[要約] RFC 6460は、"Suite B Profile for Transport Layer Security (TLS)"に関する文書で、アメリカ国家安全保障局(NSA)によって定義されたSuite B暗号アルゴリズムをTLSプロトコルで使用するためのガイドラインを提供します。この文書の目的は、高度なセキュリティ要件を持つ通信に対して、承認された暗号化手法を用いることを保証することにあります。主に政府や軍事機関、その他の高度なセキュリティが必要な環境での利用が想定されています。関連するRFCには、TLSプロトコルを定義するRFC 5246(TLS 1.2)や、後続の暗号化技術に関するRFCが含まれます。RFC 6460は、セキュリティの強化を目的としたTLSの使用において重要な参考資料となります。

Internet Engineering Task Force (IETF)                         M. Salter
Request for Comments: 6460                      National Security Agency
Obsoletes: 5430                                               R. Housley
Category: Informational                                   Vigil Security
ISSN: 2070-1721                                             January 2012
        

Suite B Profile for Transport Layer Security (TLS)

輸送層のセキュリティのためのスイートBプロファイル(TLS)

Abstract

概要

The United States government has published guidelines for "NSA Suite B Cryptography" that define cryptographic algorithm policy for national security applications. This document defines a profile of Transport Layer Security (TLS) version 1.2 that is fully compliant with Suite B.

米国政府は、国家安全保障アプリケーションの暗号化アルゴリズムポリシーを定義する「NSA Suite B Cryptography」のガイドラインを公開しています。このドキュメントでは、スイートBに完全に準拠した輸送層セキュリティ(TLS)バージョン1.2のプロファイルを定義します。

Status of This Memo

本文書の位置付け

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントは、インターネット標準の追跡仕様ではありません。情報目的で公開されています。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.

このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補者ではありません。RFC 5741のセクション2を参照してください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6460.

このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc6460で取得できます。

Copyright Notice

著作権表示

Copyright (c) 2012 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2012 IETF Trustおよび文書著者として特定された人。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。

This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.

このドキュメントには、2008年11月10日までに公開または公開されたIETFドキュメントまたはIETFの寄付からの資料が含まれている場合があります。IETF標準プロセスの外。そのような資料の著作権を制御する人から適切なライセンスを取得せずに、このドキュメントはIETF標準プロセスの外側に変更されない場合があり、その派生作業は、ITF標準プロセスの外側で作成されない場合があります。RFCとしての出版またはそれを英語以外の言語に翻訳するため。

Table of Contents

目次

   1. Introduction ....................................................2
   2. Conventions Used in This Document ...............................3
   3. Suite B Requirements ............................................3
      3.1. Minimum Levels of Security (minLOS) for Suite B TLS ........4
      3.2. Suite B TLS Authentication .................................5
   4. Suite B Compliance and Interoperability Requirements ............5
      4.1. Acceptable Curves ..........................................6
      4.2. Certificates ...............................................7
      4.3. signature_algorithms Extension .............................7
      4.4. CertificateRequest Message .................................8
      4.5. CertificateVerify Message ..................................8
      4.6. ServerKeyExchange Message Signature ........................8
   5. Security Considerations .........................................8
   6. Acknowledgments .................................................9
   7. References ......................................................9
      7.1. Normative References .......................................9
      7.2. Informative References ....................................10
   Annex A. A Transitional Suite B Profile for TLS 1.1 and 1.0 .......11
   Annex B. Changes since RFC 5430 ...................................13
        
1. Introduction
1. はじめに

This document specifies the conventions for using National Security Agency (NSA) Suite B Cryptography [SuiteB] with the Transport Layer Security (TLS) protocol, and the Datagram Transport Layer Security (DTLS) protocol.

この文書は、輸送層セキュリティ(TLS)プロトコルを使用して、国家安全保障局(NSA)スイートB暗号化[SuiteB]を使用するための規則を指定し、データグラムトランスポートレイヤーセキュリティ(DTLS)プロトコルを使用します。

This document does not define any new cipher suites; instead, it defines a Suite B compliant profile for use with TLS version 1.2 [RFC5246], DTLS version 1.2 [RFC6347], and the cipher suites defined in [RFC5289]. This profile uses only Suite B algorithms.

このドキュメントは、新しい暗号スイートを定義しません。代わりに、TLSバージョン1.2 [RFC5246]、DTLSバージョン1.2 [RFC6347]、および[RFC5289]で定義された暗号スイートで使用するスイートB準拠のプロファイルを定義します。このプロファイルは、スイートBアルゴリズムのみを使用します。

RFC 5430 defined an additional transitional profile for use with TLS versions 1.0 [RFC2246] and 1.1 [RFC4346] or with DTLS version 1.0 [RFC4347] and the cipher suites defined in [RFC4492]. When either the client or the server does not support TLS version 1.2 and DTLS version 1.2, the transitional profile can be used to achieve interoperability that is not Suite B compliant. The description for the transitional profile appears in Annex A of this document.

RFC 5430は、TLSバージョン1.0 [RFC2246]および1.1 [RFC4346]またはDTLSバージョン1.0 [RFC4347]および[RFC4492]で定義された暗号スイートで使用する追加の移行プロファイルを定義しました。クライアントまたはサーバーがTLSバージョン1.2およびDTLSバージョン1.2をサポートしていない場合、トランジショナルプロファイルを使用して、スイートBに準拠していない相互運用性を実現できます。移行プロファイルの説明は、このドキュメントの付録Aに表示されます。

2. Conventions Used in This Document
2. このドキュメントで使用されている規則

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

「必須」、「そうしない」、「必須」、「必要」、「しない」、「そうしない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、[RFC2119]に記載されているように解釈される。

We will use the notation "ECDSA-256" to represent the use of the Elliptic Curve Digital Signature Algorithm (ECDSA) with the P-256 curve and the SHA-256 hash function. Similarly, "ECDSA-384" will represent the use of the ECDSA with the P-384 curve and the SHA-384 hash function.

