home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / 94dec / ios-minutes-94dec.txt < prev    next >
Text File  |  1995-02-28  |  4KB  |  113 lines
  1.  
  2. Object/Document Security BOF (IOS)
  3.  
  4. Reported by John Lowry/Bolt Beranek and Newman
  5.  
  6. The Object/Document Security BOF met on Wednesday, 7 December, at the
  7. San Jose IETF. It began with a slide presentation introducing the
  8. concept and purpose of information object security (IOS). There were
  9. three presentations intended to stimulate discussion.
  10.  
  11.  
  12. Presentations
  13.  
  14. The first presentation was made by John Lowry on the
  15. Location-Independent IOS work sponsored by ARPA.
  16.  
  17. The second presentation was made by Wolfgang Schneider on the practical
  18. considerations of bootstrapping a certificate based key management
  19. infrastructure, particularly geared to deployment of PEM.
  20.  
  21. The third presentation was made by Paul Van Oorshot and was an overview
  22. of store-and-forward extensions made to GSS-API which would be presented
  23. more fully in the Common Authentication Technology Working Group CAT.
  24.  
  25.  
  26. Discussion
  27.  
  28. There was discussion by the group regarding:
  29.  
  30.  
  31.    o Copyright protections and whether there was any security service
  32.      which could prevent, discourage, or help to audit unauthorized
  33.      copying.
  34.  
  35.    o Uniform Resource Identification and the security services that
  36.      might be applied to IDs, locators, meta information, and other data
  37.      associated with the object.
  38.  
  39.    o Support for labeling of objects.  Labeling could be associated with
  40.      confidentiality, part of an annotation, and needs to be examined
  41.      regarding the relationship to meta-information.
  42.  
  43.    o Access control requirements need to investigated and a
  44.      low-complexity model should be identified.  The model presented in
  45.      the Location-Independent IOS needs a lot of work.
  46.  
  47.    o Concerns about the nature (complexity) of the object and
  48.      annotations including n-dimensional signatures and annotations.
  49.  
  50.    o Concerns about long term and archival storage of objects.  Initial
  51.      reaction was that this was probably outside the scope of this
  52.      group.
  53.  
  54.    o Concerns about the overhead of security in terms of object size,
  55.      complexity, and processing cycles required.
  56.  
  57.    o Concerns about adopting a flexible trust mechanism and key
  58.      management/identification/ authentication mechanism.
  59.  
  60.    o The relationship to WWW and HTTP-S. Generally it was felt that
  61.      HTTP-S was concerned with transport but that there should be
  62.      coordination between this group and the HTTPSEC group.
  63.  
  64.    o There was a question about the relationship to GSS-API and whether
  65.      there was a good synergy with the CAT Working Group.  GSS-API is
  66.      also considering store-and-forward mechanisms which may relate
  67.      directly to some of the requirements yet to be defined.
  68.  
  69.    o There was a question about the relationship to MIME/PEM and whether
  70.      MIME/PEM could serve as an appropriate mechanism.  The initial
  71.      opinion seemed to be that until the requirements are defined the
  72.      question cannot be answered.
  73.  
  74.  
  75. Jeff Schiller pointed out the necessity of listing requirements and
  76. forming a charter.  An outline list of requirements was proposed by Dave
  77. Solo and will start the requirements discussion.  The outline appears
  78. below.
  79.  
  80. It was agreed that a mailing list and an archive site be created.
  81. Attendees would be notified of the mailing list instantiation but would
  82. not automatically be included on the list.
  83.  
  84. It was agreed that since time was short, the charter should be
  85. negotiated on the mailing list with a goal of becoming a working group
  86. by the 32nd IETF in Danvers.
  87.  
  88.  
  89. Proposed Requirements Outline
  90.  
  91. Object Protection/Encapsulation
  92.  
  93.    o Protect arbitrary data/objects
  94.    o Allow any transport or access mechanism
  95.    o Supply confidentiality/encryption
  96.    o Supply integrity
  97.    o Supply authentication/non-repudiation
  98.       -  signature
  99.       -  annotation
  100.       -  complex data structures
  101.    o Access Controls/Scenarios
  102.       -  access control rules
  103.       -  concepts of access control
  104.       -  relationship to key management
  105.    o Labeling
  106.    o Third-party service interactions
  107.    o Handle existing concepts
  108.       -  PEM
  109.       -  MIME/PEM
  110.       -  PGP
  111.    o Flexible certificate trust models
  112.  
  113.