home *** CD-ROM | disk | FTP | other *** search
/ Internet Standards / CD1.mdf / INET / IETF / IPSEC / 93NOV.MIN < prev    next >
Encoding:
Text File  |  1994-02-08  |  15.4 KB  |  451 lines
  1.  
  2. CURRENT_MEETING_REPORT_
  3.  
  4. Reported by Paul Lambert/Motorola
  5.  
  6. Minutes of the Internet Protocol Security Protocol Working Group (IPSEC)
  7.  
  8. Many thanks to Tom Benkart who served as recording secretary for these
  9. meetings.
  10.  
  11. The IPSEC Working Group met twice during the Twenty-Eighth IETF. On
  12. Tuesday, November 2 the IPSEC working group met and discussed the IP
  13. Security Protocol (IPSP). On Wednesday, November 3 the working group
  14. held a demonstration of two IPSP implementations and discussed the key
  15. management requirements of IPSEC.
  16.  
  17.  
  18. Working Group Status
  19.  
  20. Paul Lambert began the meeting with a review of the charter and a
  21. working group status report.
  22.  
  23.  
  24.    o The working group is behind schedule.
  25.    o Only I-NLSP has been submitted as an Internet-Draft.
  26.    o It is important to track the IPng candidates.
  27.  
  28.  
  29. Since I-NLSP is the only Internet-Draft so far, it may be used as the
  30. template for a document from the entire group.  That does not mean that
  31. its concepts would be adopted, just that it provides the working group
  32. with a starting point.
  33.  
  34. Richard Thomas stated that the NLSP specification may be available
  35. electronically soon.  It is on the list of documents to be made
  36. available from ISO.
  37.  
  38.  
  39. IPSP Requirements Review
  40.  
  41. Agreement must be reached on the requirements before the contending
  42. proposals can be evaluated.  Requirements were discussed in Amsterdam,
  43. but the decisions were not considered final due to the small number of
  44. participants.  Since the minutes from that meeting were not published,
  45. the working group as a whole did not have a chance to comment.  The
  46. following comments reflect points from the Amsterdam and Houston
  47. meetings.
  48.  
  49.  
  50.    o Encapsulation versus IP option - encapsulation was selected.
  51.  
  52.    o Limited coupling between key management and IPSP - agreed; the only
  53.      coupling will be the SAID.
  54.  
  55.    o Use of TLV encoded fields - rejected (speed favored over
  56.      flexibility).
  57.  
  58.    o SAID implies the label to minimize the information carried per
  59.      packet (key management exchanges are far less frequent).  The label
  60.      can also be carried as part of the protected data (i.e.  normal
  61.      IPSO in protected IP header).
  62.  
  63.    o Sequence numbering is an open issue.
  64.  
  65.    o A flags field in the clear header is an open issue.  Donald
  66.      Eastlake will post something to the mailing list stating his view
  67.      of its usage.
  68.  
  69.    o A protocol field in the IPSP header is probably needed.  It could
  70.      be eliminated by having the SAID imply that information also, but
  71.      there is controversy about using the SAID for this purpose.
  72.  
  73.    o An ICV will be included in IPSP.
  74.  
  75.    o Peek-through (to see the upper level protocol/ports) will not be
  76.      supported.  Mechanisms such as mapping this information into QOS
  77.      can be used to meet the needs of firewalls (although firewalls
  78.      themselves were not universally liked in the working group).
  79.  
  80.    o Multicast was listed as an issue but not discussed due to lack of
  81.      time.
  82.  
  83.    o No decision was reached about fragmentation and reassembly support
  84.      in IPSP.
  85.  
  86.  
  87. Fragmentation was the major item addressed and remains an open issue.
  88. Protocols such as NFS send maximum-sized UDP datagrams, and the
  89. encapsulation done by IPSP in ISs frequently results in additional
  90. fragmentation.  MTU Discovery can be a solution (provided the routers
  91. account for the IPSP encapsulation in their ICMP messages), but MTU
  92. Discovery is not commonly used today.  NFS 3 runs over TCP, so this
  93. might not be so large an issue when that version is available.
  94.  
  95. Reassembly is not required in IPSP as long as layering is maintained.
  96. For example, in the case of IPSP between two ISs, reassembly is handled
  97. by the normal IP processing since the added IP header specifies the
  98. remote IS as the IP destination.
  99.  
  100. Jim Zmuda and Bill Simpson volunteered to write a requirements document
  101. based on the discussions.
  102.  
  103.  
  104.  
  105. Experimental IPSP Implementation Review
  106.  
  107.    o I-NLSP - Rob Glenn
  108.  
  109.       -  NLSP is a starting point for reaching consensus within the
  110.          working group.
  111.  
