[要約] RFC 2773は、KEAとSKIPJACKを使用した暗号化に関する規格です。その目的は、安全な通信を実現するために、鍵交換アルゴリズムと暗号アルゴリズムを組み合わせることです。
Network Working Group R. Housley
Request for Comments: 2773 P. Yee
Updates: 959 SPYRUS
Category: Experimental W. Nace
NSA
February 2000
Encryption using KEA and SKIPJACK
KeaとSkipjackを使用した暗号化
Status of this Memo
本文書の位置付け
This memo defines an Experimental Protocol for the Internet community. It does not specify an Internet standard of any kind. Discussion and suggestions for improvement are requested. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティの実験プロトコルを定義します。いかなる種類のインターネット標準を指定しません。改善のための議論と提案が要求されます。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2000). All Rights Reserved.
Copyright(c)The Internet Society(2000)。無断転載を禁じます。
Abstract
概要
This document defines a method to encrypt a file transfer using the FTP specification STD 9, RFC 959, "File Transfer Protocol (FTP)", (October 1985) [3] and RFC 2228, "FTP Security Extensions" (October 1997) [1]. This method will use the Key Exchange Algorithm (KEA) to give mutual authentication and establish the data encryption keys. SKIPJACK is used to encrypt file data and the FTP command channel.
このドキュメントでは、FTP仕様STD 9、RFC 959、「ファイル転送プロトコル(FTP)」、(1985年10月)[3]およびRFC 2228、「FTPセキュリティ拡張機能」(1997)[3](1997)[3] [3] [3] [3] [3](1985年)を使用してファイル転送を暗号化する方法を定義しています。1]。この方法では、キーエクスチェンジアルゴリズム(KEA)を使用して相互認証を与え、データ暗号化キーを確立します。SkipJackは、ファイルデータとFTPコマンドチャネルを暗号化するために使用されます。
The File Transfer Protocol (FTP) provides no protocol security except for a user authentication password which is transmitted in the clear. In addition, the protocol does not protect the file transfer session beyond the original authentication phase.
ファイル転送プロトコル(FTP)は、クリアで送信されるユーザー認証パスワードを除き、プロトコルセキュリティを提供しません。さらに、プロトコルは、元の認証フェーズを超えてファイル転送セッションを保護しません。
The Internet Engineering Task Force (IETF) Common Authentication Technology (CAT) Working Group has proposed security extensions to FTP. These extensions allow the protocol to use more flexible security schemes, and in particular allows for various levels of protection for the FTP command and data connections. This document describes a profile for the FTP Security Extensions by which these mechanisms may be provisioned using the Key Exchange Algorithm (KEA) in conjunction with the SKIPJACK symmetric encryption algorithm.
インターネットエンジニアリングタスクフォース(IETF)共通認証テクノロジー(CAT)ワーキンググループは、FTPへのセキュリティ拡張を提案しています。これらの拡張機能により、プロトコルはより柔軟なセキュリティスキームを使用でき、特にFTPコマンドとデータ接続のさまざまなレベルの保護が可能になります。このドキュメントでは、SkipJack対称暗号化アルゴリズムと併用して、これらのメカニズムをキーExchangeアルゴリズム(KEA)を使用してプロビジョニングできるFTPセキュリティ拡張機能のプロファイルについて説明します。
FTP Security Extensions [1] provides:
FTPセキュリティエクステンション[1]が提供します。
* user authentication -- augmenting the normal password mechanism;
* ユーザー認証 - 通常のパスワードメカニズムの増強。
* server authentication -- normally done in conjunction with user authentication;
* サーバー認証 - 通常、ユーザー認証と組み合わせて行われます。
* session parameter negotiation -- in particular, encryption keys and attributes;
* セッションパラメーターネゴシエーション - 特に、暗号化キーと属性。
* command connection protection -- integrity, confidentiality, or both;
* コマンド接続保護 - 整合性、機密性、またはその両方。
* data transfer protection -- same as for command connection protection.
* データ転送保護 - コマンド接続保護と同じ。
In order to support the above security services, the two FTP entities negotiate a mechanism. This process is open-ended and completes when both entities agree on an acceptable mechanism or when the initiating party (always the client) is unable to suggest an agreeable mechanism. Once the entities agree upon a mechanism, they may commence authentication and/or parameter negotiation.
上記のセキュリティサービスをサポートするために、2つのFTPエンティティはメカニズムを交渉します。このプロセスはオープンエンドであり、両方のエンティティが許容可能なメカニズムに同意するとき、または開始党(常にクライアント)が快適なメカニズムを提案できない場合に完了します。エンティティがメカニズムに同意すると、認証および/またはパラメーターのネゴシエーションを開始できます。
Authentication and parameter negotiation occur within an unbounded series of exchanges. At the completion of the exchanges, the entities will either be authenticated (unilateral or mutually), and may, additionally, be ready to protect FTP commands and data.