表記「ECDSA-256」を使用して、P-256曲線とSHA-256ハッシュ関数を備えた楕円曲線デジタル署名アルゴリズム(ECDSA)の使用を表します。同様に、「ECDSA-384」は、P-384曲線とSHA-384ハッシュ関数を使用したECDSAの使用を表します。

3. Suite B Requirements
3. スイートBの要件

The Fact Sheet on Suite B Cryptography requires key establishment and authentication algorithms based on Elliptic Curve Cryptography and encryption using AES [AES]. Suite B algorithms are defined to support two minimum levels of security: 128 and 192 bits.

スイートB暗号化のファクトシートでは、AE [AE]を使用した楕円曲線暗号化と暗号化に基づいて、主要な確立および認証アルゴリズムが必要です。スイートBアルゴリズムは、128および192ビットの2つの最小レベルのセキュリティレベルをサポートするために定義されています。

In particular, Suite B includes the following:

特に、スイートBには次のものが含まれています。

Encryption: Advanced Encryption Standard (AES) [AES] -- FIPS 197 (with key sizes of 128 and 256 bits)

暗号化:高度な暗号化標準(AES)[AES] - FIPS 197(キーサイズは128および256ビット)

Digital Signature: Elliptic Curve Digital Signature Algorithm (ECDSA) [DSS] - FIPS 186-3 (using the curves with 256- and 384-bit prime moduli)

デジタル署名:Elliptic Curve Digital Signature Algorithm(ECDSA)[DSS] -FIPS 186-3(256および384ビットのプライムモジュリを使用して曲線を使用)

Key Exchange: Elliptic Curve Diffie-Hellman (ECDH) - NIST Special Publication 800-56A [PWKE] (using the curves with 256- and 384-bit prime moduli)

キーエクスチェンジ:楕円曲線Diffie-Hellman(ECDH)-NIST Special Publication 800-56A [PWKE](256および384ビットプライムモジュリを使用して曲線を使用)

The two elliptic curves used in Suite B each appear in the literature under two different names. For sake of clarity, we list both names below:

スイートBで使用される2つの楕円曲線は、それぞれ2つの異なる名前の下で文献に表示されます。明確にするために、以下の両方の名前を以下にリストします。

      Curve    NIST name   [SECG] name
      --------------------------------
      P-256    nistp256    secp256r1
      P-384    nistp384    secp384r1
        

The purpose of this document is to specify the requirements for a Suite B compliant implementation of TLS (hereafter referred to as "Suite B TLS").

このドキュメントの目的は、TLSのスイートB準拠の実装の要件を指定することです(以下「スイートB TLS」と呼ばれる)。

3.1. Minimum Levels of Security (minLOS) for Suite B TLS
3.1. スイートB TLSの最低レベルのセキュリティ(ミンロス)

Suite B provides two levels of cryptographic security, namely a 128-bit minimum level of security (minLOS_128) and a 192-bit minimum level of security (minLOS_192). Each level defines a minimum strength that all cryptographic algorithms must provide.

Suite Bは、2つのレベルの暗号化セキュリティ、つまり128ビットの最小レベルのセキュリティ(Minlos_128)と192ビットの最小レベルのセキュリティ(Minlos_192)を提供します。各レベルは、すべての暗号化アルゴリズムが提供する必要がある最小強度を定義します。

The following combination of algorithms and key sizes are used in Suite B TLS:

以下のアルゴリズムとキーサイズの組み合わせは、スイートB TLSで使用されています。

   Suite B Combination 1              Suite B Combination 2
   --------------------------------   --------------------------------
   AES with 128-bit key in GCM mode   AES with 256-bit key in GCM mode
   ECDH using the 256-bit prime       ECDH using the 384-bit prime
      modulus curve P-256 [DSS]          modulus curve P-384 [DSS]
   TLS PRF with SHA-256 [SHS]         TLS PRF with SHA-384 [SHS]
        

Suite B TLS configured at a minimum level of security of 128 bits MUST use a TLS cipher suite satisfying either SuiteB_Combination_1 in its entirety or SuiteB_Combination_2 in its entirety.

128ビットの最低レベルのセキュリティで構成されたスイートB TLSは、全体でsuiteb_combination_1または全体でsuiteb_combination_1のいずれかを満たすtls cipherスイートを使用する必要があります。

Suite B TLS configured at a minimum level of security of 192 bits MUST use a TLS cipher suite satisfying SuiteB_Combination_2 in its entirety.

192ビットの最低レベルのセキュリティで構成されたスイートB TLSは、全体としてSuiteB_Combination_2を満たすTLS Cipher Suiteを使用する必要があります。

The specific Suite B compliant cipher suites for each combination are listed in Section 4.

各組み合わせの特定のスイートB準拠の暗号スイートは、セクション4にリストされています。

For Suite B TLS, ECDH uses the Ephemeral Unified Model Scheme with cofactor set to 1 (see Section 6.1.2.2 in [PWKE]).

スイートB TLSの場合、ECDHは、補助因子を1に設定して、はかない統一モデルスキームを使用します([PWKE]のセクション6.1.2.2を参照)。

To accommodate backward compatibility, a Suite B TLS client or server MAY be configured to accept a cipher suite that is not part of Suite B. However, whenever a Suite B TLS client and a Suite B TLS server establish a TLS version 1.2 session, Suite B algorithms MUST be employed.

後方互換性に対応するために、スイートB TLSクライアントまたはサーバーは、スイートBの一部ではない暗号スイートを受け入れるように構成できます。ただし、スイートB TLSクライアントとスイートB TLSサーバーがTLSバージョン1.2セッションを確立するたびに、スイートbアルゴリズムを使用する必要があります。

3.2 Suite B TLS Authentication
3.2 スイートB TLS認証

Suite B TLS MUST use ECDSA for digital signatures; authentication methods other than ECDSA-256 and ECDSA-384 MUST NOT be used for TLS authentication. If a relying party receives a signature based on any other authentication method, it MUST return a TLS error and stop the TLS handshake.

