Internet Engineering Task Force (IETF) D. Schinazi
Request for Comments: 9729 Google LLC
Category: Standards Track D. Oliver
ISSN: 2070-1721 Guardian Project
J. Hoyland
Cloudflare Inc.
February 2025
Most HTTP authentication schemes are probeable in the sense that it is possible for an unauthenticated client to probe whether an origin serves resources that require authentication. It is possible for an origin to hide the fact that it requires authentication by not generating Unauthorized status codes; however, that only works with non-cryptographic authentication schemes: cryptographic signatures require a fresh nonce to be signed. Prior to this document, there was no existing way for the origin to share such a nonce without exposing the fact that it serves resources that require authentication. This document defines a new non-probeable cryptographic authentication scheme.
ほとんどのHTTP認証スキームは、未認証のクライアントが、オリジンが認証を必要とするリソースを提供しているかどうかをプローブ(探索)可能であるという意味で、プローブ可能です。Unauthorizedステータスコードを生成しないことで、認証が必要であるという事実を隠すことは可能です。しかし、それは非暗号化認証スキームでのみ機能します。暗号化署名には、署名するための新しいナンスが必要だからです。このドキュメント以前には、認証を必要とするリソースを提供しているという事実を公開せずに、そのようなナンスを共有する既存の方法はありませんでした。このドキュメントでは、新しいプローブ不可能な暗号化認証スキームを定義します。
This is an Internet Standards Track document.
これは、インターネット標準トラックドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、Internet Engineering Task Force (IETF) の成果物です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、Internet Engineering Steering Group (IESG) によって公開が承認されています。インターネット標準の詳細については、RFC 7841のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9729.
このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc9729 で入手できます。
Copyright (c) 2025 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright (c) 2025 IETF Trust および文書の著者として特定された人物。All rights reserved.
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
このドキュメントは、BCP 78および、このドキュメントの発行日に有効なIETFドキュメントに関するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、トラスト法的規定のセクション4.eに記載されている改訂BSDライセンスのテキストを含める必要があり、改訂BSDライセンスに記載されているように保証なしで提供されます。
1. Introduction
1.1. Conventions and Definitions
2. The Concealed HTTP Authentication Scheme
3. Client Handling
3.1. Key Exporter Context
3.1.1. Public Key Encoding
3.2. Key Exporter Output
3.3. Signature Computation
4. Authentication Parameters
4.1. The k Parameter
4.2. The a Parameter
4.3. The p Parameter
4.4. The s Parameter
4.5. The v Parameter
5. Example
6. Server Handling
6.1. Frontend Handling
6.2. Communication Between Frontend and Backend
6.3. Backend Handling
6.4. Non-Probeable Server Handling
7. Requirements on TLS Usage
8. Security Considerations
9. IANA Considerations
9.1. HTTP Authentication Schemes Registry
9.2. TLS Keying Material Exporter Labels
9.3. HTTP Field Name
10. References
10.1. Normative References
10.2. Informative References
Acknowledgments
Authors' Addresses
HTTP authentication schemes (see Section 11 of [HTTP]) allow origins to restrict access for some resources to only authenticated requests. While these schemes commonly involve a challenge where the origin asks the client to provide authentication information, it is possible for clients to send such information unprompted. This is particularly useful in cases where an origin wants to offer a service or capability only to "those who know", while all others are given no indication the service or capability exists. Such designs rely on an externally defined mechanism by which keys are distributed. For example, a company might offer remote employee access to company services directly via its website using their employee credentials or offer access to limited special capabilities for specific employees while making discovering (or probing for) such capabilities difficult. As another example, members of less well-defined communities might use more ephemeral keys to acquire access to geography- or capability-specific resources, as issued by an entity whose user base is larger than the available resources can support (by having that entity metering the availability of keys temporally or geographically).
HTTP認証スキーム([HTTP]のセクション11を参照)により、オリジンは一部のリソースへのアクセスを認証されたリクエストのみに制限できます。これらのスキームには通常、オリジンがクライアントに認証情報の提供を求めるチャレンジが含まれますが、クライアントがそのような情報を自発的に送信することも可能です。これは、オリジンが「知っている人」にのみサービスや機能を提供し、他の人にはそのサービスや機能が存在することさえ示したくない場合に特に役立ちます。このような設計は、鍵が配布される外部で定義されたメカニズムに依存しています。たとえば、企業は、従業員の資格情報を使用してWebサイト経由で企業サービスへのリモートアクセスを直接提供したり、特定の従業員に限られた特別な機能へのアクセスを提供しながら、そのような機能の発見(またはプローブ)を困難にしたりする場合があります。別の例として、あまり明確に定義されていないコミュニティのメンバーが、地理的または機能固有のリソースへのアクセスを取得するために、より短命な鍵を使用する場合があります。これらの鍵は、利用可能なリソースがサポートできる数よりも多くのユーザーベースを持つエンティティによって発行されます(そのエンティティが鍵の可用性を時間的または地理的に調整することによって)。
While digital-signature-based HTTP authentication schemes already exist (e.g., [HOBA]), they rely on the origin explicitly sending a fresh challenge to the client, to ensure that the signature input is fresh. That makes the origin probeable as it sends the challenge to unauthenticated clients. This document defines a new signature-based authentication scheme that is not probeable.
デジタル署名ベースのHTTP認証スキームはすでに存在していますが(例:[HOBA])、署名入力が新鮮であることを確認するために、オリジンがクライアントに新しいチャレンジを明示的に送信することに依存しています。これにより、オリジンは未認証のクライアントにチャレンジを送信するため、プローブ可能になります。このドキュメントでは、プローブ不可能な新しい署名ベースの認証スキームを定義します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
このドキュメント内のキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、および「OPTIONAL」は、ここに示すようにすべて大文字で表示されている場合にのみ、BCP 14 [RFC2119] [RFC8174] で説明されているように解釈されます。
This document uses the notation from Section 1.3 of [QUIC].
