home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / drafts / draft_s_z / draft-simpson-photuris-schemes-01.txt < prev    next >
Text File  |  1997-05-27  |  17KB  |  497 lines
  1.  
  2.  
  3. Network Working Group                                  P Karn (Qualcomm)
  4. Internet Draft                                  W A Simpson (DayDreamer)
  5. expires in six months                                           May 1997
  6.  
  7.  
  8.            Photuris: Extended Schemes and Privacy Protection
  9.                  draft-simpson-photuris-schemes-01.txt
  10.  
  11.  
  12. Status of this Memo
  13.  
  14.    This document is an Internet-Draft.  Internet Drafts are working doc-
  15.    uments of the Internet Engineering Task Force (IETF), its Areas, and
  16.    its Working Groups.  Note that other groups may also distribute work-
  17.    ing documents as Internet Drafts.
  18.  
  19.    Internet Drafts are draft documents valid for a maximum of six
  20.    months, and may be updated, replaced, or obsoleted by other documents
  21.    at any time.  It is not appropriate to use Internet Drafts as refer-
  22.    ence material, or to cite them other than as a ``working draft'' or
  23.    ``work in progress.''
  24.  
  25.    To learn the current status of any Internet-Draft, please check the
  26.    ``1id-abstracts.txt'' listing contained in the internet-drafts Shadow
  27.    Directories on:
  28.  
  29.       ftp.is.co.za (Africa)
  30.       nic.nordu.net (Europe)
  31.       ds.internic.net (US East Coast)
  32.       ftp.isi.edu (US West Coast)
  33.       munnari.oz.au (Pacific Rim)
  34.  
  35.    Distribution of this memo is unlimited.
  36.  
  37. Abstract
  38.  
  39.    Photuris is a session-key management protocol.  Extensible Exchange
  40.    Schemes are provided to enable future implementation changes without
  41.    affecting the basic protocol.  An important improvement in security
  42.    is provided by protecting exchanges with encryption.
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54. Karn & Simpson            expires in six months                 [Page i]
  55. DRAFT                       Photuris Schemes                    May 1997
  56.  
  57.  
  58. 1.  Party Privacy Protection
  59.  
  60.    Although each IP datagram carries a cleartext IP Destination, the
  61.    ultimate destination can be hidden by "laundering" it through an
  62.    encrypted tunnel.  The IP Source could be hidden in the same manner.
  63.    If the tunnel IP Source has been dynamically allocated, it provides
  64.    no useful information to an eavesdropper.
  65.  
  66.    This leaves the identifying information that the parties send during
  67.    the Photuris [RFC-zzzz] Identification Exchange.  One would often
  68.    like to deny this information to an eavesdropper, especially when
  69.    this would reveal the location of a mobile user.
  70.  
  71.    The identification can be easily protected by encrypting the Identi-
  72.    fication Exchange with the shared-secret just established.  This
  73.    keeps a passive eavesdropper from learning the identities of the par-
  74.    ties, either directly from names in certificates or by checking sig-
  75.    natures against a known database of public keys.
  76.  
  77.    The scheme is not foolproof.  By posing as the Responder, an active
  78.    attacker could trick the Initiator into revealing its identity.
  79.  
  80.    However, this active attack is considerably more difficult than pas-
  81.    sive vacuum-cleaner monitoring.  As with the Clogging Defense, the
  82.    attack requires appropriating a physical link, or subverting Internet
  83.    routing.
  84.  
  85.    Unless the attacker can steal the private/secret key belonging to the
  86.    Responder, the Initiator will discover the deception when verifying
  87.    the Identification Exchange.
  88.  
  89.    Nota Bene:
  90.       It is not possible for an Initiator to similarly trick the Respon-
  91.       der.  The Responder will verify the Initiator Identification
  92.       before returning its own identity.
  93.  
  94.       This facility is distinct from party anonymity, where one of the
  95.       parties refuses to identify itself to the other.  Mutual party
  96.       identification is fundamental to the security of this protocol.
  97.  
  98.  