スイートB TLSは、デジタル署名にECDSAを使用する必要があります。ECDSA-256およびECDSA-384以外の認証方法は、TLS認証に使用してはなりません。頼る当事者が他の認証方法に基づいて署名を受け取る場合、TLSエラーを返し、TLSの握手を停止する必要があります。

A system compliant with the Suite B TLS and configured at a minimum level of security of 128 bits MUST use either ECDSA-256 or ECDSA-384 for client or server authentication. One party can authenticate with ECDSA-256 when the other party authenticates with ECDSA-384. This flexibility allows interoperation between a client and a server that have ECDSA authentication keys of different sizes.

スイートB TLSに準拠し、128ビットの最小レベルのセキュリティで構成されたシステムは、クライアントまたはサーバー認証にECDSA-256またはECDSA-384を使用する必要があります。1つの当事者は、他の当事者がECDSA-384で認証する場合、ECDSA-256で認証できます。この柔軟性により、クライアントとさまざまなサイズのECDSA認証キーを備えたサーバー間の相互操作が可能になります。

Clients and servers in a system configured at a minimum level of security of 128 bits MUST be able to verify ECDSA-256 signatures and SHOULD be able to verify ECDSA-384 signatures unless it is absolutely certain that the implementation will never need to verify certificates originating from an authority that uses an ECDSA-384 signing key.

128ビットの最低レベルのセキュリティで構成されたシステム内のクライアントとサーバーは、ECDSA-256の署名を検証し、実装が発信する証明書を検証する必要がないことを絶対に確信していない限り、ECDSA-384署名を検証できる必要があります。ECDSA-384署名キーを使用する当局から。

A system compliant with the Suite B TLS and configured at a minimum level of security of 192 bits MUST use ECDSA-384 for client and server authentication.

スイートB TLSに準拠し、192ビットの最小レベルのセキュリティで構成されたシステムは、クライアントおよびサーバー認証にECDSA-384を使用する必要があります。

Clients and servers in a system configured at a minimum level of security of 192 bits MUST be able to verify ECDSA-384 signatures.

192ビットの最低レベルのセキュリティで構成されたシステム内のクライアントとサーバーは、ECDSA-384署名を検証できる必要があります。

In all cases, the client MUST authenticate the server. The server MAY authenticate the client, as needed by the specific application.

いずれの場合も、クライアントはサーバーを認証する必要があります。サーバーは、特定のアプリケーションで必要に応じて、クライアントを認証できます。

4. Suite B Compliance and Interoperability Requirements
4. スイートBコンプライアンスと相互運用性の要件

TLS versions 1.1 [RFC4346] and earlier do not support Galois/ Counter Mode (GCM) cipher suites [RFC5289]. However, TLS version 1.2 [RFC5246] and later do support GCM. For Suite B TLS, GCM cipher suites MUST be used; therefore, a Suite B TLS client MUST implement TLS version 1.2 or later.

TLSバージョン1.1 [RFC4346]以前はガロア/カウンターモード(GCM)暗号スイート[RFC5289]をサポートしていません。ただし、TLSバージョン1.2 [RFC5246]以降はGCMをサポートします。スイートB TLSの場合、GCM暗号スイートを使用する必要があります。したがって、スイートB TLSクライアントは、TLSバージョン1.2以降を実装する必要があります。

A Suite B TLS client configured at a minimum level of security of 128 bits MUST offer the TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 or the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite in the ClientHello message. The TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 cipher suite is preferred; if offered, it MUST appear before the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite.

128ビットの最低レベルのセキュリティで構成されたスイートB TLSクライアントは、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256またはTLS_SHA256またはTLS_AES_256_GCM_SHA384 CIPHER SUITEのメッセージで提供される必要があります。TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 CIPHESスイートが推奨されます。提供されている場合、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 CIPHER SUITEの前に表示する必要があります。

If configured at a minimum level of security of 192 bits, the client MUST offer the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite and MUST NOT offer the TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 cipher suite.

192ビットの最小レベルのセキュリティで構成されている場合、クライアントはTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 Cipher Suiteを提供する必要があり、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 CIPHER SUITEを提供してはなりません。

One of these two cipher suites MUST be the first (most preferred) cipher suites in the ClientHello message. A Suite B TLS client that offers interoperability with servers that are not Suite B compliant MAY offer additional cipher suites, but any additional cipher suites MUST appear after the two Suite B compliant cipher suites in the ClientHello message.

これら2つの暗号スイートの1つは、ClientHelloメッセージの最初の(最も好ましい)暗号スイートでなければなりません。Suite Bに準拠していないサーバーとの相互運用性を提供するスイートB TLSクライアントは、追加の暗号スイートを提供する場合がありますが、ClientHelloメッセージの2つのスイートBコンプライアント暗号スイートの後に追加の暗号スイートが表示される必要があります。

A Suite B TLS server MUST implement TLS version 1.2 or later.

スイートB TLSサーバーは、TLSバージョン1.2以降を実装する必要があります。

A Suite B TLS server configured at a minimum level of security of 128 bits MUST accept either the TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 cipher suite or the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite if it is offered in the ClientHello message, with the TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 cipher suite being preferred.

A Suite B TLS server configured at a minimum level of security of 128 bits MUST accept either the TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 cipher suite or the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite if it is offered in the ClientHello message, with the TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 cipher suite being preferred.

A Suite B TLS server configured at a minimum level of security of 192 bits MUST accept the TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 cipher suite if it is offered in the ClientHello message.

192ビットの最小レベルのセキュリティで構成されたスイートB TLSサーバーは、ClientHelloメッセージで提供されている場合、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 CIPHESスイートを受け入れる必要があります。

If the server is not offered either of the Suite B cipher suites, and interoperability with clients that are not Suite B compliant is desired, then the Suite B TLS server MAY accept another offered cipher suite that is considered acceptable by the server administrator.

