home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / cat / cat-minutes-96dec.txt

< prev

next >

Wrap

Text File  |  1997-01-30  |  26KB  |  505 lines

---

1. Editor's note:  These minutes have not been edited.
2.  
3. [Note to WG members: some points have been added here relative to the
4. draft version which I sent to the list on Tuesday, reflecting comments
5. and notes received from attendees.]
6.  
7. CAT WG MINUTES, 1996 SAN JOSE IETF
8.  
9. Reported by John Linn (OpenVision).
10.  
11. GENERAL SUMMARY
12.  
13. The Common Authentication Technology (CAT) WG met for two sessions at 
14. the 1996 San Jose IETF.  The primary topic of the first session was 
15. resolution of outstanding issues affecting the GSS-V2 C bindings 
16. document.  Almost all issues were resolved.  Following on-list 
17. confirmation of one working position reached at the meeting, we 
18. anticipate that one further revised I-D will be produced and targeted 
19. for WG Last Call.  Specific points and corrections to be made to the 
20. high-level GSS-V2 document will be captured in an errata document, to be 
21. reflected when that document is proposed for advancement to Draft.  The 
22. Simple Negotiation (SNEGO) document was also discussed, and an 
23. alternative approach in which the negotiation is protected against 
24. active attack was requested and development of a proposal was 
25. volunteered; further consideration of SNEGO's standards advancement was 
26. deferred until February 1997, anticipating that SNEGO and the alternate 
27. proposal will be compared at that time.  
28.  
29. The recently-updated FTP security I-D will be placed into WG Last Call 
30. for advancement to Proposed Standard following the meeting.  
31. Presentations were received on the new Kerberos pk-cross I-D, new key 
32. derivation I-D's, and the recently-updated Kerberos pk-init, SESAME 
33. mechanism, and gss-idup I-Ds, engendering several active discussions.  
34. Revisions for pk-init, pk-cross, gss-idup, and key derivation I-Ds are 
35. planned in response to comments. An update to RFC-1510 is anticipated by 
36. 15 January 1997, and its planned content areas were summarized. Although 
37. not official CAT WG work items, brief status talks were also received on 
38. SASL and Ident extensions. 
39.  
40. GSS-V2 C BINDINGS
41.  
42. Following agenda review, most of the first session was devoted to
43. discussion of the GSS-V2 C bindings document.  The discussion was led
44. by John Wray (Digital), the document's editor, who summarized known
45. issues and then revisited those requiring further discussion.  The
46. most contentious topic was memory allocation of OIDs (the
47. "GSS_Release_OID" issue).
48.  
49. Working rules of engagement were noted for resolution of GSS C
50. bindings issues.  Desirably, approaches which do not impact the
51. high-level specification are to be preferred.  Any changes needed to
52. the high-level specification will be recorded in a working errata
53. document, and reflected into the specification at its next standards
54. action (i.e., when advancement to Draft Standard is contemplated).  It
55. was observed in discussion that most such changes encountered were
56. clarifications applicable to "corner cases", not inconsistent with the
57. high-level specification's current status as soon-to-be Proposed
58. Standard.
59.  
60. The following point was noted in opening discussion of the C bindings
61. document: the current C bindings draft states that credential elements
62. cannot be added to the default credential (gss_add_cred() description
63. discusses behavior in this case); this needs to be flagged in errata
64. for the high-level specification. Following is a list of further
65. issues discussed.  No new issues were opened at the meeting beyond
66. those which are enumerated here and which had previously been opened
67. by E-mail.
68.  
69. #1: A tightened description had been requested about the behavior of
70. gss_import_name() with GSS_C_NULL_OID as input.  Ted Ts'o had noted a
71. presumption that use of the host-based service name form would result
72. but John Wray disagreed, stating that this behavior shouldn't be
73. constrained and that a local GSS implementation should be free to
74. interpret a default name type based on local information. Marc
75. Horowitz stated that host-based service is the common case, but that
76. this won't necessarily hold universally.  Bill Sommerfeld noted that
77. different existing implementations behave differently (e.g., observed
78. in DCE experience).