このドキュメントでは、[QUIC]のセクション1.3の表記を使用しています。
Various examples in this document contain long lines that may be folded, as described in [RFC8792].
このドキュメントのさまざまな例には、[RFC8792]で説明されているように、折り畳まれる可能性のある長い行が含まれています。
This document defines the "Concealed" HTTP authentication scheme. It uses asymmetric cryptography. Clients possess a key ID and a public/ private key pair, and origin servers maintain a mapping of authorized key IDs to associated public keys.
このドキュメントでは、「Concealed」HTTP認証スキームを定義します。これは非対称暗号を使用します。クライアントはキーIDと公開鍵/秘密鍵のペアを所有し、オリジンサーバーは許可されたキーIDとそれに関連付けられた公開鍵のマッピングを保持します。
The client uses a TLS keying material exporter to generate data to be signed (see Section 3) then sends the signature using the Authorization (or Proxy-Authorization) header field (see Section 11 of [HTTP]). The signature and additional information are exchanged using authentication parameters (see Section 4). Once the server receives these, it can check whether the signature validates against an entry in its database of known keys. The server can then use the validation result to influence its response to the client, for example, by restricting access to certain resources.
クライアントは、TLSキーイングマテリアルエクスポーターを使用して署名するデータを生成し(セクション3を参照)、Authorization(または Proxy-Authorization)ヘッダーフィールドを使用して署名を送信します([HTTP]のセクション11を参照)。署名と追加情報は、認証パラメーターを使用して交換されます(セクション4を参照)。サーバーはこれらを受け取ると、既知のキーのデータベース内のエントリに対して署名が検証できるかを確認できます。サーバーは、特定のリソースへのアクセスを制限するなど、検証結果を使用してクライアントへの応答に影響を与えることができます。
When a client wishes to use the Concealed HTTP authentication scheme with a request, it SHALL compute the authentication proof using a TLS keying material exporter with the following parameters:
クライアントがリクエストで Concealed HTTP 認証スキームを使用したい場合、次のパラメーターを持つTLSキーイングマテリアルエクスポーターを使用して認証証明を計算しなければなりません(SHALL)。
* The label is set to "EXPORTER-HTTP-Concealed-Authentication".
* ラベルは "EXPORTER-HTTP-Concealed-Authentication" に設定されます。
* The context is set to the structure described in Section 3.1.
* コンテキストは、セクション3.1で説明されている構造に設定されます。
* The exporter output length is set to 48 bytes (see Section 3.2).
* エクスポーター出力の長さは48バイトに設定されます(セクション3.2を参照)。
Note that TLS 1.3 keying material exporters are defined in Section 7.5 of [TLS], while TLS 1.2 keying material exporters are defined in [KEY-EXPORT].
TLS 1.3キーイングマテリアルエクスポーターは [TLS] のセクション7.5で定義されており、TLS 1.2キーイングマテリアルエクスポーターは [KEY-EXPORT] で定義されていることに注意してください。
The TLS key exporter context is described in Figure 1, using the notation from Section 1.3 of [QUIC]:
TLSキーエクスポーターコンテキストは、[QUIC] のセクション1.3の表記法を使用して、図1のように記述されます。
Signature Algorithm (16),
Key ID Length (i),
Key ID (..),
Public Key Length (i),
Public Key (..),
Scheme Length (i),
Scheme (..),
Host Length (i),
Host (..),
Port (16),
Realm Length (i),
Realm (..),
Figure 1: Key Exporter Context Format
図1:キーエクスポートコンテキスト形式
The key exporter context contains the following fields:
キーエクスポーターコンテキストには、次のフィールドが含まれています。
Signature Algorithm:
署名アルゴリズム:
The signature scheme sent in the s Parameter (see Section 4.4).
s パラメーターで送信された署名スキーム(セクション4.4を参照)。
Key ID:
キーID:
The key ID sent in the k Parameter (see Section 4.1).
k パラメーターで送信されたキーID(セクション4.1を参照)。
Public Key:
公開鍵:
The public key used by the server to validate the signature provided by the client. Its encoding is described in Section 3.1.1.
クライアントが提供する署名を検証するためにサーバーが使用する公開鍵。そのエンコーディングはセクション3.1.1で説明されています。
Scheme:
スキーム:
The scheme for this request, encoded using the format of the scheme portion of a URI as defined in Section 3.1 of [URI].
[URI] のセクション3.1で定義されているように、URIのスキーム部分の形式を使用してエンコードされたこのリクエストのスキーム。
Host:
ホスト:
The host for this request, encoded using the format of the host portion of a URI as defined in Section 3.2.2 of [URI].
[URI] のセクション3.2.2で定義されているように、URIのホスト部分の形式を使用してエンコードされたこのリクエストのホスト。
Port:
ポート:
The port for this request, encoded in network byte order. Note that the port is either included in the URI or is the default port for the scheme in use; see Section 3.2.3 of [URI].
ネットワークバイトオーダーでエンコードされたこのリクエストのポート。ポートはURIに含まれているか、使用中のスキームのデフォルトポートであることに注意してください。[URI] のセクション3.2.3を参照してください。
Realm:
レルム:
The realm of authentication that is sent in the realm authentication parameter (see Section 11.5 of [HTTP]). If the realm authentication parameter is not present, this SHALL be empty. This document does not define a means for the origin to communicate a realm to the client. If a client is not configured to use a specific realm, it SHALL use an empty realm and SHALL NOT send the realm authentication parameter.
レルム認証パラメーターで送信される認証のレルム([HTTP] のセクション11.5を参照)。レルム認証パラメーターが存在しない場合、これは空でなければなりません(SHALL)。このドキュメントは、オリジンがクライアントにレルムを通知する手段を定義しません。クライアントが特定のレルムを使用するように構成されていない場合、クライアントは空のレルムを使用しなければならず(SHALL)、レルム認証パラメーターを送信してはなりません(SHALL NOT)。
The Signature Algorithm and Port fields are encoded as unsigned 16-bit integers in network byte order. The Key ID, Public Key, Scheme, Host, and Realm fields are length-prefixed strings; they are preceded by a Length field that represents their length in bytes. These length fields are encoded using the variable-length integer encoding from Section 16 of [QUIC] and MUST be encoded in the minimum number of bytes necessary.