サーバーがスイートB暗号スイートのいずれかを提供されていない場合、およびスイートBコンプライアントではないクライアントとの相互運用性が望ましい場合、スイートB TLSサーバーは、サーバー管理者が受け入れられると見なされる別の提供される暗号スイートを受け入れる場合があります。

4.1. Acceptable Curves
4.1. 許容可能な曲線

RFC 4492 defines a variety of elliptic curves. Suite B TLS connections MUST use secp256r1(23) or secp384r1(24). These are the same curves that appear in FIPS 186-3 [DSS] as P-256 and P-384, respectively. Secp256r1 MUST be used for the key exchange in all cipher suites in this specification using AES-128; secp384r1 MUST be used for the key exchange in all cipher suites in this specification using AES-256. RFC 4492 requires that the uncompressed(0) form be supported. The ansiX962_compressed_prime(1) point format MAY also be supported.

RFC 4492は、さまざまな楕円曲線を定義しています。スイートB TLS接続は、SECP256R1(23)またはSECP384R1(24)を使用する必要があります。これらは、それぞれP-256とP-384としてFIPS 186-3 [DSS]に表示される同じ曲線です。SECP256R1は、AES-128を使用して、この仕様のすべての暗号スイートのキーエクスチェンジに使用する必要があります。SECP384R1は、AES-256を使用して、この仕様のすべての暗号スイートのキーエクスチェンジに使用する必要があります。RFC 4492では、非圧縮(0)フォームをサポートする必要があります。ansix962_compressed_prime(1)ポイント形式もサポートされる場合があります。

Clients desiring to negotiate only a Suite B TLS connection MUST generate a "Supported Elliptic Curves Extension" containing only the allowed curves. Clients operating at a minimum level of security of 128 bits MUST include secp256r1 and SHOULD include secp384r1 in the extension. Clients operating at a minimum level of security of 192 bits MUST include secp384r1 in the extension. In order to be able to

スイートB TLS接続のみを交渉したいクライアントは、許可された曲線のみを含む「サポートされている楕円曲線拡張機能」を生成する必要があります。128ビットの最低レベルのセキュリティで動作するクライアントには、SECP256R1を含める必要があり、拡張機能にSECP384R1を含める必要があります。192ビットの最低レベルのセキュリティで動作するクライアントには、拡張機能にSECP384R1を含める必要があります。できるように

verify ECDSA signatures, a client and server in a system configured at a minimum level of security of 128 bits MUST support secp256r1 and SHOULD support secp384r1 unless it is absolutely certain that the client and server will never need to use or verify certificates originating from an authority which uses an ECDSA-384 signing key. A client and server in a system configured at a minimum level of 192 bits MUST support secp384r1.

128ビットの最小レベルのセキュリティで構成されたシステム内のクライアント、サーバーを検証するECDSA署名は、SECP256R1をサポートする必要があり、クライアントとサーバーが当局から発信する証明書を使用または検証する必要がないことを絶対に確実にしない限り、SECP384R1をサポートする必要があります。ECDSA-384署名キーを使用します。最小レベルの192ビットで構成されたシステム内のクライアントとサーバーは、SECP384R1をサポートする必要があります。

TLS connections that offer options that are both compliant and non-compliant with Suite B MAY omit the extension, or they MAY send the extension but offer other curves as well as the appropriate Suite B ones.

Suite Bに準拠しており、非準拠の両方のオプションを提供するTLS接続は、拡張機能を省略するか、拡張機能を送信する可能性がありますが、他の曲線と適切なスイートBを提供します。

Servers desiring to negotiate a Suite B TLS connection SHOULD check for the presence of the extension, but they MUST NOT select a curve that is not Suite B even if it is offered by the client. This allows a client that is willing to do either Suite B or non-Suite B TLS connections to interoperate with a server that will only do Suite B TLS. If the client does not advertise an acceptable curve, the server MUST generate a fatal "handshake_failure" alert and terminate the connection. Clients MUST check the chosen curve to make sure that it is one of the Suite B curves.

スイートB TLS接続のネゴシエートを希望するサーバーは、拡張機能の存在を確認する必要がありますが、クライアントが提供していても、スイートBではない曲線を選択してはなりません。これにより、スイートBまたは非スイートB TLS接続のいずれかを喜んで行うことを望んでいるクライアントが、スイートB TLSのみを行うサーバーと相互運用することができます。クライアントが許容可能な曲線を宣伝しない場合、サーバーは致命的な「handshake_failure」アラートを生成し、接続を終了する必要があります。クライアントは、選択した曲線をチェックして、それがスイートB曲線の1つであることを確認する必要があります。

4.2. Certificates
4.2. 証明書

Server and client certificates used to establish a Suite B TLS connection MUST be signed with ECDSA and MUST be compliant with the "Suite B Certificate and Certificate Revocation List (CRL) Profile", [RFC5759].

スイートB TLS接続の確立に使用されるサーバーおよびクライアント証明書は、ECDSAと署名する必要があり、「Suite B証明書および証明書取消リスト(CRL)プロファイル」、[RFC5759]に準拠する必要があります。

4.3. signature_algorithms Extension
4.3. signature_algorithms拡張子

The signature_algorithms extension is defined in Section 7.4.1.4.1 of TLS version 1.2 [RFC5246]. A Suite B TLS version 1.2 or later client MUST include the signature_algorithms extension. A Suite B TLS client configured at a minimum level of security of 128 bits MUST offer SHA-256 with ECDSA and SHOULD offer ECDSA with SHA-384 in the signature_algorithms extension unless it is absolutely certain that a client will never need to use or verify certificates originating from an authority that uses an ECDSA-384 signing key. A Suite B TLS client configured at a minimum level of 192 bits MUST offer ECDSA with SHA-384 in the signature_algorithms extension.

