Autenticação de assinatura na Internet Key Exchange versão 2 (IKEV2) usando PQC (2024)

Internet-draftAutenticação de assinatura em ikev2 usandoJunho de 2024
Reddy, et al.Expira 27 de dezembro de 2024[Página]
Grupo de trabalho:
iPsecMe
Internet-draft:
Draft-Reddy-isecMe-iikeV2-PQC-Auth-01
Publicados:
Status pretendido:
Faixa de padrões
Expira:
Autores:

T. Reddy

Nokia

V. Smyslov

Elvis-plus

S. Fluhrer

Sistemas Cisco

Abstrato

Os métodos de autenticação baseados em assinatura são utilizados em ikev2[[Purificar].A versão atual do protocolo Internet Key Exchange versão 2 (IKEV2) suporta assinaturas digitais tradicionais.

Este documento descreve como as assinaturas digitais pós-Quantum, especificamente as assinaturas digitais baseadas em módulo-latice (ML-DSA) e assinaturas digitais baseadas em hash sem estado (SLH-DSA), podem ser empregadas como métodos de autenticação no protocolo IKEV2.Ele apresenta a capacidade ML-DSA e SLH-DSA no IKEV2 sem exigir nenhuma alteração nas operações IKE existentes.

Sobre este documento

Esta nota deve ser removida antes da publicação como uma RFC.

Informações de status para este documento podem ser encontradas emhttps://datatracker.ietf.org/doc/draft-reddy-ipsecme-ikev2-pqc/.

Discussão deste documento ocorre na lista de discussão do IPSecMe Working Group (Mailto: ipsecme@ietf.org), que é arquivado emhttps://mailarchive.ietf.org/arch/browse/ipsec/.Inscreva -se emhttps://www.ietf.org/mailman/listinfo/ipsecme/.

Status deste memorando

Este draft da Internet é enviado em plena conformidade com as disposições do BCP 78 e BCP 79.

O Internet-Drafts são documentos de trabalho da Força-Tarefa de Engenharia da Internet (IETF).Observe que outros grupos também podem distribuir documentos de trabalho como trajes da Internet.A lista dos artes de rede atual está emhttps://datatracker.ietf.org/drafts/current/.

Os rascunhos da Internet são rascunhos de documentos válidos por um máximo de seis meses e podem ser atualizados, substituídos ou obsoletados por outros documentos a qualquer momento.É inapropriado usar os rascunhos da Internet como material de referência ou citá-los além de "trabalho em andamento".

Este draft da Internet expirará em 27 de dezembro de 2024.

Aviso de direitos autorais

Copyright (C) 2024 IETF Trust e as pessoas identificadas como autores de documentos.Todos os direitos reservados.

Este documento está sujeito ao BCP 78 e às disposições legais do IETF Trust relacionadas aos documentos da IETF (https://trustee.ietf.org/license-info) em vigor na data da publicação deste documento.Revise esses documentos com cuidado, pois eles descrevem seus direitos e restrições em relação a este documento.Os componentes de código extraídos deste documento devem incluir o texto da licença BSD revisado, conforme descrito na seção 4.e das disposições legais de confiança e são fornecidas sem garantia, conforme descrito na licença BSD revisada.

Índice

1.Introdução

A troca de chaves da Internet, ou ikev2[[Purificar], é um contrato -chave e protocolo de negociação de segurança;É usado para o estabelecimento -chave no IPSEC.No conjunto inicial de trocas, ambas as partes selecionam e usam independentemente seu método de autenticação preferida, que pode até diferir entre o iniciador e o respondente.No ikev2, ocorre na troca chamada ike_auth.Uma opção para o método de autenticação é as assinaturas digitais usando a criptografia pública.Atualmente, as assinaturas digitais tradicionais são definidas para uso em IKE_AUTH: assinaturas RSA, Algoritmo de assinatura digital (DSA) padrão de assinatura digital (DSS) e ECDSA.

