home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / cat / cat-minutes-95apr.txt < prev    next >
Text File  |  1995-05-26  |  21KB  |  418 lines
  1.  
  2. CURRENT_MEETING_REPORT_
  3.  
  4. Reported by John Linn/OpenVision
  5.  
  6. Minutes of the Common Authentication Technology Working Group (CAT)
  7.  
  8.  
  9. Liaison Report
  10.  
  11. Piers McMahon (ICL) stated that the X/Open Security Working Group has
  12. been working on conformance statements and verification procedures for
  13. GSS-API implementations, and that a description of results and issues in
  14. this area will be forwarded to the CAT list.  Two specific points
  15. (channel binding structures and authoritative indicators of services
  16. available on a security context) were raised and discussed in
  17. conjunction with the base GSS-API and C bindings therefor.
  18.  
  19.  
  20. Working Group Charter
  21.  
  22. The group reviewed the draft, updated charter of the CAT Working Group,
  23. broadened to include, among other points, scope compatible with IDUP
  24. (although not constrained to preclude future work towards return of
  25. evidence objects for enhanced non-repudiation) and with future
  26. authorization support facilities.  The text will be re-sent to the
  27. Security Area Director for approval by the IESG.
  28.  
  29.  
  30. Active Working Group Documents
  31.  
  32.  
  33. FTP Security
  34.  
  35. draft-ietf-cat-ftpsec-06.txt
  36.  
  37. Marc Horowitz (OpenVision) is the new draft author.  A revised draft is
  38. planned for distribution in April, with a target of 1 May for working
  39. group last call in advance of recommendation of that draft for
  40. advancement to Proposed Standard.
  41.  
  42. Denis Pinkas (Bull) asked whether FTP security was able to provide
  43. authentication in only the server-client direction, without also
  44. authenticating the client to the server.  Marc Horowitz stated that this
  45. is an issue at the level of the underlying GSS-API mechanism rather than
  46. the FTPsec specification, and noted that many GSS-API mechanisms cannot
  47. support this service selection.  The revised FTPsec draft will clarify
  48. the relation between FTPsec and the GSS-V2 anonymity support.
  49.  
  50. Changes between -05 and -06 of the draft:  Much of the text has been
  51. rewritten and reorganized for clarity.  The CONF command, 633 reply
  52. code, and E data channel protection level were added to support
  53. confidentiality without integrity.  Most policy restrictions have been
  54. relaxed.  In particular, neither encryption nor integrity is required,
  55. and each can be used independently.  The GSSAPI authentication mechanism
  56. has been updated to reflect work on those documents.  Line breaks in
  57. multiline protected replies are no longer required to be on the same
  58. line boundaries as in the plaintext reply.
  59.  
  60. Some reply codes have been changed due to redundancy, or poor
  61. construction according to the rules in RFC 959, Sec.  4.2:  402 (MIC or
  62. ENC not supported) replaced by 533 (Command protection level denied for
  63. policy reasons); 231 (USER authorized, need dummy password) replaced by
  64. 232 (User logged in, authorized by authentication data exchange); 333
  65. (after ADAT exchange, USER requires PASS) replaced by 331 (USER required
  66. PASS, from RFC 959); 502 (Command channel must be protected) replaced by
  67. 533; 500 (MIC or ENC before ADAT exchange complete) replaced by 503 (Bad
  68. sequence of commands, from RFC 959); 504 (PROT before PBSZ) replaced by
  69. 503; 504 (PBSZ not representable in 32 bits) replaced by 501 (Syntax
  70. error in parameters or arguments, from RFC 959).
  71.  
  72.  
  73. Base GSS-API and C Bindings
  74.  
  75. draft-ietf-cat-gssv2-01.txt
  76. draft-ietf-cat-gssv2-cbind-00.txt
  77.  
  78. The sense of the group was that backward compatibility with GSS-V1
  79. applications was an important goal, and that call signatures of routines
  80. extant in GSS-V1 should be preserved.  John Wray (DEC) stated that the
  81. current C bindings draft contains three changes which could affect
  82. backward compatibility, leading to discussion.  Discussion specifically
  83. considered flag bits and use of OM_unit32 types.  Shawn Mamros (FTP)
  84. observed that source code compatibility, the basis assumed by at least
  85. most current implementors, has already been achieved.  Piers McMahon
  86. suggested that current caller behavior should (for cases where changes
  87. arise in GSS-V2) be permitted but deprecated.  Specific proposal and
  88. discussion of wording was remanded to the mailing list.
