[要約] RFC 7251は、TLS (Transport Layer Security) プロトコルにおいて、AES-CCM (Advanced Encryption Standard - Counter with CBC-MAC) モードを使用した楕円曲線暗号 (ECC) サイファースイートを定義しています。この文書の目的は、TLSのセキュリティを強化するために、効率的かつセキュアな暗号化手法を提供することにあります。AES-CCMは、データの機密性と真正性の両方を保証するために使用されます。このRFCは、特にリソースが限られている環境や、高度なセキュリティが求められる場面での利用を想定しています。関連するRFCには、RFC 5246 (TLS 1.2の定義) やRFC 5288 (AES-GCMサイファースイートに関する定義) などがあります。
Internet Engineering Task Force (IETF) D. McGrew
Request for Comments: 7251 Cisco Systems
Category: Informational D. Bailey
ISSN: 2070-1721 Ruhr-University Bochum
M. Campagna
R. Dugal
Certicom Corp.
June 2014
AES-CCM Elliptic Curve Cryptography (ECC) Cipher Suites for TLS
TLS用のAES-CCM楕円曲線暗号(ECC)暗号スイート
Abstract
概要
This memo describes the use of the Advanced Encryption Standard (AES) in the Counter and CBC-MAC Mode (CCM) of operation within Transport Layer Security (TLS) to provide confidentiality and data-origin authentication. The AES-CCM algorithm is amenable to compact implementations, making it suitable for constrained environments, while at the same time providing a high level of security. The cipher suites defined in this document use Elliptic Curve Cryptography (ECC) and are advantageous in networks with limited bandwidth.
このメモは、トランスポート層セキュリティ(TLS)内で動作するカウンターおよびCBC-MACモード(CCM)でのAdvanced Encryption Standard(AES)の使用による機密性とデータ発信元認証の提供について説明しています。 AES-CCMアルゴリズムはコンパクトな実装に適しているため、制約のある環境に適していると同時に、高レベルのセキュリティを提供します。このドキュメントで定義されている暗号スイートは、Elliptic Curve Cryptography(ECC)を使用しており、帯域幅が制限されたネットワークで有利です。
Status of This Memo
本文書の状態
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはInternet Standards Trackの仕様ではありません。情報提供を目的として公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補になるわけではありません。 RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7251.
このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7251で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2014 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2014 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1. Conventions Used in This Document . . . . . . . . . . . . 3
2. ECC-Based AES-CCM Cipher Suites . . . . . . . . . . . . . . . 3
2.1. AEAD Algorithms . . . . . . . . . . . . . . . . . . . . . 5
2.2. Requirements on Curves and Hashes . . . . . . . . . . . . 5
3. TLS Versions . . . . . . . . . . . . . . . . . . . . . . . . 5
4. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 6
5. Security Considerations . . . . . . . . . . . . . . . . . . . 6
5.1. Perfect Forward Secrecy . . . . . . . . . . . . . . . . . 6
5.2. Counter Reuse . . . . . . . . . . . . . . . . . . . . . . 6
5.3. Hardware Security Modules . . . . . . . . . . . . . . . . 6
6. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . 6
7. References . . . . . . . . . . . . . . . . . . . . . . . . . 7
7.1. Normative References . . . . . . . . . . . . . . . . . . 7
7.2. Informative References . . . . . . . . . . . . . . . . . 8
Appendix A. Recommended Curves and Algorithms . . . . . . . . . 9
This document describes the use of Advanced Encryption Standard (AES) [AES] in Counter with CBC-MAC Mode (CCM) [CCM] in several TLS cipher suites. AES-CCM provides both authentication and confidentiality (encryption and decryption) and uses as its only primitive the AES encrypt block cipher operation. This makes it amenable to compact implementations, which are advantageous in constrained environments. Of course, adoption outside of constrained environments is necessary to enable interoperability, such as that between web clients and embedded servers, or between embedded clients and web servers. The use of AES-CCM has been specified for the IPsec Encapsulating Security Payload (ESP) [RFC4309] and 802.15.4 wireless networks [IEEE802154].