A presença de um computador quântico criptograficamente relevante (CRQC) tornaria obsoleta e insegura os algoritmos de chave pública de ponta.Isso ocorre porque as suposições sobre a intratabilidade dos problemas matemáticos em que esses algoritmos dependem, que oferecem níveis confiantes de segurança hoje, não se aplicam mais na presença de um CRQC.Consequentemente, há um requisito para atualizar protocolos e infraestrutura para usar algoritmos pós-Quantum.Os algoritmos pós-Quantum são algoritmos de chave pública projetados para serem seguros contra CRQCs e computadores clássicos.Os primitivos criptográficos tradicionais que precisam ser substituídos pelos algoritmos PQC são discutidos em[[I-d.ietf-PQUIP-PQC-Engineers].

Assinaturas digitais baseadas em módulo (ML-DSA)[[FIPS204]e assinaturas digitais baseadas em hash de hash (SLH-DSA)[[FIPS205]são esquemas de assinatura digital resistentes à quântica padronizados pelo Projeto PQC do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST).Este documento especifica o uso dos algoritmos ML-DSA e SLH-DSA no IKEV2.

2.Convenções e definições

As palavras -chave "DEVE","NÃO DEVE","OBRIGATÓRIO","PODEMOS","NÃO DEVE","DEVE","NÃO DEVERIA","RECOMENDADO","NÃO RECOMENDADO","PODERIA", e "OPCIONAL"Neste documento deve ser interpretado como descrito no BCP14[[RFC2119] [[RFC8174]Quando, e somente quando eles aparecem em todas as capitais, como mostrado aqui.

Este documento usa termos definidos em[[I-d.ietf-PQUIP-PQT-HYBRID-TERMINOLOGIA].Para os propósitos deste documento, é útil poder dividir algoritmos criptográficos em duas classes:

"Algoritmo criptográfico tradicional assimétrico": um algoritmo criptográfico assimétrico baseado na fatorização inteira, logaritmos discretos de campo finito ou logaritmos discretos da curva elípticos, logaritmos elípticos da curva elípticos ou problemas matemáticos relacionados.

"Algoritmo pós-cantum": um algoritmo criptográfico assimétrico que se acredita ser seguro contra ataques usando computadores quânticos e computadores clássicos.Os algoritmos pós-cantum também podem ser chamados de algoritmos resistentes à quântica ou seguros de quânticos.Exemplos de esquemas de assinatura digital resistentes à quântica incluem ML-DSA e SLH-DSA.

3.Especificando ML-DSA dentro do IKEV2

ML-DSA[[FIPS204]é um algoritmo de assinatura digital (parte do suíte de cristais) com base nos problemas de treliça de dureza em redes de módulos (isto é, no módulo que aprende o problema de erros (MLWE)).O design do algoritmo é baseado no "Fiat-Shamir com abortos"[[Liu09]Estrutura introduzida por Lyubashevsky, que aproveita a amostragem de rejeição para renderizar esquemas FS baseados em treliça compactos e seguros.O ML-DSA usa distribuição uniforme sobre pequenos números inteiros para calcular coeficientes em vetores de erro, o que facilita a implementação do esquema.

O ML-DSA é instanciado com 3 conjuntos de parâmetros para as categorias de segurança 2, 3 e 5. As propriedades de segurança do ML-DSA são discutidas na Seção 9 de[[I-d.ietf-lamp-dilithium certificados].Este documento especifica o uso do algoritmo ML-DSA no IKEV2 em três níveis de segurança: ML-DSA-44, ML-DSA-65 e ML-DSA-87.

