home *** CD-ROM | disk | FTP | other *** search
/ Internet Core Protocols / Oreilly-InternetCoreProtocols.iso / RFCs / rfc2411.txt < prev    next >
Encoding:
Text File  |  1999-10-14  |  22.9 KB  |  620 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network  Working Group                                        R. Thayer
  8. Request for Comments: 2411                 Sable Technology Corporation
  9. Category: Informational                                    N. Doraswamy
  10.                                                            Bay Networks
  11.                                                                R. Glenn
  12.                                                                    NIST
  13.                                                           November 1998
  14.  
  15.  
  16.                               IP Security
  17.                             Document Roadmap
  18.  
  19.  
  20. Status of this Memo
  21.  
  22.    This memo provides information for the Internet community.  It does
  23.    not specify an Internet standard of any kind.  Distribution of this
  24.    memo is unlimited.
  25.  
  26. Copyright Notice
  27.  
  28.    Copyright (C) The Internet Society (1998).  All Rights Reserved.
  29.  
  30.  
  31. Abstract
  32.  
  33.    The IPsec protocol suite is used to provide privacy and
  34.    authentication services at the IP layer.  Several documents are used
  35.    to describe this protocol suite.  The interrelationship and
  36.    organization of the various documents covering the IPsec protocol are
  37.    discussed here.  An explanation of what to find in which document,
  38.    and what to include in new Encryption Algorithm and Authentication
  39.    Algorithm documents are described.
  40.  
  41. Table of Contents
  42.  
  43.    1. Introduction ................................................2
  44.    2. Interrelationship of IPsec Documents ........................2
  45.    3. Keying Material .............................................4
  46.    4. Recommended Content of Algorithm Documents ..................5
  47.    4.1 Encryption and Authentication Algorithms ...................5
  48.    4.2 Encryption Algorithms ......................................6
  49.    4.3 Authentication Algorithms ..................................7
  50.    5. Security Considerations .....................................8
  51.    6. Acknowledgments .............................................8
  52.    7. References ..................................................9
  53.    8. Authors' Addresses .........................................10
  54.    9. Full Copyright Statement ...................................11
  55.  
  56.  
  57.  
  58. Thayer, et. al.              Informational                      [Page 1]
  59.  
  60. RFC 2411              IP Security Document Roadmap         November 1998
  61.  
  62.  
  63. 1. Introduction
  64.  
  65.    This document is intended to provide guidelines for the development
  66.    of collateral specifications describing the use of new encryption and
  67.    authentication algorithms with the ESP protocol, described in [ESP]
  68.    and new authentication algorithms used with the AH protocol,
  69.    described in [AH].  ESP and AH are part of the IP Security
  70.    architecture described in [Arch].  There is a requirement for a
  71.    well-known procedure that can be used to add new encryption
  72.    algorithms or authentication algorithms to ESP and AH, not only while
  73.    the initial document set is undergoing development but after the base
  74.    documents have achieved RFC status.  Following the guidelines
  75.    discussed below simplifies adding new algorithms and reduces that
  76.    amount of redundant documentation.
  77.  
  78.    The goal in writing a new Encryption Algorithm or Authentication
  79.    Algorithm document is to concentrate on the application of the
  80.    specific algorithm within ESP and AH.  General ESP and AH concepts,
  81.    definitions, and issues are covered in the ESP and AH documents. The
  82.    algorithms themselves are not described in these documents.  This
  83.    gives us the capability to add new algorithms and also specify how
  84.    any given algorithm might interact with other algorithms. The intent
  85.    is to achieve the goal of avoiding duplication of information and
  86.    excessive numbers of documents, the so-called "draft explosion"
  87.    effect.
  88.  
  89. 2. Interrelationship of IPsec Documents
  90.  
  91.    The documents describing the set of IPsec protocols are divided into
  92.    seven groups.  This is illustrated in Figure 1.  There is a main
  93.    Architecture document which broadly covers the general concepts,
  94.    security requirements, definitions, and mechanisms defining IPsec
  95.    technology.
