home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / drafts / draft_ietf_i / draft-ietf-ipsec-esp-rc5-cbc-00.txt

< prev

next >

Wrap

Text File  |  1997-04-25  |  9KB  |  274 lines

---

1.  
2. Internet Engineering Task Force                            Roy Pereira
3. IP Security Working Group                         TimeStep Corporation
4. Internet Draft                                           R. W. Baldwin
5. Expires in six months                          RSA Data Security, Inc.
6.                                                         April 25, 1997
7.  
8.  
9.  
10.                       The ESP RC5-CBC Algorithm
11.                 <draft-ietf-ipsec-esp-rc5-cbc-00.txt>
12.  
13.  
14.  
15. Status of this Memo
16.  
17.    This document is a submission to the IETF Internet Protocol
18.    Security (IPSEC) Working Group. Comments are solicited and should
19.    be addressed to the working group mailing list (ipsec@tis.com) or
20.    to the editor.
21.  
22.    This document is an Internet-Draft.  Internet Drafts are working
23.    documents of the Internet Engineering Task Force (IETF), its areas,
24.    and its working Groups. Note that other groups may also distribute
25.    working documents as Internet Drafts.
26.  
27.    Internet-Drafts draft documents are valid for a maximum of six
28.    months and may be updated, replaced, or obsolete by other documents
29.    at any time. It is inappropriate to use Internet-Drafts as
30.    reference material or to cite them other than as "work in
31.    progress."
32.  
33.    To learn the current status of any Internet-Draft, please check the
34.    "1id-abstracts.txt" listing contained in the Internet-Drafts Shadow
35.    Directories on ftp.is.co.za (Africa), nic.nordu.net (Europe),
36.    munnari.oz.au (Pacific Rim), ds.internic.net (US East Coast), or
37.    ftp.isi.edu (US West Coast).
38.  
39.    Distribution of this memo is unlimited.
40.  
41. Abstract
42.  
43.    This draft describes the RC5 block cipher algorithm as to be used
44.    with the IPSec Encapsulating Security Payload (ESP).
45.  
46.  
47.  
48.  
49.  
50.  
51.  
52.  
53.  
54.  
55. R. Pereira, B. Baldwin                                        [Page 1]
56.  
57. Internet Draft        The ESP RC5-CBC Algorithm         April 25, 1997
58.  
59.  
60. Table of Contents
61.  
62.    1. Introduction...................................................2
63.    2. Cipher Algorithm...............................................2
64.      2.1 Key Size....................................................2
65.      2.2 Block Size and Padding......................................3
66.      2.3 Payload.....................................................3
67.      2.4 Weak Keys...................................................3
68.      2.5 Rounds......................................................3
69.      2.6 Background on RC5...........................................3
70.      2.7 Performance.................................................3
71.    3. Key Exchange Protocol Identifiers..............................4
72.    4. Keying Material................................................4
73.    5. Security Considerations........................................4
74.    6. References.....................................................4
75.    7. Acknowledgments................................................5
76.    8. Editors' Address...............................................5
77.  
78. 1.  Introduction
79.  
80.    This draft describes how the RC5 cipher algorithm may be used with
81.    the IPSec ESP protocol.
82.  
83.    It is assumed that the reader is familiar with the terms and
84.    concepts described in the document "Security Architecture for the
85.    Internet Protocol" [Atkinson95] and "IP Encapsulating Security
86.    Payload (ESP)" [Kent97].
87.  
88.    Furthermore, this document is a companion to [Kent97] and MUST be
89.    read in its context.
90.  
91. 2.  Cipher Algorithm
92.  
93.    The symmetric block cipher algorithm used to secure ESP is RC5 in
94.    CBC mode with 16 rounds and a block size of 64 bits as described in
95.    [Baldwin96].
96.  
97. 2.1 Key Size
98.  
99.    RC5's key size MUST be multiple of 8 bits and MUST be from 40 to
100.    2040 bits  inclusive. To facilitate interoperability, it is
101.    recommended that key sizes SHOULD be chosen from the set of 40, 128
102.    and 160 bits.
103.  
104.    If the key size is not negotiated through the key exchange
105.    protocol, then a value of 128 bits MUST be used.  All compliant
106.    implementations MUST support a key size of 128 bits.
107.  
108.  
109. R. Pereira, R. Baldwin                                        [Page 2]
110.  
111. Internet Draft        The ESP RC5-CBC Algorithm         April 25, 1997
112.  
113.  
114. 2.2 Block Size and Padding
115.  
116.    RC5 has a variably length block size, but for the ESP algorithm
117.    described in this document, the block size MUST be 8 octets (64
118.    bits).
119.  