認証とパラメーターの交渉は、無制限の一連の交換内で発生します。取引所が完了すると、エンティティは(一方的または相互に)認証され、さらに、FTPコマンドとデータを保護する準備ができている可能性があります。
Following the exchanges, the entities negotiate the size of the buffers they will use in protecting the commands and data that follow. This process is accomplished in two steps: the client offers a suggested buffer size and the server may either refuse it, counter it, or accept it.
取引所に続いて、エンティティは、続くコマンドとデータを保護するために使用するバッファーのサイズを交渉します。このプロセスは2つのステップで達成されます。クライアントは推奨されるバッファサイズを提供し、サーバーはそれを拒否したり、対抗したり、受け入れたりすることがあります。
At this point, the entities may issue protected commands within the bounds of the parameters negotiated through the security exchanges. Protected commands are issued by applying the protection services required to the normal commands and Base64 encoding the results. The encoded results are sent as the data field within a ENC (integrity and confidentiality) command. Base64 is an encoding for mapping binary data onto a textual character set that is able to pass through most 7-bit systems without loss. The server sends back responses in new result codes which allow the identical protections and Base64 encoding to be applied to the results. Protection of the data transfers can be specified via the PROT command which supports the same protections as those afforded the other FTP commands. PROT commands may be sent on a transfer-by-transfer basis, however, the session parameters may not be changed within a session.
この時点で、エンティティは、セキュリティ交換を通じて交渉されたパラメーターの境界内に保護されたコマンドを発行する場合があります。保護されたコマンドは、通常のコマンドに必要な保護サービスを適用し、結果をエンコードするBase64に発行されます。エンコードされた結果は、ENC(整合性と機密性)コマンド内のデータフィールドとして送信されます。Base64は、バイナリデータをマッピングするためのエンコーディングであり、ほとんどの7ビットシステムを紛失なく通過できるテキスト文字セットにマッピングします。サーバーは、同一の保護とBase64エンコードを結果に適用できる新しい結果コードで回答を送信します。データ転送の保護は、他のFTPコマンドが提供されたものと同じ保護をサポートするProTコマンドを介して指定できます。PROTコマンドは、転送ごとに送信される場合がありますが、セッション内でセッションパラメーターを変更することはできません。
This paper profiles KEA with SKIPJACK to achieve certain security services when used in conjunction with the FTP Security Extensions framework. FTP entities may use KEA to give mutual authentication and establish data encryption keys. We specify a simple token format and set of exchanges to deliver these services. Functions that may be performed by the Fortezza Crypto Card.
このペーパーでは、KEAをSkipJackでプロファイルして、FTP Security Extensions Frameworkと組み合わせて使用すると、特定のセキュリティサービスを実現します。FTPエンティティは、KEAを使用して相互認証を提供し、データ暗号化キーを確立する場合があります。これらのサービスを提供するために、簡単なトークン形式と交換セットを指定します。Fortezza Cryptoカードで実行される機能。
The reader should be familiar with the extensions in order to understand the protocol steps that follow. In the context of the FTP Security Extensions, we suggest the usage of KEA with SKIPJACK for authentication, integrity, and confidentiality.
読者は、続くプロトコルの手順を理解するために、拡張機能に精通している必要があります。FTPセキュリティ拡張機能のコンテキストでは、認証、整合性、および機密性のためのSkipJackを使用したKEAの使用をお勧めします。
A client may mutually authenticate with a server. What follows are the protocol steps necessary to perform KEA authentication under the FTP Security Extensions framework. Where failure modes are encountered, the return codes follow those specified in the Extensions. They are not enumerated in this document as they are invariant among the mechanisms used. The certificates are ASN.1 encoded.
クライアントは、サーバーで相互に認証することができます。以下は、FTP Security Extensionsフレームワークの下でKEA認証を実行するために必要なプロトコル手順です。障害モードが発生した場合、リターンコードは拡張機能で指定されているコードに従います。使用されたメカニズムの中で不変であるため、このドキュメントには列挙されていません。証明書はasn.1エンコードされています。
The exchanges detailed below presume a working knowledge of the FTP Security Extensions. The notation for concatenation is " || ". Decryption of encrypted data and certification path validation is implicitly assumed, but is not shown.
