corrected verification examples
[gnutls.git] / doc / protocol / draft-nir-tls-eap-00.txt
blobd740f04917c4835a2e26de652903bbeaa0fb4221
4 TLS Working Group                                                 Y. Nir
5 Internet-Draft                                                Y. Sheffer
6 Intended status: Standards Track                             Check Point
7 Expires: December 9, 2007                                  H. Tschofenig
8                                                                      NSN
9                                                               P. Gutmann
10                                                   University of Auckland
11                                                             June 7, 2007
14                       TLS using EAP Authentication
15                         draft-nir-tls-eap-00.txt
17 Status of this Memo
19    By submitting this Internet-Draft, each author represents that any
20    applicable patent or other IPR claims of which he or she is aware
21    have been or will be disclosed, and any of which he or she becomes
22    aware will be disclosed, in accordance with Section 6 of BCP 79.
24    Internet-Drafts are working documents of the Internet Engineering
25    Task Force (IETF), its areas, and its working groups.  Note that
26    other groups may also distribute working documents as Internet-
27    Drafts.
29    Internet-Drafts are draft documents valid for a maximum of six months
30    and may be updated, replaced, or obsoleted by other documents at any
31    time.  It is inappropriate to use Internet-Drafts as reference
32    material or to cite them other than as "work in progress."
34    The list of current Internet-Drafts can be accessed at
35    http://www.ietf.org/ietf/1id-abstracts.txt.
37    The list of Internet-Draft Shadow Directories can be accessed at
38    http://www.ietf.org/shadow.html.
40    This Internet-Draft will expire on December 9, 2007.
42 Copyright Notice
44    Copyright (C) The IETF Trust (2007).
55 Nir, et al.             Expires December 9, 2007                [Page 1]
57 Internet-Draft                 EAP-in-TLS                      June 2007
60 Abstract
62    This document describes an extension to the TLS protocol to allow TLS
63    clients to authenticate with legacy credentials using the Extensible
64    Authentication Protocol (EAP).
66    This work follows the example of IKEv2, where EAP has been added to
67    the IKEv2 protocol to allow clients to use different credentials such
68    as passwords, token cards, and shared secrets.
70    When TLS is used with EAP, additional records are sent after the
71    ChangeCipherSpec protocol message and before the Finished message,
72    effectively creating an extended handshake before the application
73    layer data can be sent.  Each EapMsg handshake record contains
74    exactly one EAP message.  Using EAP for client authentication allows
75    TLS to be used with various AAA back-end servers such as RADIUS or
76    Diameter.
78    TLS with EAP may be used for securing a data connection such as HTTP
79    or POP3.  We believe it has three main benefits:
80    o  The ability of EAP to work with backend servers can remove that
81       burden from the application layer.
82    o  Moving the user authentication into the TLS handshake protects the
83       presumably less secure application layer from attacks by
84       unauthenticated parties.
85    o  Using mutual authentication methods within EAP can help thwart
86       certain classes of phishing attacks.
