corrected verification examples
[gnutls.git] / doc / protocol / draft-ietf-tls-ecdhe-psk-01.txt
blob7ce0223fc935b03aad71ed1d5b701badd48eedf8
1 TLS Working Group                                         Mohamad Badra 
2 Internet Draft                                         LIMOS Laboratory 
3 Intended status: Informational                            April 2, 2008 
4 Expires: October 2008 
5                                     
6  
7                                       
8          ECDHE_PSK Ciphersuites for Transport Layer Security (TLS)  
9                       draft-ietf-tls-ecdhe-psk-01.txt 
12 Status of this Memo 
14    By submitting this Internet-Draft, each author represents that any 
15    applicable patent or other IPR claims of which he or she is aware 
16    have been or will be disclosed, and any of which he or she becomes 
17    aware will be disclosed, in accordance with Section 6 of BCP 79. 
19    Internet-Drafts are working documents of the Internet Engineering 
20    Task Force (IETF), its areas, and its working groups.  Note that 
21    other groups may also distribute working documents as Internet-
22    Drafts. 
24    Internet-Drafts are draft documents valid for a maximum of six months 
25    and may be updated, replaced, or obsoleted by other documents at any 
26    time.  It is inappropriate to use Internet-Drafts as reference 
27    material or to cite them other than as "work in progress." 
29    The list of current Internet-Drafts can be accessed at 
30    http://www.ietf.org/ietf/1id-abstracts.txt 
32    The list of Internet-Draft Shadow Directories can be accessed at 
33    http://www.ietf.org/shadow.html 
35    This Internet-Draft will expire on October 2, 2008. 
37 Copyright Notice 
39    Copyright (C) The IETF Trust (2008). 
41 Abstract 
43    This document extends RFC 4279, RFC 4492 and RFC 4785, and specifies 
44    a set of ciphersuites that use a pre-shared key (PSK) to authenticate 
45    an Elliptic Curve Diffie-Hellman exchange (ECDH).  These ciphersuites 
46    provide Perfect Forward Secrecy (PFS). 
52 Badra                  Expires October 2, 2008                 [Page 1] 
54 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008 
55     
57 Table of Contents 
59    1. Introduction...................................................3 
60       1.1. Conventions used in this document.........................3 
61    2. ECDHE_PSK Key Exchange Algorithm...............................3 
62    3. ECDHE_PSK Key Exchange Algorithm with NULL Encryption..........5 
63    4. Security Considerations........................................5 
64    5. IANA Considerations............................................5 
65    6. Acknowledgments................................................5 
66    7. References.....................................................5 
67       7.1. Normative References......................................5 
68    Author's Addresses................................................6 
69    Intellectual Property Statement...................................6 
70    Disclaimer of Validity............................................6 
71     
106 Badra                   Expires August 2, 2008                 [Page 2] 
108 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008 
109     
111 1. Introduction 
113    RFC 4279 specifies ciphersuites for supporting TLS using pre-shared 
114    symmetric keys and they (a) use only symmetric key operations for 
115    authentication, (b) use a Diffie-Hellman exchange authenticated with 
116    a pre-shared key, or (c) combines public key authentication of the 
117    server with pre-shared key authentication of the client.  
119    RFC 4785 specifies authentication-only ciphersuites (with no 
120    encryption).  These ciphersuites are useful when authentication and 
121    integrity protection is desired, but confidentiality is not needed or 
122    not permitted. 
124    RFC 4492 defines a set of ECC-based ciphersuites for TLS and 
125    describes the use of ECC certificates for client authentication.  In 
126    particular, it specifies the use of Elliptic Curve Diffie-Hellman 
127    (ECDH) key agreement in a TLS handshake and the use of Elliptic Curve 
128    Digital Signature Algorithm (ECDSA) as a new authentication 
129    mechanism. 
131    This document specifies a set of ciphersuites that use a PSK to 
132    authenticate an ECDH exchange.  These ciphersuites provide Perfect 
133    Forward Secrecy.  One of these ciphersuite provides authentication-
134    only. 