  96.  
  97.    There is an ESP Protocol document and an AH Protocol document which
  98.    covers the packet format and general issues regarding the respective
  99.    protocols.  These protocol documents also contain default values if
  100.    appropriate, such as the default padding contents, and mandatory to
  101.    implement algorithms.  These documents dictate some of the values in
  102.    the Domain Of Interpretation document [DOI].  Note the DOI document
  103.    is itself part of the IANA Assigned Numbers mechanism and so the
  104.    values described in the DOI are well-known.  See [DOI] for more
  105.    information on the mechanism.
  106.  
  107.    The "Encryption Algorithm" document set, shown on the left, is the
  108.    set of documents describing how various encryption algorithms are
  109.    used for ESP.  These documents are intended to fit in this roadmap,
  110.    and should avoid overlap with the ESP protocol document and with the
  111.  
  112.  
  113.  
  114. Thayer, et. al.              Informational                      [Page 2]
  115.  
  116. RFC 2411              IP Security Document Roadmap         November 1998
  117.  
  118.  
  119.    Authentication Algorithm documents.  Examples of this document are
  120.    the [DES-Detroit] and [CBC] documents.  When these or other
  121.    encryption algorithms are used for ESP, the DOI document has to
  122.    indicate certain values, such as an encryption algorithm identifier,
  123.    so these documents provide input to the DOI.
  124.  
  125.    The "Authentication Algorithm" document set, shown on the right, is
  126.    the set of documents describing how various authentication algorithms
  127.    are used for both ESP and AH.  These documents are intended to fit in
  128.    this roadmap, and should avoid overlap with the AH protocol document
  129.    and with the Encryption Algorithm documents.  Examples of this
  130.    document are the [HMAC-MD5], and [HMAC-SHA-1] documents.  When these
  131.    or other algorithms are used for either ESP or AH, the DOI document
  132.    has to indicate certain values, such as algorithm type, so these
  133.    documents provide input to the DOI.
  134.  
  135.    The "Key Management Documents", shown at the bottom, are the
  136.    documents describing the IETF standards-track key management schemes.
  137.    These documents provide certain values for the DOI also.  Note that
  138.    issues of key management should be indicated here and not in, for
  139.    example, the ESP and AH protocol documents.  Currently this box
  140.    represents [ISAKMP], [Oakley], and [Resolution].
  141.  
  142.    The DOI document, shown in the middle, contains values needed for the
  143.    other documents to relate to each other.  This includes for example
  144.    encryption algorithms, authentication algorithms, and operational
  145.    parameters such as key lifetimes.
  146.  
  147.  
  148.  
  149.  
  150.  
  151.  
  152.  
  153.  
  154.  
  155.  
  156.  
  157.  
  158.  
  159.  
  160.  
  161.  
  162.  
  163.  
  164.  
  165.  
  166.  
  167.  
  168.  
  169.  
  170. Thayer, et. al.              Informational                      [Page 3]
  171.  
  172. RFC 2411              IP Security Document Roadmap         November 1998
  173.  
  174.  
  175.                       +--------------+
  176.                       | Architecture |
  177.                       +--------------+
  178.                         v          v
  179.                +<-<-<-<-+          +->->->->+
  180.                v                            v
  181.       +----------+                       +----------+
  182.       |   ESP    |                       |    AH    |
  183.       | Protocol |                       | Protocol |
  184.       +----------+                       +----------+
  185.         v      v                           v       v
  186.         v      +->->->->->->->->+          v       v
  187.         v      v                v          v       v
  188.         v      v                v          v       v
  189.         v  +------------+     +----------------+   v
  190.         v  | +------------+   | +----------------+ v
  191.         v  | | Encryption |   | | Authentication | v
  192.         v  +-| Algorithm  |   +-| Algorithm      | v
  193.         v    +------------+     +----------------+ v
  194.         v        v                       v         v
  195.         v        v        +-----+        v         v
  196.         +>->->->-+->->->->| DOI |<-<-<-<-+-<-<-<-<-+
  197.                           +-----+
  198.                              ^
  199.                              ^
  200.                        +------------+
  201.                        |    KEY     |
  202.                        | MANAGEMENT |
  203.                        +------------+
  204.  