79.  
80. The following possibilities exist: Prohibit, define strictly, leave as
81. a local matter (making clear that different mechanisms and different
82. instances of the same mechanism may interpret differently).  Our
83. working agreement (impacting both C bindings and high-level
84. specifications) is as follows: State that GSS-V2 mechanism specs shall
85. define the behavior of the GSS_C_NULL_OID type for their mechanisms;
86. these may, and likely will, be partly and algorithmically dependent on
87. local information.
88.  
89. #2: Changes as summarized on the mailing list re
90. gss_inquire_mechs_for_name() and nametype OIDs have been incorporated.
91.  
92. #3: A contentious issue, impacting both C bindings and high-level
93. specifications, concerns treatment of OID management routines and
94. memory allocation issues.  Extensive follow-up E-mail discussion had
95. ensued, including suggestions to eliminate dynamic OIDs and various
96. calls. The basic question is: which OIDs and OID sets must callers
97. release?  Ted Ts'o related history: many GSS-V1 calls return OIDs,
98. which are static.  In the GSS-V1 spec, no routines returned dynamic
99. OIDs, though dynamic OID sets were returned.  GSS-V2 added new
100. convenience routines which returned dynamic OIDs, introducing the
101. possibility that both types of OIDs could exist.  By implication,
102. either the caller application or the GSS_Release_OID implementation
103. needs to be able to distinguish one type of OID from the other.  This
104. is difficult in multi-mechanism implementations since the glue layer
105. can't tell about the static OIDs within individual mechanisms.  If the
106. new convenience functions were to be removed, these issues would
107. become moot.
108.  
109. A slide was presented summarizing the three proposals which had been
110. presented by E-mail before the meeting:
111.  
112. #3-1. Delete gss_release_oid(), specify that all OID sets (but not
113. OIDs) returned by GSS calls must be released, replace gss_str_to_oid()
114. with gss_add_oid_set_member_str(). (Withdrawn in favor of #3-3.)
115.  
116. #3-2. Redefine OID and OID set structures, state that all GSS-returned
117. OIDs and OID sets must be released, make return of all OIDs and OID
118. sets optional to callers.  (Rejected for lack of backwards
119. compatibility with GSS-V1.).
120.  
121. #3-3. Remove gss_str_to_oid(), gss_oid_to_str(), and gss_release_oid()
122. from specifications.  (Dennis Glatting (CyberSAFE) had commented on
123. the mailing list that he'd seen value in the routines which this
124. proposal would remove; Ted Ts'o indicated skepticism as to these
125. routines' value but recognizes the argument and suggested that these
126. routines be moved into a new, separate mechanism-independent
127. convenience function document.)
128.  
129. Several additional proposals emerged during meeting discussion:
130.  
131. #3-4. Ted Ts'o introduced this proposal: retain dynamic OIDs, and make
132. applications responsible for knowing which OIDs to release as a
133. function of which routine they came from (or, per Bob Blakley (IBM),
134. based on different types).
135.  
136. #3-5. John Wray noted that the current spec (given specified
137. constraints) could be implemented as is.
138.  
139. #3-6. Define new "dynamic OID" types for these routines.
140.  
141. #3-7. Cache results of gss_str_to_oid().
142.  
143. A straw poll was taken of attendees to determine which of these
144. approaches they would consider tolerable: #3-1 (withdrawn); #3-2: 5,
145. #3-3: 10, #3-4: 9, #3-5: 1; #3-6: 9; #3-7: 1.  Based on this sampling,
146. it appeared that approaches #3-3, #3-4, and #3-6 were preferred, but
147. the latter two were new and therefore had not been previously reviewed
148. for broader implications. It was noted that adoption of #3-3 could
149. cleanly be accompanied by separate libraries (outside GSS-API) which
150. would provide these functions using their own allocation conventions;
151. in particular, it was considered desirable and possible that such
152. libraries could be made generally available by MIT. No attendees
153. indicated strong opposition to #3-3; the working position from meeting
154. discussion was to adopt this approach, but confirmation on the mailing
155. list is required. 
156.  