136    The reader is expected to become familiar with RFC 4279, RFC 4492, 
137    and RFC 4785 prior to studying this document. 
139 1.1. Conventions used in this document  
141    The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", 
142    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this 
143    document are to be interpreted as described in [RFC2119]. 
145 2. ECDHE_PSK Key Exchange Algorithm 
147    The ciphersuites in this section match the ciphersuites defined in 
148    [RFC4279], except that they use an Elliptic Curve Diffie-Hellman 
149    exchange [RFC4492] authenticated with a PSK.  They are defined as 
150    follow:  
152      CipherSuite                          Key Exchange  Cipher      Hash 
154      TLS_ECDHE_PSK_WITH_RC4_128_SHA       ECDHE_PSK     RC4_128      SHA 
155      TLS_ECDHE_PSK_WITH_3DES_EDE_CBC_SHA  ECDHE_PSK     3DES_EDE_CBC SHA 
156      TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA   ECDHE_PSK     AES_128_CBC  SHA 
157      TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA   ECDHE_PSK     AES_256_CBC  SHA 
160 Badra                   Expires August 2, 2008                 [Page 3] 
162 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008 
163     
165    These ciphersuites make use of the EC parameter negotiation mechanism 
166    defined in RFC 4492.  When the ciphersuites defined in this document 
167    are used, the 'ec_diffie_hellman_psk' case inside the 
168    ServerKeyExchange and ClientKeyExchange structure MUST be used 
169    instead of the 'psk' case defined in [RFC4279] (i.e., the 
170    ServerKeyExchange and ClientKeyExchange messages include the Diffie-
171    Hellman parameters).  The PSK identity and identity hint fields have 
172    the same meaning and encoding specified in [RFC4279] (note that the 
173    ServerKeyExchange message is always sent, even if no PSK identity 
174    hint is provided). 
176    The format of the ServerKeyExchange and ClientKeyExchange messages is 
177    shown below. 
179          struct {  
180              select (KeyExchangeAlgorithm) {  
181                  /* other cases for rsa, diffie_hellman, etc. */  
182                  case ec_diffie_hellman_psk:  /* NEW */  
183                      opaque psk_identity_hint<0..2^16-1>;  
184                      ServerECDHParams params;  
185              };  
186          } ServerKeyExchange;  
188          struct {  
189              select (KeyExchangeAlgorithm) {  
190                  /* other cases for rsa, diffie_hellman, etc. */  
191                  case ec_diffie_hellman_psk:   /* NEW */  
192                      opaque psk_identity<0..2^16-1>;  
193                      ClientECDiffieHellmanPublic public;  
194              } exchange_keys;  
195          } ClientKeyExchange; 
197    The premaster secret is formed as follows.  First, perform an ECDH 
198    operation (See section 5.10 of [RFC4492]) to compute the shared 
199    secret.  Next, concatenate a uint16 containing the length of the 
200    shared secret (in octets), the shared secret itself, a uint16 
201    containing the length of the PSK (in octets), and the PSK itself. 
203    This corresponds to the general structure for the premaster secrets 
204    (see Note 1 in Section 2 of [RFC4279]), with "other_secret" 
205    containing the shared secret: 
207          struct { 
208               opaque other_secret<0..2^16-1>;  
209               opaque psk<0..2^16-1>;  
210          }; 
214 Badra                   Expires August 2, 2008                 [Page 4] 
216 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008 
217     
219 3. ECDHE_PSK Key Exchange Algorithm with NULL Encryption 
221    The ciphersuite in this section matches the ciphersuites defined in 
222    section 2, except that we define a suite with null encryption. 
224      CipherSuite                     Key Exchange   Cipher      Hash  
226      TLS_ECDHE_PSK_WITH_NULL_SHA     ECDHE_PSK      NULL        SHA  
228 4. Security Considerations 
230    The security considerations described throughout [RFC4279], 
231    [RFC4346], [RFC4492], and [RFC4785] apply here as well. 
233 5. IANA Considerations 
235    This document defines the following new ciphersuites, whose values 
236    are to be assigned from the TLS Cipher Suite registry defined in 
237    [RFC4346]. 
