home *** CD-ROM | disk | FTP | other *** search
/ QRZ! Ham Radio 5 / QRZ Ham Radio Callsign Database - Volume 5.iso / files / packet / misc / netconf.arc / AUTHENT.TXT < prev    next >
Encoding:
Text File  |  1988-12-11  |  18.8 KB  |  392 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.                             Another Look at Authentication
  11.  
  12.  
  13.                                    Phil Karn, KA9Q
  14.  
  15.  
  16.  
  17.                                        _A_B_S_T_R_A_C_T
  18.  
  19.                      A  simple  and  effective  technique  for  packet
  20.                 authentication in a datagram network is described that
  21.                 is based on the Data Encryption  Standard  (DES).   In
  22.                 accordance  with  FCC  rules,  the  actual data is not
  23.                 encrypted; rather DES is used  to  compute  a  special
  24.                 "cipher  checksum" that is appended to the unencrypted
  25.                 user data before transmission.  The  recipient  recom-
  26.                 putes  the cipher checksum and compares it against the
  27.                 incoming value, thereby  detecting  bogus  or  altered
  28.                 packets.   This  technique  is potentially useful in a
  29.                 wide variety of amateur radio applications in addition
  30.                 to  packet  radio;  for  example,  it  could provide a
  31.                 secure control link for a remote repeater site.
  32.  
  33.  
  34.  
  35.            _1.  _I_n_t_r_o_d_u_c_t_i_o_n
  36.  
  37.                 At the 5th ARRL Computer Networking Conference,  Hal  Fein-
  38.            stein  described  a  technique for authenticating amateur packet
  39.            transmissions [1] useful for protecting radio control links.  In
  40.            the commercial and military worlds, the solution is simple: just
  41.            encrypt everything. Not only does this protect against unauthor-
  42.            ized  commands from those not knowing the key, it also hides the
  43.            command information itself.  In the  amateur  service,  however,
  44.            this  is  prohibited by FCC rules. [2] The only exception is for
  45.            command links in the Amateur Satellite Service; [3] there is  no
  46.            corresponding exception for terrestrial links.
  47.  
  48.                 Fortunately, as Hal showed in his paper, a rule  change  is
  49.            not  necessary to add security legally to a control link.  Cryp-
  50.            tographic techniques can be used to add "authentication"  to  an
  51.            unencrypted  command to verify that it was sent by an authorized
  52.            station.  Hal assumed that a virtual circuit  would  be  set  up
  53.            between the control station and the remote site, and as a result
  54.            his technique is quite involved. I have devised  a  similar  but
  55.            much  simpler  approach  made  possible by the use of a datagram
  56.            protocol.
  57.  
  58.  
  59.  
  61.  
  62.  
  63.                                    December 6, 1988
  64.  
  65.  
  66.  
  67.  
  68.  
  69.  
  70.  
  71.  
  72.            _2.  _T_h_e _D_a_t_a _E_n_c_r_y_p_t_i_o_n _S_t_a_n_d_a_r_d
  73.  
  74.                 As in Hal's approach, I use the  Data  Encryption  Standard
  75.            (DES).  [4,5]  A  full  description is outside the scope of this
  76.            paper; however, I will review two of its properties  since  they
  77.            are important to the proposed authentication scheme.
  78.  
  79.  
  80.            1.   The internals of DES are public knowledge, since  the  com-
  81.                 plete  specifications  have  been  widely published. Like a
  82.                 well-designed safe, however, knowing how  DES  works  isn't
  83.                 much help in cracking it; only the key (or the combination)
  84.                 need be secret for good security. This is what allowed  DES
  85.                 to  become the first-ever cryptographic standard; similarly
  86.                 it allows us to establish an amateur  authentication  stan-
  87.                 dard  so that each system operator doesn't have to reimple-
  88.                 ment the wheel.
  89.  
  90.            2.   In practice, DES has been highly resistant to "known plain-
  91.                 text"   attacks.    [6,7,8,9,10]   That  is,  even  with  a
  92.                 plaintext/ciphertext "matched pair", the  algorithm  is  so
  93.                 nonlinear that at present there is no known way (outside of
  94.                 the NSA, at least)  to  find  the  key  that  produced  the
  95.                 transformation  other  than by trying all possible 2 keys
  96.                 in the algorithm until you find the one that works.  As  we
  97.                 will  see, this property is very important to the authenti-
  98.                 cation scheme described here, since each transmission  con-
  99.                 tains  both  the ciphertext and the plaintext that produced
  100.                 it. It should be pointed out, however, that as yet there is
  101.                 no  published  mathematical  _p_r_o_o_f  that  a known-plaintext
  102.                 attack against DES requires an exhaustive  search.  Despite
  103.                 some  "suspicious"  structure in the algorithm that reduces
  104.                 the required brute-force effort  somewhat,  the  accusation
  105.                 that  a  "trap door" may have been planted in the algorithm
  106.                 by its designers has yet to be either proven or disproven.
