home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / 94jul / area.security.94jul.txt < prev    next >
Text File  |  1994-11-02  |  12KB  |  272 lines
  1.  
  2. Security Area
  3.  
  4. Director:
  5.  
  6.  
  7.    o Jeff Schiller:  jis@mit.edu
  8.  
  9.  
  10. Area Summary reported by Jeff Schiller/MIT and Jim Galvin/TIS
  11.  
  12. The Security Area within the IETF is responsible for development of
  13. security-oriented protocols, security review of RFCs, development of
  14. candidate policies and review of operational security on the Internet.
  15.  
  16. During the Security Area Advisory Group (SAAG) meeting Jeff Schiller
  17. announced the creation of the Security Area Directorate.  The
  18. directorate will assist the area director as needed, including
  19. considering the strategic evolution of security in the Internet,
  20. providing security-specific architectural and engineering guidance to
  21. working groups and reviewing Internet-Drafts.  It is an advisory entity
  22. and has no standards-setting powers.
  23.  
  24. The members of the Security Area Directorate are as follows.
  25.  
  26.  
  27.             Jeffrey I. Schiller    jis@mit.edu
  28.             Ran Atkinson           atkinson@itd.nrl.navy.mil
  29.             Steve Bellovin         smb@research.att.com
  30.             Steve Crocker          crocker@tis.com
  31.             Barbara Fraser         byf@cert.org
  32.             James M. Galvin        galvin@tis.com
  33.             Phil Karn              karn@qualcomm.com
  34.             Steve Kent             kent@bbn.com
  35.             John Linn              linn@ov.com
  36.             Clifford Neuman        bcn@isi.edu
  37.             Rob Shirey             shirey@mitre.org
  38.             Ted Ts'o               tytso@mit.edu
  39.  
  40.  
  41. During the SAAG meeting, the activities of the Security Area, including
  42. the directorate, will be reported and discussed.  In addition, the SAAG
  43. meeting will provide an opportunity for open discussion of security
  44. issues.
  45.  
  46. Included below is a summary from those working groups with
  47. security-relevant activities to report and the Security Area Directorate
  48. meeting summary.  The following topics were discussed during the SAAG
  49. meeting.
  50.  
  51.  
  52. Security Area Vision
  53.  
  54. Jeff Schiller volunteered to do the first draft of a Security Area
  55. Vision.  It will be short (perhaps 2-4 pages) and will provide a first
  56. cut at defining a common vision of how security technology will evolve
  57. on the Internet.  The SAAG will contribute to this vision, and when it
  58. is complete, it will be published as an Informational RFC.
  59.  
  60. Jeff started a discussion of the contents of the vision by suggesting
  61. that the DNS solved the naming problems of the Internet.  This prompted
  62. a great deal of discussion that surfaced all the usual issues, including
  63. management, usability, and the fact that the DNS is not the only kind of
  64. name space.  Steve Bellovin was quick to point out that in spite of
  65. whatever perceived shortcomings may exist in the DNS, the Internet has
  66. ten years of operational experience with it; we should be very careful
  67. about suggesting any replacements.
  68.  
  69. There was consensus that support for globally unique names in the
  70. Internet was required.  Other issues for inclusion in the vision include
  71. the realization that the Internet today is vulnerable to significant
  72. security attacks, including passive attacks that have been recently
  73. referred to as ``sniffer'' attacks.  This realization will inevitably
  74. lead to the elimination of the use of clear-text passwords and the need
  75. for support of authentication and encryption services.
  76.  
  77.  
  78. FNC Security Council
  79.  
  80. Jeff Schiller reported that Dennis Steinhauer and Steve Squires,
  81. representing the FNC Security Council, have proposed a security policy
  82. for the Internet.  Jeff will get it distributed to the IETF community
  83. for review.
  84.  
  85.  
  86. The activity of the following working groups was reported.
  87.  
  88.  
  89. Common Authentication Technology Working Group (CAT)
  90.  