111 Nir, et al.             Expires December 9, 2007                [Page 2]
113 Internet-Draft                 EAP-in-TLS                      June 2007
116 Table of Contents
118    1.  Introduction . . . . . . . . . . . . . . . . . . . . . . . . .  4
119      1.1.  EAP Applicability  . . . . . . . . . . . . . . . . . . . .  5
120      1.2.  Conventions Used in This Document  . . . . . . . . . . . .  5
121    2.  Operating Environment  . . . . . . . . . . . . . . . . . . . .  6
122    3.  Protocol Overview  . . . . . . . . . . . . . . . . . . . . . .  7
123      3.1.  The tee_supported Extension  . . . . . . . . . . . . . . .  8
124      3.2.  The InterimAuth Handshake Message  . . . . . . . . . . . .  8
125      3.3.  The EapMsg Handshake Message . . . . . . . . . . . . . . .  8
126      3.4.  Calculating the Finished message . . . . . . . . . . . . .  9
127    4.  Security Considerations  . . . . . . . . . . . . . . . . . . . 10
128      4.1.  InterimAuth vs. Finished . . . . . . . . . . . . . . . . . 10
129      4.2.  Identity Protection  . . . . . . . . . . . . . . . . . . . 10
130      4.3.  Mutual Authentication  . . . . . . . . . . . . . . . . . . 11
131    5.  Performance Considerations . . . . . . . . . . . . . . . . . . 12
132    6.  Operational Considerations . . . . . . . . . . . . . . . . . . 13
133    7.  IANA Considerations  . . . . . . . . . . . . . . . . . . . . . 14
134    8.  Acknowledgments  . . . . . . . . . . . . . . . . . . . . . . . 15
135    9.  Changes from Previous Versions . . . . . . . . . . . . . . . . 16
136      9.1.  Changes from the protocol model draft  . . . . . . . . . . 16
137    10. References . . . . . . . . . . . . . . . . . . . . . . . . . . 17
138      10.1. Normative References . . . . . . . . . . . . . . . . . . . 17
139      10.2. Informative References . . . . . . . . . . . . . . . . . . 17
140    Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . . 19
141    Intellectual Property and Copyright Statements . . . . . . . . . . 20
167 Nir, et al.             Expires December 9, 2007                [Page 3]
169 Internet-Draft                 EAP-in-TLS                      June 2007
172 1.  Introduction
174    This document describes a new extension to [TLS].  This extension
175    allows a TLS client to authenticate using [EAP] instead of performing
176    the authentication at the application level.  The extension follows
177    [TLS-EXT].  For the remainder of this document we will refer to this
178    extension as TEE (TLS with EAP Extension).
180    TEE extends the TLS handshake beyond the regular setup, to allow the
181    EAP protocol to run between the TLS server (called an "authenticator"
182    in EAP) and the TLS client (called a "supplicant").  This allows the
183    TLS architecture to handle client authentication before exposing the
184    server application software to an unauthenticated client.  In doing
185    this, we follow the approach taken for IKEv2 in [RFC4306].  However,
186    similar to regular TLS, we protect the user identity by only sending
187    the client identity after the server has authenticated.  In this our
188    solution differs from that of IKEv2.
190    Currently used applications that rely on non-certificate user
191    credentials use TLS to authenticate the server only.  After that, the
192    application takes over, and presents a login screen where the user is
193    expected to present their credentials.
195    This creates several problems.  It allows a client to access the
196    application before authentication, thus creating a potential for
197    anonymous attacks on non-hardened applications.  Additionally, web
198    pages are not particularly well suited for long shared secrets and
199    for interfacing with certain devices such as USB tokens.
201    TEE allows full mutual authentication to occur for all these
202    applications within the TLS exchange.  The application receives
203    control only when the user is identified and authenticated.  The
204    authentication can be built into the server infrastructure by
205    connecting to an AAA server.  The client side can be integrated into
206    client software such as web browsers and mail clients.  An EAP
207    infrastructure is already built into some operating systems providing
208    a user interface for each authentication method within EAP.
210    We intend TEE to be used for various protocols that use TLS such as
211    HTTPS, in cases where certificate based client authentication is not
212    practical.  This includes web-based mail services, online banking,
213    premium content websites and mail clients.
215    Another class of applications that may see benefit from TEE are TLS
216    based VPN clients used as part of so-called "SSL VPN" products.  No
217    such client protocols have so far been standardized.
223 Nir, et al.             Expires December 9, 2007                [Page 4]
225 Internet-Draft                 EAP-in-TLS                      June 2007
228 1.1.  EAP Applicability
230    Section 1.3 of [EAP] states that EAP is only applicable for network
231    access authentication, rather than for "bulk data transfer".  It then
232    goes on to explain why the transport properties of EAP indeed make it
233    unsuitable for bulk data transfer, e.g. for large file transport.
234    Our proposed use of EAP falls squarely within the applicability as
235    defined, since we make no further use of EAP beyond access
236    authentication.
238 1.2.  Conventions Used in This Document
240    The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
241    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
242    document are to be interpreted as described in [RFC2119].
