doc/standardisation/draft-ietf-kitten-krb5-gssapi-prf-04.txt

   1
   2
   3
   4 NETWORK WORKING GROUP                                        N. Williams
   5 Internet-Draft                                                       Sun
   6 Expires: December 15, 2005                                 June 13, 2005
   7
   8
   9                A PRF for the Kerberos V GSS-API Mechanism
  10                 draft-ietf-kitten-krb5-gssapi-prf-04.txt
  11
  12 Status of this Memo
  13
  14    By submitting this Internet-Draft, each author represents that any
  15    applicable patent or other IPR claims of which he or she is aware
  16    have been or will be disclosed, and any of which he or she becomes
  17    aware will be disclosed, in accordance with Section 6 of BCP 79.
  18
  19    Internet-Drafts are working documents of the Internet Engineering
  20    Task Force (IETF), its areas, and its working groups.  Note that
  21    other groups may also distribute working documents as Internet-
  22    Drafts.
  23
  24    Internet-Drafts are draft documents valid for a maximum of six months
  25    and may be updated, replaced, or obsoleted by other documents at any
  26    time.  It is inappropriate to use Internet-Drafts as reference
  27    material or to cite them other than as "work in progress."
  28
  29    The list of current Internet-Drafts can be accessed at
  30    http://www.ietf.org/ietf/1id-abstracts.txt.
  31
  32    The list of Internet-Draft Shadow Directories can be accessed at
  33    http://www.ietf.org/shadow.html.
  34
  35    This Internet-Draft will expire on December 15, 2005.
  36
  37 Copyright Notice
  38
  39    Copyright (C) The Internet Society (2005).
  40
  41 Abstract
  42
  43    This document defines the Pseudo-Random Function (PRF) for the
  44    Kerberos V mechanism for the Generic Security Service Application
  45    Programming Interface (GSS-API), based on the PRF defined for the
  46    Kerberos V cryptographic framework, for keying application protocols
  47    given an established Kerberos V GSS-API security context.
  48
  49
  50
  51
  52
  53
  54
  55 Williams                Expires December 15, 2005               [Page 1]
  56 \f
  57 Internet-Draft        A PRF for the Kerberos V Mech            June 2005
  58
  59
  60 Table of Contents
  61
  62    1.  Introduction . . . . . . . . . . . . . . . . . . . . . . . . .  3
  63    1.1 Conventions used in this document  . . . . . . . . . . . . . .  3
  64    2.  Kerberos V GSS Mechanism PRF . . . . . . . . . . . . . . . . .  3
  65    3.  IANA Considerations  . . . . . . . . . . . . . . . . . . . . .  4
  66    4.  Security Considerations  . . . . . . . . . . . . . . . . . . .  4
  67    5.  Normative References . . . . . . . . . . . . . . . . . . . . .  4
  68        Author's Address . . . . . . . . . . . . . . . . . . . . . . .  5
  69        Intellectual Property and Copyright Statements . . . . . . . .  6
  70
  71
  72
  73
  74
  75
  76
  77
  78
  79
  80
  81
  82
  83
  84
  85
  86
  87
  88
  89
  90
  91
  92
  93
  94
  95
  96
  97
  98
  99
 100
 101
 102
 103
 104
 105
 106
 107
 108
 109
 110
 111 Williams                Expires December 15, 2005               [Page 2]
 112 \f
 113 Internet-Draft        A PRF for the Kerberos V Mech            June 2005
 114
 115
 116 1.  Introduction
 117
 118    This document specifies the Kerberos V GSS-API mechanism's pseudo-
 119    random function corresponding to [GSS-PRF].  The function is a "PRF+"
 120    style construction.
 121
 122 1.1  Conventions used in this document
 123
 124    The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
 125    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
 126    document are to be interpreted as described in [RFC2119].
 127
 128 2.  Kerberos V GSS Mechanism PRF
 129
 130    The GSS-API PRF [GSS-PRF] function for the Kerberos V mechanism
 131    [RFC1964] shall be the output of a PRF+ function based on the
 132    encryption type's PRF function keyed with the negotiated session key
 133    of the security context corresponding to the 'prf_key' input
 134    parameter of GSS_Pseudo_random().
 135
 136    This PRF+ MUST be keyed with the key indicated by the 'prf_key' input
 137    parameter as follows:
 138
 139    o  GSS_C_PRF_KEY_FULL -- use the sub-session key asserted by the
 140       acceptor, if any, or the sub-session asserted by the initiator, if
 141       any, or the Ticket's session key
 142
 143    o  GSS_C_PRF_KEY_PARTIAL -- use the sub-session key asserted by the
 144       initiator, if any, or the Ticket's session key
 145
 146    The PRF+ function is a simple counter-based extension of the Kerberos
 147    V pseudo-random function [RFC3961] for the encryption type of the
 148    security context's keys:
 149
 150          PRF+(K, L, S) = truncate(L, T1 || T2 || .. || Tn)
 151
 152          Tn = pseudo-random(K, n || S)
 153
 154    where '||' is the concatenation operator, 'n' is encoded as a network
 155    byte order 32-bit unsigned binary number, truncate(L, S) truncates
 156    the input octet string S to length L, and pseudo-random() is the
 157    Kerberos V pseudo-random function [RFC3961].
 158
 159    The maximum output size of the Kerberos V mechanism's GSS-API PRF
 160    then is, necessarily, 2^32 times the output size of the pseudo-
 161    random() function for the encryption type of the given key.