  99. 1.1.  Identification Exchange
  100.  
  101.    Identification Exchange messages are encrypted and decrypted using
  102.    the Privacy-Method indicated by the current Scheme-Choice (see "Addi-
  103.    tional Exchange Schemes").
  104.  
  105.    The Privacy-Method specified key generation function is used to
  106.  
  107.  
  108.  
  109. Karn & Simpson            expires in six months                 [Page 1]
  110. DRAFT                       Photuris Schemes                    May 1997
  111.  
  112.  
  113.    create a special privacy session-key.  This function is calculated
  114.    over the following concatenated values:
  115.  
  116.     + the computed shared-secret,
  117.     + the Initiator Cookie,
  118.     + the Responder Cookie,
  119.     + the SPI Owner Exchange-Value,
  120.     + the SPI User Exchange-Value,
  121.     + the computed shared-secret again.
  122.  
  123.    Since the order of the Exchange-Value fields is different in each
  124.    direction, the resulting privacy session-key will usually be differ-
  125.    ent in each direction.
  126.  
  127.    When a larger number of keying-bits are needed than are available
  128.    from the specified function, these keying-bits are generated by
  129.    duplicating the trailing shared-secret, and recalculating the func-
  130.    tion.  That is, the first iteration will have one trailing copy of
  131.    the shared-secret, the second iteration will have two trailing copies
  132.    of the shared-secret, and so forth.
  133.  
  134.    If decryption failure is detected, the users are notified, and a Ver-
  135.    ification_Failure message is sent, without adding any Security Asso-
  136.    ciations.  Otherwise, the usual verification procedures occur.
  137.  
  138.    Implementation Notes:
  139.  
  140.       This is distinct from any encryption method specified for Security
  141.       Associations.
  142.  
  143.       The fields protected, the length of the Padding (if any), and
  144.       other details are dependent on the Privacy-Method.  See the "Pri-
  145.       vacy Methods".
  146.  
  147.       The Exchange-Value data includes both the Size and Value fields.
  148.  
  149.  
  150. 1.2.  SPI Messages
  151.  
  152.    SPI Messages are encrypted and decrypted in the same fashion speci-
  153.    fied for Identification Exchange messages.
  154.  
  155.  
  156.  
  157.  
  158.  
  159.  
  160.  
  161.  
  162.  
  163.  
  164. Karn & Simpson            expires in six months                 [Page 2]
  165. DRAFT                       Photuris Schemes                    May 1997
  166.  
  167.  
  168. 2.  Additional Exchange Schemes
  169.  
  170.    The packet format and basic facilities are already defined for Pho-
  171.    turis [RFC-zzzz].
  172.  
  173.    These optional exchange schemes are specified separately, and no sin-
  174.    gle implementation is expected to support all of them.
  175.  
  176.    This document defines the following values:
  177.  
  178.    (3)   Implementation Optional.  Any modulus (p) with a recommended
  179.          generator (g) of 3.  The modulus is contained in the Exchange
  180.          Scheme Value field in the list of Offered-Schemes.
  181.  
  182.          The Privacy-Method is "not protected".
  183.  
  184.          The "SPI Messages" Validity-Method is "MD5-KDpKp".
  185.  
  186.    (4)   Implementation Optional.  Any modulus (p) with a recommended
  187.          generator (g) of 2.  The modulus is contained in the Exchange
  188.          Scheme Value field in the list of Offered-Schemes.
  189.  
  190.          The Privacy-Method is "DES-CBC with secret IV".
  191.  
  192.          The "SPI Messages" Validity-Method is "MD5-KDpKp".
  193.  
  194.    (5)   Implementation Optional.  Any modulus (p) with a recommended
  195.          generator (g) of 5.  The modulus is contained in the Exchange
  196.          Scheme Value field in the list of Offered-Schemes.
  197.  
  198.          The Privacy-Method is "not protected".
  199.  
  200.          The "SPI Messages" Validity-Method is "MD5-KDpKp".
  201.  
