external/bsd/bind/dist/doc/draft/draft-ietf-dnsext-tsig-md5-deprecated-03.txt

   1
   2
   3
   4 DNSext Working Group                                           F. Dupont
   5 Internet-Draft                                                       ISC
   6 Updates: 2845,2930,4635                                      May 8, 2009
   7 (if approved)
   8 Intended status: Standards Track
   9 Expires: November 9, 2009
  10
  11
  12      Deprecation of HMAC-MD5 in DNS TSIG and TKEY Resource Records
  13               draft-ietf-dnsext-tsig-md5-deprecated-03.txt
  14
  15 Status of this Memo
  16
  17    This Internet-Draft is submitted to IETF in full conformance with the
  18    provisions of BCP 78 and BCP 79.  This document may contain material
  19    from IETF Documents or IETF Contributions published or made publicly
  20    available before November 10, 2008.  The person(s) controlling the
  21    copyright in some of this material may not have granted the IETF
  22    Trust the right to allow modifications of such material outside the
  23    IETF Standards Process.  Without obtaining an adequate license from
  24    the person(s) controlling the copyright in such materials, this
  25    document may not be modified outside the IETF Standards Process, and
  26    derivative works of it may not be created outside the IETF Standards
  27    Process, except to format it for publication as an RFC or to
  28    translate it into languages other than English.
  29
  30    Internet-Drafts are working documents of the Internet Engineering
  31    Task Force (IETF), its areas, and its working groups.  Note that
  32    other groups may also distribute working documents as Internet-
  33    Drafts.
  34
  35    Internet-Drafts are draft documents valid for a maximum of six months
  36    and may be updated, replaced, or obsoleted by other documents at any
  37    time.  It is inappropriate to use Internet-Drafts as reference
  38    material or to cite them other than as "work in progress."
  39
  40    The list of current Internet-Drafts can be accessed at
  41    http://www.ietf.org/ietf/1id-abstracts.txt.
  42
  43    The list of Internet-Draft Shadow Directories can be accessed at
  44    http://www.ietf.org/shadow.html.
  45
  46    This Internet-Draft will expire on November 9, 2009.
  47
  48 Copyright Notice
  49
  50    Copyright (c) 2009 IETF Trust and the persons identified as the
  51    document authors.  All rights reserved.
  52
  53
  54
  55 Dupont                  Expires November 9, 2009                [Page 1]
  56 \f
  57 Internet-Draft        Deprecating HMAC-MD5 in TSIG              May 2009
  58
  59
  60    This document is subject to BCP 78 and the IETF Trust's Legal
  61    Provisions Relating to IETF Documents in effect on the date of
  62    publication of this document (http://trustee.ietf.org/license-info).
  63    Please review these documents carefully, as they describe your rights
  64    and restrictions with respect to this document.
  65
  66 Abstract
  67
  68    The main purpose of this document is to deprecate the use of HMAC-MD5
  69    as an algorithm for the TSIG (secret key transaction authentication)
  70    resource record in the DNS (domain name system), and the use of MD5
  71    in TKEY (secret key establishment for DNS).
  72
  73
  74 1.  Introduction
  75
  76    The secret key transaction authentication for DNS (TSIG, [RFC2845])
  77    was defined with the HMAC-MD5 [RFC2104] cryptographic algorithm.
  78    When the MD5 [RFC1321] security came to be considered lower than
  79    expected, [RFC4635] standardized new TSIG algorithms based on SHA
  80    [RFC3174][RFC3874][RFC4634] digests.
  81
  82    But [RFC4635] did not deprecate the HMAC-MD5 algorithm.  This
  83    document is targeted to complete the process, in detail:
  84    1.  Mark HMAC-MD5.SIG-ALG.REG.INT as optional in the TSIG algorithm
  85        name registry managed by the IANA under the IETF Review Policy
  86        [RFC5226]
  87    2.  Make HMAC-MD5.SIG-ALG.REG.INT support "not Mandatory" for
  88        implementations
  89    3.  Provide a keying material derivation for the secret key
  90        establishment for DNS (TKEY, [RFC2930]) using a Diffie-Hellman
  91        exchange with SHA256 [RFC4634] in place of MD5 [RFC1321]
  92    4.  Finally recommend the use of HMAC-SHA256.