  107.  
  108.                 As an aside, it  is  this  resistance  to  known  plaintext
  109.            attack that makes the M/A-Com Videocipher system (which encrypts
  110.            the audio with DES) so hard to break. Anyone can buy a box, sub-
  111.            scribe  to  a  service  and get millions of ciphertext/plaintext
  112.            pairs. However, that doesn't help in finding out the DES key  in
  113.            use, which you would need to build a pirate decoder.  The key is
  114.            kept inside the decryption device in a  battery-backed  register
  115.            which can't be read from the device pins. Only a physical attack
  116.            is likely to work here, e.g., dissolving the epoxy off the  chip
  117.            with  solvents  and reading the key from the exposed chip with a
  118.            scanning electron microscope of the type designed for  debugging
  119.            ICs  under  test.  This illustrates an important practical point
  120.            in cryptography: key security, not the mathematical strength  of
  121.            the encryption algorithm, is usually the weak link. Key security
  122.            is harder than you might think, especially when many people  are
  123.            involved.
  124.  
  126.  
  127.  
  128.                                    December 6, 1988
  129.  
  130.  
  131.  
  132.  
  133.  
  134.  
  135.  
  136.  
  137.            _3.  _D_E_S _M_o_d_e_s _o_f _O_p_e_r_a_t_i_o_n
  138.  
  139.                 The basic  DES  algorithm  transforms  64-bit  data  blocks
  140.            between  plaintext and ciphertext form under control of a 56-bit
  141.            key. As long as the key is constant, enciphering a given  64-bit
  142.            data block always gives the same 64-bit block of ciphertext.  If
  143.            you encrypt data directly in this way, you are using DES in  the
  144.            Electronic  Code  Book  (ECB)  mode.  ECB can result in repeated
  145.            patterns when, for example, strings of blanks are encrypted.  To
  146.            avoid  this potential problem, several modes all involving feed-
  147.            back are recommended by the NBS. [11] One of  these  is  "cipher
  148.            block chaining" (CBC). In this mode, each 64-bit block of plain-
  149.            text is exclusive-ored with the DES ciphertext  output  for  the
  150.            _l_a_s_t  64-bit data block before being encrypted.  (Since there is
  151.            no preceding block of ciphertext the first block of plaintext is
  152.            instead  exclusive-ored  with a prearranged "initialization vec-
  153.            tor"). The ciphertext at a given point in the message  therefore
  154.            depends  on  _a_l_l  of the data preceding it, not just the current
  155.            block. Any change therefore "propagates" throughout the rest  of
  156.            the message.
  157.  
  158.            _4.  _A_u_t_h_e_n_t_i_c_a_t_i_o_n _W_i_t_h _D_E_S
  159.  
  160.                 This error-propagation property is the basis of the authen-
  161.            tication scheme, which can now be described.
  162.  
  163.                 Encrypt each packet with DES in the cipher  block  chaining
  164.            mode.  Then  send the original unencrypted packet along with the
  165.            last cipher  word  (64  bits)  of  the  encrypted  version.  The
  166.            receiver  also encrypts the packet and compares its final cipher
  167.            word with the received version; if they  match,  the  packet  is
  168.            accepted.   Changing  even  one  bit in the message results in a
  169.            completely unpredictable change in the cipher checksum with only
  170.            1 chance in 2 of escaping detection by the receiver.
  171.  
  172.                 This technique amounts to adding a "cipher checksum" to the
  173.            packet, an apt description since it functions much like an ordi-
  174.            nary checksum or CRC. The only difference is that the  "checksum
  175.            algorithm"  must  protect  against  corruption  or  spoofing  by
  176.            malevolent humans as well as by nature, and  therefore  must  be
  177.            more sophisticated.
  178.  
  179.                 For example, it would not be  sufficient  to  generate  the
  180.            cipher  checksum  by computing a normal checksum over the packet
  181.            and then encrypting it  before  transmission.  A  spoofer  could
  182.            carefully  construct  a  packet  to  have the same checksum as a
  183.            valid packet he had seen earlier on the channel, and then append
  184.            the  same  cipher  checksum.  The size of the cipher checksum is
  185.            also very important. Ordinary  checksums,  designed  to  protect
  186.            only  against  random natural corruption, are often only 16 bits
  187.            wide. It is not that impractical  to  try  all  65,536  possible
  188.            checksums  until  the  correct one is found by chance. Since the
  189.            cipher checksum produced by DES is 64 bits wide, trying all pos-
  190.            sible  values  is  out  of  the question. Naturally, such a wide
  191.  