157. #4: New text has been added about behavior re empty strings, and empty
158. OIDs.
159.  
160. #5: New text has been added on gss_acquire_cred and gss_add_cred
161. behavior. 
162.  
163. #6: Clarification had been requested re empty tokens and on the
164. circumstances under which tokens may be returned.  This has been
165. handled in the C bindings draft and is an issue for the high-level
166. specification errata.
167.  
168. #7: New text has been added concerning the modifiability of the
169. default credential.
170.  
171. #8: Clarifications had been requested about which GSS-returned objects
172. must be released by a caller, and under what circumstances.  Some text
173. has been added to the bindings draft on this topic; further treatment
174. will be required to respond to the resolution of issue #3 above.
175.  
176. #9: A facility had been requested which, subsequent to context
177. establishment, could obtain any incoming delegated credential.  This
178. is particularly applicable to callers of gss_import_sec_context(),
179. which otherwise have no means within GSS-API to obtain delegated
180. credentials.  It was accepted in discussion that this should be
181. considered as a "2.1" issue (for both high-level and C bindings
182. specifications), to be supplied as a separate function, and that it
183. should not hold up V2 progression, and that a
184. "get_delegated_cred_from_context()" approach would be used rather than
185. a more generalized credential transfer facility which could open
186. broader policy issues.
187.  
188. #10: An explicit statement had been requested (for inclusion within
189. the high-level specification) that "release" routines can be omitted
190. in environments where they are not required. Bill Sommerfeld and
191. others noted in discussion that, even in garbage-collected
192. environments, an explicit release routine might be desired in order to
193. ensure that possibly-sensitive data is flushed.  Bob Blakley
194. considered such data flushing to be, instead, something which should
195. be handled within the mechanism.  Bill Sommerfeld agreed to propose
196. brief draft text on these issues for inclusion in the high-level
197. specification errata.
198.  
199. #11: Constraints had been requested on GSS_S_BAD_NAMETYPE returns from
200. name-related routines including gss_display_name() and
201. gss_compare_name(). These have been accepted and reflected in the C
202. bindings draft; the high-level specification needs to be aligned.
203.  
204. #12: This issue concerned use of the "const" keyword, usage of which
205. is new as of the GSS-V2 C bindings. John Wray observed that this
206. document specifies ANSI C bindings, and that use of const is therefore
207. appropriate.  Bill Sommerfeld commented that const poisoning can have
208. pervasive impact within implementations; Ted Ts'o had removed "const"
209. from the MIT Kerberos implementation after errors were encountered.
210. Given, however, the fact that the current bindings specification
211. applies "const" to input pointers only, there was apparent agreement
212. that its current usage shouldn't cause major problems.  Possible
213. follow-up list discussion may take place re the separate question of
214. future use of "const" on outputs.
215.  
216. #13: Changes to gss_release_buffer() text in current C bindings draft,
217. made in response to comments, were agreed to be sufficient.
218.  
219. #14: This issue concerned the behavior of gss_release_cred(), in
220. particular the effect of releasing the default credential.  The C
221. bindings prohibit releasing, while the current high-level
222. specification allows this case; the working proposal is to align the
223. high-level specification to match the C bindings.
224.  
225. #15: Deprecation of CREDENTIALS_EXPIRED returns from context-level
226. calls had been requested and accepted.  This has been done in the C
227. bindings; the high-level specification will align in its errata to
228. match.
229.  
230. #16: Text changes in the C bindings document have resolved detailed
231. points about context expiration policy.
232.  
233. #17: E-mail discussion and text changes in the C bindings document
234. have clarified and resolved a parameter optionality issue.
235.  
236. #18: The C bindings document's ABI appendix has been revised to
237. include added text re shared library conventions, and the result was
238. considered acceptable.
239.  
240. #19: Elaboration and changes had been requested to
241. GSS_Duplicate_name() and GSS_Canonicalize_name(), aligning the C
242. bindings with the high-level specification and, in both
243. specifications, rejecting GSS_S_BAD_NAMETYPE returns as discussed for
244. #11 above.  These changes were accepted.
245.  