O ML-DSA oferece assinatura determinística e randomizada.Por padrão, as assinaturas de ML-DSA não são determinísticas, a sem*nte aleatória privada Rho 'é pseudorandomamente derivada da chave privada do signatário, da mensagem e de uma sequência de 256 bits, RND-onde o RND deve ser gerado por um gerador de bits aleatório aprovado (Rbg).Na versão determinística, o RND é uma sequência constante de 256 bits.No contexto da autenticação baseada em assinatura no IKEV2, a composição dos dados usados ​​para gerar uma assinatura digital é exclusiva para cada sessão do IKEV2.Essa singularidade surge porque os dados utilizados para criação de assinaturas incluem informações específicas da sessão, como não -ces, parâmetros criptográficos e identificadores.Portanto, se o ML-DSA for usado como um método de autenticação no protocolo IKEV2, a versão determinística do ML-DSA poderá ser utilizada.

O ikev2 pode usar algoritmos de assinatura arbitrários, conforme descrito em[[427].O método de autenticação "assinatura digital", conforme definido em[[427], substitui os métodos de autenticação de assinatura definidos anteriormente.Nesse caso, os três níveis de segurança de ML-DSA são identificados por meio de objetos algorithmentifiadores asn.1, conforme especificado em[[I-d.ietf-lamp-dilithium certificados].[[427]Define a notificação Signature_Hash_algorithms, onde cada lado da negociação da IKE lista seus algoritmos de hash suportados.No entanto, no caso da ML-DSA, ele incorpora internamente a operação de hash necessária como parte de seu algoritmo de assinatura.O ML-DSA leva diretamente a mensagem original, aplica uma função de hash a ela internamente e, em seguida, usa o valor de hash resultante para o processo de geração de assinatura.Os dados assinados para provar a identidade do iniciador e do respondente (conforme discutido na Seção 2.15 de[[427]) Normalmente se encaixa nas restrições de memória dos dispositivos envolvidos na troca IKEV2.Os dados consistem em NONCs, SPIs e as mensagens de troca inicial, que são gerenciáveis ​​em tamanho.Para sinalizar dentro de Ike que nenhuma pré-hasteamento precisa ser feita com ML-DSA, o valor "identidade" (5) definido em[[RFC8420] DEVEser definido na notificação de algoritmos de hash de assinatura para indicar que a pré-hashing não é necessária.

4.Especificando SLH-DSA dentro do IKEV2

SLH-DSA[[FIPS205]Utiliza o conceito de assinaturas de hash sem estado.Em contraste com os algoritmos de assinatura com estado, o SLH-DSA elimina a necessidade de manter as informações do estado durante o processo de assinatura.O SLH-DSA foi projetado para assinar até 2^64 mensagens e oferece três níveis de segurança.Os parâmetros para cada um dos níveis de segurança foram escolhidos para fornecer 128 bits de segurança, 192 bits de segurança e 256 bits de segurança.Este documento especifica o uso do algoritmo SLH-DSA no ikev2 nos três níveis de segurança.[[FIPS180]ou shake256[[FIPS202]como a função de hash.A versão pequena prioriza tamanhos menores de assinatura, tornando-os adequados para ambientes com restrição de recursos, dispositivos IoT.Por outro lado, a versão rápida prioriza a velocidade sobre o tamanho da assinatura, minimizando o tempo necessário para gerar e verificar as assinaturas. Por outro lado, o ML-DSA supera o SLH-DSA tanto na geração de assinatura quanto no tempo de validação, bem como no tamanho da assinatura.O SLH-DSA, por outro lado, oferece tamanhos de chave menores, mas tamanhos de assinatura maiores.

As combinações a seguir são definidas no SLH-DSA[[FIPS205]:

  • SLH-DSA-128S-SHA2

  • SLH-DSA-128F-SHA2

  • SLH-DSA-192S-SHA2

  • SLH-DSA-192F-SHA2

  • Triste

  • Slameshashah

  • SLH-DSA-128S-SHAKE

  • SLH-DSA-128F-SHAKE

  • SLH-DSA-192S-SHAKE

  • SLH-DSA-192F-SHAKE

  • SLH-DSA-256S-SHAKE

  • SLH-DSA-256F-SHAKE

O SLH-DSA não introduz uma nova suposição de dureza além dos inerentes às funções subjacentes do hash.Ele se baseia nas fundações estabelecidas na criptografia, tornando-a um esquema de assinatura digital confiável e robusta para um mundo pós-Quantum.Embora os ataques a esquemas baseados em treliça como o ML-DSA possam comprometer sua segurança, o SLH-DSA permanecerá não afetado por esses ataques devido a seus fundações matemáticas distintas.Isso garante a segurança contínua de sistemas e protocolos que utilizam SLH-DSA para assinaturas digitais.