このドキュメントでは、いくつかのTLS暗号スイートでのCBC-MACモード(CCM)[CCM]を使用したカウンターでのAdvanced Encryption Standard(AES)[AES]の使用について説明します。 AES-CCMは、認証と機密性(暗号化と復号化)の両方を提供し、その唯一のプリミティブとしてAES暗号化ブロック暗号操作を使用します。これにより、制約のある環境で有利なコンパクトな実装が可能になります。もちろん、Webクライアントと組み込みサーバー間、または組み込みクライアントとWebサーバー間などの相互運用性を有効にするには、制約された環境以外での採用が必要です。 AES-CCMの使用は、IPsecカプセル化セキュリティペイロード(ESP)[RFC4309]および802.15.4ワイヤレスネットワーク[IEEE802154]で指定されています。
Authenticated encryption, in addition to providing confidentiality for the plaintext that is encrypted, provides a way to check its integrity and authenticity. Authenticated Encryption with Associated Data, or AEAD [RFC5116], adds the ability to check the integrity and authenticity of some associated data that is not encrypted. This memo utilizes the AEAD facility within TLS 1.2 [RFC5246] and the AES-CCM-based AEAD algorithms defined in [RFC5116] and [RFC6655]. All of these algorithms use AES-CCM; some have shorter authentication tags and are therefore more suitable for use across networks in which bandwidth is constrained and message sizes may be small.
認証された暗号化は、暗号化された平文に機密性を提供することに加えて、その完全性と信頼性をチェックする方法を提供します。関連データを伴う認証済み暗号化、つまりAEAD [RFC5116]は、暗号化されていない一部の関連データの整合性と信頼性をチェックする機能を追加します。このメモは、TLS 1.2 [RFC5246]内のAEAD機能と、[RFC5116]および[RFC6655]で定義されているAES-CCMベースのAEADアルゴリズムを利用しています。これらのアルゴリズムはすべてAES-CCMを使用します。認証タグが短いものもあるため、帯域幅が制限されていてメッセージサイズが小さいネットワークでの使用に適しています。
The cipher suites defined in this document use Ephemeral Elliptic Curve Diffie-Hellman (ECDHE) as their key establishment mechanism; these cipher suites can be used with DTLS [RFC6347].
このドキュメントで定義されている暗号スイートは、鍵の確立メカニズムとしてEphemeral Elliptic Curve Diffie-Hellman(ECDHE)を使用しています。これらの暗号スイートは、DTLS [RFC6347]で使用できます。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。
The cipher suites defined in this document are based on the AES-CCM Authenticated Encryption with Associated Data (AEAD) algorithms AEAD_AES_128_CCM and AEAD_AES_256_CCM described in [RFC5116]. The following cipher suites are defined:
このドキュメントで定義されている暗号スイートは、[RFC5116]で説明されているAES-CCM Authenticated Encryption with Associated Data(AEAD)アルゴリズムAEAD_AES_128_CCMおよびAEAD_AES_256_CCMに基づいています。次の暗号スイートが定義されています。
CipherSuite TLS_ECDHE_ECDSA_WITH_AES_128_CCM = {0xC0,0xAC}
CipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_CCM = {0xC0,0xAD}
CipherSuite TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8 = {0xC0,0xAE}
CipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8 = {0xC0,0xAF}
These cipher suites make use of the AEAD capability in TLS 1.2 [RFC5246]. Note that each of these AEAD algorithms uses AES-CCM. Cipher suites ending with "8" use eight-octet authentication tags; the other cipher suites have 16-octet authentication tags.