Signature Algorithm および Port フィールドは、ネットワークバイトオーダーの符号なし16ビット整数としてエンコードされます。Key ID、Public Key、Scheme、Host、および Realm フィールドは、長さプレフィックス付きの文字列です。それらの前には、バイト単位の長さを表す Length フィールドがあります。これらの長さフィールドは、[QUIC] のセクション16の可変長整数エンコーディングを使用してエンコードされ、必要な最小バイト数でエンコードされなければなりません(MUST)。
Both the "Public Key" field of the TLS key exporter context (see above) and the a Parameter (see Section 4.2) carry the same public key. The encoding of the public key is determined by the signature algorithm in use as follows:
TLSキーエクスポーターコンテキスト(上記参照)の「Public Key」フィールドと a パラメーター(セクション4.2を参照)の両方が、同じ公開鍵を運びます。公開鍵のエンコーディングは、次のように使用されている署名アルゴリズムによって決定されます。
RSASSA-PSS algorithms:
RSASSA-PSSアルゴリズム:
The public key is an RSAPublicKey structure [PKCS1] encoded in DER [X.690]. BER encodings that are not DER MUST be rejected.
公開鍵は、DER [X.690] でエンコードされた RSAPublicKey 構造 [PKCS1] です。DERではないBERエンコーディングは拒否しなければなりません(MUST)。
ECDSA algorithms:
ECDSAアルゴリズム:
The public key is an UncompressedPointRepresentation structure defined in Section 4.2.8.2 of [TLS], using the curve specified by the SignatureScheme.
公開鍵は、SignatureScheme で指定された曲線を使用した、[TLS] のセクション4.2.8.2で定義されている UncompressedPointRepresentation 構造です。
EdDSA algorithms:
EdDSAアルゴリズム:
The public key is the byte string encoding defined in [EdDSA].
公開鍵は、[EdDSA] で定義されたバイト文字列エンコーディングです。
This document does not define the public key encodings for other algorithms. In order for a SignatureScheme to be usable with the Concealed HTTP authentication scheme, its public key encoding needs to be defined in a corresponding document.
このドキュメントは、他のアルゴリズムの公開鍵エンコーディングを定義しません。SignatureScheme が Concealed HTTP 認証スキームで使用可能になるためには、その公開鍵エンコーディングを対応するドキュメントで定義する必要があります。
The key exporter output is 48 bytes long. Of those, the first 32 bytes are part of the input to the signature and the next 16 bytes are sent alongside the signature. This allows the recipient to confirm that the exporter produces the right values. This is described in Figure 2, using the notation from Section 1.3 of [QUIC]:
キーエクスポーター出力の長さは48バイトです。そのうち、最初の32バイトは署名への入力の一部であり、次の16バイトは署名とともに送信されます。これにより、受信者はエクスポーターが適切な値を生成していることを確認できます。これは、[QUIC] のセクション1.3の表記法を使用して、図2で説明されています。
Signature Input (256),
Verification (128),
Figure 2: Key Exporter Output Format
図2:キーエクスポート出力形式
The key exporter output contains the following fields:
キーエクスポーター出力には、次のフィールドが含まれています。
Signature Input:
署名入力:
This is part of the data signed using the client's chosen asymmetric private key (see Section 3.3).
これは、クライアントが選択した非対称秘密鍵を使用して署名されたデータの一部です(セクション3.3を参照)。
Verification:
検証:
The verification is transmitted to the server using the v Parameter (see Section 4.5).
検証(verification)は、v パラメーターを使用してサーバーに送信されます(セクション4.5を参照)。
Once the Signature Input has been extracted from the key exporter output (see Section 3.2), it is prefixed with static data before being signed. The signature is computed over the concatenation of:
キーエクスポーター出力から Signature Input(署名入力)が抽出されると(セクション3.2を参照)、署名される前に静的データがプレフィックスとして付加されます。署名は、以下の連結に対して計算されます。
* A string that consists of octet 32 (0x20) repeated 64 times
* 64回繰り返されたオクテット32 (0x20) で構成される文字列
* The context string "HTTP Concealed Authentication"
* コンテキスト文字列 "HTTP Concealed Authentication"
* A single 0 byte that serves as a separator
* セパレーターとして機能する単一の0バイト
* The Signature Input extracted from the key exporter output (see Section 3.2)
* キーエクスポーター出力から抽出された Signature Input(セクション3.2を参照)
For example, if the Signature Input has all its 32 bytes set to 01, the content covered by the signature (in hexadecimal format) would be:
たとえば、Signature Input の32バイトすべてが01に設定されている場合、署名対象のコンテンツ(16進形式)は次のようになります。
2020202020202020202020202020202020202020202020202020202020202020
2020202020202020202020202020202020202020202020202020202020202020
48545450205369676E61747572652041757468656E7469636174696F6E
00
0101010101010101010101010101010101010101010101010101010101010101
Figure 3: Example Content Covered by Signature
図3:署名でカバーされているコンテンツの例
The purpose of this static prefix is to mitigate issues that could arise if authentication asymmetric keys were accidentally reused across protocols (even though this is forbidden, see Section 8). This construction mirrors that of the TLS 1.3 CertificateVerify message defined in Section 4.4.3 of [TLS].
この静的プレフィックスの目的は、認証用非対称鍵がプロトコル間で誤って再利用された場合に発生する可能性のある問題を軽減することです(これは禁止されていますが、セクション8を参照)。この構造は、[TLS] のセクション4.4.3で定義されている TLS 1.3 CertificateVerify メッセージの構造を反映しています。
The resulting signature is then transmitted to the server using the p Parameter (see Section 4.3).
結果の署名は、p パラメーターを使用してサーバーに送信されます(セクション4.3を参照)。
This specification defines the following authentication parameters.