246. #20: Clarification was requested, for the high-level GSS-V2 document,
247. concerning cases of processing anonymous names.  A statement was
248. requested that the content of the name string is a "don't care" if its
249. associated name type indicates "anonymous name".  Further discussion
250. on this point was remanded to the mailing list.
251.  
252. SIMPLE NEGOTIATION (SNEGO)
253.  
254. Denis Pinkas (Bull) led discussion on the current simple negotiation
255. (SNEGO) draft, draft-ietf-cat-snego-02.txt.  Approximately 10
256. attendees indicated familiarity with this draft or its
257. predecessors. An available implementation exists. There had been some
258. mailing list discussion over the summer about cryptographic protection
259. of negotiation.  While the snego design cannot negotiate a result
260. which is outside either peer's acceptable set, it is not protected
261. against an active attack forcing less-preferred members of that set to
262. be selected.  Such protection would add complexity and would require
263. that a choice be made as to what protection mechanism is to be used
264. for purposes of protecting the negotiation.  Denis noted, further, the
265. fact that support for per-message protection is not required in order
266. to comprise a conformant GSS-API mechanism; the FIPS JJJ mechanism
267. design which had previously been presented to the CAT WG was cited as
268. a concrete example of a mechanism providing no per-message protection
269. services.
270.  
271. John Wray suggested that negotiation proposals could be reconfirmed
272. (via gss_get_mic() on selection parameters) using the mechanism which
273. is eventually selected through negotiation.  This led to the
274. (unreconciled) question: "would you use 40-bit crypto if a statement
275. protected by 40-bit integrity told you that you had to"?  The
276. suggested paradigm to comprise a protected negotiation would imply
277. that SNEGO would need to continue control through more transaction
278. phases than it does currently. Marc Horowitz proposed to circulate a
279. draft for such a scheme to the WG during January. Bill Sommerfeld
280. stated that he doesn't consider unprotected SNEGO to be appropriately
281. useful.
282.  
283. John Wray raised another issue about the SNEGO draft, suggesting that
284. intra-mechanism options shouldn't have to be in the original
285. mechanism's OID tree, in order to allow independent extensions even if
286. not for standards purposes.  This would imply a change to SNEGO to
287. allow choice of separate OIDs for options.
288.  
289. Following a straw poll of attendees, our working position is to wait
290. until February to reconsider SNEGO advancement; at that time, the WG
291. will compare SNEGO with Marc Horowitz's anticipated draft for
292. protected negotiation and will decide in which direction to proceed.
293.  
294. RFC-1510 UPDATE, KERBEROS-PASSWORDS I-D
295.  
296. Cliff Neuman (ISI) presented status on the pending RFC-1510 update
297. (targeted for 15 January) and on the kerberos-passwords draft. The
298. kerberos-passwords I-D needs to be reviewed for possible alignment
299. with Cygnus-developed code.  Planned changes to RFC-1510 include:
300. incorporation of key derivation material, updating of assigned
301. numbers, description of extensions specified elsewhere (e.g.,
302. preauthentication data), possible triple-DES support, and updates to
303. match the accumulated errata list maintained with the MIT Kerberos
304. distribution.  It needs to be determined whether any of the RFC-1510
305. changes will imply corresponding changes to RFC-1964, and this
306. question warrants follow-up mailing list discussion; Marc Horowitz
307. commented that some new algorithm specifiers may imply a need for such
308. changes.
309.  
310. KERBEROS PK-INIT I-D
311.  
312. Brian Tung (ISI) led discussion on the recently revised Kerberos
313. pk-init draft, co-authored with Cliff Neuman, Jonathan Trostle
314. (CyberSAFE), and John Wray.  Approximately 8 attendees indicated
315. familiarity with this draft.  Changes since the version discussed at
316. the last meeting include addition of KDC recovery facilities and
317. Diffie-Hellman support.  Alpha-level software exists for use with
318. Kerberos V5 Beta 6; availability will be announced when
319. suitable. Future plans, to be addressed in an upcoming -03 draft,
320. include: reorganization, support for multiple private keys on KDC,
321. and resolution of other outstanding issues.
