Network Working Group                                           P. Chown
Request for Comments: 3268                            Skygate Technology
Category: Standards Track                                      June 2002
        

Advanced Encryption Standard (AES) Ciphersuites for Transport Layer Security (TLS)

輸送層のセキュリティ用の高度な暗号化標準（AES）cipherSuites（TLS）

Status of this Memo

本文書の位置付け

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」（STD 1）の現在のエディションを参照してください。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The Internet Society (2002). All Rights Reserved.

Copyright（c）The Internet Society（2002）。無断転載を禁じます。

Abstract

概要

This document proposes several new ciphersuites. At present, the symmetric ciphers supported by Transport Layer Security (TLS) are RC2, RC4, International Data Encryption Algorithm (IDEA), Data Encryption Standard (DES), and triple DES. The protocol would be enhanced by the addition of Advanced Encryption Standard (AES) ciphersuites.

このドキュメントでは、いくつかの新しいCiphersuitesを提案しています。現在、輸送層のセキュリティ（TLS）によってサポートされている対称的な暗号は、RC2、RC4、国際データ暗号化アルゴリズム（IDEA）、データ暗号化標準（DES）、およびトリプルDESです。このプロトコルは、高度な暗号化標準（AES）のCipherSuitesの追加により強化されます。

Overview

概要

At present, the symmetric ciphers supported by TLS are RC2, RC4, IDEA, DES, and triple DES. The protocol would be enhanced by the addition of AES [AES] ciphersuites, for the following reasons:

現在、TLSでサポートされている対称暗号は、RC2、RC4、IDEA、DES、およびTriple DESです。次の理由により、AES [AES] CipherSuitesの追加により、プロトコルは強化されます。

1. RC2, RC4, and IDEA are all subject to intellectual property claims. RSA Security Inc. has trademark rights in the names RC2 and RC4, and claims that the RC4 algorithm itself is a trade secret. Ascom Systec Ltd. owns a patent on the IDEA algorithm.

1. RC2、RC4、およびアイデアはすべて、知的財産の請求の対象となります。RSA Security Inc.には、RC2およびRC4という名前の商標権があり、RC4アルゴリズム自体が企業秘密であると主張しています。Ascom Systec Ltd.は、Idea Algorithmの特許を所有しています。

2. Triple DES is much less efficient than more modern ciphers.

2. トリプルDESは、最新の暗号よりもはるかに効率が低いです。

3. Now that the AES process is completed there will be commercial pressure to use the selected cipher. The AES is efficient and has withstood extensive cryptanalytic efforts. The AES is therefore a desirable choice.

3. AESプロセスが完了したので、選択した暗号を使用する商業的な圧力が発生します。AESは効率的であり、広範な暗号化の取り組みに耐えてきました。したがって、AESは望ましい選択です。

4. Currently the DHE ciphersuites only allow triple DES (along with some "export" variants which do not use a satisfactory key length). At the same time the DHE ciphersuites are the only ones to offer forward secrecy.

4. 現在、dhe ciphersuitesはトリプルDEのみを許可します（満足のいくキー長を使用しない「エクスポート」バリアントとともに）。同時に、dhe ciphersuitesは、秘密を秘密にする唯一のものです。

This document proposes several new ciphersuites, with the aim of overcoming these problems.

このドキュメントは、これらの問題を克服することを目的として、いくつかの新しいシファースーツを提案しています。

Cipher Usage

暗号の使用

The new ciphersuites proposed here are very similar to the following, defined in [TLS]:

ここで提案されている新しいシファースーツは、[TLS]で定義されている以下に非常に似ています。

TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_anon_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA TLS_DH_RSA_WITH_WITH_3DES_EDEX_CBC_SHA TLS_DHE_DSS_WITH_3DES_DES_EDE_DES_DES_EDE_DEDEX_DE_DE_DE_DE_DE_DE_DE_DE_DEDEX_DEDES_DES_EDES_EDES_DES_EDES_EDEX_DEDEX_DEDEX_DEDEX cbc_sha tls_dh_anon_with_3des_ede_cbc_sha

All the ciphersuites described here use the AES in cipher block chaining (CBC) mode. Furthermore, they use SHA-1 [SHA-1] in an HMAC construction as described in section 5 of [TLS]. (Although the TLS ciphersuite names include the text "SHA", this actually refers to the modified SHA-1 version of the algorithm.)