この仕様は、次の認証パラメーターを定義します。
All of the byte sequences below are encoded using base64url (see Section 5 of [BASE64]) without quotes and without padding. In other words, the values of these byte-sequence authentication parameters MUST NOT include any characters other than ASCII letters, digits, dash, and underscore.
以下のすべてのバイトシーケンスは、引用符なし、パディングなしで base64url([BASE64] のセクション5を参照)を使用してエンコードされます。つまり、これらのバイトシーケンス認証パラメーターの値には、ASCII文字、数字、ダッシュ、アンダースコア以外の文字を含めてはなりません(MUST NOT)。
The integer below is encoded without a minus and without leading zeroes. In other words, the value of this integer authentication parameter MUST NOT include any characters other than digits and MUST NOT start with a zero unless the full value is "0".
以下の整数は、マイナス記号なし、先行ゼロなしでエンコードされます。つまり、この整数認証パラメーターの値には、数字以外の文字を含めてはならず(MUST NOT)、完全な値が "0" でない限り、ゼロで開始してはなりません(MUST NOT)。
Using the syntax from [ABNF]:
[ABNF]の構文を使用する:
concealed-byte-sequence-param-value = *( ALPHA / DIGIT / "-" / "_" )
concealed-integer-param-value = %x31-39 1*4( DIGIT ) / "0"
Figure 4: Authentication Parameter Value ABNF
図4:認証パラメーター値ABNF
The REQUIRED "k" (key ID) Parameter is a byte sequence that identifies which key the client wishes to use to authenticate. This is used by the backend to point to an entry in a server-side database of known keys (see Section 6.3).
必須の "k" (key ID) パラメーターは、クライアントが認証に使用したいキーを識別するバイトシーケンスです。これは、既知のキーのサーバー側データベースのエントリを指すためにバックエンドで使用されます(セクション6.3を参照)。
The REQUIRED "a" (public key) Parameter is a byte sequence that specifies the public key used by the server to validate the signature provided by the client. This avoids key confusion issues (see [SEEMS-LEGIT]). The encoding of the public key is described in Section 3.1.1.
必須の "a" (public key) パラメーターは、クライアントが提供する署名を検証するためにサーバーが使用する公開鍵を指定するバイトシーケンスです。これにより、鍵の取り違え(key confusion)の問題が回避されます([SEEMS-LEGIT]を参照)。公開鍵のエンコーディングについては、セクション3.1.1で説明されています。
The REQUIRED "p" (proof) Parameter is a byte sequence that specifies the proof that the client provides to attest to possessing the credential that matches its key ID.
必須の "p" (proof) パラメーターは、キーIDに一致する資格情報を所有していることを証明するためにクライアントが提供する証明(proof)を指定するバイトシーケンスです。
The REQUIRED "s" (signature scheme) Parameter is an integer that specifies the signature scheme used to compute the proof transmitted in the p Parameter. Its value is an integer between 0 and 65535 inclusive from the IANA "TLS SignatureScheme" registry maintained at <https://www.iana.org/assignments/tls-parameters>.
必須の "s" (signature scheme) パラメーターは、p パラメーターで送信される証明を計算するために使用される署名スキームを指定する整数です。その値は、<https://www.iana.org/assignments/tls-parameters> で管理されている IANA "TLS SignatureScheme" レジストリの 0 から 65535 までの整数です。
The REQUIRED "v" (verification) Parameter is a byte sequence that specifies the verification that the client provides to attest to possessing the key exporter output (see Section 3.2 for details). This avoids issues with signature schemes where certain keys can generate signatures that are valid for multiple inputs (see [SEEMS-LEGIT]).
必須の "v" (verification) パラメーターは、クライアントがキーエクスポーター出力を所有していることを証明するために提供する検証(verification)を指定するバイトシーケンスです(詳細はセクション3.2を参照)。これにより、特定のキーが複数の入力に対して有効な署名を生成できる署名スキームの問題が回避されます([SEEMS-LEGIT]を参照)。
For example, a client using the key ID "basement" and the signature algorithm Ed25519 [ED25519] could produce the following header field:
たとえば、キーID "basement" と署名アルゴリズム Ed25519 [ED25519] を使用しているクライアントは、次のヘッダーフィールドを生成できます。
NOTE: '\' line wrapping per RFC 8792
Authorization: Concealed \
k=YmFzZW1lbnQ, \
a=VGhpcyBpcyBh-HB1YmxpYyBrZXkgaW4gdXNl_GhlcmU, \
s=2055, \
v=dmVyaWZpY2F0aW9u_zE2Qg, \
p=QzpcV2luZG93c_xTeXN0ZW0zMlxkcml2ZXJz-ENyb3dkU\
3RyaWtlXEMtMDAwMDAwMDAyOTEtMD-wMC0w_DAwLnN5cw
Figure 5: Example Header Field
図5:ヘッダーフィールドの例
In this section, we subdivide the server role in two:
このセクションでは、サーバーの役割を2つに細分化します。
* The "frontend" runs in the HTTP server that terminates the TLS or QUIC connection created by the client.
* 「フロントエンド」は、クライアントによって作成されたTLSまたはQUIC接続を終端するHTTPサーバーで実行されます。
* The "backend" runs in the HTTP server that has access to the database of accepted key identifiers and public keys.
* 「バックエンド」は、受け入れられたキー識別子と公開鍵のデータベースにアクセスできるHTTPサーバーで実行されます。
In most deployments, we expect both the frontend and backend roles to be implemented in a single HTTP origin server (as defined in Section 3.6 of [HTTP]). However, these roles can be split such that the frontend is an HTTP gateway (as defined in Section 3.7 of [HTTP]) and the backend is an HTTP origin server.