  112.       -  I-NLSP is NLSP-CL along with any enhancements the working group
  113.          specifies.
  114.  
  115.       -  Including a content length field in the protected data is
  116.          useful with random padding.
  117.  
  118.       -  A sample implementation is done (CLNP only), but it is not
  119.          optimized.
  120.  
  121.  
  122.    o swIPe - Phil Karn
  123.  
  124.       -  Authentication is faster than decryption, so the authentication
  125.          field is in the unprotected header and is checked first.
  126.  
  127.       -  Minimal header size is emphasized over good alignment of fields
  128.          since Phil's application involves low-bandwidth lines.
  129.  
  130.       -  With a single system sometimes being an IS and sometimes being
  131.          an ES, potential problems arise depending on where in the IP
  132.          logic IPSP is placed.
  133.  
  134.       -  The working group probably will not be able to agree on a
  135.          single IPSEC PDU format because of the wide range of bandwidths
  136.          being discussed.
  137.  
  138.       -  Sequence numbers are used to guarantee different packet
  139.          contents for seeding the CBC (essentially acting as an IV).
  140.          Future uses for the field are still up in the air.
  141.  
  142.  
  143.    o KeyRing - Rob Hagens
  144.  
  145.       -  Target application is gateway-gateway (IS-IS).
  146.  
  147.       -  Small window of valid sequence numbers is allowed to prevent
  148.          replay.
  149.  
  150.       -  Fragmentation is not an issue since it always does IP over IP
  151.          with a remote IS as the outer IP destination.
  152.  
  153.  
  154.    o TANDU/Cryptonette - Charlie Kaufman
  155.  
  156.       -  Target is cheap universal encryption running at LAN speeds.
  157.  
  158.       -  Hardware solution in a chip to be added to interface cards.
  159.  
  160.       -  No performance penalties (including extra copies).
  161.  
  162.       -  Stateless encryption by including the algorithm and session key
  163.          in the clear header.  The session header is encrypted under the
  164.          recipient's master key.  The session key field must be large (8
  165.          bytes for DES).
  166.  
  167.       -  Fragmentation/reassembly has been implemented in this layer for
  168.          performance reasons.
  169.  
  170.       -  The ICV is at the end of the packet to minimize processing
  171.          latency.
  172.  
  173.       -  Any fragmentation of the datagram by routers in between the
  174.          encryption systems causes a large performance penalty because
  175.          of the stateless decryption.
  176.  
  177.  
  178.    o LAN Guardian - Mike O'Dell
  179.  
  180.      Uses UDP as part of the encapsulation mechanism because of
  181.      fragmentation and reassembly issues.  In the future, it may tunnel
  182.      over TCP to facilitate CBC. Several people in the group expressed
  183.      concerns about this because of possible TCP attacks.  Also, adding
  184.      TCP would impact real-time protocols.
  185.  
  186.    o SP3 - Paul Lambert
  187.  
  188.      In the SP3 specification the SP3-D and SP3-A are the modes of most
  189.      interest to the working group.  SP3-D is a version of dual-IP
  190.      encapsulation.  SP3-A provides a dual address space without the
  191.      duplication of the IP header.
  192.  
  193.  
  194. The question of supporting multiple PDU formats as part of the IPSP
  195. specification is an open issue.  Arguments in favor are that different
  196. media types will need different formats to be efficient, and that ES-ES
  197. IPSP could do TCP-UDP over IPSP instead of IP over IP encapsulation.
  198. Arguments opposed are that the added complexity will make IPSP more
  199. difficult to specify and implement.  One possible approach is to specify
  200. a negotiation mechanism with defaults (like PPP).
  201.  
  202.  
  203.  
  204. IPSP Implementation Demonstrations
  205.  
  206.  
  207. Jim Zmuda and Phil Karn gave demonstrations of their implementations.
  208. Jim's implementation was based on the ISO 11577 specification for
  209. Network Layer Security Protocol (NLSP) and used the NLSP specification
  210. of a Security Exchange Protocol (SAEP) for key management.  The
  211. implementation demonstrated by Phil Karn was based on Phil's KA9Q
  212. software running on a portable computer (80386 based).  This
  213. demonstration ran between Houston and Phil's home.  Key management was
  214. based on the manual entry of DES key variables.
  215.  
  216.  
  217.  
  218. Key Management
  219.  
  220. What is key management and what is the groups charter for key
  221. management?
  222.  
  223.  
  224.    o A protocol and cryptographic techniques.
  225.    o Application layer protocol for IPSP.
  226.    o Independent of IPSP.
  227.    o Initially supporting public key techniques (not patent issues!).
  228.    o Later adding Key Distribution Center (e.g., Kerberos) and/or
  229.      manual.