  91. The CAT Working Group met for two sessions in Toronto.  Carlisle Adams
  92. gave a presentation on his Simple Public-Key Mechanism (SPKM) proposal,
  93. a GSS-API mechanism being developed based on public-key technology and
  94. offering 2-way and 3-way authentication exchange variants, generalized
  95. use of OIDs for flexibility, parameter negotiation, and provision for
  96. non-repudiation services.  Rough consensus was reached on outstanding
  97. issues of GSS-API buffer sizes, continuation processing of long messages
  98. (not accepted), and context expiration (for K-V5, hard expiration not to
  99. exceed supporting ticket lifetimes), pending review on the mailing list.
  100. Advancement of FTP security is pending revision of the Internet-Draft
  101. against outstanding comments.
  102.  
  103.  
  104. Domain Name System Security Working Group (DNSSEC)
  105.  
  106. This meeting was dedicated to a discussion of the differences between
  107. the two proposals under consideration:  Eastlake/Kaufman and Ohta.
  108. Although no consensus was reached on any of the issues, there was at
  109. least a few minutes discussion of all of the outstanding issues.  The
  110. discussion will continue on the mailing list with the objective of
  111. achieving consensus on a proposal for DNS security.
  112.  
  113.  
  114. Internet Protocol Security Protocol Working Group (IPSEC)
  115.  
  116. The IPSEC Working Group met twice in Toronto.  The first meeting focused
  117. on the definition of a cryptographic security protocol to protect client
  118. protocols of IP. Several implementations of network layer cryptographic
  119. security were discussed.  Formats and features of various specifications
  120. and proposals were compared (SP3, NLSP, I-NLSP, swIPe).  The working
  121. group has declared rough consensus on a protocol format based on the
  122. consolidation of ideas from several experimental implementations.  The
  123. IP Security Protocol (IPSP) has been designed to protect both IPv4 and
  124. IPng.  Additional investigation of ``authentication-only'' services for
  125. IPng require additional investigation.  These IPng services support the
  126. examination of ``protected'' information by intermediate systems.  A
  127. draft of the new IPSP specification is scheduled for the next IETF
  128. meeting.
  129.  
  130. During the second meeting the requirements and possible mechanisms for
  131. the Internet Key Management Protocol (IKMP) were discussed.  The IKMP
  132. work is focused on the support of IPSP, not on key management in
  133. general.  A draft of IKMP is scheduled for release prior to the next
  134. meeting.  Additional work beyond the specification of IKMP is required
  135. to coordinate the relationship of certificates and naming hierarchies to
  136. the various Internet security mechanisms.
  137.  
  138.  
  139. Privacy-Enhanced Electronic Mail Working Group (PEM)
  140.  
  141. The major focus of this meeting was review of two recent
  142. Internet-Drafts:  ``Security Multiparts for MIME: Multipart/Signed and
  143. Multipart/Encrypted'' and ``PEM Security Services and MIME.''
  144.  
  145. The first document, when stripped of those portions that the authors now
  146. deem PEM-specific, will be quite brief.  The second document requires
  147. considerable editing to address a number of issues raised during the
  148. meeting, to add examples and to make the document independent of
  149. RFC 1421.  The second Internet-Draft has addressed the major
  150. canonicalization problems that plagued forwarded authentication in
  151. previous drafts, but some details remain to be resolved.  There was
  152. considerable debate over proposed name forms and unification of
  153. originator and recipient ID formats, and work will be required by the
  154. authors to address the concerns cited.  Minor issues relating to the
  155. syntax for certificate lists, requirements for separate signature and
  156. encryption certificates, etc., seem easier to resolve.
  157.  
  158.  
  159. Trusted Network File Systems Working Group (TNFS)
  160.  
  161. A specification has been submitted and reviewed by Jeff Schiller.  As
  162. soon as a revision is available it will be published as an Informational
  163. RFC.
  164.  
  165.  
  166. TELNET Working Group (TELNET) - Applications Area
  167.  
  168. See the directorate meeting summary below.
  169.  
  170.  
  171. IP Routing for Wireless/Mobile Hosts Working Group (MOBILEIP) -
  172. Routing Area
  173.  