ほとんどの展開では、フロントエンドとバックエンドの両方の役割が単一のHTTPオリジンサーバー([HTTP]のセクション3.6で定義)に実装されると予想されます。ただし、これらの役割は、フロントエンドがHTTPゲートウェイ([HTTP]のセクション3.7で定義)であり、バックエンドがHTTPオリジンサーバーであるように分割することもできます。
If a frontend is configured to check the Concealed HTTP authentication scheme, it will parse the Authorization (or Proxy-Authorization) header field. If the authentication scheme is set to "Concealed", the frontend MUST validate that all the required authentication parameters are present and can be parsed correctly as defined in Section 4. If any parameter is missing or fails to parse, the frontend MUST ignore the entire Authorization (or Proxy-Authorization) header field.
フロントエンドが Concealed HTTP 認証スキームをチェックするように構成されている場合、Authorization(または Proxy-Authorization)ヘッダーフィールドを解析します。認証スキームが "Concealed" に設定されている場合、フロントエンドは、必須の認証パラメーターがすべて存在し、セクション4で定義されているように正しく解析できることを検証しなければなりません(MUST)。パラメーターが欠落しているか、解析に失敗した場合、フロントエンドは Authorization(または Proxy-Authorization)ヘッダーフィールド全体を無視しなければなりません(MUST)。
The frontend then uses the data from these authentication parameters to compute the key exporter output, as defined in Section 3.2. The frontend then shares the header field and the key exporter output with the backend.
次に、フロントエンドは、セクション3.2で定義されているように、これらの認証パラメーターのデータを使用してキーエクスポーター出力を計算します。そして、フロントエンドはヘッダーフィールドとキーエクスポーター出力をバックエンドと共有します。
If the frontend and backend roles are implemented in the same machine, this can be handled by a simple function call.
フロントエンドとバックエンドの役割が同じマシンに実装されている場合、これは単純な関数呼び出しで処理できます。
If the roles are split between two separate HTTP servers, then the backend won't be able to directly access the TLS keying material exporter from the TLS connection between the client and frontend, so the frontend needs to explicitly send it. This document defines the "Concealed-Auth-Export" request header field for this purpose. The Concealed-Auth-Export header field's value is a Structured Field Byte Sequence (see Section 3.3.5 of [STRUCTURED-FIELDS]) that contains the 48-byte key exporter output (see Section 3.2), without any parameters. Note that Structured Field Byte Sequences are encoded using the non-URL-safe variant of base64. For example:
役割が2つの別々のHTTPサーバー間で分割されている場合、バックエンドはクライアントとフロントエンド間のTLS接続からTLSキーイングマテリアルエクスポーターに直接アクセスできないため、フロントエンドが明示的に送信する必要があります。このドキュメントでは、この目的のために "Concealed-Auth-Export" リクエストヘッダーフィールドを定義します。Concealed-Auth-Export ヘッダーフィールドの値は、パラメーターなしで48バイトのキーエクスポーター出力(セクション3.2を参照)を含む構造化フィールドバイトシーケンス([STRUCTURED-FIELDS] のセクション3.3.5を参照)です。構造化フィールドバイトシーケンスは、base64の非URLセーフバリアントを使用してエンコードされていることに注意してください。たとえば:
NOTE: '\' line wrapping per RFC 8792
Concealed-Auth-Export: :VGhpc+BleGFtcGxlIFRMU/BleHBvcn\
Rlc+BvdXRwdXQ/aXMgNDggYnl0ZXMgI/+h:
Figure 6: Example Concealed-Auth-Export Header Field
図6:Concealed-Auth-Export ヘッダーフィールドの例
The frontend SHALL forward the HTTP request to the backend, including the original unmodified Authorization (or Proxy-Authorization) header field and the newly added Concealed-Auth-Export header field.
フロントエンドは、元の変更されていない Authorization(または Proxy-Authorization)ヘッダーフィールドと、新しく追加された Concealed-Auth-Export ヘッダーフィールドを含むHTTPリクエストをバックエンドに転送しなければなりません(SHALL)。
Note that, since the security of this mechanism requires the key exporter output to be correct, backends need to trust frontends to send it truthfully. This trust relationship is common because the frontend already needs access to the TLS certificate private key in order to respond to requests. HTTP servers that parse the Concealed-Auth-Export header field MUST ignore it unless they have already established that they trust the sender. Similarly, frontends that send the Concealed-Auth-Export header field MUST ensure that they do not forward any Concealed-Auth-Export header field received from the client.
このメカニズムのセキュリティはキーエクスポーター出力が正しいことを必要とするため、バックエンドはフロントエンドがそれを正しく送信することを信頼する必要があることに注意してください。この信頼関係は一般的です。なぜなら、フロントエンドはリクエストに応答するためにTLS証明書の秘密鍵にすでにアクセスする必要があるためです。Concealed-Auth-Export ヘッダーフィールドを解析するHTTPサーバーは、送信者を信頼することをすでに確立していない限り、それを無視しなければなりません(MUST)。同様に、Concealed-Auth-Export ヘッダーフィールドを送信するフロントエンドは、クライアントから受け取った Concealed-Auth-Export ヘッダーフィールドを転送しないようにしなければなりません(MUST)。
Once the backend receives the Authorization (or Proxy-Authorization) header field and the key exporter output, it looks up the key ID in its database of public keys. The backend SHALL then perform the following checks:
バックエンドが Authorization(または Proxy-Authorization)ヘッダーフィールドとキーエクスポーター出力を受信すると、公開鍵のデータベースでキーIDを検索します。バックエンドは、以下のチェックを実行しなければなりません(SHALL)。
* validate that all the required authentication parameters are present and can be parsed correctly as defined in Section 4
* 必須の認証パラメーターがすべて存在し、セクション4で定義されているように正しく解析できることを検証する
* ensure the key ID is present in the backend's database and maps to a corresponding public key
* キーIDがバックエンドのデータベースに存在し、対応する公開鍵にマップされていることを確認する
* validate that the public key from the database is equal to the one in the Authorization (or Proxy-Authorization) header field
* データベースからの公開鍵が Authorization(または Proxy-Authorization)ヘッダーフィールドのものと等しいことを検証する
* validate that the verification field from the Authorization (or Proxy-Authorization) header field matches the one extracted from the key exporter output
* Authorization(または Proxy-Authorization)ヘッダーフィールドの verification フィールドが、キーエクスポーター出力から抽出されたものと一致することを検証する
* verify the cryptographic signature as defined in Section 3.3
* セクション3.3で定義されているように、暗号化署名を検証する
If all of these checks succeed, the backend can consider the request to be properly authenticated and can reply accordingly (the backend can also forward the request to another HTTP server).