279 Nir, et al.             Expires December 9, 2007                [Page 5]
281 Internet-Draft                 EAP-in-TLS                      June 2007
284 2.  Operating Environment
286    TEE will work between a client application and a server application,
287    performing either client authentication or mutual authentication
288    within the TLS exchange.
291         Client                         Server
292     +-------------------------+     +------------------------+
293     |  |GUI| | Client | |TLS+-+-----+-+TLS|   |Server      | |
294     |  +-^-+ |Software| +-^-+ |     +-+-^-+   |Application | |
295     |    |   +--------+   |   |     |   |     |Software    | |
296     |    |                |   |     |   |     +------------+ |
297     |  +-v----------------v-+ |     |   |                    |
298     |  |   EAP              | |     +---|--------------------+
299     |  |  Infrastructure    | |         |
300     |  +--------------------+ |         |    +--------+
301     +-------------------------+         |    | AAA    |
302                                         |    | Server |
303                                         +-----        |
304                                              +--------+
306    The above diagram shows the typical deployment.  The client has
307    software that either includes a UI for some EAP methods, or else is
308    able to invoke some operating system EAP infrastructure that takes
309    care of the user interaction.  The server is configured with the
310    address and protocol of the AAA server.  Typically the AAA server
311    communicates using the RADIUS protocol with EAP ([RADIUS] and
312    [RAD-EAP]), or the Diameter protocol ([Diameter] and [Dia-EAP]).
314    As stated in the introduction, we expect TEE to be used in both
315    browsers and applications.  Further uses may be authentication and
316    key generation for other protocols, and tunneling clients, which so
317    far have not been standardized.
335 Nir, et al.             Expires December 9, 2007                [Page 6]
337 Internet-Draft                 EAP-in-TLS                      June 2007
340 3.  Protocol Overview
342    The TEE extension defines the following:
343    o  A new extension type called tee_supported, used to indicate that
344       the client supports this extension.
345    o  A new message type for the handshake protocol, called InterimAuth,
346       which is used to sign previous messages.
347    o  A new message type for the handshake protocol, called EapMsg,
348       which is used to carry a single EAP message.
350    The diagram below outlines the protocol structure.  For illustration
351    purposes only, we use the MSCHAPv2 EAP method
352    [I-D.dpotter-pppext-eap-mschap].
354          Client                                               Server
355          ------                                               ------
357          ClientHello(*)             -------->
358                                                       ServerHello(*)
359                                                        (Certificate)
360                                                    ServerKeyExchange
361                                             EapMsg(Identity-Request)
362                                      <--------       ServerHelloDone
363          ClientKeyExchange
364          (CertificateVerify)
365          ChangeCipherSpec
366          InterimAuth
367          EapMsg(Identity-Reply)     -------->
368                                                     ChangeCipherSpec
369                                                          InterimAuth
370                                           EapMsg(MS-CHAP-v2-Request)
371                                     <--------
372          EapMsg(MS-CHAP-v2-Reply)   -------->
373                                                      EapMsg(Success)
374                                     <--------               Finished
375          Finished                   -------->
377        (*) The ClientHello and ServerHello include the tee_supported
378            extension to indicate support for TEE
381    The client indicates in the first message its support for TEE.  The
382    server sends an EAP identity request in the reply.  The client sends
383    the identity reply after the handshake completion.  The EAP request-
384    response sequence continues until the client is either authenticated
385    or rejected.
391 Nir, et al.             Expires December 9, 2007                [Page 7]
393 Internet-Draft                 EAP-in-TLS                      June 2007
396 3.1.  The tee_supported Extension
398    The tee_supported extension is a ClientHello and ServerHello
399    extension as defined in section 2.3 of [TLS-EXT].  The extension_type
400    field is TBA by IANA.  The extension_data is zero-length.
402 3.2.  The InterimAuth Handshake Message
404    The InterimAuth message is identical in syntax to the Finished
405    message described in section 7.4.9 of [TLS].  It is calculated in
406    exactly the same way.
408    The semantics, however, are somewhat different.  The "Finished"
409    message indicates that application data may now be sent.  The
410    "InterimAuth" message does not indicate this.  Instead, further
411    handshake messages are needed.