  89.  
  90. Extended controversy emerged about the proposal for structure and
  91. interpretation of Quality of Protection (QOP) parameters, as made by
  92. Carlisle Adams (BNR) on the mailing list and provisionally included in
  93. draft-ietf-cat-gssv2-01.txt.  Specific contention arose around the
  94. proposed interpretations for mechanism-independent Type Specifier values
  95. for confidentiality and integrity; unless common agreement on these
  96. values can be achieved, the application portability benefit of QOP
  97. structure is limited.  A straw poll at the meeting showed roughly equal
  98. sentiment for rolling back to the text in draft-cat-gssv2-00, for
  99. proceeding with the text in draft-cat-gssv2-01, and for proceeding with
  100. the structure in draft-cat-gssv2-01 but with revised values.  Pending
  101. further discussion, the relevant text in draft-cat-gssv2-01.txt will be
  102. rolled back to the corresponding material from draft-cat-gssv2-00.txt.
  103.  
  104. Regarding OID support routines, the group agreed to incorporate the set
  105. as proposed by John Wray, augmented by functions as proposed by Dennis
  106. Glatting (CyberSAFE) for conversion of OIDs to and from string
  107. representations.
  108.  
  109. John Wray described the approach for anonymity support as included in
  110. the current drafts.  A question was raised as to whether credentials
  111. could be acquired under the ``anonymous'' name and used; this case may,
  112. but need not, be supported by a particular mechanism.  John next
  113. introduced issues of semantics for default and dual-mode credentials,
  114. brought into sharp focus through consideration of GSS_Add_cred().  It was
  115. recommended that we recognize that default behavior may differ depending
  116. on whether credential usage for context initiation or acceptance is
  117. being considered.  A specific proposal was made to the mailing list and
  118. is currently being discussed.
  119.  
  120. John led a discussion on GSS_Process_context_token(), recommending that a
  121. currently-proposed, and backward-incompatible, change to
  122. GSS_Process_context_token(), be expunged.  He suggested that
  123. GSS_Process_context_token() be retained as defined in RFCs 1508/1509 for
  124. compatibility, but deprecated for future use in favor of new
  125. GSS_Refresh_sec_context() and GSS_Maintain_sec_context() routines.  An
  126. alternative approach, accomplishing context renewal with
  127. GSS_Init_sec_context(), GSS_Accept_sec_context(), and/or variants thereof,
  128. was also discussed at the meeting.  Subsequent e-mail identified an
  129. issue with this alternative and reiterated the Refresh/Maintain
  130. proposal; specifics are currently under discussion.
  131.  
  132. It was agreed that the specifications should comment that interface
  133. implementations need to be self-initializing.
  134.  
  135. Currently, the level of cross-mechanism support available for
  136. applications using address specifiers within channel bindings is
  137. limited.  There are two candidate approaches to improve this situation:
  138. (1) deprecate use of channel bindings except for application-provided
  139. data, or (2) document, for a selected set of address types, the address
  140. structures to be used with those address types.  Per (2), the address
  141. type list from RFC 1510 was nominated for consideration, and an
  142. implementor survey is now ongoing by e-mail to determine what types are
  143. currently supported and with which structures.
  144.  
  145. It had been observed that cases can exist within which the service
  146. availability flags returned by GSS_Init_sec_context() and
  147. GSS_Accept_sec_context() are non-authoritative, e.g., when context
  148. establishment is accomplished through transfer of a single token from
  149. initiator to target without a means for the target to return a token to
  150. the initiator indicating inability to support an optional service.  This
  151. was agreed to be an undesirable result; mechanisms should return
  152. authoritative flags, either as a result of exchanging indicator-bearing
  153. tokens to report service availability or by using separate mechanism IDs
  154. to represent different service selection options.  Unless both peers to
  155. a context are known to be able to support an optional service (e.g.,
  156. confidentiality), that service's unavailability should be indicated on
  157. both sides.
  158.  