これらのチェックがすべて成功した場合、バックエンドはリクエストが適切に認証されたと見なすことができ、それに応じて応答できます(バックエンドは別のHTTPサーバーにリクエストを転送することもできます)。
If any of the above checks fail, the backend MUST treat it as if the Authorization (or Proxy-Authorization) header field was missing.
上記のチェックのいずれかが失敗した場合、バックエンドは、Authorization(または Proxy-Authorization)ヘッダーフィールドが欠落しているかのように扱わなければなりません(MUST)。
Servers that wish to introduce resources whose existence cannot be probed need to ensure that they do not reveal any information about those resources to unauthenticated clients. In particular, such servers MUST respond to authentication failures with the exact same response that they would have used for nonexistent resources. For example, this can mean using HTTP status code 404 (Not Found) instead of 401 (Unauthorized).
存在をプローブできないリソースを導入したいサーバーは、未認証のクライアントに対してそれらのリソースに関する情報を一切明らかにしないようにする必要があります。特に、そのようなサーバーは、認証の失敗に対して、存在しないリソースに使用するのとまったく同じ応答で応答しなければなりません(MUST)。たとえば、これは 401 (Unauthorized) の代わりに HTTP ステータスコード 404 (Not Found) を使用することを意味します。
The authentication checks described above can take time to compute, and an attacker could detect use of this mechanism if that time is observable by comparing the timing of a request for a known nonexistent resource to the timing of a request for a potentially authenticated resource. Servers can mitigate this observability by slightly delaying responses to some nonexistent resources such that the timing of the authentication verification is not observable. This delay needs to be carefully considered to avoid having the delay itself leak the fact that this origin uses this mechanism at all.
上記の認証チェックは計算に時間がかかる可能性があり、攻撃者が既知の存在しないリソースへのリクエストのタイミングと、潜在的に認証されたリソースへのリクエストのタイミングを比較してその時間を観測できる場合、このメカニズムの使用を検出できる可能性があります。サーバーは、いくつかの存在しないリソースへの応答をわずかに遅らせて、認証検証のタイミングを観測できないようにすることで、この観測可能性を軽減できます。この遅延自体が、このオリジンがこのメカニズムを使用しているという事実を漏らさないように、遅延は慎重に検討する必要があります。
Non-probeable resources also need to be non-discoverable for unauthenticated users. For example, if a server operator wishes to hide an authenticated resource by pretending it does not exist to unauthenticated users, then the server operator needs to ensure there are no unauthenticated pages with links to that resource and no other out-of-band ways for unauthenticated users to discover this resource.
プローブ不可能なリソースは、未認証のユーザーにとって発見不可能である必要もあります。たとえば、サーバー管理者が認証されたリソースを未認証のユーザーに対して存在しないふりをして隠したい場合、サーバー管理者は、そのリソースへのリンクを含む未認証ページが存在しないこと、および未認証ユーザーがこのリソースを発見するための他の帯域外の方法がないことを確認する必要があります。
This authentication scheme is only defined for uses of HTTP with TLS [TLS]. This includes any use of HTTP over TLS as typically used for HTTP/2 [HTTP/2], or HTTP/3 [HTTP/3] where the transport protocol uses TLS as its authentication and key exchange mechanism [QUIC-TLS].
この認証スキームは、TLS [TLS] を使用したHTTPの使用に対してのみ定義されます。これには、HTTP/2 [HTTP/2] で通常使用されるTLS上のHTTPの使用、またはトランスポートプロトコルが認証および鍵交換メカニズムとしてTLSを使用する HTTP/3 [HTTP/3]([QUIC-TLS])が含まれます。
Because the TLS keying material exporter is only secure for authentication when it is uniquely bound to the TLS session [RFC7627], the Concealed authentication scheme requires either one of the following properties:
TLSキーイングマテリアルエクスポーターは、TLSセッション [RFC7627] に一意にバインドされている場合にのみ認証に対して安全であるため、Concealed 認証スキームには次のいずれかのプロパティが必要です。
* The TLS version in use is greater than or equal to 1.3 [TLS].
* 使用中のTLSバージョンが 1.3 [TLS] 以上である。
* The TLS version in use is 1.2, and the extended master secret extension [RFC7627] has been negotiated.
* 使用中のTLSバージョンが 1.2 であり、Extended Master Secret 拡張 [RFC7627] がネゴシエートされている。
Clients MUST NOT use the Concealed HTTP authentication scheme on connections that do not meet one of the two properties above. If a server receives a request that uses this authentication scheme on a connection that meets neither of the above properties, the server MUST treat the request as if the authentication were not present.
クライアントは、上記の2つのプロパティのいずれかを満たさない接続で Concealed HTTP 認証スキームを使用してはなりません(MUST NOT)。上記のプロパティのいずれも満たさない接続でこの認証スキームを使用するリクエストをサーバーが受信した場合、サーバーは認証が存在しないかのようにリクエストを扱わなければなりません(MUST)。
The Concealed HTTP authentication scheme allows a client to authenticate to an origin server while guaranteeing freshness and without the need for the server to transmit a nonce to the client. This allows the server to accept authenticated clients without revealing that it supports or expects authentication for some resources. It also allows authentication without the client leaking the presence of authentication to observers due to cleartext TLS Client Hello extensions.
