doc/protocol/draft-ietf-tls-ecdhe-psk-01.txt

   1 TLS Working Group                                         Mohamad Badra
   2 Internet Draft                                         LIMOS Laboratory
   3 Intended status: Informational                            April 2, 2008
   4 Expires: October 2008
   5
   6
   7
   8          ECDHE_PSK Ciphersuites for Transport Layer Security (TLS)
   9                       draft-ietf-tls-ecdhe-psk-01.txt
  10
  11
  12 Status of this Memo
  13
  14    By submitting this Internet-Draft, each author represents that any
  15    applicable patent or other IPR claims of which he or she is aware
  16    have been or will be disclosed, and any of which he or she becomes
  17    aware will be disclosed, in accordance with Section 6 of BCP 79.
  18
  19    Internet-Drafts are working documents of the Internet Engineering
  20    Task Force (IETF), its areas, and its working groups.  Note that
  21    other groups may also distribute working documents as Internet-
  22    Drafts.
  23
  24    Internet-Drafts are draft documents valid for a maximum of six months
  25    and may be updated, replaced, or obsoleted by other documents at any
  26    time.  It is inappropriate to use Internet-Drafts as reference
  27    material or to cite them other than as "work in progress."
  28
  29    The list of current Internet-Drafts can be accessed at
  30    http://www.ietf.org/ietf/1id-abstracts.txt
  31
  32    The list of Internet-Draft Shadow Directories can be accessed at
  33    http://www.ietf.org/shadow.html
  34
  35    This Internet-Draft will expire on October 2, 2008.
  36
  37 Copyright Notice
  38
  39    Copyright (C) The IETF Trust (2008).
  40
  41 Abstract
  42
  43    This document extends RFC 4279, RFC 4492 and RFC 4785, and specifies
  44    a set of ciphersuites that use a pre-shared key (PSK) to authenticate
  45    an Elliptic Curve Diffie-Hellman exchange (ECDH).  These ciphersuites
  46    provide Perfect Forward Secrecy (PFS).
  47
  48
  49
  50
  51
  52 Badra                  Expires October 2, 2008                 [Page 1]
  53 \f
  54 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008
  55
  56
  57 Table of Contents
  58
  59    1. Introduction...................................................3
  60       1.1. Conventions used in this document.........................3
  61    2. ECDHE_PSK Key Exchange Algorithm...............................3
  62    3. ECDHE_PSK Key Exchange Algorithm with NULL Encryption..........5
  63    4. Security Considerations........................................5
  64    5. IANA Considerations............................................5
  65    6. Acknowledgments................................................5
  66    7. References.....................................................5
  67       7.1. Normative References......................................5
  68    Author's Addresses................................................6
  69    Intellectual Property Statement...................................6
  70    Disclaimer of Validity............................................6
  71
  72
  73
  74
  75
  76
  77
  78
  79
  80
  81
  82
  83
  84
  85
  86
  87
  88
  89
  90
  91
  92
  93
  94
  95
  96
  97
  98
  99
 100
 101
 102
 103
 104
 105
 106 Badra                   Expires August 2, 2008                 [Page 2]
 107 \f
 108 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008
 109
 110
 111 1. Introduction
 112
 113    RFC 4279 specifies ciphersuites for supporting TLS using pre-shared
 114    symmetric keys and they (a) use only symmetric key operations for
 115    authentication, (b) use a Diffie-Hellman exchange authenticated with
 116    a pre-shared key, or (c) combines public key authentication of the
 117    server with pre-shared key authentication of the client.
 118
 119    RFC 4785 specifies authentication-only ciphersuites (with no
 120    encryption).  These ciphersuites are useful when authentication and
 121    integrity protection is desired, but confidentiality is not needed or
 122    not permitted.
 123
 124    RFC 4492 defines a set of ECC-based ciphersuites for TLS and
 125    describes the use of ECC certificates for client authentication.  In
 126    particular, it specifies the use of Elliptic Curve Diffie-Hellman
 127    (ECDH) key agreement in a TLS handshake and the use of Elliptic Curve
 128    Digital Signature Algorithm (ECDSA) as a new authentication
 129    mechanism.
 130
 131    This document specifies a set of ciphersuites that use a PSK to
 132    authenticate an ECDH exchange.  These ciphersuites provide Perfect
 133    Forward Secrecy.  One of these ciphersuite provides authentication-
 134    only.