O SLH-DSA oferece assinatura determinística e randomizada, dependendo se o OPT_RAND está definido como um valor fixo ou um valor aleatório.Se o Opt_rand estiver definido como uma sem*nte pública (um elemento na chave pública), a assinatura será determinística - assinar a mesma mensagem duas vezes resultará na mesma assinatura.No contexto da autenticação baseada em assinatura no IKEV2, a composição dos dados usados ​​para gerar uma assinatura digital é exclusiva para cada sessão do IKEV2.Essa singularidade surge porque os dados utilizados para criação de assinaturas incluem informações específicas da sessão, como não -ces, parâmetros criptográficos e identificadores.Portanto, se o SLH-DSA for usado como um método de autenticação no protocolo IKEV2, a versão determinística do SLH-DSA poderá ser utilizada.

O ikev2 pode usar algoritmos de assinatura arbitrários, conforme descrito em[[427].O método de autenticação "assinatura digital", conforme definido em[[427], substitui os métodos de autenticação de assinatura definidos anteriormente.Nesse caso, as diferentes combinações de SLH-DSA são identificadas por meio de objetos de algoritmentifieding asn.1, conforme especificado em[[I-d.ietf-lamps-cms-sphincs-plus].A versão final do SLH-DSA[[FIPS205]Deve -se definir dois modos de assinatura: modo puro e modo predigest.Este documento especifica apenas o uso do modo Predigest para autenticação baseada em assinatura no IKEV2.No caso do modo Predigest, o SLH-DSA executa internamente a compactação de mensagens randomizada usando uma função de hash com chave que pode processar mensagens de comprimento arbitrário.Os dados assinados para provar a identidade do iniciador e do respondente (conforme discutido na Seção 2.15 de[[427]) Normalmente se encaixa nas restrições de memória dos dispositivos envolvidos na troca IKEV2.Os dados consistem em NONCs, SPIs e as mensagens de troca inicial, que são gerenciáveis ​​em tamanho.Para sinalizar dentro de Ike que nenhuma pré-hasteamento precisa ser feita com SLH-DSA, o valor "identidade" (5) definido em[[RFC8420] DEVEser definido na notificação de algoritmos de hash de assinatura para indicar que a pré-hashing não é necessária.

5.Mecanismos para sinalizar tipos de pares de chaves suportados

Os seguintes mecanismos podem ser usados ​​pelos colegas para sinalizar os tipos de pares de chave pública/privada que possuem:

  • Um método para determinar que o par de chaves tipo o iniciador deseja que o uso de resposta seja através de uma carga útil de solicitação de certificado enviada pelo initiador.Por exemplo, o iniciador pode indicar na carga útil da solicitação que confia em uma autoridade de certificação Certificada assinada por uma chave ML-DSA ou SLH-DSA.Essa indicação implica que o iniciador pode processar assinaturas ML-DSA ou SLH-DSA, o que significa que o respondente pode usar as teclas ML-DSA ou SLH-DSA ao autenticar.

  • Outro método é alavancar[[I-d.ietf-ipsecMe-ikev2-Auth-Announce]Isso permite que os colegas anunciem seus métodos de autenticação suportados.Melhora a interperabilidade quando os parceiros do IKEV2 são configurados com multiplecrerenciais de diferentes tipos para se autenticar.O respondente inclui uma notificação suportada_auth_methods na mensagem de resposta ike_sa_init que contém o (s) esquema (s) de assinatura digital do PQC que ele suporta.O iniciador inclui a notificação suportada_auth_methods na mensagem de solicitação ike_auth ou na solicitação ike_intermediate.Esta notificação lista o (s) esquema (s) de assinatura digital do PQC, suportado pelo iniciador, ordenado pela preferência.