Signature_Algorithms拡張機能は、TLSバージョン1.2 [RFC5246]のセクション7.4.1.4.1で定義されています。スイートB TLSバージョン1.2以降のクライアントには、signature_algorithms拡張子を含める必要があります。128ビットの最小レベルのセキュリティで構成されたスイートB TLSクライアントは、ECDSAを使用してSHA-256を提供する必要があり、クライアントが証明書を使用または検証する必要がないことを絶対に確信していない限り、Signature_Algorithms拡張機能でSHA-384を搭載したECDSAを提供する必要があります。ECDSA-384署名キーを使用する当局から生じます。192ビットの最小レベルで構成されたスイートB TLSクライアントは、Signature_Algorithms拡張機能でSHA-384を搭載したECDSAを提供する必要があります。

Following the guidance in [RFC5759], Suite B TLS connections MUST only accept signature algorithms ECDSA with either SHA-256 or SHA-384 for certification path validation. (Note that this is a change from [RFC5430].)

[RFC5759]のガイダンスに続いて、Suite B TLS接続は、認証パス検証のためにSHA-256またはSHA-384を使用して署名アルゴリズムECDSAのみを受け入れる必要があります。(これは[RFC5430]からの変更であることに注意してください。)

Other offerings MAY be included to indicate the acceptable signature algorithms in cipher suites that are offered for interoperability with servers not compliant with Suite B and to indicate the signature algorithms that are acceptable for certification path validation in non-compliant Suite B TLS connections.

他の製品は、スイートBに準拠していないサーバーとの相互運用性のために提供される暗号スイートの許容可能な署名アルゴリズムを示すために含まれる場合があり、非準拠スイートB TLS接続の認定パス検証に受け入れられる署名アルゴリズムを示すことができます。

4.4. CertificateRequest Message
4.4. certificaterequestメッセージ

A Suite B TLS server configured at a minimum level of security of 128 bits MUST include ECDSA with SHA-256 and SHOULD include ECDSA with SHA-384 in the supported_signature_algorithms field of the CertificateRequest message unless it is absolutely certain that a server will never need to verify certificates originating from an authority that uses an ECDSA-384 signing key. A Suite B TLS server configured at a minimum level of security of 192 bits MUST include ECDSA with SHA-384 in the supported_signature_algorithms field.

128ビットの最小レベルのセキュリティで構成されたスイートB TLSサーバーには、SHA-256を備えたECDSAを含める必要があり、STARTIANTEREQUESTメッセージのsupported_signature_algorithmsフィールドにsha-384を持つECDSAを含める必要があります。ECDSA-384署名キーを使用する当局に由来する証明書を確認します。192ビットの最小レベルのセキュリティで構成されたスイートB TLSサーバーには、supported_signature_algorithmsフィールドにSHA-384を持つECDSAを含める必要があります。

4.5. CertificateVerify Message
4.5. certifativeverifyメッセージ

Using the definitions found in Section 3.2, a Suite B TLS client MUST use ECDSA-256 or ECDSA-384 for the signature in the CertificateVerify message. A Suite B TLS client configured at a minimum security level of 128 bits MUST use ECDSA-256 or ECDSA-384. A Suite B TLS client configured at a minimum security level of 192 bits MUST use ECDSA-384.

セクション3.2で見つかった定義を使用して、Suite B TLSクライアントは、CertimateVerifyメッセージの署名に対してECDSA-256またはECDSA-384を使用する必要があります。128ビットの最小セキュリティレベルで構成されたスイートB TLSクライアントは、ECDSA-256またはECDSA-384を使用する必要があります。192ビットの最小セキュリティレベルで構成されたスイートB TLSクライアントは、ECDSA-384を使用する必要があります。

4.6. ServerKeyExchange Message Signature
4.6. serverKeyExchangeメッセージ署名

In the TLS_ECDHE_ECDSA-collection of cipher suites, the server sends its ephemeral ECDH public key and a specification of the corresponding curve in the ServerKeyExchange message. These parameters MUST be signed with ECDSA using the server's private key, which corresponds to the public key in the server's certificate.

暗号スイートのTLS_ECDHE_ECDSA-COLLECTIONでは、サーバーはEPEMERAL ECDH公開キーとServerKeyExchangeメッセージの対応する曲線の仕様を送信します。これらのパラメーターは、サーバーの証明書の公開キーに対応するサーバーの秘密キーを使用してECDSAで署名する必要があります。

A Suite B TLS server MUST sign the ServerKeyExchange message using either ECDSA-256 or ECDSA-384. A system configured at a minimum level of security of 128 bits MUST use either ECDSA-256 or ECDSA-384. A system configured at a minimum level of security of 192-bits MUST use ECDSA-384.

Suite B TLSサーバーは、ECDSA-256またはECDSA-384を使用してServerKeyExchangeメッセージに署名する必要があります。128ビットの最小レベルのセキュリティで構成されたシステムは、ECDSA-256またはECDSA-384のいずれかを使用する必要があります。192ビットの最小レベルのセキュリティで構成されたシステムは、ECDSA-384を使用する必要があります。

5. Security Considerations
5. セキュリティに関する考慮事項

Most of the security considerations for this document are described in "The Transport Layer Security (TLS) Protocol Version 1.2" [RFC5246], "Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)" [RFC4492], "AES Galois Counter Mode

このドキュメントのセキュリティ上の考慮事項のほとんどは、「トランスポートレイヤーセキュリティ(TLS)プロトコルバージョン1.2」[RFC5246]、 "Elliptic Curve Cryptography(ECC)輸送層セキュリティ(TLS)の暗号スイート」[RFC4492]、「AES」で説明されています。ガロアカウンターモード

(GCM) Cipher Suites for TLS" [RFC5288], and "TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter Mode (GCM)" [RFC5289]. Readers should consult those documents.

(GCM)TLSの暗号スイート[RFC5288]、および「SHA-256/384およびAES Galoisカウンターモード(GCM)を備えたTLS楕円曲線暗号スイート」[RFC5289]。読者はこれらの文書を参照する必要があります。

In order to meet the goal of a consistent security level for the entire cipher suite, Suite B TLS implementations MUST ONLY use the curves defined in Section 4.1. Otherwise, it is possible to have a set of symmetric algorithms with much weaker or stronger security properties than the asymmetric (ECC) algorithms.