  174. This group has not resolved the choice of using nonce- or
  175. timestamp-based authentication.  They have adopted the use of MD5 and
  176. are using manual key distribution, for now, due to the lack of a key
  177. management system.
  178.  
  179.  
  180. Site Security Handbook BOF (SSH) - User Services Area
  181.  
  182. A BOF was held this week that generated enough interest to create a
  183. working group, chaired by Barbara Fraser, to revise the existing
  184. document.  It was noted that the working group will produce two
  185. documents:  one directed at system administrators and one directed at
  186. end users.  Although the Site Security Handbook is a security-related
  187. document, the working group will exist within the User Services Area.
  188.  
  189.  
  190.  
  191. The Security Area Directorate met for the first time on Monday afternoon
  192. for a two hour meeting.  The following actions were adopted.
  193.  
  194.  
  195. Common Authentication Technology Working Group (CAT)
  196.  
  197. The draft FTP security specification had been submitted for review prior
  198. to publication.  Jeff Schiller reviewed the document and provided
  199. comments back to the editor.  As soon as the editor revises the document
  200. it can be resubmitted for publication as a Proposed Standard.
  201.  
  202.  
  203. Domain Name System Security Working Group (DNSSEC)
  204.  
  205. This group is making progress at this time, so there is no action
  206. required from the directorate.
  207.  
  208.  
  209. Privacy-Enhanced Electronic Mail Working Group (PEM)
  210.  
  211. A final review of the PEM/MIME integration specifications is expected
  212. during this week's PEM meeting.  Priority should be given to finding the
  213. shortest path possible to publication of these documents as Proposed
  214. Standards, which have been subject to many revisions over the last year.
  215.  
  216. After the documents have been submitted and accepted for publication,
  217. the charter of this working group will be reviewed.
  218.  
  219. [Note:  This discussion about PEM/MIME preceded the PEM Working Group
  220. meeting where issues arose requiring additional work by the document
  221. editors.]
  222.  
  223.  
  224. TELNET Working Group (TELNET) - Applications Area
  225.  
  226. What is the status of the TELNET authentication and encryption options?
  227.  
  228. It was reported that there exists a draft specification of each option
  229. and an implementation.  However, the current encryption option is
  230. vulnerable to an active attack.  A new draft incorporating both
  231. authentication and encryption that is not vulnerable to an attack has
  232. been proposed but has not been forthcoming.  The problem is that other
  233. folks are implementing the draft encryption option in spite of its
  234. vulnerability.
  235.  
  236. The TELNET Working Group is languishing due to the lack of time
  237. available from the current chair.  Also, no one has volunteered to
  238. update the currently available implementation to include the proposed
  239. changes to protect against the attack.
  240.  
  241. While the Applications Area sorts out the status of the TELNET Working
  242. Group, it was suggested that the existing encryption option
  243. specification be resurrected, a section that explains the active attack
  244. should be added and it should be published as an Experimental RFC.
  245.  
  246. Ted Ts'o has agreed to resurrect the specifications and Jeff Schiller
  247. will write the caveat about the active attack.  The document will then
  248. be submitted for publication as an Experimental RFC.
  249.  
  250. When the new proposal is available, it will be advanced on the standards
  251. track.
  252.  
  253.  
  254. Site Security Handbook BOF (SSH) - User Services Area
  255.  
  256. There is a BOF this week to resurrect the Site Security Handbook and
  257. create a working group to revise it.  No directorate action is required
  258. at this time.
  259.  
  260.  
  261. Key Management
  262.  
  263. Key management is an issue that surfaces in many working groups and is
  264. not receiving sufficient attention within the IETF. We agreed to create
  265. a working group to address key management.  Steve Bellovin has
  266. volunteered to chair the working group and Ran Atkinson agreed to create
  267. the first draft of the charter.
  268.  
  269. It was noted that there has been progress licensing public key
  270. technology (RSAREF in particular) for use in IPSEC and DNSSEC.
  271.  
  272.