413    The HandshakeType value for the InterimAuth handshake message is TBA
414    by IANA.
416 3.3.  The EapMsg Handshake Message
418    The EapMsg handshake message carries exactly one EAP message as
419    defined in [EAP].
421    The HandshakeType value for the EapMsg handshake message is TBA by
422    IANA.
424    The EapMsg message is used to tunnel EAP messages between the
425    authentication server, which may be co-located with the TLS server,
426    or else may be a separate AAA server, and the supplicant, which is
427    co-located with the TLS client.  TLS on either side receives the EAP
428    data from the EAP infrastructure, and treats it as opaque.  TLS does
429    not make any changes to the EAP payload or make any decisions based
430    on the contents of an EapMsg handshake message.
432    Note that it is expected that the authentication server notifies the
433    TLS server about authentication success or failure, and so TLS need
434    not inspect the eap_payload within the EapMsg to detect success or
435    failure.
437          struct {
438              opaque eap_payload[4..65535];
439          } EapMsg;
441          eap_payload is defined in section 4 of RFC 3748. It includes
442          the Code, Identifier, Length and Data fields of the EAP
443          packet.
447 Nir, et al.             Expires December 9, 2007                [Page 8]
449 Internet-Draft                 EAP-in-TLS                      June 2007
452 3.4.  Calculating the Finished message
454    If the EAP method is key-generating (see [I-D.ietf-eap-keying]), the
455    Finished message is calculated as follows:
457          struct {
458              opaque verify_data[12];
459          } Finished;
461          verify_data
462              PRF(MSK, finished_label, MD5(handshake_messages) +
463              SHA-1(handshake_messages)) [0..11];
465    The finished_label and the PRF are as defined in section 7.4.9 of
466    [TLS].
468    The handshake_messages field, similar to regular TLS, comprises all
469    of the data from all messages in this handshake, including any EapMsg
470    and InterimAuth messages, up to but not including this Finished
471    message.  This is the concatenation of all the Handshake structures
472    exchanged thus far, as defined in section 7.4 of [TLS].
474    The Master Session Key (MSK) is derived by the AAA server and by the
475    client if the EAP method is key-generating.  On the server-side, it
476    is typically received from the AAA server over the RADIUS or Diameter
477    protocol.  On the client-side, it is passed to TLS by some other
478    method.
480    If the EAP method is not key-generating, then the Finished message is
481    calculated exactly as described in [TLS].  For a discussion on the
482    use of such methods, see Section 4.1.
503 Nir, et al.             Expires December 9, 2007                [Page 9]
505 Internet-Draft                 EAP-in-TLS                      June 2007
508 4.  Security Considerations
510 4.1.  InterimAuth vs. Finished
512    In regular TLS, the Finished message provides two functions: it signs
513    all preceding messages, and it signals that application data can now
514    be sent.  In TEE, some of the messages are signed twice.
516    Some EAP methods, such as EAP-TLS, EAP-IKEv2 and EAP-SIM generate
517    keys in addition to authenticating clients.  Such methods are said to
518    be resistant to man-in-the-middle (MITM) attacks as discussed in
519    [MITM].  Such methods are called key-generating methods.
521    To realize the benefit of such methods, we need to verify the key
522    that was generated within the EAP method.  This is referred to as the
523    MSK in EAP.  In TEE, the InterimAuth message signs all previous
524    messages with the master_secret, just like the Finished message in
525    regular TLS.  The Finished message signs all previous messages using
526    the MSK if such exists.  If not, then the messages are signed with
527    the master_secret as in regular TLS.
529    The need for signing twice arises from the fact that we need to use
530    both the master_secret and the MSK.  It was possible to use just one
531    Finished record and blend the MSK into the master_secret.  However,
532    this would needlessly complicate the protocol and make security
533    analysis more difficult.  Instead, we have decided to follow the
534    example of IKEv2, where two AUTH payloads are exchanged.