  192.  
  193.                                    December 6, 1988
  194.  
  195.  
  196.  
  197.  
  198.  
  199.  
  200.  
  201.  
  202.            field also provides superior protection  against  corruption  by
  203.            natural causes.
  204.  
  205.            _5.  _P_l_a_y_b_a_c_k _A_t_t_a_c_k_s
  206.  
  207.                 Hal's paper discusses in detail the problem of  the  "play-
  208.            back attack". Even though the bad guy might not be able generate
  209.            his own message or corrupt a  real  one  without  upsetting  the
  210.            authentication  mechanism, he could record and play back a valid
  211.            message at a later time in an attempt to repeat the same  opera-
  212.            tion.
  213.  
  214.                 However, using a transport (level 4) protocol designed  for
  215.            a  datagram  network neatly solves this problem.  Such protocols
  216.            are already designed to  detect  and  reject  duplicate  packets
  217.            arriving  minutes or even hours after the original. This protec-
  218.            tion is necessary because a datagram network  will  occasionally
  219.            deliver  a  long-delayed duplicate of a packet, usually when its
  220.            routing algorithm is trying to recover from a failing  or  cong-
  221.            ested  link. For example, TCP [12] uses 32-bit sequence numbers,
  222.            so over 4 gigabytes must be sent on a  given  connection  before
  223.            the  sequence numbers wrap around. In most implementations, sub-
  224.            sequent connections generally cycle through  all  possible  port
  225.            numbers on the originating end, and this adds another 16 bits to
  226.            the "sequence space". Even when the  exact  same  pair  of  port
  227.            numbers  is reused, a clock has incremented the initial sequence
  228.            number for the connection fast enough that it is  very  unlikely
  229.            to  reuse  the sequence numbers from the last incarnation of the
  230.            connection. In short, a properly implemented TCP can go  a  _v_e_r_y
  231.            long  time before it reuses the exact same combination of source
  232.            address, destination address,  source  port,  destination  port,
  233.            send  sequence  number  and receive sequence number, long enough
  234.            for the DES key to have been conveniently changed in  the  mean-
  235.            time!
  236.  
  237.                 Connectionless,  transaction-oriented  transport  protocols
  238.            (such as might be used for the remote control of a packet switch
  239.            or repeater) can protect against  duplicates  in  several  ways:
  240.            with sequence numbers as in a connection oriented protocol, with
  241.            timestamping (rejecting packets older than some  limit),  or  by
  242.            designing  the set of commands in an "idempotent" fashion, which
  243.            means that receiving a command more than once causes no  further
  244.            change in the state of the system being controlled.
  245.  
  246.            _6.  _I_m_p_l_e_m_e_n_t_a_t_i_o_n _I_s_s_u_e_s
  247.  
  248.                 How could a cipher checksum be added  to  TCP/IP,  and  how
  249.            much  of the packet should it cover? If the authentication is to
  250.            be end-to-end, it can't include the IP  header,  [13]  since  at
  251.            least the time-to-live (TTL) field is modified by each IP packet
  252.            switch.  The  data  covered  by  the  cipher  checksum  must  be
  253.            delivered  unchanged for the cipher checksum to be valid; there-
  254.            fore it should cover only the  data  following  the  IP  header.
  255.            While  this would seem to open up devious opportunities based on
  256.  
  257.  
  258.                                    December 6, 1988
  259.  
  260.  
  261.  
  262.  
  263.  
  264.  
  265.  
  266.  
  267.            modifying the IP header, this really isn't a  problem.  TCP  and
  268.            UDP  [14] incorporate "pseudo-headers" into their checksum algo-
  269.            rithms that include the IP  source  and  destination  addresses,
  270.            protocol  type  and data length. Changing any of these fields in
  271.            the IP header would result in a checksum error when  the  packet
  272.            reaches the destination, and of course any attempt to modify the
  273.            checksum field in the TCP or UDP header would be detected by the
  274.            cipher checksum.
  275.  
  276.                 Another question is, where should the cipher  checksum  go?
  277.            It  would  be  nice to find a place to put it that wouldn't make
  278.            the resulting datagram incompatible with versions of TCP/IP that
  279.            didn't  understand  it.  This  suggests placing it in one of the
  280.            option fields, either in IP or TCP (assuming TCP is  used).   If
  281.            it  is  put  in  the  TCP  options  field, one runs afoul of the
  282.            specification that says options should be present  only  in  SYN
  283.            segments   (connection  requests).  New  TCP  options  are  also
  284.            discouraged.  This leaves the IP options field, of  which  there
  285.            are  relatively  many, some of which are not understood by every
  286.            implementation. To allow for this, option codes  always  include
  287.            the  length of the option, so that an unknown option type can be
  288.            skipped over.  Putting the cipher checksum  into  an  IP  option
  289.            also  allows  it  to be used with transport protocols other than
  290.            TCP (e.g., UDP).
  291.  