  202.    (6)   Implementation Optional.  Any modulus (p) with a recommended
  203.          generator (g) of 3.  The modulus is contained in the Exchange
  204.          Scheme Value field in the list of Offered-Schemes.
  205.  
  206.          The Privacy-Method is "DES-CBC with secret IV".
  207.  
  208.          The "SPI Messages" Validity-Method is "MD5-KDpKp".
  209.  
  210.    (7)   Implementation Optional.  Any modulus (p) with a variable gen-
  211.          erator (g).  Each is encoded in a separate Variable Precision
  212.          Number.  The generator VPN is followed by (concatenated to) the
  213.          modulus VPN, and the pair are contained in the Exchange Scheme
  214.          Value field in the list of Offered-Schemes.
  215.  
  216.  
  217.  
  218.  
  219. Karn & Simpson            expires in six months                 [Page 3]
  220. DRAFT                       Photuris Schemes                    May 1997
  221.  
  222.  
  223.          The Privacy-Method is "not protected".
  224.  
  225.          The "SPI Messages" Validity-Method is "MD5-KDpKp".
  226.  
  227.    (8)   Implementation Optional.  Any modulus (p) with a recommended
  228.          generator (g) of 2.  The modulus is contained in the Exchange
  229.          Scheme Value field in the list of Offered-Schemes.
  230.  
  231.          The Privacy-Method is "DES-EDE3-CBC with secret IV".
  232.  
  233.          The "SPI Messages" Validity-Method is "SHA1-KDpKp".
  234.  
  235.    (10)  Implementation Optional.  Any modulus (p) with a recommended
  236.          generator (g) of 5.  The modulus is contained in the Exchange
  237.          Scheme Value field in the list of Offered-Schemes.
  238.  
  239.          The Privacy-Method is "DES-CBC with secret IV".
  240.  
  241.          The "SPI Messages" Validity-Method is "MD5-KDpKp".
  242.  
  243.    (12)  Implementation Optional.  Any modulus (p) with a recommended
  244.          generator (g) of 3.  The modulus is contained in the Exchange
  245.          Scheme Value field in the list of Offered-Schemes.
  246.  
  247.          The Privacy-Method is "DES-EDE3-CBC with secret IV".
  248.  
  249.          The "SPI Messages" Validity-Method is "SHA1-KDpKp".
  250.  
  251.    (14)  Implementation Optional.  Any modulus (p) with a variable gen-
  252.          erator (g).  Each is encoded in a separate Variable Precision
  253.          Number.  The generator VPN is followed by (concatenated to) the
  254.          modulus VPN, and the pair are contained in the Exchange Scheme
  255.          Value field in the list of Offered-Schemes.
  256.  
  257.          The Privacy-Method is "DES-CBC with secret IV".
  258.  
  259.          The "SPI Messages" Validity-Method is "MD5-KDpKp".
  260.  
  261.    (20)  Implementation Optional.  Any modulus (p) with a recommended
  262.          generator (g) of 5.  The modulus is contained in the Exchange
  263.          Scheme Value field in the list of Offered-Schemes.
  264.  
  265.          The Privacy-Method is "DES-EDE3-CBC with secret IV".
  266.  
  267.          The "SPI Messages" Validity-Method is "SHA1-KDpKp".
  268.  
  269.    (28)  Implementation Optional.  Any modulus (p) with a variable gen-
  270.          erator (g).  Each is encoded in a separate Variable Precision
  271.  
  272.  
  273.  
  274. Karn & Simpson            expires in six months                 [Page 4]
  275. DRAFT                       Photuris Schemes                    May 1997
  276.  
  277.  
  278.          Number.  The generator VPN is followed by (concatenated to) the
  279.          modulus VPN, and the pair are contained in the Exchange Scheme
  280.          Value field in the list of Offered-Schemes.
  281.  
  282.          The Privacy-Method is "DES-EDE3-CBC with secret IV".
  283.  
  284.          The "SPI Messages" Validity-Method is "SHA1-KDpKp".
  285.  
  286.  
  287.  
  288. 3.  Privacy Methods
  289. 3.1.  DES-CBC with secret IV
  290.  