  205.  
  206.               Figure 1. IPsec Document Roadmap.
  207.  
  208. 3. Keying Material
  209.  
  210.    Describing the encryption and authentication algorithms in different
  211.    documents raises the issue of how the key management protocols knows
  212.    the required keying material length for the desired algorithms when
  213.    used together with ESP.  It also raises the issue of how to divide
  214.    the keying material.  This is known as the "slicing and dicing"
  215.    information.
  216.  
  217.    Each Encryption Algorithm and Authentication Algorithm document
  218.    should specify their respective key attributes (e.g. how to pad,
  219.    location of parity bits, key order for multi-keyed algorithms, and
  220.    length).  The key management protocols should use the length of the
  221.    keys specified in the respective Algorithm documents to generate the
  222.    keying material of required length.
  223.  
  224.  
  225.  
  226. Thayer, et. al.              Informational                      [Page 4]
  227.  
  228. RFC 2411              IP Security Document Roadmap         November 1998
  229.  
  230.  
  231.    The key management protocol generates keying material with enough
  232.    strength and size to generate keys for individual algorithms. The
  233.    IPsec Architecture document specifies how keys are extracted from a
  234.    single block of keying material when multiple keys are required (e.g.
  235.    ESP with authentication).  The Encryption Algorithm and
  236.  
  237.    Authentication Algorithm documents are responsible for specifying the
  238.    key sizes and strengths for each algorithm. However, whether the
  239.    entire keying material is passed down to the kernel to perform
  240.    slicing and dicing or if the keys are sliced and diced by key
  241.    management protocol is an implementation issue. The AH protocol
  242.    document has no such requirement.
  243.  
  244. 4. Recommended Content of Algorithm Documents
  245.  
  246.    The document describing how a specific encryption or authentication
  247.    algorithm is used should contain information appropriate to that
  248.    encryption or authentication algorithm.  This section enumerates what
  249.    information should be provided.  It is the intention of the document
  250.    roadmap that:
  251.  
  252.    .  General protocol information goes in the respective ESP or AH
  253.       protocol documents.
  254.    .  Key management information goes in the key management documents.
  255.    .  Assigned values and constants of negotiable items go in the DOI
  256.       document.
  257.  
  258.    Encryption and authentication algorithms require some set of optional
  259.    parameters or have optional modes of operation (e.g. IVs,
  260.    authentication data lengths, and key lengths).  To help eliminate
  261.    some complexity involved with key management having to negotiate
  262.    large numbers of algorithm-specific parameters, encryption and
  263.    authentication algorithm documents will select fixed values for these
  264.    parameters when it is deemed technically reasonable and feasible.
  265.  
  266.    Note, the following information is intended as a general guideline
  267.    only.
  268.  
  269. 4.1 Encryption and Authentication Algorithms
  270.  
  271.    This section describes the information that should be included in
  272.    both Encryption Algorithm and Authentication Algorithm documents.
  273.  
  274.    Keying Material
  275.  
  276.    .  Size of keys, including minimum, maximum, recommended and/or
  277.       required sizes.  Note: the security considerations section should
  278.       address any weakness in specific sizes.
  279.  
  280.  
  281.  
  282. Thayer, et. al.              Informational                      [Page 5]
  283.  
  284. RFC 2411              IP Security Document Roadmap         November 1998
  285.  
  286.  
  287.    .  Recommended or required pseudo-random number generator techniques
  288.       and attributes to provide sufficiently strong keys.  [RANDOM]
  289.       provides recommendations on generating strong randomness for use
  290.       with security.
  291.    .  Format of keying material.
  292.    .  Known weak keys or references to documentation on known weak keys.
  293.    .  Recommended or required processing of input keying material such
  294.       as parity generation or checking.
  295.    .  Requirements and/or recommendations on how often the keying
  296.       material should be refreshed.
  297.  