ここで説明するすべての暗号剤は、暗号ブロックチェーン（CBC）モードのAESを使用します。さらに、[TLS]のセクション5で説明されているように、HMAC構造でSHA-1 [SHA-1]を使用します。（TLS ciphersuite名にはテキスト「sha」が含まれていますが、これは実際にアルゴリズムの変更されたSHA-1バージョンを指します。）

The ciphersuites differ in the type of certificate and key exchange method. The ciphersuites defined here use the following options for this part of the protocol:

Ciphersuitesは、証明書のタイプとキー交換方法が異なります。ここで定義されているciphersuitesは、プロトコルのこの部分に次のオプションを使用します。

CipherSuite Certificate type (if applicable) and key exchange algorithm

ciphersuite証明書タイプ（該当する場合）およびキー交換アルゴリズム

TLS_RSA_WITH_AES_128_CBC_SHA RSA TLS_DH_DSS_WITH_AES_128_CBC_SHA DH_DSS TLS_DH_RSA_WITH_AES_128_CBC_SHA DH_RSA TLS_DHE_DSS_WITH_AES_128_CBC_SHA DHE_DSS TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE_RSA TLS_DH_anon_WITH_AES_128_CBC_SHA DH_anon

TLS_RSA_WITH_AES_128_CBC_SHA RSA TLS_DH_DSS_WITH_AES_128_CBC_SHA DH_DSS TLS_DH_RSA_WITH_AES_128__CBC_SHA E_DSS TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE_RSA TLS_DH_ANON_WITH_AES_128_CBC_SHA DH_ANON

TLS_RSA_WITH_AES_256_CBC_SHA RSA TLS_DH_DSS_WITH_AES_256_CBC_SHA DH_DSS TLS_DH_RSA_WITH_AES_256_CBC_SHA DH_RSA TLS_DHE_DSS_WITH_AES_256_CBC_SHA DHE_DSS TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE_RSA TLS_DH_anon_WITH_AES_256_CBC_SHA DH_anon For the meanings of the terms RSA, DH_DSS, DH_RSA, DHE_DSS, DHE_RSA and DH_anon, please refer to sections 7.4.2 and 7.4.3 of [TLS].

TLS_RSA_WITH_AES_256_CBC_SHA RSA TLS_DH_DSS_WITH_AES_256_CBC_SHA DH_DSS TLS_DH_RSA_WITH_AES_256_CBC_SHA E_DSS TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE_RSA TLS_DH_ANON_WITH_AES_256_CBC_SHA DH_ANON RSA、DH_DSS、DH_RSA、DHE_DSSのdhsa、dhdsdsのdhdsa、dhdsdssaの意味の意味[TLS]の7.4.2および7.4.3。

The AES supports key lengths of 128, 192 and 256 bits. However, this document only defines ciphersuites for 128- and 256-bit keys. This is to avoid unnecessary proliferation of ciphersuites. Rijndael actually allows for 192- and 256-bit block sizes as well as the 128- bit blocks mandated by the AES process. The ciphersuites defined here all use 128-bit blocks.

AESは、128、192、および256ビットの主要な長さをサポートしています。ただし、このドキュメントでは、128ビットキーと256ビットキーのシファースーツのみを定義しています。これは、ciphersuitesの不必要な増殖を避けるためです。Rijndaelは、実際には、AESプロセスによって義務付けられている128ビットブロックと同様に、192ビットおよび256ビットのブロックサイズを許可しています。ここで定義されているCiphersuitesはすべて128ビットブロックを使用しています。

The new ciphersuites will have the following definitions:

新しいCiphersuitesには、次の定義があります。

   CipherSuite TLS_RSA_WITH_AES_128_CBC_SHA      = { 0x00, 0x2F };
   CipherSuite TLS_DH_DSS_WITH_AES_128_CBC_SHA   = { 0x00, 0x30 };
   CipherSuite TLS_DH_RSA_WITH_AES_128_CBC_SHA   = { 0x00, 0x31 };
   CipherSuite TLS_DHE_DSS_WITH_AES_128_CBC_SHA  = { 0x00, 0x32 };
   CipherSuite TLS_DHE_RSA_WITH_AES_128_CBC_SHA  = { 0x00, 0x33 };
   CipherSuite TLS_DH_anon_WITH_AES_128_CBC_SHA  = { 0x00, 0x34 };
        

   CipherSuite TLS_RSA_WITH_AES_256_CBC_SHA      = { 0x00, 0x35 };
   CipherSuite TLS_DH_DSS_WITH_AES_256_CBC_SHA   = { 0x00, 0x36 };
   CipherSuite TLS_DH_RSA_WITH_AES_256_CBC_SHA   = { 0x00, 0x37 };
   CipherSuite TLS_DHE_DSS_WITH_AES_256_CBC_SHA  = { 0x00, 0x38 };
   CipherSuite TLS_DHE_RSA_WITH_AES_256_CBC_SHA  = { 0x00, 0x39 };
   CipherSuite TLS_DH_anon_WITH_AES_256_CBC_SHA  = { 0x00, 0x3A };
        

Security Considerations

セキュリティに関する考慮事項

It is not believed that the new ciphersuites are ever less secure than the corresponding older ones. The AES is believed to be secure, and it has withstood extensive cryptanalytic attack.

