doc/specification/draft-melnikov-sasl-digest-aes-00.txt

   1 SASL Working Group                                           A. Melnikov
   2 Internet Draft                             ACI WorldWide/MessagingDirect
   3 Document: draft-melnikov-sasl-digest-aes-00.txt            February 2002
   4
   5
   6               AES Ciphersuites for DIGEST-MD5 SASL mechanism
   7
   8 Status of this Memo
   9
  10    This document is an Internet Draft and is in full conformance with
  11    all provisions of Section 10 of RFC 2026.
  12
  13    Internet Drafts are working documents of the Internet Engineering
  14    Task Force (IETF), its Areas, and its Working Groups.  Note that
  15    other groups may also distribute working documents as Internet
  16    Drafts. Internet Drafts are draft documents valid for a maximum of
  17    six months.  Internet Drafts may be updated, replaced, or obsoleted
  18    by other documents at any time.  It is not appropriate to use
  19    Internet Drafts as reference material or to cite them other than as
  20    ``work in progress''.
  21
  22      The list of current Internet-Drafts can be accessed at
  23      http://www.ietf.org/ietf/1id-abstracts.txt
  24
  25      The list of Internet-Draft Shadow Directories can be accessed at
  26      http://www.ietf.org/shadow.html.
  27
  28      Directories on ds.internic.net, nic.nordu.net, ftp.isi.edu, or
  29      munnari.oz.au.
  30
  31    A revised version of this draft document will be submitted to the RFC
  32    editor as a Proposed Standard for the Internet Community.  Discussion
  33    and suggestions for improvement are requested.  Distribution of this
  34    draft is unlimited.
  35
  36 Copyright Notice
  37
  38    Copyright (C) The Internet Society (2002).  All Rights Reserved.
  39
  40 Abstract
  41
  42    This document describes the use of the AES Cipher Algorithm in Cipher
  43    Block Chaining Mode, as a confidentiality algorithm for DIGEST-MD5
  44    SASL mechanism.
  45
  46
  47 Table of Contents
  48
  49    <TBD>
  50
  51
  52 1  Introduction
  53
  54     At present, the symmetric ciphers supported by DIGEST-MD5 are RC4,
  55     DES and triple DES. The SASL mechanism would be enhanced by the
  56     addition of AES [AES] ciphersuites, for the following reasons:
  57
  58      1.  RC4 is a subject to intellectual property claims. RSA Security
  59          Inc has claims that the RC4 algorithm is a trade secret.
  60
  61      2.  DES is not considered secure.
  62
  63      3.  The AES is computationally and memory efficient and has withstood
  64          extensive cryptanalytic analysis. It is easy implementable on
  65          a variety of software and hardware, including smart cards
  66          and handheld computers. The AES is therefore a desirable choice.
  67
  68      This document proposes a new DIGEST-MD5 ciphersuite, with the aim of
  69      overcoming these problems.
  70
  71
  72 2  Conventions and Notation
  73
  74    This document uses conventions established by [DIGEST].
  75
  76
  77 3 Definition of AES ciphers for Confidentiality Protection
  78
  79    This document extends the ABNF definition of cipher-value defined in
  80    section 2.1.1 of [DIGEST].
  81
  82         cipher-value      |= "aes"
  83
  84    where
  85
  86       aes
  87          the Advanced Encryption Standard (AES) cipher [AES] in cipher
  88          block chaining (CBC) mode with a 128 bit key. This mode requires an
  89          Initialization Vector (IV) that is the same size as the block size.
  90
  91    Section 2.4 of [DIGEST] defines the value of "n" that is used to construct
  92    Kcc and Kcs. For cipher "aes" n is 16. The key for the "aes" cipher is all
  93    16 bytes of Kcc or Kcs.
  94
  95    The IV for the "aes" cipher in CBC mode for messages going from client
  96    to server (IVc) consists of 16 bytes calculated as follows:
  97
  98    IVc = MD5({Kcc, "aes-128"})
  99
 100    The IV for the "aes" cipher in CBC mode for messages going from server
 101    to client (IVs) consists of 16 bytes calculated as follows:
 102
 103    IVs = MD5({Kcs, "aes-128"})
 104
 105    The IV is XOR'd with the first plaintext block before it is encrypted.
 106    Then for successive blocks, the previous ciphertext block is XOR'd with
 107    the current plaintext, before it is encrypted.
 108
 109
 110 4  Security Considerations
 111
 112    It is not believed that the new ciphersuite is ever less secure
 113    than the corresponding older ones.  The AES is believed to be
 114    secure, and it has withstood extensive cryptanalytic attack.
 115
 116    The use of MD5 hash in DIGEST-MD5 limits the length of AES key to
 117    128 bit, because a key is the output of MD5 hash (i.e. it can't be
 118    longer than 128 bit).
 119
 120
 121 5   References
 122
 123    [RFC 2222] Myers, J., "Simple Authentication and Security Layer
 124               (SASL)", RFC 2222, October 1997.
 125
 126    [DIGEST]   Leach, P., Newman, C., "Using Digest Authentication as a
 127               SASL Mechanism", RFC 2831, May 2000.
 128
 129    [AES]      Daemen, J., Rijmen, V., "The Rijndael Block Cipher",
 130               http://csrc.nist.gov/encryption/aes/rijndael/Rijndael.pdf,
 131               3rd September 1999.
 132
 133    [RFC 1321] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321,
 134               April 1992.
 135
 136
 137 6  Acknowledgements
 138
 139     This document borrows some text from draft-ietf-ipsec-ciph-aes-cbc-03.txt
 140     and draft-ietf-tls-ciphersuite-06.txt.
 141
 142
 143 7  Authors' Addresses
 144
 145     Alexey Melnikov
 146     mailto: mel@messagingdirect.com
 147
 148     ACI WorldWide/MessagingDirect
 149     900 10117 - Jasper Ave.
 150     Edmonton, Alberta, T5J 1W8, CANADA
 151
 152
 153 8  Full Copyright Statement
 154
 155    Copyright (C) The Internet Society (2002).  All Rights Reserved.
 156
 157    This document and translations of it may be copied and furnished to
 158    others, and derivative works that comment on or otherwise explain it
 159    or assist in its implementation may be prepared, copied, published
 160    and distributed, in whole or in part, without restriction of any
 161    kind, provided that the above copyright notice and this paragraph are
 162    included on all such copies and derivative works.  However, this
 163    document itself may not be modified in any way, such as by removing
 164    the copyright notice or references to the Internet Society or other
 165    Internet organizations, except as needed for the purpose of
 166    developing Internet standards in which case the procedures for
 167    copyrights defined in the Internet Standards process must be
 168    followed, or as required to translate it into languages other than
 169    English.
 170
 171    The limited permissions granted above are perpetual and will not be
 172    revoked by the Internet Society or its successors or assigns.
 173
 174    This document and the information contained herein is provided on an
 175    "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
 176    TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
 177    BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
 178    HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
 179    MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
 180
 181 Acknowledgement
 182
 183    Funding for the RFC Editor function is currently provided by the
 184    Internet Society.