24    and status of this protocol.  Distribution of this memo is unlimited.
  25
  26 Copyright Notice
  27
  28    Copyright (C) The Internet Society (2005).
  29
  30 Abstract
  31
  32    This document proposes the addition of new cipher suites to the
  33    Transport Layer Security (TLS) protocol to support the Camellia
  34    encryption algorithm as a bulk cipher algorithm.
  35
  36 1.  Introduction
  37
  38    This document proposes the addition of new cipher suites to the TLS
  39    protocol [TLS] to support the Camellia encryption algorithm as a bulk
  40    cipher algorithm.  This proposal provides a new option for fast and
  41    efficient bulk cipher algorithms.
  42
  43    Note: This work was done when the first author worked for NTT.
  44
  45 1.1.  Camellia
  46
  47    Camellia was selected as a recommended cryptographic primitive by the
  48    EU NESSIE (New European Schemes for Signatures, Integrity and
  49    Encryption) project [NESSIE] and included in the list of
  50    cryptographic techniques for Japanese e-Government systems, which
  51    were selected by the Japan CRYPTREC (Cryptography Research and
  52    Evaluation Committees) [CRYPTREC].  Camellia is also included in
  53    specification of the TV-Anytime Forum [TV-ANYTIME].  The TV-Anytime
  54    Forum is an association of organizations that seeks to develop
  55
  56
  57
  58 Moriai, et al.              Standards Track                     [Page 1]
  59 \f
  60 RFC 4132             Camellia Cipher Suites for TLS            July 2005
  61
  62
  63    specifications to enable audio-visual and other services based on
  64    mass-market high-volume digital storage in consumer platforms.
  65    Camellia is specified as Cipher Suite in TLS used by Phase 1 S-7
  66    (Bi-directional Metadata Delivery Protection) specification and S-5
  67    (TV-Anytime Rights Management and Protection Information for
  68    Broadcast Applications) specification.  Camellia has been submitted
  69    to other several standardization bodies such as ISO (ISO/IEC 18033)
  70    and IETF S/MIME Mail Security Working Group [Camellia-CMS].
  71
  72    Camellia supports 128-bit block size and 128-, 192-, and 256-bit key
  73    sizes; i.e., the same interface specifications as the Advanced
  74    Encryption Standard (AES) [AES].
  75
  76    Camellia was jointly developed by NTT and Mitsubishi Electric
  77    Corporation in 2000 [CamelliaTech].  It was carefully designed to
  78    withstand all known cryptanalytic attacks and even to have a
  79    sufficiently large security leeway.  It has been scrutinized by
  80    worldwide cryptographic experts.
  81
  82    Camellia was also designed to be suitable for both software and
  83    hardware implementations and to cover all possible encryption
  84    applications, from low-cost smart cards to high-speed network
  85    systems.  Compared to the AES, Camellia offers at least comparable
  86    encryption speed in software and hardware.  In addition, a
  87    distinguishing feature is its small hardware design.  Camellia
  88    perfectly meets one of the current TLS market requirements, for which
  89    low power consumption is mandatory.
  90
  91    The algorithm specification and object identifiers are described in
  92    [Camellia-Desc].  The Camellia homepage,
  93    http://info.isl.ntt.co.jp/camellia/, contains a wealth of information
  94    about camellia, including detailed specification, security analysis,
  95    performance figures, reference implementation, and test vectors.
  96
  97 1.2.  Terminology
  98
  99    The key words "MUST", "MUST NOT", "REQUIRED", "SHOULD", "SHOULD NOT",
 100    "RECOMMENDED", "MAY", and "OPTIONAL" in this document (in uppercase,
 101    as shown) are to be interpreted as described in [RFC2119].
 102
 103 2.  Proposed Cipher Suites
 104
 105    The new cipher suites proposed here have the following definitions:
 106
 107    CipherSuite TLS_RSA_WITH_CAMELLIA_128_CBC_SHA      = { 0x00,0x41 };
 108    CipherSuite TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA   = { 0x00,0x42 };
 109    CipherSuite TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA   = { 0x00,0x43 };
 110    CipherSuite TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA  = { 0x00,0x44 };
 111
 112
 113
 114 Moriai, et al.              Standards Track                     [Page 2]
 115 \f
 116 RFC 4132             Camellia Cipher Suites for TLS            July 2005
 117
 118
 119    CipherSuite TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA  = { 0x00,0x45 };
 120    CipherSuite TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA  = { 0x00,0x46 };
 121
 122    CipherSuite TLS_RSA_WITH_CAMELLIA_256_CBC_SHA      = { 0x00,0x84 };
 123    CipherSuite TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA   = { 0x00,0x85 };
 124    CipherSuite TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA   = { 0x00,0x86 };
 125    CipherSuite TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA  = { 0x00,0x87 };
 126    CipherSuite TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA  = { 0x00,0x88 };
 127    CipherSuite TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA  = { 0x00,0x89 };
 128
 129 3.  Cipher Suite Definitions
 130
 131 3.1.  Cipher
 132
 133    All the cipher suites described here use Camellia in cipher block
 134    chaining (CBC) mode as a bulk cipher algorithm.  Camellia is a 128-
 135    bit block cipher with 128-, 192-, and 256-bit key sizes; i.e., it
 136    supports the same block and key sizes as the Advanced Encryption
 137    Standard (AES).  However, this document only defines cipher suites
 138    for 128- and 256-bit keys as well as AES cipher suites for TLS
 139    [AES-TLS].  These cipher suites are efficient and practical enough
 140    for most uses, including high-security applications.