新しいシファースーツは、対応する古いものよりも安全性が低いとは考えられていません。AESは安全であると考えられており、広範な暗号化攻撃に耐えてきました。

The ephemeral Diffie-Hellman ciphersuites provide forward secrecy without any known reduction in security in other areas. To obtain the maximum benefit from these ciphersuites:

短命のディフェルマンのシファースーツは、他の分野でのセキュリティを既知の削減なしに、前進する秘密を提供します。これらのciphersuitesから最大の利益を得るには：

1. The ephemeral keys should only be used once. With the TLS protocol as currently defined there is no significant efficiency gain from reusing ephemeral keys.

1. 一時的なキーは一度だけ使用する必要があります。現在定義されているTLSプロトコルを使用すると、一時的なキーを再利用することから有意な効率的な増加はありません。

2. Ephemeral keys should be destroyed securely when they are no longer required.

2. 短命キーは、不要になった場合に安全に破壊する必要があります。

3. The random number generator used to create ephemeral keys must not reveal past output even when its internal state is compromised.

3. 一時的なキーを作成するために使用される乱数ジェネレーターは、内部状態が侵害されていても過去の出力を明らかにしてはなりません。

[TLS] describes the anonymous Diffie-Hellman (ADH) ciphersuites as deprecated. The ADH ciphersuites defined here are not deprecated. However, when they are used, particular care must be taken:

[TLS]は、匿名のDiffie-Hellman（ADH）Ciphersuitesを非推奨として説明しています。ここで定義されているadh ciphersuitesは非推奨ではありません。ただし、使用する場合は、特定の注意を払う必要があります。

1. ADH provides confidentiality but not authentication. This means that (if authentication is required) the communicating parties must authenticate to each other by some means other than TLS.

1. ADHは機密性を提供しますが、認証ではありません。これは、（認証が必要な場合）、通信者はTLS以外の何らかの手段によって互いに認証されなければならないことを意味します。

2. ADH is vulnerable to man-in-the-middle attacks, as a consequence of the lack of authentication. The parties must have a way of determining whether they are participating in the same TLS connection. If they are not, they can deduce that they are under attack, and presumably abort the connection.

2. ADHは、認証の欠如の結果として、中間の攻撃に対して脆弱です。当事者は、同じTLS接続に参加しているかどうかを判断する方法が必要です。そうでない場合、彼らは彼らが攻撃を受けていると推測することができ、おそらく接続を中止することができます。

For example, if the parties share a secret, it is possible to compute a MAC of the TLS Finished message. An attacker would have to negotiate two different TLS connections; one with each communicating party. The Finished messages would be different in each case, because they depend on the parties' public keys (among other things). For this reason, the MACs computed by each party would be different.

たとえば、当事者が秘密を共有している場合、TLS完成したメッセージのMacを計算することが可能です。攻撃者は、2つの異なるTLS接続を交渉する必要があります。各コミュニケーションパーティーと1つ。完成したメッセージは、当事者の公開鍵に依存するため、それぞれの場合に異なります。このため、各パーティーによって計算されたMacは異なります。

It is important to note that authentication techniques which do not use the Finished message do not usually provide protection from this attack. For example, the client could authenticate to the server with a password, but it would still be vulnerable to man-in-the-middle attacks.

完成したメッセージを使用しない認証技術は、通常この攻撃からの保護を提供しないことに注意することが重要です。たとえば、クライアントはパスワードを使用してサーバーに認証できますが、中間の攻撃に対して脆弱です。

Recent research has identified a chosen plaintext attack which applies to all ciphersuites defined in [TLS] which use CBC mode. This weakness does not affect the common use of TLS on the World Wide Web, but may affect the use of TLS in other applications. When TLS is used in an application where this attack is possible, attackers can determine the truth or otherwise of a hypothesis that particular plaintext data was sent earlier in the session. No key material is compromised.