6.Considerações de segurança

ML-DSA e SLH-DSA são modelados sob assinaturas digitais existencialmente imperdoáveis ​​em relação a um ataque de mensagem escolhido adaptável (EUF-CMA).

ML-DSA-44, ML-DSA-65 e ML-DSA-87 são projetados para oferecer segurança comparável ao SHA-256/SHA3-256, AES-192 e AES-256, respectivamente.Da mesma forma, SLH-DSA-128 {S, F}-{SHA2, Shake}, SLH-DSA-192 {S, F}-{Sha2, Shake} e SLH-DSA-256 {S, F}-{Sha2, Shake} são projetados para oferecer segurança comparável ao AES-128, AES-192 e AES-256, respectivamente.

A seção de considerações de segurança de[[I-d.ietf-lamp-dilithium certificados]e[[I-d.ietf-lamps-cms-sphincs-plus]Também se aplica a esta especificação.

Reconhecimentos

TODO

Referências

Referências normativas

[RFC2119]
Bradner, S., Assim,"Palavras -chave para uso em RFCs para indicar níveis de requisitos", Assim,BCP 14, Assim,RFC 2119, Assim,Dois 10.17487/rfc2119, Assim,, Assim,<https://www.rfc-editor.org/rfc/rfc2119>.
[Rafsha 427]
Kivinen, T.eJ. Snyder, Assim,"Autenticação de assinatura na Internet Key Exchange versão 2 (IKEV2)", Assim,RFC 7427, Assim,Doi 10.17487/rfc7427, Assim,, Assim,<https://www.rfc-editor.org/rfc/rfc7427>.
[RFC8174]
Leiba, B., Assim,"Ambiguidade da maçaneta versus minúsculas na RFC 2119 Palavras -chave", Assim,BCP 14, Assim,RFC 8174, Assim,Doi 10.17487/rfc8174, Assim,, Assim,<https://www.rfc-editor.org/rfc/rfc8174>.
[RFC8420]
Nir, Y., Assim,"Usando o algoritmo de assinatura digital Edwards-Curve (EDDSA) no Internet Key Exchange Protocol Versão 2 (IKEV2)", Assim,RFC 8420, Assim,Doi 10.17487/rfc8420, Assim,, Assim,<https://www.rfc-editor.org/rfc/rfc8420>.