 135
 136    The reader is expected to become familiar with RFC 4279, RFC 4492,
 137    and RFC 4785 prior to studying this document.
 138
 139 1.1. Conventions used in this document
 140
 141    The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
 142    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
 143    document are to be interpreted as described in [RFC2119].
 144
 145 2. ECDHE_PSK Key Exchange Algorithm
 146
 147    The ciphersuites in this section match the ciphersuites defined in
 148    [RFC4279], except that they use an Elliptic Curve Diffie-Hellman
 149    exchange [RFC4492] authenticated with a PSK.  They are defined as
 150    follow:
 151
 152      CipherSuite                          Key Exchange  Cipher      Hash
 153
 154      TLS_ECDHE_PSK_WITH_RC4_128_SHA       ECDHE_PSK     RC4_128      SHA
 155      TLS_ECDHE_PSK_WITH_3DES_EDE_CBC_SHA  ECDHE_PSK     3DES_EDE_CBC SHA
 156      TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA   ECDHE_PSK     AES_128_CBC  SHA
 157      TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA   ECDHE_PSK     AES_256_CBC  SHA
 158
 159
 160 Badra                   Expires August 2, 2008                 [Page 3]
 161 \f
 162 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008
 163
 164
 165    These ciphersuites make use of the EC parameter negotiation mechanism
 166    defined in RFC 4492.  When the ciphersuites defined in this document
 167    are used, the 'ec_diffie_hellman_psk' case inside the
 168    ServerKeyExchange and ClientKeyExchange structure MUST be used
 169    instead of the 'psk' case defined in [RFC4279] (i.e., the
 170    ServerKeyExchange and ClientKeyExchange messages include the Diffie-
 171    Hellman parameters).  The PSK identity and identity hint fields have
 172    the same meaning and encoding specified in [RFC4279] (note that the
 173    ServerKeyExchange message is always sent, even if no PSK identity
 174    hint is provided).
 175
 176    The format of the ServerKeyExchange and ClientKeyExchange messages is
 177    shown below.
 178
 179          struct {
 180              select (KeyExchangeAlgorithm) {
 181                  /* other cases for rsa, diffie_hellman, etc. */
 182                  case ec_diffie_hellman_psk:  /* NEW */
 183                      opaque psk_identity_hint<0..2^16-1>;
 184                      ServerECDHParams params;
 185              };
 186          } ServerKeyExchange;
 187
 188          struct {
 189              select (KeyExchangeAlgorithm) {
 190                  /* other cases for rsa, diffie_hellman, etc. */
 191                  case ec_diffie_hellman_psk:   /* NEW */
 192                      opaque psk_identity<0..2^16-1>;
 193                      ClientECDiffieHellmanPublic public;
 194              } exchange_keys;
 195          } ClientKeyExchange;
 196
 197    The premaster secret is formed as follows.  First, perform an ECDH
 198    operation (See section 5.10 of [RFC4492]) to compute the shared
 199    secret.  Next, concatenate a uint16 containing the length of the
 200    shared secret (in octets), the shared secret itself, a uint16
 201    containing the length of the PSK (in octets), and the PSK itself.
 202
 203    This corresponds to the general structure for the premaster secrets
 204    (see Note 1 in Section 2 of [RFC4279]), with "other_secret"
 205    containing the shared secret:
 206
 207          struct {
 208               opaque other_secret<0..2^16-1>;
 209               opaque psk<0..2^16-1>;
 210          };
 211
 212
 213
 214 Badra                   Expires August 2, 2008                 [Page 4]
 215 \f
 216 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008
 217
 218
 219 3. ECDHE_PSK Key Exchange Algorithm with NULL Encryption
 220
 221    The ciphersuite in this section matches the ciphersuites defined in
 222    section 2, except that we define a suite with null encryption.
 223
 224      CipherSuite                     Key Exchange   Cipher      Hash
 225
 226      TLS_ECDHE_PSK_WITH_NULL_SHA     ECDHE_PSK      NULL        SHA
 227
 228 4. Security Considerations
 229
 230    The security considerations described throughout [RFC4279],
 231    [RFC4346], [RFC4492], and [RFC4785] apply here as well.
 232
 233 5. IANA Considerations
 234
 235    This document defines the following new ciphersuites, whose values
 236    are to be assigned from the TLS Cipher Suite registry defined in
 237    [RFC4346].
