Patrick Welche <prlw1@cam.ac.uk>
[netbsd-mini2440.git] / external / bsd / bind / dist / doc / draft / draft-ietf-dnsext-tsig-md5-deprecated-03.txt
blob72d38aa267ab7123c50f06ed3596223a445eda93
4 DNSext Working Group                                           F. Dupont
5 Internet-Draft                                                       ISC
6 Updates: 2845,2930,4635                                      May 8, 2009
7 (if approved)
8 Intended status: Standards Track
9 Expires: November 9, 2009
12      Deprecation of HMAC-MD5 in DNS TSIG and TKEY Resource Records
13               draft-ietf-dnsext-tsig-md5-deprecated-03.txt
15 Status of this Memo
17    This Internet-Draft is submitted to IETF in full conformance with the
18    provisions of BCP 78 and BCP 79.  This document may contain material
19    from IETF Documents or IETF Contributions published or made publicly
20    available before November 10, 2008.  The person(s) controlling the
21    copyright in some of this material may not have granted the IETF
22    Trust the right to allow modifications of such material outside the
23    IETF Standards Process.  Without obtaining an adequate license from
24    the person(s) controlling the copyright in such materials, this
25    document may not be modified outside the IETF Standards Process, and
26    derivative works of it may not be created outside the IETF Standards
27    Process, except to format it for publication as an RFC or to
28    translate it into languages other than English.
30    Internet-Drafts are working documents of the Internet Engineering
31    Task Force (IETF), its areas, and its working groups.  Note that
32    other groups may also distribute working documents as Internet-
33    Drafts.
35    Internet-Drafts are draft documents valid for a maximum of six months
36    and may be updated, replaced, or obsoleted by other documents at any
37    time.  It is inappropriate to use Internet-Drafts as reference
38    material or to cite them other than as "work in progress."
40    The list of current Internet-Drafts can be accessed at
41    http://www.ietf.org/ietf/1id-abstracts.txt.
43    The list of Internet-Draft Shadow Directories can be accessed at
44    http://www.ietf.org/shadow.html.
46    This Internet-Draft will expire on November 9, 2009.
48 Copyright Notice
50    Copyright (c) 2009 IETF Trust and the persons identified as the
51    document authors.  All rights reserved.
55 Dupont                  Expires November 9, 2009                [Page 1]
57 Internet-Draft        Deprecating HMAC-MD5 in TSIG              May 2009
60    This document is subject to BCP 78 and the IETF Trust's Legal
61    Provisions Relating to IETF Documents in effect on the date of
62    publication of this document (http://trustee.ietf.org/license-info).
63    Please review these documents carefully, as they describe your rights
64    and restrictions with respect to this document.
66 Abstract
68    The main purpose of this document is to deprecate the use of HMAC-MD5
69    as an algorithm for the TSIG (secret key transaction authentication)
70    resource record in the DNS (domain name system), and the use of MD5
71    in TKEY (secret key establishment for DNS).
74 1.  Introduction
76    The secret key transaction authentication for DNS (TSIG, [RFC2845])
77    was defined with the HMAC-MD5 [RFC2104] cryptographic algorithm.
78    When the MD5 [RFC1321] security came to be considered lower than
79    expected, [RFC4635] standardized new TSIG algorithms based on SHA
80    [RFC3174][RFC3874][RFC4634] digests.
82    But [RFC4635] did not deprecate the HMAC-MD5 algorithm.  This
83    document is targeted to complete the process, in detail:
84    1.  Mark HMAC-MD5.SIG-ALG.REG.INT as optional in the TSIG algorithm
85        name registry managed by the IANA under the IETF Review Policy
86        [RFC5226]
87    2.  Make HMAC-MD5.SIG-ALG.REG.INT support "not Mandatory" for
88        implementations
89    3.  Provide a keying material derivation for the secret key
90        establishment for DNS (TKEY, [RFC2930]) using a Diffie-Hellman
91        exchange with SHA256 [RFC4634] in place of MD5 [RFC1321]
92    4.  Finally recommend the use of HMAC-SHA256.
94    The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
95    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
96    document are to be interpreted as described in [RFC2119].
99 2.  Implementation Requirements
101    The table of section 3 of [RFC4635] is replaced by:
111 Dupont                  Expires November 9, 2009                [Page 2]
113 Internet-Draft        Deprecating HMAC-MD5 in TSIG              May 2009
116              +-------------------+--------------------------+
117              | Requirement Level | Algorithm Name           |
118              +-------------------+--------------------------+
119              | Optional          | HMAC-MD5.SIG-ALG.REG.INT |
120              | Optional          | gss-tsig                 |
121              | Mandatory         | hmac-sha1                |
122              | Optional          | hmac-sha224              |
123              | Mandatory         | hmac-sha256              |
124              | Optional          | hmac-sha384              |
125              | Optional          | hmac-sha512              |
126              +-------------------+--------------------------+
128    Implementations that support TSIG MUST also implement HMAC-SHA1 and
129    HMAC-SHA256 (i.e., algorithms at the "Mandatory" requirement level)
130    and MAY implement GSS-TSIG and the other algorithms listed above
131    (i.e., algorithms at a "not Mandatory" requirement level).