  298.    Performance Considerations
  299.    .  Any available estimates on performance of this algorithm.
  300.    .  Any available comparison data  (e.g., compared against DES or
  301.       MD5).
  302.    .  Input size or other considerations that could improve or degrade
  303.       performance.
  304.  
  305.    ESP Environmental Considerations
  306.    .  Any known issues regarding interactions between this algorithm and
  307.       other aspects of ESP, such as use of certain authentication
  308.       schemes.  Note:  As new encryption and authentication algorithms
  309.       are applied to ESP, the later documents will be required to
  310.       address interactions with previously specified algorithms.
  311.  
  312.    Payload Content and Format Description
  313.    .  Specification of size, placement, and content of algorithm-
  314.       specific fields not defined in the ESP or AH protocol documents
  315.       (e.g., IV).
  316.  
  317.    Security Considerations
  318.    .  Discuss any known attacks.
  319.    .  Discuss any known common implementation pitfalls, such as use of
  320.       weak random number generators.
  321.    .  Discuss any relevant validation procedures, such as test vectors.
  322.       [RFC-2202] is an example document containing test vectors for
  323.       a set of authentication algorithms.
  324.  
  325. 4.2 Encryption Algorithms
  326.  
  327.    This section describes the information that should be included in the
  328.    Encryption Algorithm documents.
  329.  
  330.    Encryption Algorithm Description
  331.    .  General information how this encryption algorithm is to be used in
  332.       ESP.
  333.    .  Description of background material and formal algorithm
  334.       description.
  335.  
  336.  
  337.  
  338. Thayer, et. al.              Informational                      [Page 6]
  339.  
  340. RFC 2411              IP Security Document Roadmap         November 1998
  341.  
  342.  
  343.    .  Features of this encryption algorithm to be used by ESP, including
  344.       encryption and/or authentication.
  345.    .  Mention of any availability issues such as Intellectual Property
  346.       considerations.
  347.    .  References, in IETF style, to background material such as FIPS
  348.       documents.
  349.  
  350.    Algorithm Modes of Operation
  351.    .  Description of how the algorithm is operated, whether it is block
  352.       mode or streaming mode or other.
  353.    .  Requirements for input or output block format.
  354.    .  Padding requirements of this algorithm.  Note: there is a default
  355.       for padding, specified in the base ESP document, so this is only
  356.       needed if the default cannot be used.
  357.    .  Any algorithm-specific operating parameters, such as number of
  358.       rounds.
  359.    .  Identify optional parameters and optional methods of operation and
  360.       pick reasonable fixed values and methods with explicit technical
  361.       explanations.
  362.    .  Identify those optional parameters in which values and methods
  363.       should remain optional with explicit technical explanations on why
  364.       fixed values and methods should not be used.
  365.    .  Defaults and mandatory ranges on algorithm-specific optional
  366.       parameters that could not be fixed.
  367.  
  368. 4.3 Authentication Algorithms
  369.  
  370.    This section describes the information that should be included in the
  371.    Authentication Algorithm documents.  In most cases, an authentication
  372.    algorithm will operate the same whether it is used for ESP or AH.
  373.    This should be represented in a single Authentication Algorithm
  374.    document.
  375.  
  376.    Authentication Algorithm Description
  377.    .  General information on how this authentication algorithm is to be
  378.       used with ESP and AH.
  379.    .  Description of background material and formal algorithm
  380.       description.
  381.    .  Features of this authentication algorithm.
  382.    .  Mention of any availability issues such as Intellectual Property
  383.       considerations.
  384.    .  References, in IETF style, to background material such as
  385.       FIPS documents and definitive descriptions of underlying
  386.       algorithms.
  387.  
  388.    Algorithm Modes of Operation
  389.    .  Description of how the algorithm is operated.
  390.  
  391.  
  392.  
  393.  
  394. Thayer, et. al.              Informational                      [Page 7]
  395.  
  396. RFC 2411              IP Security Document Roadmap         November 1998
  397.  
  398.  