 238
 239      CipherSuite TLS_ECDHE_PSK_WITH_RC4_128_SHA        = { 0xXX, 0xXX };
 240      CipherSuite TLS_ECDHE_PSK_WITH_3DES_EDE_CBC_SHA   = { 0xXX, 0xXX };
 241      CipherSuite TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA    = { 0xXX, 0xXX };
 242      CipherSuite TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA    = { 0xXX, 0xXX };
 243      CipherSuite TLS_ECDHE_PSK_WITH_NULL_SHA           = { 0xXX, 0xXX };
 244
 245 6. Acknowledgments
 246
 247    The author would like to thank Bodo Moeller, Simon Josefsson, Uri
 248    Blumenthal, Pasi Eronen, Alfred Hoenes, Paul Hoffman, Joseph Salowey,
 249    and the TLS mailing list members for their comments on the document.
 250
 251 7. References
 252
 253 7.1. Normative References
 254
 255    [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
 256              Requirement Levels", BCP 14, RFC 2119, March 1997.
 257
 258    [RFC4279] Eronen, P. and H. Tschofenig, "Pre-Shared Key Ciphersuites
 259              for Transport Layer Security (TLS)", RFC 4279, December
 260              2005.
 261
 262    [RFC4346] Dierks, T. and E. Rescorla, "The TLS Protocol Version 1.1",
 263              RFC 4346, April 2006.
 264
 265
 266
 267
 268 Badra                   Expires August 2, 2008                 [Page 5]
 269 \f
 270 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008
 271
 272
 273    [RFC4492] Blake-Wilson, S., Bolyard, N., Gupta, V., Hawk, C., and B.
 274              Moeller, "Elliptic Curve Cryptography (ECC) Cipher Suites
 275              for Transport Layer Security (TLS)", RFC 4492, May 2006.
 276
 277    [RFC4785] Blumenthal, U. and P. Goel, "Pre-Shared Key (PSK)
 278              Ciphersuites with NULL Encryption for Transport Layer
 279              Security (TLS)", RFC 4785, January 2007.
 280
 281 Author's Addresses
 282
 283    Mohamad Badra
 284    LIMOS Laboratory - UMR6158, CNRS
 285    France
 286
 287    Email: badra@isima.fr
 288
 289
 290 Intellectual Property Statement
 291
 292    The IETF takes no position regarding the validity or scope of any
 293    Intellectual Property Rights or other rights that might be claimed to
 294    pertain to the implementation or use of the technology described in
 295    this document or the extent to which any license under such rights
 296    might or might not be available; nor does it represent that it has
 297    made any independent effort to identify any such rights.  Information
 298    on the procedures with respect to rights in RFC documents can be
 299    found in BCP 78 and BCP 79.
 300
 301    Copies of IPR disclosures made to the IETF Secretariat and any
 302    assurances of licenses to be made available, or the result of an
 303    attempt made to obtain a general license or permission for the use of
 304    such proprietary rights by implementers or users of this
 305    specification can be obtained from the IETF on-line IPR repository at
 306    http://www.ietf.org/ipr.
 307
 308    The IETF invites any interested party to bring to its attention any
 309    copyrights, patents or patent applications, or other proprietary
 310    rights that may cover technology that may be required to implement
 311    this standard.  Please address the information to the IETF at
 312    ietf-ipr@ietf.org.
 313
 314 Disclaimer of Validity
 315
 316    This document and the information contained herein are provided on an
 317    "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
 318    OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND
 319    THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS
 320
 321
 322 Badra                   Expires August 2, 2008                 [Page 6]
 323 \f
 324 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008
 325
 326
 327    OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF
 328    THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
 329    WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
 330
 331 Copyright Statement
 332
 333    Copyright (C) The IETF Trust (2008).
 334
 335    This document is subject to the rights, licenses and restrictions
 336    contained in BCP 78, and except as set forth therein, the authors
 337    retain all their rights.
 338
 339 Acknowledgment
 340
 341    Funding for the RFC Editor function is currently provided by the
 342    Internet Society.
 343
 344
 345
 346
 347
 348
 349
 350
 351
 352
 353
 354
 355
 356
 357
 358
 359
 360
 361
 362
 363
 364
 365
 366
 367
 368
 369
 370
 371
 372
 373
 374
 375
 376 Badra                   Expires August 2, 2008                 [Page 7]
 377 \f