536    It should be noted that using non-key-generating methods may expose
537    the client to a MITM attack if the same method and credentials are
538    used in some other situation, in which the EAP is done outside of a
539    protected tunnel with an authenticated server.  Unless it can be
540    determined that the EAP method is never used in such a situation,
541    non-key-generating methods SHOULD NOT be used.
543 4.2.  Identity Protection
545    Unlike [TLS-PSK], TEE provides identity protection for the client.
546    The client's identity is hidden from a passive eavesdropper using TLS
547    encryption.  Active attacks are discussed in Section 4.3.
549    We could save one round-trip by having the client send its identity
550    within the Client Hello message.  This is similar to TLS-PSK.
551    However, we believe that identity protection is a worthy enough goal,
552    so as to justify the extra round-trip.
559 Nir, et al.             Expires December 9, 2007               [Page 10]
561 Internet-Draft                 EAP-in-TLS                      June 2007
564 4.3.  Mutual Authentication
566    In order to achieve our security goals, we need to have both the
567    server and the client authenticate.  Client authentication is
568    obviously done using the EAP method.  The server authentication can
569    be done in either of two ways:
570    1.  The client can verify the server certificate.  This may work well
571        depending on the scenario, but implies that the client or its
572        user can recognize the right DN or alternate name, and
573        distinguish it from plausible alternatives.  The introduction to
574        [I.D.Webauth-phishing] shows that at least in HTTPS, this is not
575        always the case.
576    2.  The client can use a mutually authenticated (MA) EAP method such
577        as MS-CHAPv2.  In this case, server certificate verification does
578        not matter, and the TLS handshake may as well be anonymous.  Note
579        that in this case, the client identity is sent to the server
580        before server authentication.
582    To summarize:
583    o  Clients MUST NOT propose anonymous ciphersuites, unless they
584       support MA EAP methods.
585    o  Servers MUST NOT accept anonymous ciphersuites, unless they
586       support MA EAP methods.  If they support both MA and non-MA
587       methods, they SHOULD prefer to use the MA methods.
588    o  Clients MUST NOT accept non-MA methods if the ciphersuite is
589       anonymous.
590    o  Clients MUST NOT accpet non-MA mehtods if they are not able to
591       verify the server credentials.  Note that this document does not
592       define what verification involves.  If the server DN is known and
593       stored on the client, verifying certificate signature and checking
594       revocation may be enough.  For web browsers, the case is not as
595       clear cut, and MA methods SHOULD be used.
615 Nir, et al.             Expires December 9, 2007               [Page 11]
617 Internet-Draft                 EAP-in-TLS                      June 2007
620 5.  Performance Considerations
622    Regular TLS adds two round-trips to a TCP connection.  However,
623    because of the stream nature of TCP, the client does not really need
624    to wait for the server's Finished message, and can begin sending
625    application data immediately after its own Finished message.  In
626    practice, many clients do so, and TLS only adds one round-trip of
627    delay.
629    TEE adds as many round-trips as the EAP method requires.  For
630    example, EAP-MD5 requires 1 round-trip, while EAP-SIM requires 2
631    round-trips.  Additionally, the client MUST wait for the EAP-Success
632    message before sending its own Finished message, so we need at least
633    3 round-trips for the entire handshake.  The best a client can do is
634    two round-trips plus however many round-trips the EAP method
635    requires.
637    It should be noted, though, that these extra round-trips save
638    processing time at the application level.  Two extra round-trips take
639    a lot less time than presenting a log-in web page and processing the
640    user's input.
642    It should also be noted, that TEE reverses the order of the Finished
643    messages.  In regular TLS the client sends the Finished message
644    first.  In TEE it is the server that sends the Finished message
645    first.  This should not affect performance, and it is clear that the
646    client may send application data immediately after the Finished
647    message.
671 Nir, et al.             Expires December 9, 2007               [Page 12]
673 Internet-Draft                 EAP-in-TLS                      June 2007
676 6.  Operational Considerations
678    Section 4.3 defines a dependency between the TLS state and the EAP
679    state in that it mandates that certain EAP methods should not be used
680    with certain TLS ciphersuites.  To avoid such dependencies, there are
681    two approaches that implementations can take.  They can either not
682    use any anonymous ciphersuites, or else they can use only MA EAP
683    methods.