 141
 142                             Key       Expanded    Effective   IV   Block
 143    Cipher           Type  Material  Key Material  Key Bits   Size  Size
 144
 145    CAMELLIA_128_CBC Block   16          16          128       16    16
 146    CAMELLIA_256_CBC Block   32          32          256       16    16
 147
 148 3.2.  Hash
 149
 150    All the cipher suites described here use SHA-1 [SHA-1] in a Hashed
 151    Message Authentication Code (HMAC) construction, as described in
 152    section 5 of [TLS].
 153
 154 3.3.  Key Exchange
 155
 156    The cipher suites defined here differ in the type of certificate and
 157    key exchange method.  They use the following options:
 158
 159    Cipher Suite                              Key Exchange Algorithm
 160
 161    TLS_RSA_WITH_CAMELLIA_128_CBC_SHA         RSA
 162    TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA      DH_DSS
 163    TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA      DH_RSA
 164    TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA     DHE_DSS
 165    TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA     DHE_RSA
 166    TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA     DH_anon
 167
 168
 169
 170 Moriai, et al.              Standards Track                     [Page 3]
 171 \f
 172 RFC 4132             Camellia Cipher Suites for TLS            July 2005
 173
 174
 175    TLS_RSA_WITH_CAMELLIA_256_CBC_SHA         RSA
 176    TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA      DH_DSS
 177    TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA      DH_RSA
 178    TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA     DHE_DSS
 179    TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA     DHE_RSA
 180    TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA     DH_anon
 181
 182    For the meanings of the terms RSA, DH_DSS, DH_RSA, DHE_DSS, DHE_RSA,
 183    and DH_anon, please refer to sections 7.4.2 and 7.4.3 of [TLS].
 184
 185 4.  Security Considerations
 186
 187    It is not believed that the new cipher suites are ever less secure
 188    than the corresponding older ones.  Camellia is considered secure,
 189    and it has withstood extensive cryptanalytic efforts in several open,
 190    worldwide cryptographic evaluation projects [CRYPTREC][NESSIE].
 191
 192    At the time of writing this document, there are no known weak keys
 193    for Camellia.
 194
 195    For other security considerations, please refer to the security
 196    considerations of the corresponding older cipher suites described in
 197    [TLS] and [AES-TLS].
 198
 199 5.  References
 200
 201 5.1.  Normative References
 202
 203    [Camellia-Desc] Matsui, M., Nakajima, J., and S. Moriai, "A
 204                    Description of the Camellia Encryption Algorithm",
 205                    RFC 3713, April 2004.
 206
 207    [TLS]           Dierks, T. and C. Allen, "The TLS Protocol Version
 208                    1.0", RFC 2246, January 1999.
 209
 210    [RFC2119]       Bradner, S., "Key words for use in RFCs to Indicate
 211                    Requirement Levels", BCP 14, RFC 2119, March 1997.
 212
 213 5.2.  Informative References
 214
 215    [CamelliaTech]  Aoki, K., Ichikawa, T., Kanda, M., Matsui, M.,
 216                    Moriai, S., Nakajima, J., and Tokita, T., "Camellia:
 217                    A 128-Bit Block Cipher Suitable for Multiple
 218                    Platforms - Design and Analysis -", In Selected Areas
 219                    in Cryptography, 7th Annual International Workshop,
 220                    SAC 2000, August 2000, Proceedings, Lecture Notes in
 221                    Computer Science 2012, pp.39-56, Springer-Verlag,
 222                    2001.
 223
 224
 225
 226 Moriai, et al.              Standards Track                     [Page 4]
 227 \f
 228 RFC 4132             Camellia Cipher Suites for TLS            July 2005
 229
 230
 231    [Camellia-CMS]  Moriai, S. and A. Kato, "Use of the Camellia
 232                    Encryption Algorithm in Cryptographic Message Syntax
 233                    (CMS)", RFC 3657, January 2004.