  93
  94    The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
  95    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
  96    document are to be interpreted as described in [RFC2119].
  97
  98
  99 2.  Implementation Requirements
 100
 101    The table of section 3 of [RFC4635] is replaced by:
 102
 103
 104
 105
 106
 107
 108
 109
 110
 111 Dupont                  Expires November 9, 2009                [Page 2]
 112 \f
 113 Internet-Draft        Deprecating HMAC-MD5 in TSIG              May 2009
 114
 115
 116              +-------------------+--------------------------+
 117              | Requirement Level | Algorithm Name           |
 118              +-------------------+--------------------------+
 119              | Optional          | HMAC-MD5.SIG-ALG.REG.INT |
 120              | Optional          | gss-tsig                 |
 121              | Mandatory         | hmac-sha1                |
 122              | Optional          | hmac-sha224              |
 123              | Mandatory         | hmac-sha256              |
 124              | Optional          | hmac-sha384              |
 125              | Optional          | hmac-sha512              |
 126              +-------------------+--------------------------+
 127
 128    Implementations that support TSIG MUST also implement HMAC-SHA1 and
 129    HMAC-SHA256 (i.e., algorithms at the "Mandatory" requirement level)
 130    and MAY implement GSS-TSIG and the other algorithms listed above
 131    (i.e., algorithms at a "not Mandatory" requirement level).
 132
 133
 134 3.  TKEY keying material derivation
 135
 136    When the TKEY [RFC2930] uses a Diffie-Hellman exchange, the keying
 137    material is derived from the shared secret and TKEY resource record
 138    data using MD5 [RFC1321] at the end of section 4.1 page 9.
 139
 140    This is amended into:
 141
 142          keying material =
 143               XOR ( DH value, SHA256 ( query data | DH value ) |
 144                               SHA256 ( server data | DH value ) )
 145
 146    using the same conventions.
 147
 148
 149 4.  IANA Consideration
 150
 151    This document extends the "TSIG Algorithm Names - per [] and
 152    [RFC2845]" located at
 153    http://www.iana.org/assignments/tsig-algorithm-names by adding a new
 154    column to the registry "Compliance Requirement".
 155
 156    The registry should contain the following:
 157
 158
 159
 160
 161
 162
 163
 164
 165
 166
 167 Dupont                  Expires November 9, 2009                [Page 3]
 168 \f
 169 Internet-Draft        Deprecating HMAC-MD5 in TSIG              May 2009
 170
 171
 172     +--------------------------+------------------------+-------------+
 173     | Algorithm Name           | Compliance Requirement | Reference   |
 174     +--------------------------+------------------------+-------------+
 175     | gss-tsig                 | Optional               | [RFC3645]   |
 176     | HMAC-MD5.SIG-ALG.REG.INT | Optional               | [][RFC2845] |
 177     | hmac-sha1                | Mandatory              | [RFC4635]   |
 178     | hmac-sha224              | Optional               | [RFC4635]   |
 179     | hmac-sha256              | Mandatory              | [RFC4635]   |
 180     | hmac-sha384              | Optional               | [RFC4635]   |
 181     | hmac-sha512              | Optional               | [RFC4635]   |
 182     +--------------------------+------------------------+-------------+
 183
 184    where [] is this document.
 185
 186
 187 5.  Availability Considerations
 188
 189    MD5 is no longer universally available and its use may lead to
 190    increasing operation issues.  SHA1 is likely to suffer from the same
 191    kind of problem.  In summary MD5 has reached end-of-life and SHA1
 192    will likely follow in the near term.
