home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / drafts / draft_ietf_i / draft-ietf-ipsec-skip-x509-01.txt

< prev

next >

Wrap

Text File  |  1996-08-05  |  8KB  |  417 lines

---

1.  
2.  
3.  
4. IPSEC Working Group                           Ashar Aziz
5. INTERNET-DRAFT                                Tom Markson
6.                                               Hemma Prafullchandra
7.                                               Sun Microsystems, Inc.
8.  
9. Expires in six months                         August 5, 1996
10.  
11.  
12.  
13.  
14.  
15.              X.509 Encoding of Diffie-Hellman Public Values
16.                   <draft-ietf-ipsec-skip-x509-01.txt>
17.  
18.  
19.  
20. Status of this Memo
21.  
22. This document is a submission to the IETF Internet Protocol Security
23. (IPSEC) Working Group. Comments are solicited and should be addressed to
24. to the working group mailing list (ipsec@ans.net) or to the authors.
25.  
26. This document is an Internet-Draft.  Internet Drafts are working
27. documents of the Internet Engineering Task Force (IETF), its areas, and
28. its working Groups. Note that other groups may also distribute working
29. documents as Internet Drafts.
30.  
31. Internet-Drafts draft documents are valid for a maximum of six months
32. and may be updated, replaced, or obsoleted by other documents at any
33. time. It is inappropriate to use Internet-Drafts as reference material
34. or to cite them other than as "work in progress."
35.  
36. To learn the current status of any Internet-Draft, please check the
37. "1id-abstracts.txt" listing contained in the Internet-Drafts Shadow
38. Directories on ftp.is.co.za (Africa), nic.nordu.net (Europe),
39. munnari.oz.au (Pacific Rim), ds.internic.net (US East Coast), or
40. ftp.isi.edu (US West Coast).
41.  
42. Distribution of this memo is unlimited.
43.  
44.  
45.  
46.  
47.  
48.  
49.  
50.  
51.  
52. draft-ietf-ipsec-skip-X509-01.txt                   [Page 1]
53.  
54.  
55.  
56.  
57.  
58.  
59.  
60. INTERNET-DRAFT           SKIP-X509            August 5, 1996
61.  
62.  
63.  
64. Abstract
65.  
66. This document describes the ASN.1 [1] encoding of the CCITT 1988 X.509
67. [2] certificate with Diffie-Hellman public values for use with SKIP [5].
68.  
69.  
70.  
71.  
72.  
73.  
74.  
75.  
76.  
77.  
78.  
79.  
80.  
81.  
82.  
83.  
84.  
85.  
86.  
87.  
88.  
89.  
90.  
91.  
92.  
93.  
94.  
95.  
96.  
97.  
98.  
99.  
100.  
101.  
102.  
103.  
104.  
105.  
106.  
107.  
108.  
109.  
110.  
111.  
112. draft-ietf-ipsec-skip-X509-01.txt                   [Page 2]
113.  
114.  
115.  
116.  
117.  
118.  
119.  
120. INTERNET-DRAFT           SKIP-X509            August 5, 1996
121.  
122.  
123.  
124. 1.  Encoding of DH public values
125.  
126. The X.509 certificate format is defined by the following ASN.1 syntax:
127.  
128. Certificate ::= SIGNED SEQUENCE {
129.                   version [0]           Version DEFAULT v1988,
130.                   serialNumber          CertificateSerialNumber,
131.                   signature             AlgorithmIdentifier,
132.                   issuer                Name,
133.                   validity              Validity,
134.                   subject               Name,
135.                   subjectPublicKeyInfo  SubjectPublicKeyInfo
136.                 }
137.  
138. Version ::= INTEGER { v1988(0) }
139.  
140. CertificateSerialNumber ::= INTEGER
141.  
142. Validity ::= SEQUENCE {
143.                notBefore UTCTime,
144.                notAfter UTCTime
145.              }
146.  
147. SubjectPublicKeyInfo ::= SEQUENCE {
148.                            algorithm    AlgorithmIdentifier,
149.                            subjectPublicKey     BIT STRING
150.                          }
151.  
152. AlgorithmIdentifier ::= SEQUENCE {
153.                           algorithm       OBJECT IDENTIFIER,
154.                           parameters      ANY DEFINED BY algorithm OPTIONAL
155.                         }
156.  
157.  
158. The encoding of a Diffie-Hellman public value in an X.509 certificate
159. will be in the form of an INTEGER.  The algorithm identifier will be as
160. defined in PKCS #3 [3].
161.  
162.  
163.  
164.  
165.  
166.  
167.  
168.  
169.  
170.  
171.  
172. draft-ietf-ipsec-skip-X509-01.txt                   [Page 3]
173.  
174.  
175.  
176.  
177.  
178.  
179.  
180. INTERNET-DRAFT           SKIP-X509            August 5, 1996
181.  
182.  
183.  
184. Thus,
185.  
186. DHPublicKey ::= INTEGER
187.  
188. AlgorithmIdentifier ::= SEQUENCE {
189.                           algorithm     OBJECT IDENTIFIER
190.                           SEQUENCE {
191.                             prime INTEGER,      -- p
192.                             base  INTEGER,      -- g
193.                             privateValueLength INTEGER OPTIONAL
194.                           }
195.                         }
196.  
197. with the OBJECT IDENTIFIER value being,
198.  
199. dhKeyAgreement OBJECT IDENTIFIER ::= { iso(1) member-body(2) US(840)
200.                                         rsadsi(113549) pkcs(1) 3  1 }
201.  
202.  
203. The DHPublicKey gets encapsulated as the BIT STRING in
204. SubjectPublicKeyInfo of an X.509 certificate in the following manner.