暗号スイート全体の一貫したセキュリティレベルの目標を達成するには、スイートB TLS実装はセクション4.1で定義された曲線のみを使用する必要があります。それ以外の場合は、非対称(ECC)アルゴリズムよりもはるかに弱いまたは強いセキュリティプロパティを備えた一連の対称アルゴリズムを持つことができます。

6. Acknowledgments
6. 謝辞

The authors would like to thank Eric Rescorla for his work on the original RFC 5430.

著者は、元のRFC 5430での仕事についてエリック・レスコルラに感謝したいと思います。

This work was supported by the US Department of Defense.

この作業は、米国国防総省によってサポートされていました。

7. References
7. 参考文献
7.1. Normative References
7.1. 引用文献

[AES] National Institute of Standards and Technology, "Specification for the Advanced Encryption Standard (AES)", FIPS 197, November 2001.

[AES]国立標準技術研究所、「高度な暗号化標準(AES)の仕様」、FIPS 197、2001年11月。

[DSS] National Institute of Standards and Technology, "Digital Signature Standard", FIPS 186-3, June 2009.

[DSS]国立標準技術研究所、「デジタル署名標準」、FIPS 186-3、2009年6月。

[PWKE] National Institute of Standards and Technology, "Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography (Revised)", NIST Special Publication 800-56A, March 2007.

[PWKE]国立標準技術研究所、「個別の対数暗号化(改訂)を使用したペアワイズの主要な確立スキームの推奨」、NIST Special Publication 800-56A、2007年3月。

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC4347] Rescorla, E. and N. Modadugu, "Datagram Transport Layer Security", RFC 4347, April 2006.

[RFC4347] Rescorla、E。およびN. Modadugu、「Datagram Transport Layer Security」、RFC 4347、2006年4月。

[RFC4492] Blake-Wilson, S., Bolyard, N., Gupta, V., Hawk, C., and B. Moeller, "Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)", RFC 4492, May 2006.

[RFC4492] Blake-Wilson、S.、Bolyard、N.、Gupta、V.、Hawk、C.、およびB. Moeller、 "楕円曲線暗号化(ECC)輸送層セキュリティ(TLS)の暗号スイート"、RFC 4492、2006年5月。

[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.

[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)プロトコルバージョン1.2」、RFC 5246、2008年8月。

[RFC5289] Rescorla, E., "TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter Mode (GCM)", RFC 5289, August 2008.

[RFC5289] Rescorla、E。、「SHA-256/384およびAES Galoisカウンターモード(GCM)を備えたTLS楕円曲線暗号」、RFC 5289、2008年8月。

[RFC5759] Solinas, J. and L. Zieglar, "Suite B Certificate and Certificate Revocation List (CRL) Profile", RFC 5759, January 2010.

[RFC5759] Solinas、J。およびL. Zieglar、「Suite B証明書および証明書取消リスト(CRL)プロファイル」、RFC 5759、2010年1月。

[SHS] National Institute of Standards and Technology, "Secure Hash Standard", FIPS 180-3, October 2008.

[SHS]国立標準技術研究所、「Secure Hash Standard」、Fips 180-3、2008年10月。

[RFC6347] Rescorla, E. and N. Modadugu, "Datagram Transport Layer Security Version 1.2", RFC 6347, January 2012.

[RFC6347] Rescorla、E。およびN. Modadugu、「データグラムトランスポートレイヤーセキュリティバージョン1.2」、RFC 6347、2012年1月。

7.2. Informative References
7.2. 参考引用

[RFC2246] Dierks, T. and C. Allen, "The TLS Protocol Version 1.0", RFC 2246, January 1999.

[RFC2246] Dierks、T。およびC. Allen、「TLSプロトコルバージョン1.0」、RFC 2246、1999年1月。

[RFC4346] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.1", RFC 4346, April 2006.

[RFC4346] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)プロトコルバージョン1.1」、RFC 4346、2006年4月。

[RFC5288] Salowey, J., Choudhury, A., and D. McGrew, "AES Galois Counter Mode (GCM) Cipher Suites for TLS", RFC 5288, August 2008.

[RFC5288] Salowey、J.、Choudhury、A。、およびD. McGrew、「AES Galois Counter Mode(GCM)Cipher Suites for TLS」、RFC 5288、2008年8月。

[RFC5430] Salter, M., Rescorla, E., and R. Housley, "Suite B Profile for Transport Layer Security (TLS)", RFC 5430, March 2009.

[RFC5430] Salter、M.、Rescorla、E。、およびR. Housley、「輸送層セキュリティのためのスイートBプロファイル(TLS)」、RFC 5430、2009年3月。

[SECG] Brown, D., "SEC 2: Recommended Elliptic Curve Domain Parameters", http://www.secg.org/download/aid-784/sec2-v2.pdf, February 2010.

[Secg] Brown、D。、「Sec 2:推奨される楕円曲線ドメインパラメーター」、http://www.secg.org/download/aid-784/sec2-v2.pdf、2010年2月。

[SuiteB] National Security Agency, "Fact Sheet NSA Suite B Cryptography", November 2010, http://www.nsa.gov/ia/programs/suiteb_cryptography/.

[SuiteB]国家安全保障局、「ファクトシートNSAスイートB暗号化」、2010年11月、http://www.nsa.gov/ia/programs/suiteb_cryptography/。

Annex A. A Transitional Suite B Profile for TLS 1.1 and 1.0

付録A. TLS 1.1および1.0の移行スイートBプロファイル

A transitional profile is described for use with TLS version 1.0 [RFC2246], TLS version 1.1 [RFC4346], or DTLS version 1.0 [RFC4347] and the cipher suites defined in [RFC4492]. This profile uses the Suite B cryptographic algorithms to the greatest extent possible and provides backward compatibility. While the transitional profile is not a Suite B Compliant implementation of TLS, it provides a transitional path towards the Suite B compliant Profile.