これらの暗号スイートは、TLS 1.2 [RFC5246]のAEAD機能を利用します。これらのAEADアルゴリズムのそれぞれがAES-CCMを使用することに注意してください。 「8」で終わる暗号スイートは、8オクテットの認証タグを使用します。他の暗号スイートには、16オクテットの認証タグがあります。
The HMAC truncation option described in Section 7 of [RFC6066] (which negotiates the "truncated_hmac" TLS extension) does not have an effect on the cipher suites defined in this note, because they do not use HMAC to protect TLS records.
[RFC6066]のセクション7で説明されているHMAC切り捨てオプション(「truncated_hmac」TLS拡張をネゴシエートする)は、HMACを使用してTLSレコードを保護しないため、このメモで定義されている暗号スイートには影響しません。
The "nonce" input to the AEAD algorithm is as defined in [RFC6655].
AEADアルゴリズムへの「ノンス」入力は、[RFC6655]で定義されています。
In DTLS, the 64-bit seq_num field is the 16-bit DTLS epoch field concatenated with the 48-bit sequence_number field. The epoch and sequence_number appear in the DTLS record layer.
DTLSでは、64ビットのseq_numフィールドは、48ビットのsequence_numberフィールドと連結された16ビットのDTLSエポックフィールドです。エポックとシーケンス番号はDTLSレコードレイヤーに表示されます。
This construction allows the internal counter to be 32 bits long, which is a convenient size for use with CCM.
この構造により、内部カウンターを32ビット長にすることができます。これは、CCMで使用するのに便利なサイズです。
These cipher suites make use of the default TLS 1.2 Pseudorandom Function (PRF), which uses HMAC with the SHA-256 hash function.
これらの暗号スイートは、SMAC-256ハッシュ関数でHMACを使用するデフォルトのTLS 1.2 Pseudorandom Function(PRF)を利用します。
The ECDHE_ECDSA key exchange is performed as defined in [RFC4492], with the following additional stipulations:
ECDHE_ECDSA鍵交換は、[RFC4492]で定義されているように実行されますが、次の追加の規定があります。
o Curves with a cofactor equal to one SHOULD be used; this simplifies their use.
o 1に等しい補因子を持つ曲線を使用する必要があります。これにより、使用が簡単になります。
o The uncompressed point format MUST be supported. Other point formats MAY be used.
o 非圧縮ポイント形式をサポートする必要があります。他のポイント形式が使用される場合があります。
o The client SHOULD offer the elliptic_curves extension, and the server SHOULD expect to receive it.
o クライアントはelliptic_curves拡張を提供する必要があり(SHOULD)、サーバーはそれを受信する必要があります(SHOULD)。
o The client MAY offer the ec_point_formats extension, but the server need not expect to receive it.
o クライアントはec_point_formats拡張を提供できますが、サーバーはそれを受信する必要はありません。
o Fundamental ECC algorithms [RFC6090] MAY be used as an implementation method.
o 基本的なECCアルゴリズム[RFC6090]は、実装方法として使用されるかもしれません。
o If the server uses a certificate, then the requirements in RFC 4492 apply: "The server's certificate MUST contain an ECDSA-capable public key and be signed with ECDSA." Guidance on acceptable choices of hashes and curves that can be used with each cipher suite is detailed in Section 2.2. The Signature Algorithms extension (Section 7.4.1.4.1 of [RFC5246]) SHOULD be used to indicate support of those signature and hash algorithms. If a client certificate is used, the same criteria SHOULD apply to it.
o サーバーが証明書を使用する場合、RFC 4492の要件が適用されます。「サーバーの証明書にはECDSA対応の公開鍵が含まれ、ECDSAで署名されている必要があります。」各暗号スイートで使用できるハッシュと曲線の許容可能な選択に関するガイダンスについては、セクション2.2で詳しく説明しています。署名アルゴリズム拡張([RFC5246]のセクション7.4.1.4.1)を使用して、これらの署名とハッシュアルゴリズムのサポートを示す必要があります(SHOULD)。クライアント証明書を使用する場合は、同じ基準を適用する必要があります(SHOULD)。
Implementations of these cipher suites will interoperate with [RFC4492] but can be more compact than a full implementation of that RFC.