以下に詳述されている交換は、FTPセキュリティ拡張の実用的な知識を推定しています。連結の表記は「||」です。暗号化されたデータと認証パスの検証の復号化は暗黙的に想定されていますが、示されていません。
---------------------------------------------------------------------
Client Server
AUTH KEA-SKIPJACK -->
<-- 334 ADAT=Base64( Certb || Rb )
ADAT Base64( Certa || Ra ||
WMEK || IV || Encrypt(
Label-Type || Label-Length ||
Label-List || pad || ICV ) ) -->
<-- 235 ADAT=Base64( IV )
---------------------------------------------------------------------
Figure 1
The server and client certificates contain KEA public keys. The client and server use KEA to generate a shared SKIPJACK symmetric key, called the TEK. The client uses the random number generator to create a second SKIPJACK key, called the MEK. The MEK is wrapped in the TEK for transfer to the server. An initialization vector (IV) associated with the MEK is generated by the client and transferred to the server. A list of security labels that the client wants to use for this FTP session may be transferred to the server encrypted in the MEK. As shown in Figure 2, the security label data is formatted as a one octet type value, a four octet label length, the security label list, padding, followed by an eight octet integrity check value (ICV). Figure 3 lists the label types. If the label type is absent (value of zero length), then the label size must be zero.
サーバーとクライアントの証明書には、KEAパブリックキーが含まれています。クライアントとサーバーはKEAを使用して、Tekと呼ばれる共有SkipJack対称キーを生成します。クライアントは、乱数ジェネレーターを使用して、MEKと呼ばれる2番目のSkipJackキーを作成します。MEKは、サーバーに転送するためにTekに包まれています。MEKに関連付けられた初期化ベクトル(IV)は、クライアントによって生成され、サーバーに転送されます。クライアントがこのFTPセッションに使用したいセキュリティラベルのリストは、MEKで暗号化されたサーバーに転送される場合があります。図2に示すように、セキュリティラベルデータは、1オクテットタイプの値、4オクテットラベルの長さ、セキュリティラベルリスト、パディング、続いて8オクテットの整合性チェック値(ICV)としてフォーマットされています。図3には、ラベルタイプを示します。ラベルタイプが存在しない場合(長さゼロの値)、ラベルサイズはゼロでなければなりません。
In order to ensure that the length of the plain text is a multiple of the cryptographic block size, padding shall be performed as follows. The input to the SKIPJACK CBC encryption process shall be padded to a multiple of 8 octets. Let n be the length in octets of the input. Pad the input by appending 8 - (n mod 8) octets to the end of the message, each having the value 8 - (n mod 8), the number of octets being added. In hexadecimal, he possible pad strings are: 01, 0202, 030303, 04040404, 0505050505, 060606060606, 07070707070707, and 0808080808080808. All input is padded with 1 to 8 octets to produce a multiple of 8 octets in length. This pad technique is used whenever SKIPJACK CBC encryption is performed.
プレーンテキストの長さが暗号化ブロックサイズの倍数であることを確認するために、パディングは次のように実行されます。SkipJack CBC暗号化プロセスへの入力は、8オクテットの倍数にパッドで埋められなければなりません。nを入力のオクテットの長さとします。メッセージの最後まで8-(n mod 8)オクテットを追加して入力をパッドします。それぞれが値8(n mod 8)、オクテットの数を追加します。16進数では、可能性のあるパッドストリングは、01、0202、030303、04040404、0505050505、06060606060606、07070707070707、および080808008080808080808を8オクトに摂取しています。このパッドテクニックは、SkipJack CBC暗号化が実行されるたびに使用されます。
An ICV is calculated over the plaintext security label and padding. The ICV algorithm used is the 32-bit one's complement addition of each 32-bit block followed by 32 zero bits. This ICV technique is used in conjunction with SKIPJACK CBC encryption to provide data integrity.
ICVは、プレーンテキストセキュリティラベルとパディングで計算されます。使用されるICVアルゴリズムは、32ビットブロックの32ビットの補数追加に続いて32ビットを使用します。このICV手法は、SkipJack CBC暗号化と組み合わせて使用され、データの整合性を提供します。
---------------------------------------------------------------------
Label Type 1 Octet
Label Length 4 octets
Label List variable length
Pad 1 to 8 octets
ICV 8 octets
---------------------------------------------------------------------
Figure 2
---------------------------------------------------------------------
Label Type Label Syntax Reference
0 Absent Not applicable
1 MSP SDN.701[2]
2-255 Reserved for Future Use To Be Determined
---------------------------------------------------------------------
Figure 3
FTP command channel operations are now confidentiality protected. To provide integrity, the command sequence number, padding, and ICV are appended to each command prior to encryption.