  292.                 Other minor issues, such as padding and the choice of  ini-
  293.            tialization  vector, are easily resolved. Since the DES CBC mode
  294.            operates on 8-byte blocks of data, data fields not a multiple of
  295.            8  bytes long should be padded out with zeros before encryption.
  296.            The initialization vector (IV) required  by  the  CBC  algorithm
  297.            could  serve  as  an  additional  key  element; it would be then
  298.            necessary to know both the 56-bit DES key and the 64-bit  IV  in
  299.            order  to  generate  and  check authenticators.  For the sake of
  300.            simplicity, however, the  IV  should  probably  be  standardized
  301.            (e.g., all zeroes) and only the DES key used for security.
  302.  
  303.            _7.  _S_u_m_m_a_r_y
  304.  
  305.                 Authentication is far easier to  implement  in  a  datagram
  306.            network  than  in  one based on virtual circuits, resulting in a
  307.            much simpler and more elegant design.  Since there is  only  one
  308.            type  of packet at the datagram level, there is only one type of
  309.            authentication operation. There is no need for a  "session  key"
  310.            or "challenge" at the beginning of a connection should one exist
  311.            at a  higher  protocol  layer.  Each  datagram  is  individually
  312.            authenticated  to protect it against spoofing or corruption, and
  313.            eliminating the possibility of a bad guy taking over  a  connec-
  314.            tion  (assuming  one exists) after it has been established.  The
  315.            measures already in place  to  protect  against  the  accidental
  316.            packet  duplication possible in a datagram network automatically
  317.            guard against playback attacks.
  318.  
  319.                 A public-domain implementation of DES  in  C  is  available
  320.            from the author.
  321.  
  322.  
  323.                                    December 6, 1988
  324.  
  325.  
  326.  
  327.  
  328.  
  329.  
  330.  
  331.  
  332.            _8.  _R_e_f_e_r_e_n_c_e_s
  333.  
  334.            1.   Feinstein, Hal, WB3KDU, "Authentication of the Packet Radio
  335.                 Switch Control Link", Proceedings of the ARRL Amateur Radio
  336.                 5th Computer Networking Conference, p 5.72.
  337.  
  338.            2.   Federal  Communication  Commission  rules,  Section  97.117
  339.                 (Codes and Ciphers Prohibited).
  340.  
  341.            3.   Ibid, section 97.421(a) (Telecommand Operation).
  342.  
  343.            4.   Federal Information Processing  Standards  Publication  46,
  344.                 "Data Encryption Standard", January 15, 1977.
  345.  
  346.            5.   American National Standards Institute,  "American  National
  347.                 Standard Data Encryption Algorithm", ANSI X3.92-1981.
  348.  
  349.            6.   Davio, et al,  "Analytical  Characteristics  of  the  DES",
  350.                 Crypto '83, Santa Barbara.
  351.  
  352.            7.   Sugarman, "On Foiling Computer Crime", IEEE Spectrum,  July
  353.                 1979.
  354.  
  355.            8.   Davies, "Some Regular Properties of  the  'Data  Encryption
  356.                 Standard'  Algorithm",  National  Physical Laboratory, Ted-
  357.                 dington, Middlesex, UK.
  358.  
  359.            9.   Lexar Corporation, "An Evaluation of the NBS  Data  Encryp-
  360.                 tion Standard".
  361.  
  362.            10.  Branstad et al, "Report of the Workshop on Cryptography  in
  363.                 Support of Computer Security", National Bureau of Standards
  364.                 report NBSIR 77-1291.
  365.  
  366.            11.  Federal  Information  Processing   Standards   Publication,
  367.                 "Announcing the Standard for DES Modes of Operation".
  368.  
  369.            12.  Postel, ed, "Transmission Control Protocol  Specification",
  370.                 ARPA RFC 793.
  371.  
  372.            13.  Postel, ed, "Internet  Protocol  Specification",  ARPA  RFC
  373.                 791.
  374.  
  375.            14.  Postel, ed, "User Datagram Protocol", ARPA RFC 768.
  376.  
  377.  
  378.  
  379.  
  380.  
  381.  
  382.  
  383.  
  384.  
  386.  
  387.  
  388.                                    December 6, 1988
  389.  
  390.  
  391. 
  392.