doc/protocol/draft-ietf-tls-ecc-new-mac-07.txt

   1
   2
   3
   4 Network Working Group                                        E. Rescorla
   5 Internet-Draft                                                RTFM, Inc.
   6 Intended status:  Informational                              May 9, 2008
   7 Expires:  November 10, 2008
   8
   9
  10 TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter
  11                                   Mode
  12                    draft-ietf-tls-ecc-new-mac-07.txt
  13
  14 Status of this Memo
  15
  16    By submitting this Internet-Draft, each author represents that any
  17    applicable patent or other IPR claims of which he or she is aware
  18    have been or will be disclosed, and any of which he or she becomes
  19    aware will be disclosed, in accordance with Section 6 of BCP 79.
  20
  21    Internet-Drafts are working documents of the Internet Engineering
  22    Task Force (IETF), its areas, and its working groups.  Note that
  23    other groups may also distribute working documents as Internet-
  24    Drafts.
  25
  26    Internet-Drafts are draft documents valid for a maximum of six months
  27    and may be updated, replaced, or obsoleted by other documents at any
  28    time.  It is inappropriate to use Internet-Drafts as reference
  29    material or to cite them other than as "work in progress."
  30
  31    The list of current Internet-Drafts can be accessed at
  32    http://www.ietf.org/ietf/1id-abstracts.txt.
  33
  34    The list of Internet-Draft Shadow Directories can be accessed at
  35    http://www.ietf.org/shadow.html.
  36
  37    This Internet-Draft will expire on November 10, 2008.
  38
  39 Copyright Notice
  40
  41    Copyright (C) The IETF Trust (2008).
  42
  43 Abstract
  44
  45    RFC 4492 describes elliptic curve cipher suites for Transport Layer
  46    Security (TLS).  However, all those cipher suites use SHA-1 as their
  47    MAC algorithm.  This document describes sixteen new cipher suites for
  48    TLS which specify stronger digest algorithms.  Eight use HMAC with
  49    SHA-256 or SHA-384 and eight use AES in Galois Counter Mode (GCM).
  50
  51
  52
  53
  54
  55 Rescorla                Expires November 10, 2008               [Page 1]
  56 \f
  57 Internet-Draft               TLS ECC New MAC                    May 2008
  58
  59
  60 Table of Contents
  61
  62    1.  Introduction  . . . . . . . . . . . . . . . . . . . . . . . . . 3
  63    2.  Conventions Used In This Document . . . . . . . . . . . . . . . 3
  64    3.  Cipher Suites . . . . . . . . . . . . . . . . . . . . . . . . . 3
  65      3.1.  HMAC-based Cipher Suites  . . . . . . . . . . . . . . . . . 3
  66      3.2.  Galois Counter Mode-based Cipher Suites . . . . . . . . . . 4
  67    4.  Security Considerations . . . . . . . . . . . . . . . . . . . . 4
  68    5.  IANA Considerations . . . . . . . . . . . . . . . . . . . . . . 4
  69    6.  Acknowledgements  . . . . . . . . . . . . . . . . . . . . . . . 5
  70    7.  References  . . . . . . . . . . . . . . . . . . . . . . . . . . 5
  71      7.1.  Normative References  . . . . . . . . . . . . . . . . . . . 5
  72      7.2.  Informative References  . . . . . . . . . . . . . . . . . . 6
  73    Author's Address  . . . . . . . . . . . . . . . . . . . . . . . . . 6
  74    Intellectual Property and Copyright Statements  . . . . . . . . . . 7
  75
  76
  77
  78
  79
  80
  81
  82
  83
  84
  85
  86
  87
  88
  89
  90
  91
  92
  93
  94
  95
  96
  97
  98
  99
 100
 101
 102
 103
 104
 105
 106
 107
 108
 109
 110
 111 Rescorla                Expires November 10, 2008               [Page 2]
 112 \f
 113 Internet-Draft               TLS ECC New MAC                    May 2008
 114
 115
 116 1.  Introduction
 117
 118    RFC 4492 [RFC4492] describes Elliptic Curve Cryptography (ECC) cipher
 119    suites for Transport Layer Security (TLS).  However, all of the RFC
 120    4492 suites use HMAC-SHA1 as their MAC algorithm.  Due to recent
 121    analytic work on SHA-1 [Wang05], the IETF is gradually moving away
 122    from SHA-1 and towards stronger hash algorithms.  This document
 123    specifies TLS ECC cipher suites which use SHA-256 and SHA-384 [SHS]
 124    rather than SHA-1.
 125
 126    TLS 1.2 [I-D.ietf-tls-rfc4346-bis], adds support for authenticated
 127    encryption with additional data (AEAD) cipher modes [RFC5116].  This
 128    document also specifies a set of ECC cipher suites using one such
 129    mode, Galois Counter Mode (GCM) [GCM].  Another document
 130    [I-D.ietf-tls-rsa-aes-gcm], provides support for GCM with other key
 131    establishment methods.