  230.  
  231.  
  232. Existing work we might be able to take advantage of:
  233.  
  234.  
  235.    o There is nothing that directly applies, but many pieces exist.
  236.  
  237.    o SNDS KMP - Missing some things like algorithms and algorithm
  238.      negotiation.
  239.  
  240.    o IEEE 802.10C - Available in draft form, still very rough and is
  241.      based on GULS.
  242.  
  243.    o ISO GULS - Specifies generic envelopes, very complex, no specific
  244.      algorithms or option negotiation.
  245.  
  246.    o PEM - Not real-time, but does address certificates and public keys.
  247.  
  248.    o X.509 - IPSEC will likely use X.509 certificate formats.
  249.  
  250.    o X9.17 - Private keys, now working on public keys.
  251.  
  252.    o SAMP - 2nd generation SDNS KMP, may be posted to net soon.
  253.  
  254.    o SAEP - Embedded in NLSP, network layer protocol.
  255.  
  256.    o Kerberos - Private keys centrally managed.
  257.  
  258.    o CATS-GSSAPI - IPSP KMP might be able to use their interface to pass
  259.      information to IPSP; also an outstanding question of whether IPSP
  260.      will meet their needs from a user perspective.
  261.  
  262.  
  263. Key Management Liaisons:
  264.  
  265.  
  266.    o IEEE 802.10C - Peter Yee
  267.    o Kerberos - John Linn
  268.    o Others still required for ISO, and ANSI
  269.  
  270.  
  271.  
  272.  
  273. Key Management Requirements
  274.  
  275.  
  276. This meeting was the first attempt to list the requirements for a KMP.
  277. The requirements fall into two categories - Peer-to-Peer Exchanges and
  278. Security Management.
  279.  
  280. Peer-to-Peer Exchanges
  281.  
  282.  
  283.    o Authentication Mechanism/Algorithm Negotiation - we will support
  284.      multiple algorithms.
  285.  
  286.    o Peer-Entity Authentication - often built into the key exchange.
  287.  
  288.    o Key Establishment - obtain or create a key for use by IPSP.
  289.  
  290.    o Security Association Negotiation - we need to agree on a definition
  291.      of a Security Association (SA). It's more than just keys,
  292.      especially since we are trading off simplicity in IPSP for added
  293.      context implied by the SA. The SA probably includes the algorithm,
  294.      key, label, and services.
  295.  
  296.    o Termination of SA - what is a "session", what is its lifetime?
  297.      IPSEC is mixing a connectionless IPSP with a connection-oriented
  298.      SA. What are the recovery mechanisms (e.g., do "aborts" have to be
  299.      authenticated)?
  300.  
  301.  
  302. Security Management
  303.  
  304.  
  305.    o Certificate Distribution - Peer-to-Peer or via a third party.
  306.  
  307.    o CRL List - Possibly support through SNMP.
  308.  
  309.    o Centralized Key Distribution - Used for shared keys/multicast.  We
  310.      may defer work on this item until later.
  311.  
  312.    o Access Control Attributes.
  313.  
  314.  
  315. Issues
  316.  
  317.  
  318.    o Device name and address implications for directories and
  319.      certificates.
  320.  
  321.    o Authorization List/Delegation - what hosts is an IPSP router
  322.      permitted to act as a proxy for?  Is this information dynamically
  323.      discovered or statically configured?  Dynamic is more flexible but
  324.      potentially adds much more complexity.
  325.  
  326.  
  327.    o How are IPSP access lists for routers distributed and maintained?
  328.  
  329.    o Can a SA change, or is a change accomplished by terminating an old
  330.      SA and establishing a new one??
  331.  
  332.    o Shared keys - used for multicast or (possibly) multiple IPSP
  333.      routers serving a site.
  334.  
  335.  
  336. Existing hosts have to be able to take advantage of IPSP services in
  337. routers without any change to the host (i.e., IPSP is transparent to
  338. non-IPSP end systems).
  339.  
  340. Dave Solo volunteered to write a requirements document for IPSEC Key
  341. Management.
  342.  
  343. Concern was expressed about supporting public keys first in the IPSEC
  344. goals because of possible delays from patent issues (a lesson learned by
  345. PEM). Having a standard API for communicating keys from the KMP entity
  346. to IPSP would facilitate support for private/shared keys.
  347.  
  348.  
  349.  
  350. Existing Key Management Implementation Presentations
  351.  
  352. Rob Hagens gave a presentation on KeyMan product.  Following are
  353. attributes of the product:
  354.  
  355.  
  356.    o The routers have a pre-configured list of peer entities.
  357.  
  358.    o A Key Encryption Key is used in the current Beta release; a new
  359.      version using public/private keys is in development.