205. First the DHPublicKey is encoded as an INTEGER, and then this INTEGER is
206. encoded as the payload of the BIT STRING.
207.  
208. The certificate and Certificate Revocation List (CRL) encoding is the
209. same as in RFC 1422. CRLs can be used with SKIP in accordance with each
210. site's certificate/CRL management policies.
211.  
212.  
213. 2.  Encoding of the Distinguished Name (DN)
214.  
215. When the name space is the IP address space, a certificate is allowed to
216. bind multiple IP addresses to a single public value to accommodate cases
217. where a single IP node has multiple IP addresses.  The SEQUENCE-OF
218. construct in a DN readily allows for this.  What is needed is an ASN.1
219. OBJECT IDENTIFIER for an AttributeType specifying an IP address.
220.  
221.  
222.  
223.  
224.  
225.  
226.  
227.  
228.  
229.  
230.  
231.  
232. draft-ietf-ipsec-skip-X509-01.txt                   [Page 4]
233.  
234.  
235.  
236.  
237.  
238.  
239.  
240. INTERNET-DRAFT           SKIP-X509            August 5, 1996
241.  
242.  
243.  
244. This is defined here as,
245.  
246. ipAddress ATTRIBUTE
247.                 WITH ATTRIBUTE-SYNTAX
248.                         PrintableString (SIZE(1 .. ub-ipAddress))
249.                 ::= { 1, 3, 6, 1, 4, 1, 42, 2, 11, 2, 1 }
250.  
251.  
252. ub-ipAddress ::= 256
253.  
254. The DN in the certificate can contain multiple of these by iterating on
255. the SEQUENCE-OF construct of the Relative Distinguished Name Sequence.
256.  
257. The PrintableString contains either the hexadecimal representation or
258. standard dot notation representation of an IP address.  Note that all
259. three conventional forms for representing IPv6 addresses [7] as text
260. strings are allowed by this definition.
261.  
262. When individual users are identified using DNs, then the certificate
263. naturally contains their DNs.  The SKIP internet draft [5] describes how
264. DNs may be used with SKIP, by identifying the DN name space using the
265. Source and destination NSID bytes in the SKIP header.
266.  
267.  
268. 3.  Security Considerations
269.  
270. Security issues are not discussed in this document.
271.  
272.  
273. Acknowledgements
274.  
275. We would like to thank all of the people who helped make this draft
276. possible.
277.  
278.  
279. References
280.  
281. [1] CCITT Recommendation X.208 (1992), "Abstract Syntax Notation One"
282.  
283. [2] CCITT Recommendation X.509 (1988), "The Directory - Authentication
284.     Framework"
285.  
286. [3] "Public Key Cryptography Standards", PKCS#s 1-11 from RSA Data
287.     Security Inc., Redwood City, CA, ftp://ftp.rsa.com/pub/pkcs
288.  
289.  
290.  
291.  
292. draft-ietf-ipsec-skip-X509-01.txt                   [Page 5]
293.  
294.  
295.  
296.  
297.  
298.  
299.  
300. INTERNET-DRAFT           SKIP-X509            August 5, 1996
301.  
302.  
303.  
304. [4] Kent, S., "Privacy Enhancement for Internet Electronic Mail:  Part
305.     II: Certificate-Based Key Management", RFC 1422
306.  
307. [5] Aziz, A., Markson, T., Prafullchandra, H., "Simple Key-management
308.     for Internet Protocols", (I-D draft-ietf-ipsec-skip-06.txt), Work In
309.     Progress
310.  
311. [6] "NIST OIW Stable Implementors Workshop", September 1994, Part 12 -
312.     OS Security
313.  
314. [7] Hinden, R., Deering, S., "IP Version 6 Addressing Architecture",
315.     (I-D draft-ietf-ipngwg-addr-arch-03.txt), Work In Progress
316.  
317.  
318. Author's Address(es)
319.  
320.      Ashar Aziz
321.      Sun Microsystems, Inc.
322.      M/S PAL1-550
323.      2550 Garcia Avenue
324.      Mountain View, CA 94043
325.  
326.      Email: ashar.aziz@eng.sun.com
327.      Alternate email address: ashar@incog.com
328.  
329.      Tom Markson
330.      Sun Microsystems, Inc.
331.      M/S PAL1-550
332.      2550 Garcia Avenue
333.      Mountain View, CA 94043
334.  
335.      Email: markson@incog.com
336.      Alternate email address: markson@eng.sun.com
337.  
338.      Hemma Prafullchandra
339.      Sun Microsystems, Inc.
340.      M/S PAL1-550
341.      2550 Garcia Avenue
342.      Mountain View, CA 94043
343.  
344.      Email: hemma@eng.sun.com
345.      Alternate email address: hemma@incog.com
346.  
347.  
348.  
349.  
350.  
351.  
352. draft-ietf-ipsec-skip-X509-01.txt                   [Page 6]
353.  
354.  
355.  
356.  
357.  
358.  
359.  
360.  
361.  
362.  
363.  
364.                                 CONTENTS
365.  
366.  
367.     Status of this Memo..................................  1
368.  
369.     Abstract.............................................  2
370.  
371. 1.  Encoding of DH public values.........................  3
372.  
373. 2.  Encoding of the Distinguished Name (DN)..............  4
374.  
375. 3.  Security Considerations..............................  5
376.  
377.     Acknowledgements.....................................  5
378.  
379.     References...........................................  5
380.  
381.     Author's Address(es).................................  6
382.  
383.  
384.  
385.  
386.  
387.  
388.  
389.  
390.  
391.  
392.  
393.  
394.  
395.  
396.  
397.  
398.  
399.  
400.  
401.  
402.  
403.  
404.  
405.  
406.  
407.  
408.  
409.  
410.  
411.  
412.                            - i -
413.  
414.  
415.  
416.  
417.