  159. Discussion of Parse_token() facilities in SPKM and IDUP (see also
  160. sections dealing with those drafts for related discussions) led to
  161. discussion of whether such a facility could be feasibly implemented
  162. within existing GSS-API mechanisms.  Parse_token(), as currently
  163. implemented, is intended to support demultiplexing in a multi-context
  164. environment and does not perform cryptographic validation.  For a token
  165. to be parsed successfully, it must be associated with a determinable
  166. mechanism, either via an explicit tag, an mech_type input argument (not
  167. currently included, but suggested as a useful option), or implicitly
  168. (e.g., support within a particular implementation for only one mechanism
  169. with untagged tokens).  The Kerberos mechanism tags all tokens; the
  170. SESAME mechanism does not tag non-initial tokens; categorization of
  171. other mechanisms (e.g., KryptoKnight) was unknown and was solicited on
  172. the mailing list.  Implementors are also being surveyed to ascertain the
  173. feasibility of implementing a Parse_token() function within their
  174. mechanisms.
  175.  
  176.  
  177. SPKM: Simple Public Key Mechanism
  178.  
  179. draft-ietf-cat-spkmgss-02.txt
  180.  
  181. Carlisle Adams gave a presentation on the updated SPKM draft.  Changes
  182. from prior drafts include an added SPKM_Parse_token() facility useful for
  183. disambiguation in environments where multiple contexts are
  184. simultaneously active, specification of mandatory algorithm sets for
  185. interoperability, support for additional name types, and facilities
  186. enabling a context initiator to request that a target return
  187. certification data and/or generate a context's key.  Sequence numbers
  188. are now optional and unencrypted (although integrity-protected), and
  189. algorithm IDs in per-message tokens are optional.  SPKM uses the
  190. GSS_Process_context_token() facility as described in RFC 1508, so would
  191. be affected by an incompatible change to this call.  Delegation is not
  192. supported.
  193.  
  194. The BNR implementation of SPKM is complete and is in the process of
  195. incorporation into a commercial product.  Don Stephenson (Sun) indicated
  196. that an implementation at Sun was also planned.  The GSS-API sample
  197. application from the MIT Kerberos distribution has been successfully
  198. tested atop this implementation.  Public domain implementation
  199. activities are underway at the University of New Brunswick and are being
  200. initiated at the Queensland Institute of Technology (target date:
  201. September 1995).  The specification is considered to be stable at this
  202. time, pending resolution of an identified issue concerning X9.44 replay
  203. protection, and was placed in working group last call on 5 April 1995
  204. for advancement recommendation to Proposed Standard.
  205.  
  206.  
  207. IDUP: Independent Data Unit Protection
  208.  
  209. draft-ietf-cat-idup-gss-01.txt
  210. draft-ietf-cat-idup-cbind-00.txt
  211.  
  212. Carlisle Adams and Dragan Grebovich (BNR) gave presentations on the
  213. revised IDUP (renamed from IOP) and associated C bindings
  214. specifications.  To avoid confusion with the base GSS-API security
  215. context construct, the IDUP ``context'' has been renamed to an
  216. ``environment.''  Even when encryption is provided, IDUP does not
  217. encapsulate its data buffers into tokens; this allows messages to be
  218. split into multiple buffers but remains controversial, and further
  219. e-mail discussion was solicited.
  220.  
  221. IDUP allows support for non-repudiation via digital signature, but does
  222. not currently offer calls for processing of provable evidences.  New
  223. calls added in this version:  IDUP_Process_receipt(), IDUP_Parse_token();
  224. IDUP_Extract_prot_token() was deleted.  BNR is currently developing a
  225. commercial IDUP implementation, layered on PEM; public-domain
  226. implementation activities are encouraged.  Some GSS-API major_status
  227. values are irrelevant to IDUP, and some new major_status values are
  228. defined.  Credentials can be shared between GSS-API and IDUP
  229.  
  230.  
  231.  
  232. GSS-API Negotiated Mechanism
  233.  
  234.  
  235. This document is not yet an Internet-Draft.
  236.  
  237. Doug Rosenthal (MCC) summarized ongoing work on a ``negotiated''
  238. pseudo-mechanism for GSS-API, which could be configured as the default
  239. mechanism or requested explicitly by passing its mech_type OID to
  240. GSS_Init_sec_context().  At the Toronto CAT meeting, desires were
  241. expressed for negotiation at the level of mechanism selection, to
  242. simplify interoperability between peers.  The facility being considered
  243. can also support negotiation of options within a mechanism.