685    Where certificate validation is problematic, such as in browser-based
686    HTTPS, we recommend the latter approach.
688    In cases where the use of EAP within TLS is not known before opening
689    the connection, it is necessary to consider the implications of
690    requiring the user to type in credentials after the connection has
691    already started.  TCP sessions may time out, because of security
692    considerations, and this may lead to session setup failure.
727 Nir, et al.             Expires December 9, 2007               [Page 13]
729 Internet-Draft                 EAP-in-TLS                      June 2007
732 7.  IANA Considerations
734    IANA is asked to assign an extension type value from the
735    "ExtensionType Values" registry for the tee_supported extension.
737    IANA is asked to assign two handshake message types from the "TLS
738    HandshakeType Registry", one for "EapMsg" and one for "InterimAuth".
783 Nir, et al.             Expires December 9, 2007               [Page 14]
785 Internet-Draft                 EAP-in-TLS                      June 2007
788 8.  Acknowledgments
790    The TLS Inner Application Extension work ([TLS/IA]) has inspired the
791    authors to create this simplified work.  TLS/IA provides a somewhat
792    different approach to integrating non-certificate credentials into
793    the TLS protocol, in addition to several other features available
794    from the RADIUS namespace.
796    The authors would also like to thank the various contributors to
797    [RFC4306] whose work inspired this one.
839 Nir, et al.             Expires December 9, 2007               [Page 15]
841 Internet-Draft                 EAP-in-TLS                      June 2007
844 9.  Changes from Previous Versions
846 9.1.  Changes from the protocol model draft
848    o  Added diagram for EapMsg
849    o  Added discussion of EAP applicability
850    o  Added discussion of mutually-authenticated EAP methods vs other
851       methods in the security considerations.
852    o  Added operational considerations.
853    o  Other minor nits.
895 Nir, et al.             Expires December 9, 2007               [Page 16]
897 Internet-Draft                 EAP-in-TLS                      June 2007
900 10.  References
902 10.1.  Normative References
904    [EAP]      Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., and H.
905               Levkowetz, "Extensible Authentication Protocol (EAP)",
906               RFC 3748, June 2004.
908    [RFC2119]  Bradner, S., "Key words for use in RFCs to Indicate
909               Requirement Levels", BCP 14, RFC 2119, March 1997.
911    [TLS]      Dierks, T. and E. Rescorla, "The Transport Layer Security
912               (TLS) Protocol Version 1.1", RFC 4346, April 2006.
914    [TLS-EXT]  Blake-Wilson, S., Nystrom, M., Hopwood, D., Mikkelsen, J.,
915               and T. Wright, "Transport Layer Security (TLS)
916               Extensions", RFC 4366, April 2006.
918 10.2.  Informative References
920    [Dia-EAP]  Eronen, P., Hiller, T., and G. Zorn, "Diameter Extensible
921               Authentication Protocol (EAP) Application", RFC 4072,
922               August 2005.
924    [Diameter]
925               Calhoun, P., Loughney, J., Guttman, E., Zorn, G., and J.
926               Arkko, "Diameter Base Protocol", RFC 3588, September 2003.
928    [I-D.dpotter-pppext-eap-mschap]
929               Potter, D. and J. Zamick, "PPP EAP MS-CHAP-V2
930               Authentication Protocol",
931               draft-dpotter-pppext-eap-mschap-01 (work in progress),
932               January 2002.
934    [I-D.ietf-eap-keying]
935               Aboba, B., "Extensible Authentication Protocol (EAP) Key
936               Management Framework", draft-ietf-eap-keying-18 (work in
937               progress), February 2007.
939    [I.D.Webauth-phishing]
940               Hartman, S., "Requirements for Web Authentication
941               Resistant to Phishing", draft-hartman-webauth-phishing-03
942               (work in progress), March 2007.
944    [MITM]     Asokan, N., Niemi, V., and K. Nyberg, "Man-in-the-Middle
945               in Tunneled Authentication Protocols", October 2002.