 162
 163    When the input size is longer than 2^14 octets as per [GSS-PRF] and
 164
 165
 166
 167 Williams                Expires December 15, 2005               [Page 3]
 168 \f
 169 Internet-Draft        A PRF for the Kerberos V Mech            June 2005
 170
 171
 172    exceeds an implementation's resources then the mechanism MUST return
 173    GSS_S_FAILURE and GSS_KRB5_S_KG_INPUT_TOO_LONG as the minor status
 174    code.
 175
 176 3.  IANA Considerations
 177
 178    This document has no IANA considerations currently.  If and when a
 179    relevant IANA registry of GSS-API symbols and constants is created
 180    then the GSS_KRB5_S_KG_INPUT_TOO_LONG minor status code should be
 181    added to such a registry.
 182
 183 4.  Security Considerations
 184
 185    Kerberos V encryption types' PRF functions use a key derived from
 186    contexts' session keys and should preserve the forward security
 187    properties of the mechanisms' key exchanges.
 188
 189    Legacy Kerberos V encryption types may be weak, particularly the
 190    single-DES encryption types.
 191
 192    See also [GSS-PRF] for generic security considerations of
 193    GSS_Pseudo_random().
 194
 195    See also [RFC3961] for generic security considerations of the
 196    Kerberos V cryptographic framework.
 197
 198    Use of Ticket session keys, rather than sub-session keys, when
 199    initiators and acceptors fail to assert sub-session keys, is
 200    dangerous as ticket reuse can lead to key reuse, therefore initiators
 201    should assert sub-session keys always, and acceptors should assert
 202    sub-session keys at least when initiators fail to do so..
 203
 204    The computational cost of computing this PRF+ may vary depending on
 205    the Kerberos V encryption types being used, but generally the
 206    computation of this PRF+ gets more expensive as the input and output
 207    octet string lengths grow (note that the use of a counter in the PRF+
 208    construction allows for parallelization).  This means that if an
 209    application can be tricked into providing very large input octet
 210    strings and requesting very long output octet strings then that may
 211    constitute a denial of service attack on the application; therefore
 212    applications SHOULD place appropriate limits on the size of any input
 213    octet strings received from their peers without integrity protection.
 214
 215 5.  Normative References
 216
 217    [CFX]      Zhu, L., Jaganathan, K., and S. Hartman, "The Kerberos
 218               Version 5 GSS-API Mechanism: Version 2".
 219
 220
 221
 222
 223 Williams                Expires December 15, 2005               [Page 4]
 224 \f
 225 Internet-Draft        A PRF for the Kerberos V Mech            June 2005
 226
 227
 228    [GSS-PRF]  Williams, N., "A PRF API extension for the GSS-API".
 229
 230    [RFC1964]  Linn, J., "The Kerberos Version 5 GSS-API Mechanism",
 231               RFC 1964, June 1996.
 232
 233    [RFC2119]  Bradner, S., "Key words for use in RFCs to Indicate
 234               Requirement Levels", BCP 14, RFC 2119, March 1997.
 235
 236    [RFC2743]  Linn, J., "Generic Security Service Application Program
 237               Interface Version 2, Update 1", RFC 2743, January 2000.
 238
 239    [RFC2744]  Wray, J., "Generic Security Service API Version 2 :
 240               C-bindings", RFC 2744, January 2000.
 241
 242    [RFC3961]  Raeburn, K., "Encryption and Checksum Specifications for
 243               Kerberos 5", RFC 3961, February 2005.
 244
 245
 246 Author's Address
 247
 248    Nicolas Williams
 249    Sun Microsystems
 250    5300 Riata Trace Ct
 251    Austin, TX  78727
 252    US
 253
 254    Email: Nicolas.Williams@sun.com
 255
 256
 257
 258
 259
 260
 261
 262
 263
 264
 265
 266
 267
 268
 269
 270
 271
 272
 273
 274
 275
 276
 277
 278
 279 Williams                Expires December 15, 2005               [Page 5]
 280 \f
 281 Internet-Draft        A PRF for the Kerberos V Mech            June 2005
 282
 283
 284 Intellectual Property Statement
 285
 286    The IETF takes no position regarding the validity or scope of any
 287    Intellectual Property Rights or other rights that might be claimed to
 288    pertain to the implementation or use of the technology described in
 289    this document or the extent to which any license under such rights
 290    might or might not be available; nor does it represent that it has
 291    made any independent effort to identify any such rights.  Information
 292    on the procedures with respect to rights in RFC documents can be
 293    found in BCP 78 and BCP 79.
 294
 295    Copies of IPR disclosures made to the IETF Secretariat and any
 296    assurances of licenses to be made available, or the result of an
 297    attempt made to obtain a general license or permission for the use of
 298    such proprietary rights by implementers or users of this
 299    specification can be obtained from the IETF on-line IPR repository at
 300    http://www.ietf.org/ipr.
 301
 302    The IETF invites any interested party to bring to its attention any
 303    copyrights, patents or patent applications, or other proprietary
 304    rights that may cover technology that may be required to implement
 305    this standard.  Please address the information to the IETF at
 306    ietf-ipr@ietf.org.
 307
 308
 309 Disclaimer of Validity
 310
 311    This document and the information contained herein are provided on an
 312    "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
 313    OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET
 314    ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED,
 315    INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE
 316    INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
 317    WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
 318
 319
 320 Copyright Statement
 321
 322    Copyright (C) The Internet Society (2005).  This document is subject
 323    to the rights, licenses and restrictions contained in BCP 78, and
 324    except as set forth therein, the authors retain all their rights.
 325
 326
 327 Acknowledgment
 328
 329    Funding for the RFC Editor function is currently provided by the
 330    Internet Society.
 331
 332
 333
 334
 335 Williams                Expires December 15, 2005               [Page 6]
 336 \f
 337