  244. Non-intrusiveness to the current GSS-API is a goal.  Denis Pinkas and
  245. Eric Baize (Bull) issued a draft proposal to the list, and comments were
  246. received; Denis and Doug intend to issue a revised proposal as an
  247. Internet-Draft in advance of the July IETF. One open issue:  how to
  248. arbitrate different preference-ordered mechanism/option lists provided
  249. by negotiating peers.
  250.  
  251.  
  252.  
  253. Kerberos (RFC 1510)
  254.  
  255.  
  256. Cliff Neuman (ISI) has a list of errata against RFC 1510; the document
  257. is fairly stable with no major discussion topics.  One issue is relevant
  258. to advancing the document to Draft Standard:  the document specifies
  259. that support for MD5 is mandatory, and CRC support optional, but few
  260. implementations support MD5 and only CRC is the current practice for
  261. interoperability.  Cliff will send a message to the list summarizing the
  262. situation, as a basis for action and/or as input to an advancement
  263. recommendation.
  264.  
  265.  
  266.  
  267. Kerberos GSS-API Mechanism
  268.  
  269. draft-ietf-cat-kerb5gss-02.txt
  270.  
  271. One issue is known to be active against the Kerberos V5 GSS-API
  272. mechanism Internet-Draft:  the fact that no specific behavior is
  273. documented for implementations electing to support the (optional)
  274. delegation facility.  Initial sense was that this document was ready for
  275. advancement to Proposed Standard.
  276.  
  277.  
  278.  
  279. GSS-API Windows Bindings
  280.  
  281. draft-ietf-cat-wingss-00.txt
  282.  
  283. Piers McMahon submitted and discussed this Internet-Draft, related to
  284. GSS-API usage on Windows 3.1 and successor versions.  It is being used
  285. in MIT-directed Cygnus Kerberos porting activities.  Shawn Mamros
  286. observed that the Internet-Draft's structure alignment convention
  287. (4 bytes) diverges from common Windows and WinSock 2-byte practice.
  288. Piers responded that the intent was to support both 16-bit and 32-bit
  289. environments; given, however, a recognition that DLLs for these
  290. environments would likely diverge in any event, it was not seen as
  291. harmful to document them separately with different alignment
  292. conventions.  A revised Internet-Draft will incorporate this change.
  293.  
  294.  
  295.  
  296. Kerberos Extensions:  Public-Key Initial Authentication
  297.  
  298. draft-ietf-cat-kerberos-pk-init-00.txt
  299.  
  300. Cliff Neuman led a discussion on this Internet-Draft, reporting that
  301. some comments had been received by e-mail and soliciting further review
  302. and discussion, especially regarding naming and trust path issues.
  303. Implementation activities are currently underway, but not yet complete;
  304. SESAME has implemented functionality similar to parts of the proposal.
  305. The draft's goal is to enable secure recovery from KDC compromise; its
  306. authors believe that its relatively simple extensions for initial
  307. authentication provide perhaps 80% of the benefits which public-key
  308. cryptography can offer to Kerberos.  In the proposed approach, users are
  309. registered with public keys in order to prove (via preauthentication)
  310. their identity to the KDC. Use of a public-key algorithm capable of
  311. encryption (e.g., RSA, elliptic curve) rather than a signature-only
  312. algorithm is required.  Denis Pinkas expressed concern about the export
  313. implications of the implied requirement for use of a strong-length
  314. encryption key, but others observed that the usage described would
  315. likely qualify as ``encryption in support of authentication.''  Users'
  316. private keys can, as one option, be stored (password-encrypted) on the
  317. Kerberos server.
  318.  
  319.  
  320.  
  321. Kerberos Extensions:  Kerberos One-Time Passwords
  322.  
  323. draft-ietf-cat-kerberos-passwords-00.txt
  324.  
  325. Glen Zorn (CyberSAFE) led a discussion on this Internet-Draft; a working
  326. update to the draft was sent by e-mail to the CAT list during the IETF
  327. week.  Some questions are embedded in the e-mailed version; a follow-up
  328. Internet-Draft will intercept outstanding issues.  Glen solicited review
  329. and discussion, specifically flagging a need for qualified review of the
  330. proposed ASN.1 syntax.  Identified changes include renamed protocol
  331. fields, inclusion of a previously-missing field for transfer of a
  332. passcode, and support for a list of identified KDCs and for redirection
  333. among them.  Device IDs are to be registered via IANA. Public-key
  334. passcode encryption will be treated in a separate document.  It is
  335. believed that this document represents the first appearance of
  336. user-displayed text within a Kerberos protocol, thereby raising
  337. internationalization issues:  as an approach, it was proposed that a
  338. language identifier be configured for each registered user.  Topic for
  339. investigation:  is the GeneralString type sufficiently general to
  340. accommodate variant character sets?