  291.    MD5 [RFC-1321] is used as the key generation function for generating
  292.    the privacy session-key, as described in "Party Privacy Protection".
  293.    The most significant 64-bits of the generated hash are used for the
  294.    key.  The least significant bit of each key octet is ignored (or set
  295.    to parity when the implementation requires).
  296.  
  297.    Although extremely rare, weak, semi-weak, and possibly weak keys are
  298.    discarded.  Another iteration of the key generation function is used.
  299.  
  300.    The least significant 64-bits of the generated hash are used for the
  301.    Initialization Vector (IV).  For each message, this is logically
  302.    XOR'd with the concatenated message Type, LifeTime, and SPI fields,
  303.    and then used for the message IV.
  304.  
  305.    Message encryption begins with the next field after the SPI, and con-
  306.    tinues to the end of the data indicated by the UDP Length.
  307.  
  308.  
  309. 3.2.  DES-EDE3-CBC with secret IV
  310.  
  311.    This "Triple DES" method indicates outer-CBC EDE encryption (and DED
  312.    decryption) with three 56-bit keys [KR96].
  313.  
  314.    MD5 [RFC-1321] is used as the key generation function for generating
  315.    the three privacy session-keys, as described in "Party Privacy Pro-
  316.    tection".  The most significant 64-bits of the first generated hash
  317.    are used for the first session-key.  The least significant 64-bits of
  318.    the first generated hash are used for the second session-key.  The
  319.    most significant 64-bits of the second generated hash are used for
  320.    the third session-key.  In all three keys, the least significant bit
  321.    of each key octet is ignored (or set to parity when the implementa-
  322.    tion requires).
  323.  
  324.    Weak, semi-weak, and possibly weak keys are not discarded.  They are
  325.    extremely rare, and masked by the other keys.
  326.  
  327.  
  328.  
  329. Karn & Simpson            expires in six months                 [Page 5]
  330. DRAFT                       Photuris Schemes                    May 1997
  331.  
  332.  
  333.    The least significant 64-bits of the generated hash are used for the
  334.    Initialization Vector (IV).  For each message, this is logically
  335.    XOR'd with the concatenated message Type, LifeTime, and SPI fields,
  336.    and then used for the message IV.
  337.  
  338.    Message encryption begins with the next field after the SPI, and con-
  339.    tinues to the end of the data indicated by the UDP Length.
  340.  
  341.  
  342. 4.  Validity Methods
  343. 4.1.  SHA1-KDpKp
  344.  
  345.    As described in [RFC-zzzz] "Validity Verification", the SHA1
  346.    [FIPS-180-1] hash is calculated over the concatenation of
  347.  
  348.       SHA1( key, data, datafill, key, sha1fill )
  349.  
  350.    where the key is the computed shared-secret.
  351.  
  352.    The leading key is not padded to any particular alignment.
  353.  
  354.    The datafill uses the same pad-with-length technique defined for
  355.    sha1fill.  The length includes the leading key and data.
  356.  
  357.    The resulting Verification field is a 160-bit Variable Precision Num-
  358.    ber (22 octets including Size).
  359.  
  360.  
  361. Security Considerations
  362.  
  363.    In addition to the obvious usage, party privacy protection provides a
  364.    significant improvement in cryptographic strength for the Photuris
  365.    message exchanges.
  366.  
  367.    Hiding the Identification and Verification fields prevents an
  368.    attacker from direct verification of forgery attacks on the authenti-
  369.    cation function.
  370.  
  371.    Also, hiding the Verification fields inhibits cryptanalysis of ses-
  372.    sion-key generation by reducing the number of known fields used in
  373.    the generation.
  374.  
  375.    Hiding attribute choices inhibits traffic cryptanalysis when multiple
  376.    transform algorithms are implemented.
  377.  
  378.    The "whitening" of the DES IV is intended to obscure the relation of
  379.    the number of parties and SPIs active between two IP nodes.  The com-
  380.    bination of a randomized secret IV with the SPI generates a different
  381.  