Concealed HTTP 認証スキームにより、クライアントは新鮮さ(freshness)を保証しながら、サーバーがクライアントにナンスを送信する必要なく、オリジンサーバーに対して認証を行うことができます。これにより、サーバーは、一部のリソースに対して認証をサポートまたは期待していることを明らかにすることなく、認証されたクライアントを受け入れることができます。また、平文の TLS Client Hello 拡張によってクライアントがオブザーバーに認証の存在を漏らすことなく、認証を行うことができます。
Since the freshness described above is provided by a TLS key exporter, it can be as old as the underlying TLS connection. Servers can require better freshness by forcing clients to create new connections using mechanisms such as the GOAWAY frame (see Section 5.2 of [HTTP/3]).
上記の新鮮さはTLSキーエクスポーターによって提供されるため、基礎となるTLS接続と同じくらい古い可能性があります。サーバーは、GOAWAYフレーム([HTTP/3]のセクション5.2を参照)などのメカニズムを使用してクライアントに新しい接続を作成させることで、より高い新鮮さを要求できます。
The authentication proofs described in this document are not bound to individual HTTP requests; if the key is used for authentication proofs on multiple requests on the same connection, they will all be identical. This allows for better compression when sending over the wire, but it implies that client implementations that multiplex different security contexts over a single HTTP connection need to ensure that those contexts cannot read each other's header fields. Otherwise, one context would be able to replay the Authorization header field of another. This constraint is met by modern web browsers. If an attacker were to compromise the browser such that it could access another context's memory, the attacker might also be able to access the corresponding key, so binding authentication to requests would not provide much benefit in practice.
このドキュメントで説明されている認証証明は、個々のHTTPリクエストにバインドされません。同じ接続上の複数のリクエストで認証証明に鍵が使用される場合、それらはすべて同一になります。これにより、通信路上で送信する際の圧縮効率が向上しますが、単一のHTTP接続上で異なるセキュリティコンテキストを多重化するクライアント実装は、それらのコンテキストが互いのヘッダーフィールドを読み取れないようにする必要があることを意味します。そうでない場合、あるコンテキストが別のコンテキストの Authorization ヘッダーフィールドをリプレイできる可能性があります。この制約は、最新のWebブラウザによって満たされています。攻撃者がブラウザを侵害して別のコンテキストのメモリにアクセスできるようになった場合、攻撃者は対応する鍵にもアクセスできる可能性があるため、認証をリクエストにバインドしても実際にはあまり利点はありません。
Authentication asymmetric keys used for the Concealed HTTP authentication scheme MUST NOT be reused in other protocols. Even though we attempt to mitigate these issues by adding a static prefix to the signed data (see Section 3.3), reusing keys could undermine the security guarantees of the authentication.
Concealed HTTP 認証スキームに使用される認証用非対称鍵は、他のプロトコルで再利用してはなりません(MUST NOT)。署名されたデータに静的プレフィックスを追加することでこれらの問題を軽減しようとしていますが(セクション3.3を参照)、鍵を再利用すると、認証のセキュリティ保証が損なわれる可能性があります。
Origins offering this scheme can link requests that use the same key. However, requests are not linkable across origins if the keys used are specific to the individual origins using this scheme.
このスキームを提供するオリジンは、同じ鍵を使用するリクエストをリンク(紐付け)できます。ただし、使用される鍵がこのスキームを使用する個々のオリジンに固有である場合、リクエストはオリジン間でリンクできません。
IANA has registered the following entry in the "HTTP Authentication Schemes" registry maintained at <https://www.iana.org/assignments/ http-authschemes>:
IANAは、「HTTP認証スキーム」レジストリに次のエントリを登録しました。
Authentication Scheme Name:
認証スキーム名:
Concealed
Concealed
Reference:
参照:
RFC 9729
RFC 9729
Notes:
注:
None
なし
IANA has registered the following entry in the "TLS Exporter Labels" registry maintained at <https://www.iana.org/assignments/tls-parameters>:
IANAは、<https://www.iana.org/assignments/tls-parameters>に維持されている「TLS Exporter Labels」レジストリに次のエントリを登録しました。
Value:
値:
EXPORTER-HTTP-Concealed-Authentication
EXPORTER-HTTP-Concealed-Authentication
DTLS-OK:
DTLS-OK:
N
N
Recommended:
推奨:
Y
Y
Reference:
参照:
RFC 9729
RFC 9729
IANA has registered the following entry in the "Hypertext Transfer Protocol (HTTP) Field Name Registry" maintained at <https://www.iana.org/assignments/http-fields>:
IANAは、<https://www.iana.org/assignments/http-fields>に維持されている「HyperText Transfer Protocol(HTTP)フィールド名レジストリ」に次のエントリを登録しました。
Field Name:
フィールド名:
Concealed-Auth-Export
Concealed-Auth-Export
Status:
状態:
permanent
永続
Structured Type:
構造化されたタイプ:
Item
アイテム
Reference:
参照:
RFC 9729
RFC 9729
Comments:
コメント:
None
なし
[ABNF] Crocker, D., Ed. and P. Overell, "Augmented BNF for Syntax
Specifications: ABNF", STD 68, RFC 5234,
DOI 10.17487/RFC5234, January 2008,
<https://www.rfc-editor.org/info/rfc5234>.
[BASE64] Josefsson, S., "The Base16, Base32, and Base64 Data
Encodings", RFC 4648, DOI 10.17487/RFC4648, October 2006,
<https://www.rfc-editor.org/info/rfc4648>.
[EdDSA] Josefsson, S. and I. Liusvaara, "Edwards-Curve Digital
Signature Algorithm (EdDSA)", RFC 8032,
DOI 10.17487/RFC8032, January 2017,
<https://www.rfc-editor.org/info/rfc8032>.
[HTTP] Fielding, R., Ed., Nottingham, M., Ed., and J. Reschke,
Ed., "HTTP Semantics", STD 97, RFC 9110,
DOI 10.17487/RFC9110, June 2022,
<https://www.rfc-editor.org/info/rfc9110>.
[KEY-EXPORT]
Rescorla, E., "Keying Material Exporters for Transport
Layer Security (TLS)", RFC 5705, DOI 10.17487/RFC5705,
March 2010, <https://www.rfc-editor.org/info/rfc5705>.