  399.    .  Algorithm-specific operating parameters, such as number of
  400.       rounds, and input or output block format.
  401.    .  Implicit and explicit padding requirements of this algorithm.
  402.       Note: There is a default method for padding of the
  403.       authentication data field specified in the AH protocol document.
  404.       This is only needed if the default cannot be used.
  405.    .  Identify optional parameters and optional methods of operation and
  406.       pick reasonable fixed values and methods with explicit technical
  407.       explanations.
  408.    .  Identify those optional parameters in which values and methods
  409.       should remain optional with explicit technical explanations on why
  410.       fixed values and methods should not be used.
  411.    .  Defaults and mandatory ranges on algorithm-specific optional
  412.       parameters that could not be fixed.
  413.    .  Authentication data comparison criteria for this algorithm.  Note:
  414.       There is a default method for verifying the authentication data
  415.       specified in the AH protocol document.  This is only needed if the
  416.       default cannot be used (e.g. when using a signed hash).
  417.  
  418. 5. Security Considerations
  419.  
  420.    This document provides a roadmap and guidelines for writing
  421.    Encryption and Authentication Algorithm documents. The reader should
  422.    follow all the security procedures and guidelines described in the
  423.    IPsec Architecture, ESP Protocol, AH Protocol, Encryption Algorithm,
  424.    and Authentication Algorithm documents.  Note that many encryption
  425.    algorithms are not considered secure if they are not used with some
  426.    sort of authentication mechanism.
  427.  
  428. 6. Acknowledgments
  429.  
  430.    Several Internet drafts were referenced in writing this document.
  431.    Depending on where the documents are on (or off) the IETF standards
  432.    track these may not be available through the IETF RFC repositories.
  433.    In certain cases the reader may want to know what version of these
  434.    documents were referenced. These documents are:
  435.  
  436.    .  DES-Detroit: this is the ANX Workshop style of ESP, based on the
  437.       Hughes draft as modified by Cheryl Madson and published on the ANX
  438.       mailing list.
  439.    .  DOI: draft-ietf-ipsec-ipsec-doi-02.txt.
  440.    .  3DES: this is <the Triple-DES shim document>.
  441.    .  CAST: this is draft-ietf-ipsec-esp-cast-128-cbc-00.txt, as revised
  442.       to relate to this document.
  443.    .  ESP: draft-ietf-ipsec-esp-04.txt, mailed to the IETF mailing list
  444.       in May/June 1997.
  445.    .  AH: draft-ietf-ipsec-auth-05.txt, mailed to the IETF mailing list
  446.       in May/June 1997.
  447.  
  448.  
  449.  
  450. Thayer, et. al.              Informational                      [Page 8]
  451.  
  452. RFC 2411              IP Security Document Roadmap         November 1998
  453.  
  454.  
  455.    .  HUGHES: this is draft-ietf-ipsec-esp-des-md5-03.txt
  456.    .  ISAKMP: There are three documents describing ISAKMP.  These are
  457.       draft-ietf-ipsec-isakmp-07.txt, draft-ietf-ipsec-isakmp-oakley-
  458.       03.txt, and draft-ietf-ipsec-ipsec-doi-02.txt.
  459.  
  460. 7. References
  461.  
  462.    [CBC]         Periera, R., and R. Adams, "The ESP CBC-Mode Cipher
  463.                  Algorithms", RFC 2451, November 1998.
  464.  
  465.    [Arch]        Kent, S., and R.  Atkinson, "Security Architecture for
  466.                  the Internet Protocol", RFC 2401, November 1998.
  467.  
  468.    [DES-Detroit] Madson, C., and N. Doraswamy, "The ESP DES-CBC Cipher
  469.                  Algorithm With Explicit IV", RFC 2405, November 1998.
  470.  
  471.    [DOI]         Piper, D., "The Internet IP Security Domain of
  472.                  Interpretation for ISAKMP", RFC 2407, November 1998.
  473.  
  474.    [AH]          Kent, S., and R. Atkinson, "IP Authentication Header",
  475.                  RFC 2402, November 1998.
  476.  