134 3.  TKEY keying material derivation
136    When the TKEY [RFC2930] uses a Diffie-Hellman exchange, the keying
137    material is derived from the shared secret and TKEY resource record
138    data using MD5 [RFC1321] at the end of section 4.1 page 9.
140    This is amended into:
142          keying material =
143               XOR ( DH value, SHA256 ( query data | DH value ) |
144                               SHA256 ( server data | DH value ) )
146    using the same conventions.
149 4.  IANA Consideration
151    This document extends the "TSIG Algorithm Names - per [] and
152    [RFC2845]" located at
153    http://www.iana.org/assignments/tsig-algorithm-names by adding a new
154    column to the registry "Compliance Requirement".
156    The registry should contain the following:
167 Dupont                  Expires November 9, 2009                [Page 3]
169 Internet-Draft        Deprecating HMAC-MD5 in TSIG              May 2009
172     +--------------------------+------------------------+-------------+
173     | Algorithm Name           | Compliance Requirement | Reference   |
174     +--------------------------+------------------------+-------------+
175     | gss-tsig                 | Optional               | [RFC3645]   |
176     | HMAC-MD5.SIG-ALG.REG.INT | Optional               | [][RFC2845] |
177     | hmac-sha1                | Mandatory              | [RFC4635]   |
178     | hmac-sha224              | Optional               | [RFC4635]   |
179     | hmac-sha256              | Mandatory              | [RFC4635]   |
180     | hmac-sha384              | Optional               | [RFC4635]   |
181     | hmac-sha512              | Optional               | [RFC4635]   |
182     +--------------------------+------------------------+-------------+
184    where [] is this document.
187 5.  Availability Considerations
189    MD5 is no longer universally available and its use may lead to
190    increasing operation issues.  SHA1 is likely to suffer from the same
191    kind of problem.  In summary MD5 has reached end-of-life and SHA1
192    will likely follow in the near term.
194    According to [RFC4635], implementations which support TSIG are
195    REQUIRED to implement HMAC-SHA256.
198 6.  Security Considerations
200    This document does not assume anything about the cryptographic
201    security of different hash algorithms.  Its purpose is a better
202    availability of some security mechanisms in a predictable time frame.
204    Requirement levels are adjusted for TSIG and related specifications
205    (i.e., TKEY):
206       The support of HMAC-MD5 is changed from mandatory to optional.
207       The use of MD5 and HMAC-MD5 is NOT RECOMMENDED.
208       The use of HMAC-SHA256 is RECOMMENDED.
211 7.  Acknowledgments
213    Olafur Gudmundsson kindly helped in the procedure to deprecate the
214    MD5 use in TSIG, i.e., the procedure which led to this memo.  Alfred
215    Hoenes, Peter Koch, Paul Hoffman and Edward Lewis proposed some
216    improvements.
219 8.  References
223 Dupont                  Expires November 9, 2009                [Page 4]
225 Internet-Draft        Deprecating HMAC-MD5 in TSIG              May 2009
228 8.1.  Normative References
230    [RFC2119]  Bradner, S., "Key words for use in RFCs to Indicate
231               Requirement Levels", RFC 2119, BCP 14, March 1997.
233    [RFC2845]  Vixie, P., Gudmundsson, O., Eastlake, D., and B.
234               Wellington, "Secret Key Transaction Authentication for DNS
235               (TSIG)", RFC 2845, May 2000.
237    [RFC2930]  Eastlake, D., "Secret Key Establishment for DNS (TKEY
238               RR)", RFC 2930, September 2000.
240    [RFC4635]  Eastlake, D., "HMAC SHA TSIG Algorithm Identifiers",
241               RFC 4635, August 2006.
243 8.2.  Informative References
245    [RFC1321]  Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321,
246               April 1992.
248    [RFC2104]  Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-
249               Hashing for Message Authentication", RFC 2104,
250               February 1997.
252    [RFC3174]  Eastlake, D. and P. Jones, "US Secure Hash Algorithm 1
253               (SHA1)", RFC 3174, September 2001.
255    [RFC3645]  Kwan, S., Garg, P., Gilroy, J., Esibov, L., Westhead, J.,
256               and R. Hall, "Generic Security Service Algorithm for
257               Secret Key Transaction Authentication for DNS (GSS-TSIG)",
258               RFC 3645, October 2003.
260    [RFC3874]  Housley, R., "A 224-bit One-way Hash Function: SHA-224",
261               RFC 3874, September 2004.
263    [RFC4634]  Eastlake, D. and T. Hansen, "US Secure Hash Algorithms
264               (SHA and HMAC-SHA)", RFC 4634, July 2006.
266    [RFC5226]  Narten, T. and H. Alvestrand, "Guidelines for Writing an
267               IANA Considerations Section in RFCs", RFC 5226, BCP 26,
268               May 2008.
279 Dupont                  Expires November 9, 2009                [Page 5]
281 Internet-Draft        Deprecating HMAC-MD5 in TSIG              May 2009
284 Author's Address
286    Francis Dupont
287    ISC
289    Email: Francis.Dupont@fdupont.fr
335 Dupont                  Expires November 9, 2009                [Page 6]