最近の研究では、CBCモードを使用する[TLS]で定義されたすべてのciphersuitesに適用される選択されたプレーンテキスト攻撃が特定されました。この弱点は、World Wide WebでのTLSの一般的な使用には影響しませんが、他のアプリケーションでのTLSの使用に影響を与える可能性があります。この攻撃が可能なアプリケーションでTLSが使用される場合、攻撃者は、セッションの早い段階で特定の平文データが送信されたという仮説の真実またはその他を決定できます。重要な資料は侵害されていません。

It is likely that the CBC construction will be changed in a future revision of the TLS protocol.

CBC構造は、TLSプロトコルの将来の改訂で変更される可能性があります。

Intellectual Property

知的財産

The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use other technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementors or users of this specification can be obtained from the IETF Secretariat.

IETFは、この文書に記載されている他のテクノロジー、またはそのような権利に基づくライセンスに基づくライセンスが利用可能である可能性がある範囲で、実装に関連する、またはその他のテクノロジーを使用すると主張される可能性のある知的財産またはその他の権利の有効性または範囲に関して立場を取得しません。;また、そのような権利を特定するために努力したことも表明していません。標準トラックおよび標準関連のドキュメントの権利に関するIETFの手順に関する情報は、BCP-11に記載されています。出版のために利用可能にされた権利の請求のコピーと、利用可能になるライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を得ることができますIETF事務局から。

The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.

IETFは、関心のある当事者に、この基準を実践するために必要な技術をカバーする可能性のある著作権、特許、または特許出願、またはその他の独自の権利を注意深く招待するよう招待しています。情報をIETFエグゼクティブディレクターに宛ててください。

During the development of the AES, NIST published the following statement on intellectual property:

AESの開発中、NISTは知的財産に関する次の声明を公開しました。

SPECIAL NOTE - Intellectual Property

特別なメモ - 知的財産

NIST reminds all interested parties that the adoption of AES is being conducted as an open standards-setting activity. Specifically, NIST has requested that all interested parties identify to NIST any patents or inventions that may be required for the use of AES. NIST hereby gives public notice that it may seek redress under the antitrust laws of the United States against any party in the future who might seek to exercise patent rights against any user of AES that have not been disclosed to NIST in response to this request for information.

NISTは、すべての利害関係者に、AEの採用がオープン標準設定活動として実施されていることを思い出させます。具体的には、NISTは、すべての利害関係者がAEの使用に必要な特許または発明をNISTに特定することを要求しました。NISTは、この情報の要求に応じてNISTに開示されていないAESのユーザーに対して特許権を行使しようとする可能性のある、将来のあらゆる当事者に対して、米国の反トラスト法に基づいて救済を求める可能性があるという公の通知を提供します。。

Acknowledgements

謝辞

I would like to thank the ietf-tls mailing list contributors who have made helpful suggestions for this document.

このドキュメントに対して有益な提案をしたIETF-TLSメーリングリストの貢献者に感謝します。

References

参考文献

[TLS] Dierks, T. and C. Allen, "The TLS Protocol Version 1.0", RFC 2246, January 1999.

[TLS] Dierks、T。およびC. Allen、「TLSプロトコルバージョン1.0」、RFC 2246、1999年1月。

[AES] National Institute of Standards and Technology, "Specification for the Advanced Encryption Standard (AES)" FIPS 197. November 26, 2001.

[AES]国立標準技術研究所、「高度な暗号化標準（AES）の仕様」FIPS 197. 2001年11月26日。

[SHA-1] FIPS PUB 180-1, "Secure Hash Standard," National Institute of Standards and Technology, U.S. Department of Commerce, April 17, 1995.

[SHA-1] Fips Pub 180-1、「Secure Hash Standard」、国立標準技術研究所、米国商務省、1995年4月17日。

Author's Address

著者の連絡先

Pete Chown Skygate Technology Ltd 8 Lombard Road London SW19 3TZ United Kingdom

Pete Chown Skygate Technology Ltd 8 Lombard Road London SW19 3TZイギリス

   Phone: +44 20 8542 7856
   EMail: pc@skygate.co.uk
        

Full Copyright Statement

完全な著作権声明

Copyright (C) The Internet Society (2002). All Rights Reserved.

Copyright（c）The Internet Society（2002）。無断転載を禁じます。

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

上記の限られた許可は永続的であり、インターネット社会またはその後継者または譲受人によって取り消されることはありません。

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントと本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。

Acknowledgement

謝辞

Funding for the RFC Editor function is currently provided by the Internet Society.

RFCエディター機能の資金は現在、インターネット協会によって提供されています。