120.    When padding is required, it MUST be done according to the
121.    conventions specified in [Kent97].
122.  
123. 2.3 Payload
124.  
125.    RC5-CBC requires an explicit Initialization Vector (IV) of 8 octets
126.    (64 bits) that immediately precedes the cipher-text in the payload.
127.    A new IV must be pseudo-randomly generated for each packet and then
128.    used to encrypt that plain-text.  When decrypting, the first 8
129.    octets of the payload are used as a IV to decrypt the remaining
130.    payload octets.
131.  
132. 2.4 Weak Keys
133.  
134.    RC5 has no known weak keys when used with 16 rounds.
135.  
136. 2.5 Rounds
137.  
138.    RSA Labs recommends that RC5 be used with 16 rounds.  Twelve rounds
139.    is enough to make RC5 stronger than DES against differential and
140.    linear cryptanalysis and sixteen rounds is sufficient to make RC5
141.    secure against both forms of cryptanalysis even at a theoretical
142.    level.
143.  
144.    Compliant implementations MUST support 16 rounds.
145.  
146. 2.6 Background on RC5
147.  
148.    The RC5 encryption algorithm was developed by Ron Rivest for RSA
149.    Data Security Inc. in order to address the need for a high-
150.    performance software and hardware ciphering alternative to DES.
151.  
152. 2.7 Performance
153.  
154.    Benchmark numbers from RSA Data Security suggest that RC5-CBC runs
155.    about twice as fast as Eric Young's DES-CBC implementation from
156.    SSLeay on the popular 32-bit CPUs.
157.  
158.  
159.  
160.  
161.  
162.  
163. R. Pereira, R. Baldwin                                        [Page 3]
164.  
165. Internet Draft        The ESP RC5-CBC Algorithm         April 25, 1997
166.  
167.  
168. 3.  Key Exchange Protocol Identifiers
169.  
170.    For Oakley/ISAKMP [Harkins97] to negotiate ESP RC5 as described in
171.    this draft, the transform id MUST be 4, which is stated in
172.    [Piper97].
173.  
174. 4.  Keying Material
175.  
176.    The minimum number of bits sent from the Key Exchange Protocol to
177.    this ESP algorithm must be greater or equal to the key size plus
178.    the key size of the negotiated authentication algorithm.
179.  
180.    For example, if we are using a RC5 key size of 40 bits and we are
181.    using HMAC-MD5 [Oehler97] as the authentication algorithm, then the
182.    required number of bits of keying material would be:
183.  
184.      Bits Required = Encryption Key Size + Authentication Key Size
185.      Bits Required = 40 + 128
186.      Bits Required = 168
187.  
188.    The RC5 key is taken from the first <x> bits of the keying
189.    material.  Where <x> represents the required key size.  The
190.    remaining bits are truncated to equate the key size of the
191.    authentication algorithm and used as its key.
192.  
193. 5.  Security Considerations
194.  
195.    The ESP RC5 algorithm described in this draft has the same security
196.    considerations as in [Baldwin96].
197.  
198. 6.  References
199.  
200.    [Atkinson95] Atkinson, R., "Security Architecture for the Internet
201.    Protocol", RFC1825, August 1995
202.  
203.    [Kent97] Kent, S., Atkinson, R., "IP Encapsulating Security Payload
204.    (ESP)", draft-ietf-ipsec-new-esp-01.txt, March 1997
205.  
206.    [Baldwin96] Baldwin, R.W., Rivest, R., "The RC5, RC5-CBC, RC5-CBC-
207.    Pad, and RC5-CTS Algorithms", RFC2040, October 1996
208.  
209.    [Piper97] Derrel, P., "The Internet IP Domain of Interpretation for
210.    ISAKMP", draft-ietf-ipsec-ipsec-doi-03.txt, February 1997
211.  
212.    [Harkins97] Harkins, D. , Carrel, D., "The resolution of ISAKMP
213.    with Oakley", draft-ietf-ipsec-isakmp-oakley-03.txt, February 1997
214.  
215.  
216.  
217. R. Pereira, R. Baldwin                                        [Page 4]
218.  
219. Internet Draft        The ESP RC5-CBC Algorithm         April 25, 1997
220.  
221.  
222.    [Oehler97] Oehler, M., Glenn, R., "HMAC-MD5 IP Authentication with
223.    Replay Prevention", RFC2085, February 1997
224.  
225. 7.  Acknowledgments
226.  
227.    This document is based on previous work by B. Howard of TimeStep
228.    Corporation, suggestions from Stephen Kent, discussions from the
229.    IPSec mailing list as well as the other IPSec drafts.
230.  
231.    The IPSec working group can be contacted through its chairs:
232.  
233.      Paul Lambert
234.      <PALAMBER@us.oracle.com>
235.      Oracle Corporation
236.  
237.    or via the IPSec working group's mailing list (ipsec@tis.com)
238.  
239. 8.  Editors' Address
240.  
241.  
242.      Roy Pereira
243.      <rpereira@timestep.com>
244.      TimeStep Corporation
245.      (613) 599-3610 x 4808
246.  
247.      Robert W. Baldwin
248.      <baldwin@rsa.com> or <baldwin@lcs.mit.edu>
249.      RSA Data Security, Inc.
250.      (415) 595-8782
251.  
252.  
253.  
254.  
255.  
256.  
257.  
258.  
259.  
260.  
261.  
262.  
263.  
264.  
265.  
266.  
267.  
268.  
269.  
270.  
271. R. Pereira, R. Baldwin                                        [Page 5]
272.  
273.  
274.