 234
 235    [AES]           NIST, FIPS PUB 197, "Advanced Encryption Standard
 236                    (AES)", November 2001.
 237                    http://csrc.nist.gov/publications/fips/fips197/fips-
 238                    197.{ps,pdf}.
 239
 240    [AES-TLS]       Chown, P., "Advanced Encryption Standard (AES)
 241                    Ciphersuites for Transport Layer Security (TLS)", RFC
 242                    3268, June 2002.
 243
 244
 245    [SHA-1]         FIPS PUB 180-1, "Secure Hash Standard", National
 246                    Institute of Standards and Technology, U.S.
 247                    Department of Commerce, April 17, 1995.
 248
 249    [CRYPTREC]      Information-technology Promotion Agency (IPA), Japan,
 250                    CRYPTREC,
 251                    http://www.ipa.go.jp/security/enc/CRYPTREC/index-
 252                    e.html.
 253
 254    [NESSIE]        The NESSIE project (New European Schemes for
 255                    Signatures, Integrity and Encryption),
 256                    http://www.cosic.esat.kuleuven.ac.be/nessie/.
 257
 258    [TV-ANYTIME]    TV-Anytime Forum, http://www.tv-anytime.org/.
 259
 260
 261
 262
 263
 264
 265
 266
 267
 268
 269
 270
 271
 272
 273
 274
 275
 276
 277
 278
 279
 280
 281
 282 Moriai, et al.              Standards Track                     [Page 5]
 283 \f
 284 RFC 4132             Camellia Cipher Suites for TLS            July 2005
 285
 286
 287 Authors' Addresses
 288
 289    Shiho Moriai
 290    Sony Computer Entertainment Inc.
 291
 292    Phone: +81-3-6438-7523
 293    Fax:   +81-3-6438-8629
 294    EMail: shiho@rd.scei.sony.co.jp
 295
 296
 297    Akihiro Kato
 298    NTT Software Corporation
 299
 300    Phone: +81-45-212-7094
 301    Fax:   +81-45-212-7506
 302    EMail: akato@po.ntts.co.jp
 303
 304
 305    Masayuki Kanda
 306    Nippon Telegraph and Telephone Corporation
 307
 308    Phone: +81-46-859-2437
 309    Fax:   +81-46-859-3365
 310    EMail: kanda.masayuki@lab.ntt.co.jp
 311           camellia@lab.ntt.co.jp (Camellia team)
 312
 313
 314
 315
 316
 317
 318
 319
 320
 321
 322
 323
 324
 325
 326
 327
 328
 329
 330
 331
 332
 333
 334
 335
 336
 337
 338 Moriai, et al.              Standards Track                     [Page 6]
 339 \f
 340 RFC 4132             Camellia Cipher Suites for TLS            July 2005
 341
 342
 343 Full Copyright Statement
 344
 345    Copyright (C) The Internet Society (2005).
 346
 347    This document is subject to the rights, licenses and restrictions
 348    contained in BCP 78, and except as set forth therein, the authors
 349    retain all their rights.
 350
 351    This document and the information contained herein are provided on an
 352    "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
 353    OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET
 354    ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED,
 355    INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE
 356    INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
 357    WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
 358
 359 Intellectual Property
 360
 361    The IETF takes no position regarding the validity or scope of any
 362    Intellectual Property Rights or other rights that might be claimed to
 363    pertain to the implementation or use of the technology described in
 364    this document or the extent to which any license under such rights
 365    might or might not be available; nor does it represent that it has
 366    made any independent effort to identify any such rights.  Information
 367    on the procedures with respect to rights in RFC documents can be
 368    found in BCP 78 and BCP 79.
 369
 370    Copies of IPR disclosures made to the IETF Secretariat and any
 371    assurances of licenses to be made available, or the result of an
 372    attempt made to obtain a general license or permission for the use of
 373    such proprietary rights by implementers or users of this
 374    specification can be obtained from the IETF on-line IPR repository at
 375    http://www.ietf.org/ipr.
 376
 377    The IETF invites any interested party to bring to its attention any
 378    copyrights, patents or patent applications, or other proprietary
 379    rights that may cover technology that may be required to implement
 380    this standard.  Please address the information to the IETF at ietf-
 381    ipr@ietf.org.
 382
 383 Acknowledgement
 384
 385    Funding for the RFC Editor function is currently provided by the
 386    Internet Society.
 387
 388
 389
 390
 391
 392
 393
 394 Moriai, et al.              Standards Track                     [Page 7]
 395 \f