FTPコマンドチャネル操作が保護されているようになりました。整合性を提供するために、コマンドシーケンス番号、パディング、およびICVは、暗号化の前に各コマンドに追加されます。
Sequence integrity is provided by using a 16-bit sequence number which is incremented for each command. The sequence number is initialized with the least significant 16-bits of Ra. The server response will include the same sequence number as the client command.
シーケンスの整合性は、コマンドごとに増加する16ビットシーケンス番号を使用して提供されます。シーケンス番号は、RAの16ビットが最も重要ではないことで初期化されます。サーバーの応答には、クライアントコマンドと同じシーケンス番号が含まれます。
An ICV is calculated over the individual commands (including the carriage return and line feed required to terminate commands), the sequence number, and pad.
ICVは、個々のコマンド(コマンドを終了するために必要なキャリッジリターンとラインフィードを含む)、シーケンス番号、およびPADで計算されます。
---------------------------------------------------------------------
Client Server
ENC Base64(Encrypt("PBSZ 65535"
|| SEQ || pad || ICV )) -->
<-- 632 Base64(Encrypt("200" ||
SEQ || pad || ICV))
ENC Base64(Encrypt("USER yee"
|| SEQ || pad || ICV)) -->
<-- 632 Base64(Encrypt("331" ||
SEQ || pad || ICV))
ENC Base64(Encrypt("PASS
fortezza" || SEQ ||
pad || ICV)) -->
<-- 631 Base64(Sign("230"))
---------------------------------------------------------------------
Figure 4
After decryption, both parties verifying the integrity of the PBSZ commands by checking for the expected sequence number and correct ICV. The correct SKIPJACK key calculation, ICV checking, and the validation of the certificates containing the KEA public keys provides mutual identification and authentication.
復号化後、予想されるシーケンス番号と正しいICVをチェックすることにより、PBSZコマンドの整合性を確認する両当事者。正しいSkipJackキー計算、ICVチェック、およびKEAパブリックキーを含む証明書の検証は、相互識別と認証を提供します。
---------------------------------------------------------------------
Client Server
ENC Base64(Encrypt("PROT P" ||
SEQ || pad || ICV)) -->
<-- 632 Base64(Encrypt("200" || SEQ
|| pad || ICV))
---------------------------------------------------------------------
Figure 5
At this point, files may be sent or received with encryption and integrity services in use. If encryption is used, then the first buffer will contain the token followed by enough encrypted file octets to completely fill the buffer (unless the file is too short to fill the buffer). Subsequent buffers contain only encrypted file octets. All buffers are completely full except the final buffer.
この時点で、ファイルは、使用中の暗号化および整合性サービスを使用して送信または受信できます。暗号化が使用される場合、最初のバッファには、バッファを完全に埋めるのに十分な暗号化されたファイルオクテットが続くトークンが含まれます(ファイルがバッファーを埋めるには短すぎない限り)。後続のバッファには、暗号化されたファイルオクテットのみが含まれています。最終バッファを除いて、すべてのバッファーは完全にいっぱいです。
---------------------------------------------------------------------
Client Server
ENC Base64(Encrypt(
("RETR foo.bar") ||
SEQ || pad || ICV)) -->
<-- 632 Base64(Encrypt("150" ||
SEQ || pad || ICV))
---------------------------------------------------------------------
Figure 6
The next figure shows the header information and the file data.
次の図は、ヘッダー情報とファイルデータを示しています。
---------------------------------------------------------------------
Plaintext Token IV 24 octets
WMEK 12 octets
Hashvalue 20 octets
IV 24 octets
Label Type 1 octets
Label Length 4 octets
Label Label Length octets
Pad 1 to 8 octets
ICV 8 octets
---------------------------------------------------------------------
Figure 7
In order to support both on-the-fly encryption and pre-encrypted files, a token is defined for carrying a file encryption key (FEK). To prevent truncation and ensure file integrity, the token also includes a hash computed on the complete file. The token also contains the security label associate with the file. This FEK is wrapped in the session TEK. The token is encrypted in the session TEK using SKIPJACK CBC mode. The token contains a 12 octet wrapped FEK, a 20 octet file hash, a 24 octet file IV, a 1 octet label type, a 4 octet label length, a variable length label value, a one to 8 octet pad, and an 8 octet ICV. The first 24 octets of the token are the plaintext IV used to encrypt the remainder of the token. The token requires its own encryption IV because it is transmitted across the data channel, not the command channel, and ordering between the channels cannot be guaranteed. Storage of precomputed keys and hashes for files in the file system is a local implementation matter; however, it is suggested that if a file is pre-encrypted, then the FEK be wrapped in a local storage key. When the file is needed, the FEK is unwrapped using the local storage key, and then rewrapped in the session TEK. Figure 8 shows the assembled token.