TLSバージョン1.0 [RFC2246]、TLSバージョン1.1 [RFC4346]、またはDTLSバージョン1.0 [RFC4347]、および[RFC4492]で定義された暗号スイートで使用するための移行プロファイルが説明されています。このプロファイルは、スイートB暗号化アルゴリズムを可能な限り最大限に使用し、後方互換性を提供します。移行プロファイルはTLSのスイートB準拠の実装ではありませんが、スイートB準拠のプロファイルへの移行パスを提供します。

The following combination of algorithms and key sizes are defined for use with the Suite B TLS transitional profile:

アルゴリズムとキーサイズの以下の組み合わせは、スイートB TLSの移行プロファイルで使用するために定義されています。

   Transitional Suite B Combination 1 Transitional Suite B Combination 2
   ---------------------------------- ----------------------------------
   AES with 128-bit key in CBC mode   AES with 256-bit key in CBC mode
   ECDH using the 256-bit prime       ECDH using the 384-bit prime
      modulus curve P-256 [DSS]          modulus curve P-384 [DSS]
   Standard TLS PRF                   Standard TLS PRF
      (with SHA-1 and MD5)               (with SHA-1 and MD5)
   HMAC with SHA-1 for message        HMAC with SHA-1 for message
      authentication                     authentication
        

A Transitional Suite B TLS system configured at a minimum level of security of 128 bits MUST use a TLS cipher suite satisfying either Transitional Suite B Combination 1 in its entirety or Transitional Suite B Combination 2 in its entirety.

128ビットの最小レベルのセキュリティで構成された移行スイートB TLSシステムは、TLS暗号スイートを使用して、移行スイートBの組み合わせ1全体または移行スイートBの組み合わせ2全体を満たす必要があります。

A Transitional Suite B TLS system configured at a minimum level of security of 192 bits MUST use a TLS cipher suite satisfying Transitional Suite B Combination 2 in its entirety.

192ビットの最小レベルのセキュリティで構成された移行スイートB TLSシステムは、TLS暗号スイートを完全に満たすTLS暗号スイートを使用する必要があります。

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA and TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA satisfy the requirements of Transitional Suite B Combination 1 and Transitional Suite B Combination 2, respectively.

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAおよびTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA移行スイートBの組み合わせ1と遷移スイートBの組み合わせ2の要件を満たします。

A Transitional Suite B TLS client MUST implement TLS version 1.1 or earlier.

移行スイートB TLSクライアントは、TLSバージョン1.1以前を実装する必要があります。

A Transitional Suite B TLS system configured at a minimum level of security of 128 bits, MUST offer the TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA cipher suite and/or the TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA cipher suite in the

128ビットの最小レベルのセキュリティで構成された移行スイートB TLSシステムは、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA CIPHER SUITEおよび/またはTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA CIMER SUITE IN TLS_ECDHE_ECDSA_WITH_AES_256を提供する必要があります。

ClientHello message. The TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA cipher suite is preferred; if it is offered, it MUST appear before the TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA cipher suite (if present).

clienthelloメッセージ。tls_ecdhe_ecdsa_with_aes_128_cbc_sha cipherスイートが推奨されます。提供されている場合、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA CIPHER SUITE(存在する場合)の前に表示する必要があります。

A Transitional Suite B TLS system configured at a minimum level of security of 192 bits MUST offer the TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA cipher suite in the ClientHello message.

192ビットの最小レベルのセキュリティで構成された移行スイートB TLSシステムは、ClientHelloメッセージでTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA CIPHESスイートを提供する必要があります。

One of these Transitional Suite B cipher suites MUST be the first (most preferred) in the ClientHello message.

これらの移行スイートB暗号スイートの1つは、ClientHelloメッセージの最初(最も好ましい)でなければなりません。

A Transitional Suite B client that offers interoperability with servers that are not Suite B transitional MAY offer additional cipher suites. If any additional cipher suites are offered, they MUST appear after the Transitional Suite B cipher suites in the ClientHello message.

スイートBの移行型ではないサーバーとの相互運用性を提供する移行スイートBクライアントは、追加の暗号スイートを提供する場合があります。追加の暗号スイートが提供されている場合、ClientHelloメッセージに移行スイートB暗号スイートの後に表示される必要があります。

A Transitional Suite B TLS server MUST implement TLS version 1.1 or earlier.

移行スイートB TLSサーバーは、TLSバージョン1.1以前を実装する必要があります。

A Transitional Suite B TLS server configured at a minimum level of security of 128 bits MUST accept the TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA cipher suite (preferred) or the TLS_ECHDE_ECDSA_WITH_AES_256_CBC_SHA cipher suite if offered in the ClientHello message.

128ビットの最小レベルのセキュリティで構成された移行スイートB TLSサーバーは、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA CIPHER SUITE(優先)またはTLS_ECHDE_ECDSA_WITH_AES_256_CBC_SHA CIMELLOメッセージを提供する場合に受け入れる必要があります。

A Transitional Suite B TLS server configured at a minimum level of security of 192 bits MUST accept the TLS_ECHDE_ECDSA_WITH_AES_256_CBC_SHA cipher suite if offered in the ClientHello message.

192ビットの最小レベルのセキュリティで構成された移行スイートB TLSサーバーは、ClientHelloメッセージで提供されている場合、TLS_ECHDE_ECDSA_WITH_AES_256_CBC_SHA CIPHESスイートを受け入れる必要があります。

If a Transitional Suite B TLS server is not offered the Transitional Suite B cipher suites and interoperability with non-Transitional Suite B clients is desired, then the server MAY accept another offered cipher suite that is considered acceptable by the server administrator.

移行スイートB TLSサーバーが提供されていない場合、移行スイートB暗号スイートと非遷移スイートBクライアントとの相互運用性が必要である場合、サーバーはサーバー管理者が許容できると見なされる別の提供される暗号スイートを受け入れる場合があります。

A Transitional Suite B TLS server MUST sign the ServerKeyExchange message using ECDSA with SHA-1. The Transitional Suite B profile does not impose any additional restrictions on the server certificate signature or the signature schemes used elsewhere in the certification path. Likewise, the Transitional Suite B Profile does not impose restrictions on signature schemes used in the certification path for the client's certificate when mutual authentication is employed.