これらの暗号スイートの実装は[RFC4492]と相互運用しますが、そのRFCの完全な実装よりもコンパクトにすることができます。
The following AEAD algorithms are used:
次のAEADアルゴリズムが使用されます。
AEAD_AES_128_CCM is used in the TLS_ECDHE_ECDSA_WITH_AES_128_CCM cipher suite,
AEAD_AES_128_CCMは、TLS_ECDHE_ECDSA_WITH_AES_128_CCM暗号スイートで使用されます。
AEAD_AES_256_CCM is used in the TLS_ECDHE_ECDSA_WITH_AES_256_CCM cipher suite,
AEAD_AES_256_CCMは、TLS_ECDHE_ECDSA_WITH_AES_256_CCM暗号スイートで使用されます。
AEAD_AES_128_CCM_8 is used in the TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8 cipher suite, and
AEAD_AES_128_CCM_8は、TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8暗号スイートで使用され、
AEAD_AES_256_CCM_8 is used in the TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8 cipher suite.
AEAD_AES_256_CCM_8は、TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8暗号スイートで使用されます。
Implementations SHOULD select elliptic curves and hash functions so that AES-128 is used with a curve and a hash function supporting a 128-bit security level, and AES-256 is used with a curve and a hash function supporting a 192-bit or 256-bit security level. More detailed guidance on cryptographic parameter selection is given in [SP800-57] (see especially Tables 2 and 3).
実装は楕円曲線とハッシュ関数を選択する必要があるため、AES-128は128ビットのセキュリティレベルをサポートする曲線とハッシュ関数で使用され、AES-256は192ビットまたは256をサポートする曲線とハッシュ関数で使用されます。ビットセキュリティレベル。暗号化パラメータの選択に関するより詳細なガイダンスは、[SP800-57]に記載されています(特に表2および3を参照)。
Appendix A describes suitable curves and hash functions that are widely available.
付録Aでは、広く利用できる適切な曲線とハッシュ関数について説明します。
These cipher suites make use of the authenticated encryption with additional data defined in TLS 1.2 [RFC5288]. They MUST NOT be negotiated in older versions of TLS. Clients MUST NOT offer these cipher suites if they do not offer TLS 1.2 or later. Servers that select an earlier version of TLS MUST NOT select one of these cipher suites. Earlier versions do not have support for AEAD; for instance, the TLSCiphertext structure does not have the "aead" option in TLS 1.1. Because TLS has no way for the client to indicate that it supports TLS 1.2 but not earlier versions, a non-compliant server might potentially negotiate TLS 1.1 or earlier and select one of the cipher suites in this document. Clients MUST check the TLS version and generate a fatal "illegal_parameter" alert if they detect an incorrect version.
これらの暗号スイートは、TLS 1.2 [RFC5288]で定義されている追加データで認証された暗号化を利用します。古いバージョンのTLSではネゴシエーションしてはなりません。クライアントは、TLS 1.2以降を提供しない場合、これらの暗号スイートを提供してはなりません(MUST NOT)。以前のバージョンのTLSを選択するサーバーは、これらの暗号スイートのいずれかを選択してはなりません(MUST NOT)。以前のバージョンはAEADをサポートしていません。たとえば、TLSCiphertext構造には、TLS 1.1の「aead」オプションがありません。 TLSにはクライアントがTLS 1.2をサポートしているが以前のバージョンはサポートしていないことを示す方法がないため、非準拠サーバーがTLS 1.1以前をネゴシエートし、このドキュメントの暗号スイートの1つを選択する可能性があります。クライアントは、TLSバージョンを確認し、不正なバージョンを検出した場合に致命的な「illegal_parameter」アラートを生成する必要があります。
IANA has assigned the values for the cipher suites defined in Section 2 from the "TLS Cipher Suite Registry". The DTLS-OK column has been marked as "Y" for each of these algorithms.