 132
 133
 134 2.  Conventions Used In This Document
 135
 136    The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
 137    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
 138    document are to be interpreted as described in [RFC2119].
 139
 140
 141 3.  Cipher Suites
 142
 143    This document defines 16 new cipher suites to be added to TLS.  All
 144    use Elliptic Curve Cryptography for key exchange and digital
 145    signature, as defined in RFC 4492.
 146
 147 3.1.  HMAC-based Cipher Suites
 148
 149    The first eight cipher suites use AES [AES] in CBC [CBC] mode with an
 150    HMAC-based MAC:
 151
 152        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256  = {0xXX,XX};
 153        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384  = {0xXX,XX};
 154        CipherSuite TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256   = {0xXX,XX};
 155        CipherSuite TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384   = {0xXX,XX};
 156        CipherSuite TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256    = {0xXX,XX};
 157        CipherSuite TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384    = {0xXX,XX};
 158        CipherSuite TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256     = {0xXX,XX};
 159        CipherSuite TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384     = {0xXX,XX};
 160
 161    These eight cipher suites are the same as the corresponding cipher
 162    suites in RFC 4492 (with names ending in "_SHA" in place of "_SHA256"
 163    or "_SHA384"), except for the hash and PRF algorithms.
 164
 165
 166
 167 Rescorla                Expires November 10, 2008               [Page 3]
 168 \f
 169 Internet-Draft               TLS ECC New MAC                    May 2008
 170
 171
 172    These SHALL be as follows:
 173
 174    o  For cipher suites ending with _SHA256, the PRF is the TLS PRF
 175       [I-D.ietf-tls-rfc4346-bis] with SHA-256 as the hash function.  The
 176       MAC is HMAC [RFC2104] with SHA-256 as the hash function.
 177    o  For cipher suites ending with _SHA384, the PRF is the TLS PRF
 178       [I-D.ietf-tls-rfc4346-bis] with SHA-384 as the hash function.  The
 179       MAC is HMAC [RFC2104] with SHA-384 as the hash function.
 180
 181 3.2.  Galois Counter Mode-based Cipher Suites
 182
 183    The second eight cipher suites use the same asymmetric algorithms as
 184    those in the previous section but use the new authenticated
 185    encryption modes defined in TLS 1.2 with AES in Galois Counter Mode
 186    (GCM) [GCM]:
 187
 188        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256  = {0xXX,XX};
 189        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384  = {0xXX,XX};
 190        CipherSuite TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256   = {0xXX,XX};
 191        CipherSuite TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384   = {0xXX,XX};
 192        CipherSuite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256    = {0xXX,XX};
 193        CipherSuite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384    = {0xXX,XX};
 194        CipherSuite TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256     = {0xXX,XX};
 195        CipherSuite TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384     = {0xXX,XX};
 196
 197    These cipher suites use authenticated encryption with additional data
 198    algorithms AEAD_AES_128_GCM and AEAD_AES_256_GCM described in
 199    [RFC5116].  GCM is used as described in [I-D.ietf-tls-rsa-aes-gcm].
 200
 201    The PRFs SHALL be as follows:
 202
 203    o  For cipher suites ending with _SHA256, the PRF is the TLS PRF
 204       [I-D.ietf-tls-rfc4346-bis] with SHA-256 as the hash function.
 205    o  For cipher suites ending with _SHA384, the PRF is the TLS PRF
 206       [I-D.ietf-tls-rfc4346-bis] with SHA-384 as the hash function.
 207
 208
 209 4.  Security Considerations
 210
 211    The security considerations in RFC 4346, RFC 4492, and
 212    [I-D.ietf-tls-rsa-aes-gcm] apply to this document as well.  In
 213    addition, as described in [I-D.ietf-tls-rsa-aes-gcm], these cipher
 214    suites may only be used with TLS 1.2 or greater.
 215
 216
 217 5.  IANA Considerations
 218
 219    IANA has assigned the following values for these cipher suites:
 220
 221
 222
 223 Rescorla                Expires November 10, 2008               [Page 4]
 224 \f
 225 Internet-Draft               TLS ECC New MAC                    May 2008
 226
 227
 228        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256  = {0xXX,XX};
 229        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384  = {0xXX,XX};
 230        CipherSuite TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256   = {0xXX,XX};
 231        CipherSuite TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384   = {0xXX,XX};
 232        CipherSuite TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256    = {0xXX,XX};
 233        CipherSuite TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384    = {0xXX,XX};
 234        CipherSuite TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256     = {0xXX,XX};
 235        CipherSuite TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384     = {0xXX,XX};
 236        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256  = {0xXX,XX};
 237        CipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384  = {0xXX,XX};
 238        CipherSuite TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256   = {0xXX,XX};
 239        CipherSuite TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384   = {0xXX,XX};
 240        CipherSuite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256    = {0xXX,XX};
 241        CipherSuite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384    = {0xXX,XX};
 242        CipherSuite TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256     = {0xXX,XX};
 243        CipherSuite TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384     = {0xXX,XX};
 244
 245
 246 6.  Acknowledgements
 247
 248    This work was supported by the US Department of Defense.
 249
 250    David McGrew, Pasi Eronen, and Alfred Hoenes provided reviews of this
 251    document.