[PKCS1] Moriarty, K., Ed., Kaliski, B., Jonsson, J., and A. Rusch,
"PKCS #1: RSA Cryptography Specifications Version 2.2",
RFC 8017, DOI 10.17487/RFC8017, November 2016,
<https://www.rfc-editor.org/info/rfc8017>.
[QUIC] Iyengar, J., Ed. and M. Thomson, Ed., "QUIC: A UDP-Based
Multiplexed and Secure Transport", RFC 9000,
DOI 10.17487/RFC9000, May 2021,
<https://www.rfc-editor.org/info/rfc9000>.
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119,
DOI 10.17487/RFC2119, March 1997,
<https://www.rfc-editor.org/info/rfc2119>.
[RFC7627] Bhargavan, K., Ed., Delignat-Lavaud, A., Pironti, A.,
Langley, A., and M. Ray, "Transport Layer Security (TLS)
Session Hash and Extended Master Secret Extension",
RFC 7627, DOI 10.17487/RFC7627, September 2015,
<https://www.rfc-editor.org/info/rfc7627>.
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC
2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174,
May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8792] Watsen, K., Auerswald, E., Farrel, A., and Q. Wu,
"Handling Long Lines in Content of Internet-Drafts and
RFCs", RFC 8792, DOI 10.17487/RFC8792, June 2020,
<https://www.rfc-editor.org/info/rfc8792>.
[STRUCTURED-FIELDS]
Nottingham, M. and P. Kamp, "Structured Field Values for
HTTP", RFC 9651, DOI 10.17487/RFC9651, September 2024,
<https://www.rfc-editor.org/info/rfc9651>.
[TLS] Rescorla, E., "The Transport Layer Security (TLS) Protocol
Version 1.3", RFC 8446, DOI 10.17487/RFC8446, August 2018,
<https://www.rfc-editor.org/info/rfc8446>.
[URI] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform
Resource Identifier (URI): Generic Syntax", STD 66,
RFC 3986, DOI 10.17487/RFC3986, January 2005,
<https://www.rfc-editor.org/info/rfc3986>.
[X.690] ITU-T, "Information technology - ASN.1 encoding Rules:
Specification of Basic Encoding Rules (BER), Canonical
Encoding Rules (CER) and Distinguished Encoding Rules
(DER)", ITU-T Recommendation X690, ISO/IEC 8825-1:2021,
February 2021, <https://www.itu.int/rec/T-REC-X.690>.
[ED25519] Josefsson, S. and J. Schaad, "Algorithm Identifiers for
Ed25519, Ed448, X25519, and X448 for Use in the Internet
X.509 Public Key Infrastructure", RFC 8410,
DOI 10.17487/RFC8410, August 2018,
<https://www.rfc-editor.org/info/rfc8410>.
[HOBA] Farrell, S., Hoffman, P., and M. Thomas, "HTTP Origin-
Bound Authentication (HOBA)", RFC 7486,
DOI 10.17487/RFC7486, March 2015,
<https://www.rfc-editor.org/info/rfc7486>.
[HTTP/2] Thomson, M., Ed. and C. Benfield, Ed., "HTTP/2", RFC 9113,
DOI 10.17487/RFC9113, June 2022,
<https://www.rfc-editor.org/info/rfc9113>.
[HTTP/3] Bishop, M., Ed., "HTTP/3", RFC 9114, DOI 10.17487/RFC9114,
June 2022, <https://www.rfc-editor.org/info/rfc9114>.
[MASQUE-ORIGINAL]
Schinazi, D., "The MASQUE Protocol", Work in Progress,
Internet-Draft, draft-schinazi-masque-00, 28 February
2019, <https://datatracker.ietf.org/doc/html/draft-
schinazi-masque-00>.
[QUIC-TLS] Thomson, M., Ed. and S. Turner, Ed., "Using TLS to Secure
QUIC", RFC 9001, DOI 10.17487/RFC9001, May 2021,
<https://www.rfc-editor.org/info/rfc9001>.
[SEEMS-LEGIT]
Jackson, D., Cremers, C., Cohn-Gordon, K., and R. Sasse,
"Seems Legit: Automated Analysis of Subtle Attacks on
Protocols That Use Signatures", CCS '19: Proceedings of
the 2019 ACM SIGSAC Conference on Computer and
Communications Security, pp. 2165-2180,
DOI 10.1145/3319535.3339813, November 2019,
<https://doi.org/10.1145/3319535.3339813>.
The authors would like to thank many members of the IETF community, as this document is the fruit of many hallway conversations. In particular, the authors would like to thank David Benjamin, Reese Enghardt, Nick Harper, Dennis Jackson, Ilari Liusvaara, François Michel, Lucas Pardue, Justin Richer, Ben Schwartz, Martin Thomson, and Chris A. Wood for their reviews and contributions. The mechanism described in this document was originally part of the first iteration of MASQUE [MASQUE-ORIGINAL].
著者は、IETFコミュニティの多くのメンバーに感謝したいと思います。この文書は多くの廊下の会話の成果であるためです。特に、著者は、デビッド・ベンジャミン、リース・エンガルト、ニック・ハーパー、デニス・ジャクソン、イラリ・リウウスヴァーラ、フランソワ・ミシェル、ルーカス・パルドー、ジャスティン・リッチャー、ベン・シュワルツ、マーティン・トムソン、クリス・A・ウッドのレビューと貢献に感謝したいと思います。このドキュメントで説明されているメカニズムは、もともと MASQUE [MASQUE-ORIGINAL] の最初の反復の一部でした。
David Schinazi
Google LLC
1600 Amphitheatre Parkway
Mountain View, CA 94043
United States of America
Email: dschinazi.ietf@gmail.com
David M. Oliver
Guardian Project
Email: david@guardianproject.info
URI: https://guardianproject.info
Jonathan Hoyland
Cloudflare Inc.
Email: jonathan.hoyland@gmail.com