Referências informativas

[FIPS180]
"NIST, Secure Hash Standard (SHS), FIPS PUB 180-4, agosto de 2015", Assim,<https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.180-4.pdf>.
[FIPS202]
"NIST, SHA-3 Standard: Hash baseado em permutação e funções de saída extensível, FIPS PUB 202, agosto de 2015"., Assim,<https://nvlpubs.nist.gov/nistpubs/fips/nist.fips.202.pdf>.
[FIPS204]
"FIPS 204 (rascunho público inicial): padrão de assinatura digital baseada em módulo-latcie" ", Assim,<https://doi.org/10.6028/NIST.FIPS.204.ipd>.
[FIPS205]
"FIPS 205 (rascunho público inicial): padrão de assinatura digital baseada em hash de hash", Assim,<https://doi.org/10.6028/NIST.FIPS.205.ipd>.
[I-d.ietf-isecMe-iikev2-Auth-Announce]
Smylov, V., Assim,"Anunciando métodos de autenticação suportados no IKEV2", Assim,Trabalho em progresso, Assim,Draft-draft, rascunho-ietf-isecMe-iikev2-Auth-Announce-10, Assim,, Assim,<https://datatracker.ietf.org/doc/html/draft-ietf-ipsecme-ikev2-auth-announce-10>.
[I-d.ietf-lamps-cms-sphincs-plus]
Housley, R., Assim,Fluhrer, S., Assim,Kampanakis, P., eB. Westerbaan, Assim,"Uso do algoritmo de assinatura SLH-DSA na sintaxe da mensagem criptográfica (CMS)", Assim,Trabalho em progresso, Assim,Draft-Draft, Draft-IETF-LAMPS-CMS-SPHINCS-PLUS-05, Assim,, Assim,<https://datatracker.ietf.org/doc/html/draft-ietf-lamps-cms-sphincs-plus-05>.
[I-d.ietf-lamp-dilithium certificados]
Massimo, J., Assim,Kampanakis, P., Assim,Turner, S., eB. Westerbaan, Assim,"Internet X.509 Public Key Infraestrutura: Identificadores de Algoritmo para ML-DSA", Assim,Trabalho em progresso, Assim,Draft-Draft, Draft-IETF-Lamps-Dilithium Certificates-03, Assim,, Assim,<https://datatracker.ietf.org/doc/html/draft-ietf-lamps-dilithium-certificates-03>.
[I-d.ietf-PQUIP-PQC-MENGINEERS]
Banerjee, A., Assim,Reddy.K, T., Assim,Schoinianakis, D., eT. Hollebeek, Assim,"Criptografia pós-cantum para engenheiros", Assim,Trabalho em progresso, Assim,Draft-Draft, Draft-IETF-PQUIP-PQC-ENGINEERS-04, Assim,, Assim,<https://datatracker.ietf.org/doc/html/draft-ietf-pquip-pqc-engineers-04>.
[I-d.ietf-PQUIP-PQT-Híbrido-terminologia]
D, F.eM. p, Assim,"Terminologia para esquemas híbridos tradicionais pós-cantum", Assim,Trabalho em progresso, Assim,Internet-Draft, Draft-IETF-PQUIP-PQT-Híbrido-Terminhologia-03, Assim,, Assim,<https://datatracker.ietf.org/doc/html/draft-ietf-pquip-pqt-hybrid-terminology-03>.
Juliu09
"V. Lyubashevsky,“ Fiat-Shamir com abortos: aplicações para treliça e assinaturas baseadas em fatoração ”, AsiAriacrypt 2009", Assim,<https://www.iacr.org/archive/asiacrypt2009/59120596/59120596.pdf>.
[Rahlashas]
Kaufman, C., Assim,Hoffman, P., Assim,Nir, Y., Assim,ERONEN, P., eT. Kivinen, Assim,"Internet Key Exchange Protocol Versão 2 (IKEV2)", Assim,STD 79, Assim,RFC 7296, Assim,Doi 10.17487/rfc7296, Assim,, Assim,<https://www.rfc-editor.org/rfc/rfc7296>.

Endereços dos autores

Tirumaleswar Reddy

Nokia

Bangalore

Karnataka

Índia

E-mail:kondtir@gmail.com

Valery Smyslov

Elvis-plus

Federação Russa

E-mail:svan@elvis.ru

Scott Fluhrer

Sistemas Cisco

E-mail:sfluhrer@cisco.com

Autenticação de assinatura na Internet Key Exchange versão 2 (IKEV2) usando PQC (2024)
Top Articles
Latest Posts
Article information

Author: Virgilio Hermann JD

Last Updated:

Views: 5476

Rating: 4 / 5 (61 voted)

Reviews: 84% of readers found this page helpful

Author information

Name: Virgilio Hermann JD

Birthday: 1997-12-21

Address: 6946 Schoen Cove, Sipesshire, MO 55944

Phone: +3763365785260

Job: Accounting Engineer

Hobby: Web surfing, Rafting, Dowsing, Stand-up comedy, Ghost hunting, Swimming, Amateur radio

Introduction: My name is Virgilio Hermann JD, I am a fine, gifted, beautiful, encouraging, kind, talented, zealous person who loves writing and wants to share my knowledge and understanding with you.