  360.  
  361.    o Traffic key lifetimes are dynamically specified.
  362.  
  363.    o Different TEKs are used in each direction; setup can be done in two
  364.      messages, but four are normally used.
  365.  
  366.    o All PDUs have the same format (48 bytes).
  367.  
  368.    o Public keys are currently locally stored (manual distribution).
  369.  
  370.    o TEK generation does not use Diffie-Hellman, so recorded traffic
  371.      could be decrypted if the private keys are ever learned.
  372.  
  373.    o If a router crashes, it establishes new SAs; the other routers
  374.      discard the old SA when a new setup is requested.
  375.  
  376.  
  377. Jim Zmuda gave a presentation of key management in the NetLock product.
  378. It uses SAEP and a trusted Certification Authority on at least one of
  379. the systems.  A Diffie-Hellman exchange is used to generate a secret for
  380. shared keys.  The secret is also encrypted with the sender's private key
  381. for authentication.
  382.  
  383.  
  384.  
  385. Attendees
  386.  
  387.  
  388. Garrett Alexander        gda@tycho.ncsc.mil
  389. Randall Atkinson         atkinson@itd.nrl.navy.mil
  390. Alireza Bahreman         bahreman@bellcore.com
  391. Steven Bellovin          smb@research.att.com
  392. Tom Benkart              teb@acc.com
  393. Larry Blunk              ljb@merit.edu
  394. Ken Carlberg             Carlberg@cseic.saic.com
  395. Cheng Chen               chen@accessworks.com
  396. Richard Colella          colella@nist.gov
  397. Stephen Crocker          crocker@tis.com
  398. Waychi Doo               wcd@berlioz.nsc.com
  399. Robert Downs             bdowns@combinet.com
  400. Donald Eastlake          dee@skidrow.lkg.dec.com
  401. Antonio Fernandez        afa@thumper.bellcore.com
  402. Richard Fox              rfox@metricom.com
  403. Dan Frommer              dan@isv.dec.com
  404. Vincent Gebes            vgebes@sys.attjens.co.jp
  405. Jisoo Geiter             geiter@mitre.org
  406. Robert Glenn             glenn@osi.ncsl.nist.gov
  407. Mei-Jean Goh             goh@mpr.ca
  408. Chris Gorsuch            chrisg@lobby.ti.com
  409. Phillip Gross            pgross@ans.net
  410. Robert Hagens            hagens@ans.net
  411. Phil Karn                karn@qualcomm.com
  412. Charlie Kaufman          kaufman@zk3.dec.com
  413. Elizabeth Kaufman        kaufman@biomded.med.yale.edu
  414. Stephen Kent             kent@bbn.com
  415. Edwin King               eek@atc.boeing.com
  416. Michael Kornegay         mlk@bir.com
  417. David Kristol            dmk@allegra.att.com
  418. Paul Lambert             paul_lambert@email.mot.com
  419. John Linn                linn@security.ov.com
  420. Brian Lloyd              brian@lloyd.com
  421. Kanchei Loa              loa@sps.mot.com
  422. Steven Lunt              lunt@bellcore.com
  423. Gary Malkin              gmalkin@xylogics.com
  424. Glenn McGregor           ghm@lloyd.com
  425. Michael Michnikov        mbmg@mitre.org
  426. Greg Minshall            minshall@wc.novell.com
  427. Sandra Murphy            murphy@tis.com
  428. Andrew Myles             andrew@mpce.mg.edu.au
  429. Michael O'Dell           mo@uunet.uu.net
  430. Steve Parker             sparker@ossi.com
  431. Henning Schulzrinne      hgs@research.att.com
  432. Vincent Shekher          vin@sps.mot.com
  433. William Simpson          Bill.Simpson@um.cc.umich.edu
  434. Frank Solensky           solensky@ftp.com
  435. Dave Solo                solo@bbn.com
  436. James Solomon            solomon@comm.mot.com
  437. Michael St.  Johns       stjohns@arpa.mil
  438. Don Stephenson           don.stephenson@sun.com
  439. Richard Thomas           rjthomas@bnr.ca
  440. Susan Thomson            set@bellcore.com
  441. Dean Throop              throop@dg-rtp.dg.com
  442. Jerry Toporek            jt@mentat.com
  443. Paul Traina              pst@cisco.com
  444. Theodore Ts'o            tytso@mit.edu
  445. Anthony Valle            valle@huntsville.sparta.com
  446. Chuck Warlick            chuck.warlick@pscni.nasa.gov
  447. David Woodgate           David.Woodgate@its.csiro.au
  448. Peter Yee                yee@atlas.arc.nasa.gov
  449. James Zmuda              zmuda@mls.hac.com
  450.  
  451.