 252
 253
 254 7.  References
 255
 256 7.1.  Normative References
 257
 258    [RFC2104]  Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-
 259               Hashing for Message Authentication", RFC 2104,
 260               February 1997.
 261
 262    [RFC2119]  Bradner, S., "Key words for use in RFCs to Indicate
 263               Requirement Levels", BCP 14, RFC 2119, March 1997.
 264
 265    [RFC4492]  Blake-Wilson, S., Bolyard, N., Gupta, V., Hawk, C., and B.
 266               Moeller, "Elliptic Curve Cryptography (ECC) Cipher Suites
 267               for Transport Layer Security (TLS)", RFC 4492, May 2006.
 268
 269    [RFC5116]  McGrew, D., "An Interface and Algorithms for Authenticated
 270               Encryption", RFC 5116, January 2008.
 271
 272    [I-D.ietf-tls-rfc4346-bis]
 273               Dierks, T. and E. Rescorla, "The Transport Layer Security
 274               (TLS) Protocol Version 1.2", draft-ietf-tls-rfc4346-bis-10
 275               (work in progress), March 2008.
 276
 277
 278
 279 Rescorla                Expires November 10, 2008               [Page 5]
 280 \f
 281 Internet-Draft               TLS ECC New MAC                    May 2008
 282
 283
 284    [I-D.ietf-tls-rsa-aes-gcm]
 285               Salowey, J., Choudhury, A., and D. McGrew, "AES-GCM Cipher
 286               Suites for TLS", draft-ietf-tls-rsa-aes-gcm-03 (work in
 287               progress), April 2008.
 288
 289    [AES]      National Institute of Standards and Technology,
 290               "Specification for the Advanced Encryption Standard
 291               (AES)", FIPS 197, November 2001.
 292
 293    [SHS]      National Institute of Standards and Technology, "Secure
 294               Hash Standard", FIPS 180-2, August 2002.
 295
 296    [CBC]      National Institute of Standards and Technology,
 297               "Recommendation for Block Cipher Modes of Operation -
 298               Methods and Techniques", SP 800-38A, December 2001.
 299
 300    [GCM]      National Institute of Standards and Technology,
 301               "Recommendation for Block Cipher Modes of Operation:
 302               Galois/Counter Mode (GCM) for Confidentiality and
 303               Authentication", SP 800-38D, November 2007.
 304
 305 7.2.  Informative References
 306
 307    [Wang05]   Wang, X., Yin, Y., and H. Yu, "Finding Collisions in the
 308               Full SHA-1", CRYPTO 2005, August 2005.
 309
 310
 311 Author's Address
 312
 313    Eric Rescorla
 314    RTFM, Inc.
 315    2064 Edgewood Drive
 316    Palo Alto  94303
 317    USA
 318
 319    Email:  ekr@rtfm.com
 320
 321
 322
 323
 324
 325
 326
 327
 328
 329
 330
 331
 332
 333
 334
 335 Rescorla                Expires November 10, 2008               [Page 6]
 336 \f
 337 Internet-Draft               TLS ECC New MAC                    May 2008
 338
 339
 340 Full Copyright Statement
 341
 342    Copyright (C) The IETF Trust (2008).
 343
 344    This document is subject to the rights, licenses and restrictions
 345    contained in BCP 78, and except as set forth therein, the authors
 346    retain all their rights.
 347
 348    This document and the information contained herein are provided on an
 349    "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS
 350    OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND
 351    THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS
 352    OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF
 353    THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
 354    WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
 355
 356
 357 Intellectual Property
 358
 359    The IETF takes no position regarding the validity or scope of any
 360    Intellectual Property Rights or other rights that might be claimed to
 361    pertain to the implementation or use of the technology described in
 362    this document or the extent to which any license under such rights
 363    might or might not be available; nor does it represent that it has
 364    made any independent effort to identify any such rights.  Information
 365    on the procedures with respect to rights in RFC documents can be
 366    found in BCP 78 and BCP 79.
 367
 368    Copies of IPR disclosures made to the IETF Secretariat and any
 369    assurances of licenses to be made available, or the result of an
 370    attempt made to obtain a general license or permission for the use of
 371    such proprietary rights by implementers or users of this
 372    specification can be obtained from the IETF on-line IPR repository at
 373    http://www.ietf.org/ipr.
 374
 375    The IETF invites any interested party to bring to its attention any
 376    copyrights, patents or patent applications, or other proprietary
 377    rights that may cover technology that may be required to implement
 378    this standard.  Please address the information to the IETF at
 379    ietf-ipr@ietf.org.
 380
 381
 382 Acknowledgment
 383
 384    Funding for the RFC Editor function is provided by the IETF
 385    Administrative Support Activity (IASA).
 386
 387
 388
 389
 390
 391 Rescorla                Expires November 10, 2008               [Page 7]
 392 \f