947    [RAD-EAP]  Aboba, B. and P. Calhoun, "RADIUS (Remote Authentication
951 Nir, et al.             Expires December 9, 2007               [Page 17]
953 Internet-Draft                 EAP-in-TLS                      June 2007
956               Dial In User Service) Support For Extensible
957               Authentication Protocol (EAP)", RFC 3579, September 2003.
959    [RADIUS]   Rigney, C., Willens, S., Rubens, A., and W. Simpson,
960               "Remote Authentication Dial In User Service (RADIUS)",
961               RFC 2865, June 2000.
963    [RFC4306]  Kaufman, C., "Internet Key Exchange (IKEv2) Protocol",
964               RFC 4306, December 2005.
966    [TLS-PSK]  Eronen, P. and H. Tschofenig, "Pre-Shared Key Ciphersuites
967               for Transport Layer Security (TLS)", RFC 4279,
968               December 2005.
970    [TLS/IA]   Funk, P., Blake-Wilson, S., Smith, H., Tschofenig, N., and
971               T. Hardjono, "TLS Inner Application Extension (TLS/IA)",
972               draft-funk-tls-inner-application-extension-03 (work in
973               progress), June 2006.
1007 Nir, et al.             Expires December 9, 2007               [Page 18]
1009 Internet-Draft                 EAP-in-TLS                      June 2007
1012 Authors' Addresses
1014    Yoav Nir
1015    Check Point Software Technologies Ltd.
1016    5 Hasolelim st.
1017    Tel Aviv  67897
1018    Israel
1020    Email: ynir@checkpoint.com
1023    Yaron Sheffer
1024    Check Point Software Technologies Ltd.
1025    5 Hasolelim st.
1026    Tel Aviv  67897
1027    Israel
1029    Email: yaronf at checkpoint dot com
1032    Hannes Tschofenig
1033    Nokia Siemens Networks
1034    Otto-Hahn-Ring 6
1035    Munich, Bavaria  81739
1036    Germany
1038    Email: Hannes.Tschofenig@siemens.com
1039    URI:   http://www.tschofenig.com
1042    Peter Gutmann
1043    University of Auckland
1044    Department of Computer Science
1045    New Zealand
1047    Email: pgut001@cs.auckland.ac.nz
1063 Nir, et al.             Expires December 9, 2007               [Page 19]
1065 Internet-Draft                 EAP-in-TLS                      June 2007
1068 Full Copyright Statement
1070    Copyright (C) The IETF Trust (2007).
1072    This document is subject to the rights, licenses and restrictions
1073    contained in BCP 78, and except as set forth therein, the authors
1074    retain all their rights.
1076    This document and the information contained herein are provided on an
1077    "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
1078    OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND
1079    THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS
1080    OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF
1081    THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
1082    WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
1085 Intellectual Property
1087    The IETF takes no position regarding the validity or scope of any
1088    Intellectual Property Rights or other rights that might be claimed to
1089    pertain to the implementation or use of the technology described in
1090    this document or the extent to which any license under such rights
1091    might or might not be available; nor does it represent that it has
1092    made any independent effort to identify any such rights.  Information
1093    on the procedures with respect to rights in RFC documents can be
1094    found in BCP 78 and BCP 79.
1096    Copies of IPR disclosures made to the IETF Secretariat and any
1097    assurances of licenses to be made available, or the result of an
1098    attempt made to obtain a general license or permission for the use of
1099    such proprietary rights by implementers or users of this
1100    specification can be obtained from the IETF on-line IPR repository at
1101    http://www.ietf.org/ipr.
1103    The IETF invites any interested party to bring to its attention any
1104    copyrights, patents or patent applications, or other proprietary
1105    rights that may cover technology that may be required to implement
1106    this standard.  Please address the information to the IETF at
1107    ietf-ipr@ietf.org.
1110 Acknowledgment
1112    Funding for the RFC Editor function is provided by the IETF
1113    Administrative Support Activity (IASA).
1119 Nir, et al.             Expires December 9, 2007               [Page 20]