IANAは、「TLS暗号スイートレジストリ」のセクション2で定義された暗号スイートの値を割り当てました。これらのアルゴリズムのそれぞれについて、DTLS-OK列は「Y」とマークされています。
The perfect forward secrecy properties of ephemeral Diffie-Hellman cipher suites are discussed in the security analysis of [RFC5246]. This analysis applies to the ECDHE cipher suites.
エフェメラルDiffie-Hellman暗号スイートの完全な転送秘密プロパティは、[RFC5246]のセキュリティ分析で説明されています。この分析はECDHE暗号スイートに適用されます。
AES-CCM security requires that the counter never be reused. The IV construction in Section 2 is designed to prevent counter reuse.
AES-CCMセキュリティでは、カウンターを再利用しないでください。セクション2のIV構造は、カウンターの再利用を防ぐように設計されています。
A cipher suite can be implemented in such a way that the secret keys and private keys are stored inside a Hardware Security Module (HSM), and the cryptographic operations involving those keys are performed by the HSM on data provided by an application interacting with the HSM through an interface such as that defined by the Cryptographic Token Interface Standard [PKCS11]. When an AEAD cipher suite, such as those in this note, are implemented in this way, special handling of the nonce is required. This is because the "salt" part of the nonce is set to the client_write_IV or server_write_IV, which is a function of the TLS master secret.
暗号スイートは、秘密鍵と秘密鍵がハードウェアセキュリティモジュール(HSM)内に格納され、HSMとやり取りするアプリケーションによって提供されるデータに対してHSMによって暗号化操作が実行されるように実装できます。 Cryptographic Token Interface Standard [PKCS11]で定義されているようなインターフェースを介して。このようにAEAD暗号スイートをこの方法で実装する場合、ナンスの特別な処理が必要です。これは、nonceの「ソルト」部分が、TLSマスターシークレットの関数であるclient_write_IVまたはserver_write_IVに設定されているためです。
Another potential issue with the Cryptographic Token Interface Standard is that the use of the DecryptUpdate function is not possible with the CCM decrypt operation or the decrypt operation of any other authenticated encryption method. This is because the DecryptUpdate requires that post-decryption plaintext be returned before the authentication check is completed.
Cryptographic Token Interface Standardのもう1つの潜在的な問題は、CCMの復号化操作または他の認証された暗号化方式の復号化操作ではDecryptUpdate関数を使用できないことです。これは、DecryptUpdateでは、認証チェックが完了する前に、復号後のプレーンテキストを返す必要があるためです。
This document borrows heavily from [RFC5288]. Thanks are due to Robert Cragie for his great help in making this work complete, correct, and useful, and to Peter Dettman for his review. Thanks also to Mike StJohns for pointing out the HSM issues.
この文書は[RFC5288]から大いに借りています。この作業を完全、正確、かつ有用なものにするために多大な助けをしてくれたRobert Cragieと、レビューをしてくれたPeter Dettmanに感謝します。 HSMの問題を指摘してくれたMike StJohnsにも感謝します。
This document is motivated by the considerations raised in the Zigbee Smart Energy 2.0 working group.
このドキュメントは、Zigbee Smart Energy 2.0ワーキンググループで提起された考慮事項に基づいています。
[AES] National Institute of Standards and Technology, "Specification for the Advanced Encryption Standard (AES)", FIPS 197, November 2001.
[AES]米国国立標準技術研究所、「Advanced Encryption Standard(AES)の仕様」、FIPS 197、2001年11月。
[CCM] National Institute of Standards and Technology, "Recommendation for Block Cipher Modes of Operation: The CCM Mode for Authentication and Confidentiality", SP 800-38C, May 2004.
[CCM] National Institute of Standards and Technology、「Block Cipher Modes of Operation:CCM Mode for Authentication and Confidentiality」、SP 800-38C、2004年5月。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC4492] Blake-Wilson, S., Bolyard, N., Gupta, V., Hawk, C., and B. Moeller, "Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)", RFC 4492, May 2006.