  382.  
  383.  
  384. Karn & Simpson            expires in six months                 [Page 6]
  385. DRAFT                       Photuris Schemes                    May 1997
  386.  
  387.  
  388.    initial encrypted block for every SPI creation message.
  389.  
  390.    This obscurement is not effective when the SPI is invariant or is not
  391.    created for a particular exchange direction.  The number of parties
  392.    will be revealed by the number of exchanges with differences in the
  393.    initial encrypted blocks.
  394.  
  395.  
  396. Acknowledgements
  397.  
  398.    Phil Karn was principally responsible for the design of party privacy
  399.    protection, and provided much of the design rationale text.
  400.  
  401.    William Simpson designed the packet formats, and additional exchange
  402.    schemes, editing and formatting.  All such mistakes are his responsi-
  403.    bity.
  404.  
  405.    Use of privacy protection is also found in the Station-To-Station
  406.    authentication protocol [DOW92].
  407.  
  408.    Bart Preneel and Paul C van Oorschot in [PO96] suggested adding
  409.    padding between the data and trailing key when hashing for authenti-
  410.    cation.
  411.  
  412.  
  413. References
  414.  
  415.    [DOW92]  Whitfield Diffie, Paul C van Oorshot, and Michael J Wiener,
  416.             "Authentication and Authenticated Key Exchanges", Designs,
  417.             Codes and Cryptography, v 2 pp 107-125, Kluwer Academic Pub-
  418.             lishers, 1992.
  419.  
  420.    [FIPS-180-1]
  421.             "Secure Hash Standard", National Institute of Standards and
  422.             Technology, U.S. Department Of Commerce, April 1995.
  423.  
  424.             Also known as: 59 Fed Reg 35317 (1994).
  425.  
  426.    [KR96]   Kaliski, B., and Robshaw, M., "Multiple Encryption: Weighing
  427.             Security and Performance", Dr. Dobbs Journal, January 1996.
  428.  
  429.    [PO96]   Bart Preneel, and Paul C van Oorshot, "On the security of
  430.             two MAC algorithms", Advances in Cryptology -- Eurocrypt
  431.             '96, Lecture Notes in Computer Science 1070 (May 1996),
  432.             Springer-Verlag, pages 19-32.
  433.  
  434.    [RFC-1321]
  435.             Rivest, R., "The MD5 Message-Digest Algorithm", RFC-1321,
  436.  
  437.  
  438.  
  439. Karn & Simpson            expires in six months                 [Page 7]
  440. DRAFT                       Photuris Schemes                    May 1997
  441.  
  442.  
  443.             MIT Laboratory for Computer Science, April 1992.
  444.  
  445.    [RFC-zzzz]
  446.             Karn, P., Simpson, W., "Photuris: Session Key Management
  447.             Protocol", work in progress.
  448.  
  449.  
  450.  
  451. Contacts
  452.  
  453.    Comments about this document should be discussed on the
  454.    photuris@majordomo.soscorp.com mailing list.
  455.  
  456.    Questions about this document can also be directed to:
  457.  
  458.       Phil Karn
  459.       Qualcomm, Inc.
  460.       6455 Lusk Blvd.
  461.       San Diego, California  92121-2779
  462.  
  463.           karn@qualcomm.com
  464.           karn@unix.ka9q.ampr.org (preferred)
  465.  
  466.  
  467.       William Allen Simpson
  468.       DayDreamer
  469.       Computer Systems Consulting Services
  470.       1384 Fontaine
  471.       Madison Heights, Michigan  48071
  472.  
  473.           wsimpson@UMich.edu
  474.           wsimpson@GreenDragon.com (preferred)
  475.           bsimpson@MorningStar.com
  476.  
  477.  
  478.  
  479.  
  480.  
  481.  
  482.  
  483.  
  484.  
  485.  
  486.  
  487.  
  488.  
  489.  
  490.  
  491.  
  492.  
  493.  
  494. Karn & Simpson            expires in six months                 [Page 8]
  495.  
  496.  
  497.