 193
 194    According to [RFC4635], implementations which support TSIG are
 195    REQUIRED to implement HMAC-SHA256.
 196
 197
 198 6.  Security Considerations
 199
 200    This document does not assume anything about the cryptographic
 201    security of different hash algorithms.  Its purpose is a better
 202    availability of some security mechanisms in a predictable time frame.
 203
 204    Requirement levels are adjusted for TSIG and related specifications
 205    (i.e., TKEY):
 206       The support of HMAC-MD5 is changed from mandatory to optional.
 207       The use of MD5 and HMAC-MD5 is NOT RECOMMENDED.
 208       The use of HMAC-SHA256 is RECOMMENDED.
 209
 210
 211 7.  Acknowledgments
 212
 213    Olafur Gudmundsson kindly helped in the procedure to deprecate the
 214    MD5 use in TSIG, i.e., the procedure which led to this memo.  Alfred
 215    Hoenes, Peter Koch, Paul Hoffman and Edward Lewis proposed some
 216    improvements.
 217
 218
 219 8.  References
 220
 221
 222
 223 Dupont                  Expires November 9, 2009                [Page 4]
 224 \f
 225 Internet-Draft        Deprecating HMAC-MD5 in TSIG              May 2009
 226
 227
 228 8.1.  Normative References
 229
 230    [RFC2119]  Bradner, S., "Key words for use in RFCs to Indicate
 231               Requirement Levels", RFC 2119, BCP 14, March 1997.
 232
 233    [RFC2845]  Vixie, P., Gudmundsson, O., Eastlake, D., and B.
 234               Wellington, "Secret Key Transaction Authentication for DNS
 235               (TSIG)", RFC 2845, May 2000.
 236
 237    [RFC2930]  Eastlake, D., "Secret Key Establishment for DNS (TKEY
 238               RR)", RFC 2930, September 2000.
 239
 240    [RFC4635]  Eastlake, D., "HMAC SHA TSIG Algorithm Identifiers",
 241               RFC 4635, August 2006.
 242
 243 8.2.  Informative References
 244
 245    [RFC1321]  Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321,
 246               April 1992.
 247
 248    [RFC2104]  Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-
 249               Hashing for Message Authentication", RFC 2104,
 250               February 1997.
 251
 252    [RFC3174]  Eastlake, D. and P. Jones, "US Secure Hash Algorithm 1
 253               (SHA1)", RFC 3174, September 2001.
 254
 255    [RFC3645]  Kwan, S., Garg, P., Gilroy, J., Esibov, L., Westhead, J.,
 256               and R. Hall, "Generic Security Service Algorithm for
 257               Secret Key Transaction Authentication for DNS (GSS-TSIG)",
 258               RFC 3645, October 2003.
 259
 260    [RFC3874]  Housley, R., "A 224-bit One-way Hash Function: SHA-224",
 261               RFC 3874, September 2004.
 262
 263    [RFC4634]  Eastlake, D. and T. Hansen, "US Secure Hash Algorithms
 264               (SHA and HMAC-SHA)", RFC 4634, July 2006.
 265
 266    [RFC5226]  Narten, T. and H. Alvestrand, "Guidelines for Writing an
 267               IANA Considerations Section in RFCs", RFC 5226, BCP 26,
 268               May 2008.
 269
 270
 271
 272
 273
 274
 275
 276
 277
 278
 279 Dupont                  Expires November 9, 2009                [Page 5]
 280 \f
 281 Internet-Draft        Deprecating HMAC-MD5 in TSIG              May 2009
 282
 283
 284 Author's Address
 285
 286    Francis Dupont
 287    ISC
 288
 289    Email: Francis.Dupont@fdupont.fr
 290
 291
 292
 293
 294
 295
 296
 297
 298
 299
 300
 301
 302
 303
 304
 305
 306
 307
 308
 309
 310
 311
 312
 313
 314
 315
 316
 317
 318
 319
 320
 321
 322
 323
 324
 325
 326
 327
 328
 329
 330
 331
 332
 333
 334
 335 Dupont                  Expires November 9, 2009                [Page 6]
 336 \f