[RFC4492] Blake-Wilson、S.、Bolyard、N.、Gupta、V.、Hawk、C。、およびB. Moeller、「Elliptic Curve Cryptography(ECC)Cipher Suites for Transport Layer Security(TLS)」、RFC 4492 、2006年5月。
[RFC5116] McGrew, D., "An Interface and Algorithms for Authenticated Encryption", RFC 5116, January 2008.
[RFC5116] McGrew、D。、「認証された暗号化のためのインターフェースとアルゴリズム」、RFC 5116、2008年1月。
[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.
[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)Protocol Version 1.2」、RFC 5246、2008年8月。
[RFC5288] Salowey, J., Choudhury, A., and D. McGrew, "AES Galois Counter Mode (GCM) Cipher Suites for TLS", RFC 5288, August 2008.
[RFC5288] Salowey、J.、Choudhury、A.、D。McGrew、「AES Galois Counter Mode(GCM)Cipher Suites for TLS」、RFC 5288、2008年8月。
[RFC5639] Lochter, M. and J. Merkle, "Elliptic Curve Cryptography (ECC) Brainpool Standard Curves and Curve Generation", RFC 5639, March 2010.
[RFC5639] Lochter、M。およびJ. Merkle、「楕円曲線暗号(ECC)ブレインプール標準曲線および曲線生成」、RFC 5639、2010年3月。
[RFC6066] Eastlake, D., "Transport Layer Security (TLS) Extensions: Extension Definitions", RFC 6066, January 2011.
[RFC6066] Eastlake、D。、「Transport Layer Security(TLS)Extensions:Extension Definitions」、RFC 6066、2011年1月。
[RFC6090] McGrew, D., Igoe, K., and M. Salter, "Fundamental Elliptic Curve Cryptography Algorithms", RFC 6090, February 2011.
[RFC6090] McGrew、D.、Igoe、K。、およびM. Salter、「Fundamental Elliptic Curve Cryptography Algorithms」、RFC 6090、2011年2月。
[RFC6347] Rescorla, E. and N. Modadugu, "Datagram Transport Layer Security Version 1.2", RFC 6347, January 2012.
[RFC6347] Rescorla、E。およびN. Modadugu、「Datagram Transport Layer Security Version 1.2」、RFC 6347、2012年1月。
[RFC6655] McGrew, D. and D. Bailey, "AES-CCM Cipher Suites for Transport Layer Security (TLS)", RFC 6655, July 2012.
[RFC6655] McGrew、D.およびD. Bailey、「AES-CCM Cipher Suites for Transport Layer Security(TLS)」、RFC 6655、2012年7月。
[SP800-57] National Institute of Standards and Technology, "Recommendation for Key Management - Part 1: General (Revision 3)", SP 800-57 Part 1, July 2012.
[SP800-57]米国国立標準技術研究所、「鍵管理に関する推奨事項-パート1:一般(リビジョン3)」、SP 800-57パート1、2012年7月。
[IEEE802154] IEEE, "Wireless Personal Area Networks", IEEE Standard 802.15.4-2006, 2006.
[IEEE802154] IEEE、「ワイヤレスパーソナルエリアネットワーク」、IEEE標準802.15.4-2006、2006。
[PKCS11] RSA Laboratories, "PKCS #11: Cryptographic Token Interface Standard version 2.20", Public Key Cryptography Standards PKCS#11-v2.20, 2004.
[PKCS11] RSA Laboratories、「PKCS#11:Cryptographic Token Interface Standard version 2.20 "、Public Key Cryptography Standards PKCS#11-v2.20、2004。
[RFC4309] Housley, R., "Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload (ESP)", RFC 4309, December 2005.