  477.    [ESP]         Kent, S., and R. Atkinson, "IP Encapsulating Security
  478.                  Payload (ESP)", RFC 2406, November 1998.
  479.  
  480.    [HMAC]        Krawczyk, K., Bellare, M., and R. Canetti, "HMAC:
  481.                  Keyed-Hashing for Message Authentication", RFC 2104,
  482.                  February 1997.
  483.  
  484.    [HMAC-MD5]    Madson, C., and R. Glenn, "The Use of HMAC-MD5 within
  485.                  ESP and AH", RFC 2403, November 1998.
  486.  
  487.    [HMAC-SHA-1]  Madson, C., and R. Glenn, "The Use of HMAC-SHA-1 within
  488.                  ESP and AH", RFC 2404, November 1998.
  489.  
  490.    [RANDOM]      Eastlake, D., Crocker, S., and J. Schiller, "Randomness
  491.                  Recommendations for Security", RFC 1750, December 1994.
  492.  
  493.    [RFC-2202]    Cheng, P., and R. Glenn, "Test Cases for HMAC-MD5 and
  494.                  HMAC-SHA-1", RFC 2202, March 1997.
  495.  
  496.  
  497.  
  498.  
  499.  
  500.  
  501.  
  502.  
  503.  
  504.  
  505.  
  506. Thayer, et. al.              Informational                      [Page 9]
  507.  
  508. RFC 2411              IP Security Document Roadmap         November 1998
  509.  
  510.  
  511. 8. Authors' Addresses
  512.  
  513.    Rodney Thayer
  514.    Sable Technology Corporation
  515.    246 Walnut Street
  516.    Newton, Massachusetts  02160
  517.  
  518.    EMail: mailto:rodney@sabletech.com
  519.  
  520.  
  521.    Naganand Doraswamy
  522.    Bay Networks
  523.  
  524.    EMail: naganand@baynetworks.com
  525.  
  526.  
  527.    Rob Glenn
  528.    NIST
  529.  
  530.    EMail: rob.glenn@nist.gov
  531.  
  532.  
  533.  
  534.  
  535.  
  536.  
  537.  
  538.  
  539.  
  540.  
  541.  
  542.  
  543.  
  544.  
  545.  
  546.  
  547.  
  548.  
  549.  
  550.  
  551.  
  552.  
  553.  
  554.  
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562. Thayer, et. al.              Informational                     [Page 10]
  563.  
  564. RFC 2411              IP Security Document Roadmap         November 1998
  565.  
  566.  
  567. 9.  Full Copyright Statement
  568.  
  569.    Copyright (C) The Internet Society (1998).  All Rights Reserved.
  570.  
  571.    This document and translations of it may be copied and furnished to
  572.    others, and derivative works that comment on or otherwise explain it
  573.    or assist in its implementation may be prepared, copied, published
  574.    and distributed, in whole or in part, without restriction of any
  575.    kind, provided that the above copyright notice and this paragraph are
  576.    included on all such copies and derivative works.  However, this
  577.    document itself may not be modified in any way, such as by removing
  578.    the copyright notice or references to the Internet Society or other
  579.    Internet organizations, except as needed for the purpose of
  580.    developing Internet standards in which case the procedures for
  581.    copyrights defined in the Internet Standards process must be
  582.    followed, or as required to translate it into languages other than
  583.    English.
  584.  
  585.    The limited permissions granted above are perpetual and will not be
  586.    revoked by the Internet Society or its successors or assigns.
  587.  
  588.    This document and the information contained herein is provided on an
  589.    "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
  590.    TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
  591.    BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
  592.    HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
  593.    MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
  594.  
  595.  
  596.  
  597.  
  598.  
  599.  
  600.  
  601.  
  602.  
  603.  
  604.  
  605.  
  606.  
  607.  
  608.  
  609.  
  610.  
  611.  
  612.  
  613.  
  614.  
  615.  
  616.  
  617.  
  618. Thayer, et. al.              Informational                     [Page 11]
  619.  
  620.