239      CipherSuite TLS_ECDHE_PSK_WITH_RC4_128_SHA        = { 0xXX, 0xXX }; 
240      CipherSuite TLS_ECDHE_PSK_WITH_3DES_EDE_CBC_SHA   = { 0xXX, 0xXX }; 
241      CipherSuite TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA    = { 0xXX, 0xXX }; 
242      CipherSuite TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA    = { 0xXX, 0xXX }; 
243      CipherSuite TLS_ECDHE_PSK_WITH_NULL_SHA           = { 0xXX, 0xXX }; 
245 6. Acknowledgments 
247    The author would like to thank Bodo Moeller, Simon Josefsson, Uri 
248    Blumenthal, Pasi Eronen, Alfred Hoenes, Paul Hoffman, Joseph Salowey, 
249    and the TLS mailing list members for their comments on the document. 
251 7. References 
253 7.1. Normative References 
255    [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate 
256              Requirement Levels", BCP 14, RFC 2119, March 1997. 
258    [RFC4279] Eronen, P. and H. Tschofenig, "Pre-Shared Key Ciphersuites 
259              for Transport Layer Security (TLS)", RFC 4279, December 
260              2005.  
262    [RFC4346] Dierks, T. and E. Rescorla, "The TLS Protocol Version 1.1", 
263              RFC 4346, April 2006. 
268 Badra                   Expires August 2, 2008                 [Page 5] 
270 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008 
271     
273    [RFC4492] Blake-Wilson, S., Bolyard, N., Gupta, V., Hawk, C., and B. 
274              Moeller, "Elliptic Curve Cryptography (ECC) Cipher Suites 
275              for Transport Layer Security (TLS)", RFC 4492, May 2006. 
277    [RFC4785] Blumenthal, U. and P. Goel, "Pre-Shared Key (PSK) 
278              Ciphersuites with NULL Encryption for Transport Layer 
279              Security (TLS)", RFC 4785, January 2007. 
281 Author's Addresses 
283    Mohamad Badra 
284    LIMOS Laboratory - UMR6158, CNRS 
285    France 
286     
287    Email: badra@isima.fr 
288     
290 Intellectual Property Statement 
292    The IETF takes no position regarding the validity or scope of any 
293    Intellectual Property Rights or other rights that might be claimed to 
294    pertain to the implementation or use of the technology described in 
295    this document or the extent to which any license under such rights 
296    might or might not be available; nor does it represent that it has 
297    made any independent effort to identify any such rights.  Information 
298    on the procedures with respect to rights in RFC documents can be 
299    found in BCP 78 and BCP 79. 
301    Copies of IPR disclosures made to the IETF Secretariat and any 
302    assurances of licenses to be made available, or the result of an 
303    attempt made to obtain a general license or permission for the use of 
304    such proprietary rights by implementers or users of this 
305    specification can be obtained from the IETF on-line IPR repository at 
306    http://www.ietf.org/ipr. 
308    The IETF invites any interested party to bring to its attention any 
309    copyrights, patents or patent applications, or other proprietary 
310    rights that may cover technology that may be required to implement 
311    this standard.  Please address the information to the IETF at 
312    ietf-ipr@ietf.org. 
314 Disclaimer of Validity 
316    This document and the information contained herein are provided on an 
317    "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS 
318    OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND 
319    THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS 
322 Badra                   Expires August 2, 2008                 [Page 6] 
324 Internet-Draft      ECDHE_PSK Ciphersuites for TLS           April 2008 
325     
327    OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF 
328    THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED 
329    WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. 
331 Copyright Statement 
333    Copyright (C) The IETF Trust (2008). 
335    This document is subject to the rights, licenses and restrictions 
336    contained in BCP 78, and except as set forth therein, the authors 
337    retain all their rights. 
339 Acknowledgment 
341    Funding for the RFC Editor function is currently provided by the 
342    Internet Society. 
376 Badra                   Expires August 2, 2008                 [Page 7]