飛行中の暗号化と事前に暗号化されたファイルの両方をサポートするために、ファイル暗号化キー(FEK)を運ぶためにトークンが定義されています。切り捨てを防ぎ、ファイルの整合性を確保するために、トークンには完全なファイルに計算されたハッシュも含まれています。トークンには、ファイルのセキュリティラベルアソシエイトも含まれています。このFekはセッションTekに包まれています。トークンは、SkipJack CBCモードを使用してセッションTekで暗号化されています。トークンには、12個のオクテットラップFEK、20オクテットファイルハッシュ、24オクテットファイルIV、1オクテットラベルタイプ、4オクテットラベルの長さ、可変長ラベル値、1〜8オクテットパッド、8オクテットが含まれています。ICV。トークンの最初の24オクテットは、残りのトークンを暗号化するために使用されるPlantext IVです。トークンは、コマンドチャネルではなくデータチャネルを越えて送信されるため、独自の暗号化IVを必要とします。チャネル間の順序は保証できません。ファイルシステム内のファイルの事前計算キーとハッシュの保存は、ローカル実装の問題です。ただし、ファイルが事前に暗号化されている場合、FEKはローカルストレージキーにラップされることが示唆されています。ファイルが必要な場合、FEKはローカルストレージキーを使用して包装されてから、セッションTekで書き戻します。図8は、組み立てられたトークンを示しています。
---------------------------------------------------------------------
Plaintext Token IV 24 octets
Wrapped FEK 12 octets
Hashvalue 20 octets
IV 24 octets
Label Type 1 octet
Label Length 4 octets
Label Label Length octets
Pad 1 to 8 octets
ICV 8 octets
---------------------------------------------------------------------
Figure 8
In order to clarify the usage of various keys in this protocol, Figure 9 summarizes key types and their usage:
このプロトコルでのさまざまなキーの使用を明確にするために、図9はキータイプとその使用を要約しています。
---------------------------------------------------------------------
Key Type Usage
TEK Encryption of token at the beginning of
each file, also wraps the MEK and the FEK
MEK Encryption of command channel
FEK Encryption of the file itself (may be
done out of scope of FTP)
---------------------------------------------------------------------
Figure 9
This entire memo is about security mechanisms. For KEA to provide the authentication and key management discussed, the implementation must protect the private key from disclosure. For SKIPJACK to provide the confidentiality discussed, the implementation must protect the shared symmetric keys from disclosure.
このメモ全体は、セキュリティメカニズムに関するものです。KeAが議論した認証とキー管理を提供するには、実装は秘密鍵を開示から保護する必要があります。SkipJackが議論された機密性を提供するには、実装は共有対称キーを開示から保護する必要があります。
We would like to thank Todd Horting for insights gained during implementation of this specification.
この仕様の実装中に得られた洞察についてTodd Hortingに感謝します。
[1] Horowitz, M. and S. Lunt, "FTP Security Extensions", RFC 2228, October 1997.
[1] Horowitz、M。およびS. Lunt、「FTP Security Extensions」、RFC 2228、1997年10月。
[2] Message Security Protocol 4.0 (MSP), Revision A. Secure Data Network System (SDNS) Specification, SDN.701, February 6, 1997.
[2] メッセージセキュリティプロトコル4.0(MSP)、改訂A.セキュアデータネットワークシステム(SDNS)仕様、SDN.701、1997年2月6日。
[3] Postel, J. and J. Reynolds, "File Transfer Protocol", STD 9, RFC 959, October 1985.
[3] Postel、J。およびJ. Reynolds、「ファイル転送プロトコル」、STD 9、RFC 959、1985年10月。
Russell Housley SPYRUS 381 Elden Street Suite 1120 Herndon, VA 20170 USA
Russell Housley Spyrus 381 Elden Street Suite 1120 Herndon、VA 20170 USA
Phone: +1 703 707-0696
EMail: housley@spyrus.com
Peter Yee SPYRUS 5303 Betsy Ross Drive Santa Clara, CA 95054 USA
Peter Yee Spyrus 5303 Betsy Ross Drive Santa Clara、CA 95054 USA
Phone: +1 408 327-1901
EMail: yee@spyrus.com
Copyright (C) The Internet Society (2000). All Rights Reserved.
Copyright(c)The Internet Society(2000)。無断転載を禁じます。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の限られた許可は永続的であり、インターネット社会またはその後継者または譲受人によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントと本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。