Transitional Suite B TLSサーバーは、SHA-1を使用してECDSAを使用してServerKeyExchangeメッセージに署名する必要があります。Transitional Suite Bプロファイルは、サーバー証明書の署名または認定パスの他の場所で使用される署名スキームに追加の制限を課さない。同様に、トランジショナルスイートBプロファイルは、相互認証が採用されている場合、クライアントの証明書の認証パスで使用される署名スキームに制限を課しません。

Annex B. Changes since RFC 5430

付録B. RFC 5430以降に変更されます

The changes from RFC 5430 [RFC5430] are as follows:

RFC 5430 [RFC5430]からの変更は次のとおりです。

- The transitional profile for use with TLS version 1.0, TLS version 1.1, and DTLS version 1.0 was moved to an annex.

- TLSバージョン1.0、TLSバージョン1.1、およびDTLSバージョン1.0で使用する移行プロファイルは、付属書に移動しました。

- The requirement of Section 4 of RFC 5430 that a Suite B TLS 1.2 Client offer the TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 or TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 cipher suites was removed.

- スイートB TLS 1.2クライアントがTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256またはTLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 CIPHER SUITESを提供するRFC 5430のセクション4の要件の要件

- A Suite B TLS system configured at a minimum level of security of 128 bits MUST use either TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 or TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, with the first being preferred.

- 128ビットの最小レベルのセキュリティで構成されたスイートB TLSシステムは、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256またはTLS_SHA256またはTLS_AES_256_GCM_SHA384、最初の存在のいずれかを使用する必要があります。

- A Suite B TLS system configured at a minimum level of security of 128 bits MUST use either ECDSA on the secp256r1 curve with SHA-256 or ECDSA on the secp384r1 curve with SHA-384. One party can authenticate with ECDSA on the secp256r1 curve and SHA-256 when the other party authenticates with ECDSA on the secp384r1 curve and SHA-384.

- 128ビットの最小レベルのセキュリティで構成されたスイートB TLSシステムは、SHA-256を使用してSECP256R1曲線でECDSAまたはSHA-384を使用してSECP384R1曲線でECDSAを使用する必要があります。1つの当事者は、SECP256R1曲線でECDSAを使用して、SECP256R1曲線とSHA-256で認証できます。

- A system desiring to negotiate a Suite B TLS connection at a minimum level of security of 128 bits MUST generate a "Supported Elliptic Curves Extension", MUST include secp256r1 in the extension, and SHOULD include secp384r1 in the extension.

- 128ビットの最小レベルのセキュリティでスイートB TLS接続をネゴシエートしたいシステムは、「サポートされている楕円曲線拡張」を生成する必要があり、拡張にSECP256R1を含める必要があり、拡張にSECP384R1を含める必要があります。

- A client and server, in order to verify digital signatures in a Suite B TLS system configured at a minimum level of security of 128 bits, MUST support secp256r1 and SHOULD support secp384r1.

- クライアントとサーバーは、128ビットの最小レベルのセキュリティで構成されたスイートB TLSシステムのデジタル署名を検証するために、SECP256R1をサポートし、SECP384R1をサポートする必要があります。

- A Suite B TLS client configured at a minimum level of security of 128 bits MUST offer SHA-256 with ECDSA and SHOULD offer SHA-384 with ECDSA in the signature_algorithms extension.

- 128ビットの最小レベルのセキュリティで構成されたスイートB TLSクライアントは、ECDSAを備えたSHA-256を提供する必要があり、Signature_Algorithms拡張機能でECDSAを使用してSHA-384を提供する必要があります。

- Certification path validation MUST only include certificates containing an ECDSA public key on the secp256r1 curve or on the secp384r1 curve. The ECDSA public keys used in the certification path MUST be in non-descending order of size from the end entity public key to the root public key.

- 認証パス検証には、SECP256R1曲線またはSECP384R1曲線にECDSA公開キーを含む証明書のみを含める必要があります。認証パスで使用されるECDSAパブリックキーは、終了エンティティの公開キーからルート公開キーまで、決定的ではないサイズの順序でなければなりません。

- A Suite B TLS server configured at a minimum level of security of 128 bits MUST include ECDSA with SHA-256 and SHOULD include ECDSA with SHA-384 in the supported_signature_algorithms field of the CertificateRequest message.

- 128ビットの最小レベルのセキュリティで構成されたスイートB TLSサーバーには、SHA-256を備えたECDSAを含める必要があり、Sha-384を使用したECDSAをSHA-384にsupported_signature_algorithmsフィールドに含める必要があります。

- A Suite B TLS client configured at a minimum level of security of 128 bits MUST use ECDSA on the secp256r1 curve and SHA-256 or ECDSA on the secp384r1 curve and SHA-384.

- 128ビットの最小レベルのセキュリティで構成されたスイートB TLSクライアントは、SECP256R1曲線でECDSAを使用し、SECP384R1曲線とSHA-384でECDSAを使用する必要があります。

- A Suite B TLS server configured at a minimum level of security of 128 bits MUST use either ECDSA on the secp256r1 curve and SHA-256 or ECDSA on the secp384r1 curve and SHA-384 when signing the ServerKeyExchange message.

- 128ビットの最小レベルのセキュリティで構成されたスイートB TLSサーバーは、SECP256R1曲線でECDSA、SECP384R1曲線でSHA-256またはECDSAを使用する必要があります。

Authors' Addresses

著者のアドレス

Margaret Salter National Security Agency 9800 Savage Rd. Fort Meade 20755-6709 USA EMail: misalte@nsa.gov

マーガレット・ソルター国家安全保障局9800 Savage Rd。フォートミード20755-6709 USAメール:misalte@nsa.gov

Russ Housley Vigil Security 918 Spring Knoll Drive Herndon 21070 USA EMail: housley@vigilsec.com

Russ Housley Vigil Security 918 Spring Knoll Drive Herndon 21070 USAメール:housley@vigilsec.com