  341.  
  342.  
  343. Secure Socket Layer (SSL) Presentation
  344.  
  345. Taher Elgamal (NetScape) gave a presentation on Secure Socket Layer
  346. (SSL), developed by NetScape.  A protocol description document is
  347. available, but was not in Internet-Drafts as of the time of the meeting.
  348. A reference implementation (SSLref) is available from NetScape.  SSL
  349. requires TCP or other reliable transport and provides an socket-derived
  350. API; it is intended as a means to protect a range of application-layer
  351. protocols.
  352.  
  353. SSL provides transaction-oriented privacy, authentication, and integrity
  354. services; it does not provide non-repudiation.  Encryption is always
  355. performed; 40-bit exportable algorithms are supported and indicated with
  356. different algorithm identifiers.  Service negotiation facilities are
  357. included within the SSL protocol; it was observed that key size
  358. negotiation was not itself cryptographically protected.  Supported
  359. algorithms include DES, RC2, RC4, IDEA, triple DES, RSA, master-key
  360. seeded MD5, and MAC. Separate session keys are used in the client-server
  361. and server-client directions; this property was described as desirable
  362. for use with RC4.  In the interests of performance, key generation is
  363. performed using MD5 and a single master key may be reused for generation
  364. of per-connection session keys for multiple TCP connections.  Perfect
  365. forward secrecy is not provided.
  366.  
  367. SSL is based on (X.509) public-key certificates; a server-side
  368. certificate is required but a client-side certificate (and, therefore,
  369. client authentication to a server) is optional.  A client must possess
  370. an issuer's public key via out-of-band means in order to validate a
  371. server's certificate.  In the current protocol, only a single level of
  372. certification is supported; it was stated, however, that this limitation
  373. is not fundamental and that support for certificate chains could be
  374. incorporated.  Certificate revocation lists (CRLs) are not supported.
  375.  
  376. Indicated future plans for SSL include Diffie-Hellman key negotiation,
  377. improved certificate management (chains, larger RSA keys, PKCS #7 and
  378. PEM formats), and responses to requests from individuals, organizations,
  379. and standards groups.
  380.  
  381. Audience questions sought to position SSL relative to existing IETF
  382. Security Area activities.  Relative to IPsec, Taher stated that SSL does
  383. not provide functions which IPsec omits, but offers the virtues of being
  384. available today and of being performable within an application.
  385. Relative to CAT, he observed that SSL was simpler; it was also observed
  386. that SSL might be supportable as a CAT mechanism.  Piers McMahon
  387. commented that SSL was very much like the SOCKS protocol under
  388. discussion in the AFT Working Group, with the exception that SSL, unlike
  389. SOCKS, requires use of new port numbers.
  390.  
  391.  
  392. Actions Initiated and Pending
  393.  
  394.    o SPKM draft (draft-ietf-cat-spkmgss-02.txt) is out for working group
  395.      last call (to close 13 April) for advancement to Proposed Standard;
  396.      one issue concerning replay protection is being checked.
  397.  
  398.    o Resend revised working group charter to be submitted for IESG
  399.      approval.
  400.  
  401.    o FTP security Internet-Draft (draft-ietf-cat-ftpsec-06.txt) pending
  402.      specific edit, then to be released for working group last call for
  403.      advancement to Proposed Standard.
  404.  
  405.    o Updated drafts for GSS-V2 and GSS-V2 C bindings are targeted for
  406.      mid-May, then to be released for working group last call for
  407.      advancement as Proposed or Draft Standards.
  408.  
  409.    o Denis Pinkas to send summary of QOP position.
  410.  
  411.    o Denis Pinkas and Doug Rosenthal to issue revised negotiated
  412.      mechanism Internet-Draft in advance of July meeting.
  413.  
  414.    o Revised GSS-API Windows bindings Internet-Draft pending.
  415.  
  416.    o Cliff Neuman to send summary of RFC 1510 checksum issue.
  417.  
  418.