[RFC4309] Housley、R。、「IPsecカプセル化セキュリティペイロード(ESP)でのAdvanced Encryption Standard(AES)CCMモードの使用」、RFC 4309、2005年12月。
This memo does not mandate any particular elliptic curves or cryptographic algorithms, for the sake of flexibility. However, since the main motivation for the AES-CCM-ECC cipher suites is their suitability for constrained environments, it is valuable to identify a particular suitable set of curves and algorithms.
このメモは、柔軟性を持たせるために、特定の楕円曲線や暗号アルゴリズムを義務付けていません。ただし、AES-CCM-ECC暗号スイートの主な動機は制約された環境への適合性であるため、特定の適切な曲線とアルゴリズムのセットを識別することは価値があります。
This appendix identifies a set of elliptic curves and cryptographic algorithms that meet the requirements of this note and that are widely supported and believed to be secure.
この付録では、このノートの要件を満たし、広くサポートされており、安全であると考えられている一連の楕円曲線と暗号アルゴリズムを示します。
The curves and hash algorithms recommended for each cipher suite are:
各暗号スイートに推奨される曲線とハッシュアルゴリズムは次のとおりです。
An implementation that includes either TLS_ECDHE_ECDSA_WITH_AES_128_CCM or TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8 SHOULD support the secp256r1 curve and the SHA-256 hash function.
TLS_ECDHE_ECDSA_WITH_AES_128_CCMまたはTLS_ECDHE_ECDSA_WITH_AES_128_CCM_8のいずれかを含む実装は、secp256r1曲線とSHA-256ハッシュ関数をサポートする必要があります(SHOULD)。
An implementation that includes either TLS_ECDHE_ECDSA_WITH_AES_256_CCM or TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8 SHOULD support the secp384r1 curve and the SHA-384 hash function, and MAY support the secp521r1 curve and the SHA-512 hash function.
TLS_ECDHE_ECDSA_WITH_AES_256_CCMまたはTLS_ECDHE_ECDSA_WITH_AES_256_CCM_8のいずれかを含む実装は、secp384r1曲線とSHA-384ハッシュ関数をサポートする必要があり(SHOULD)、secp521r1曲線とSHA-512ハッシュ関数をサポートできます(MAY)。
More information about the secp256r1, secp384r1, and secp521r1 curves is available in Appendix A of [RFC4492].
secp256r1、secp384r1、およびsecp521r1曲線の詳細については、[RFC4492]の付録Aを参照してください。
It is not necessary to implement the above curves and hash functions in order to conform to this specification. Other elliptic curves, such as the Brainpool curves [RFC5639], for example, meet the criteria laid out in this memo.
この仕様に準拠するために、上記の曲線とハッシュ関数を実装する必要はありません。たとえば、ブレーンプール曲線[RFC5639]などの他の楕円曲線は、このメモに記載されている基準を満たしています。
Authors' Addresses
著者のアドレス
David McGrew Cisco Systems 13600 Dulles Technology Drive Herndon, VA 20171 USA
David McGrew Cisco Systems 13600 Dulles Technology Drive Herndon、VA 20171 USA
EMail: mcgrew@cisco.com
Daniel V. Bailey Ruhr-University Bochum Universitatsstr. 150 44801 Bochum Germany
ダニエルV.ベイリールール大学ボーフム大学150 44801ボーフムドイツ
EMail: danbailey@sth.rub.de
Matthew Campagna Certicom Corp. 5520 Explorer Drive #400 Mississauga, Ontario L4W 5L1 Canada
Matthew Campagna Certicom Corp. 5520 Explorer Drive#400ミシサガオンタリオ州L4W 5L1カナダ
EMail: mcampagna@gmail.com
Robert Dugal Certicom Corp. 4701 Tahoe Blvd., Building A Mississauga, Ontario L4W 0B5 Canada
Robert Dugal Certicom Corp. 4701 Tahoe Blvd.、Building A Mississauga、Ontario L4W 0B5 Canada
EMail: rdugal@certicom.com