322.  
323. Denis Pinkas observed within the draft the presence of three options:
324. RSA encryption, Diffie-Hellman encryption, and a digital signature
325. scheme (which is not described as fully as the others).  He opened the
326. issue of which should be mandatory, and/or whether any should be spun
327. into separate document(s), recommending the use of a digital signature
328. method.  Denis believed that the scheme for storage of user private
329. keys in the KDC may be covered by a Digital patent; John Wray wasn't
330. aware of such a patent but stated that he would check on this
331. question.  Denis also asked about the patent status for use of the
332. Diffie-Hellman approach.
333.  
334. Brian requested that any discussion of the KDC recovery text be taken
335. outside the meeting, since this text has already been significantly
336. reorganized relative to the -02 draft and, according to Brian, "may be
337. dropped".  Some sentiment emerged in discussion that this mode should
338. be removed.  Bill Sommerfeld commented his perception that the current
339. protocol has too many options, and also stated that he has implemented
340. the RSA mode based on the -01 draft and that this implementation will
341. be in DCE 1.2.2.  Bill had made some suggestions based on his
342. implementation experience and which are reflected in his
343. implementation; these may already be incorporated into the -03 version
344. of the text.
345.  
346. Ted Ts'o observed that pk-init's original requirements weren't clear,
347. believed that this fact has promoted the current profusion of options,
348. and asked, "where and how do we go from here?".  The ISI reference
349. implementation will implement all options, and is targeted to apply
350. against KV5 1.0.  A new -03 draft will be submitted, after possible
351. further changes, as a basis for continuing discussion.
352.  
353. KERBEROS PK-CROSS I-D
354.  
355. Brian Tung led a discussion on the new Kerberos pk-cross I-D; the goal
356. of this scheme is to employ public-key technology in order to
357. establish Kerberos inter-realm keys "on the fly".  As Bill Sommerfeld
358. had noted in mailing list discussion, the currently-proposed scheme
359. does not address replicated KDCs.  An -01 version responding to this
360. issue and other suggestions (e.g., to improve response time) is
361. targeted for mid- January. A scheme for transfer of protocol elements
362. within tickets may be introduced, to get around lack of direct
363. inter-KDC paths; there was some controversy about this, but a concrete
364. proposal will be reviewed once it emerges.  Bill Sommerfeld is likely
365. to join as a new co-author of this draft, and notes that its
366. implementation can leverage significant common code with pk-init.  An
367. off-list discussion on pk-cross has been active, which Brian stated
368. that he would summarize to the CAT-WG mailing list.
369.  
370. SESAME MECHANISM I-D
371.  
372. Denis Pinkas led a discussion on the SESAME mechanism I-D (-01
373. version): 4 attendees indicated that they had read either the current
374. or previous version of this draft. A related SESAME architecture
375. document is available on the Web via
376. http://www.esat.kuleuven.ac.be/cosic/sesame/doc-txt/overview.txt or
377. (with PostScript and graphics) at
378. http://www.esat.kuleuven.ac.be/cosic/sesame/doc-ps.html.  Denis cited
379. the following SESAME goals and characteristics:
380.  
381. - Allows both unilateral and mutual authentication using loosely
382. synchronized clocks.
383.  
384. - When unilateral authentication used, no additional message is
385. needed, so an init token, wrapped token, and close token can be
386. concatenated and transferred in a single message.
387.  
388. - Today's SESAME Privilege Attribute Certificates (PACs) can carry
389. group memberships and roles; in future, clearances or capabilities can
390. be supported.
391.  
392. - Uses push model of privilege transfer, described as enabling
393. principle of least privileges by presenting and disclosing only needed
394. privileges.
395.  
396. - Privileges are directly guaranteed by original vouching authority,
397. not translated by intermediaries.
398.  
399. - Privilege transfer scheme is independent of key management scheme. 
400. Multiple key management schemes are supported.  
401.  
402. - Delegation control is a central feature: delegation can be
403. restricted to specific targets or to groups of targets. Denis noted
404. that XGSS provides an API which be used to modulate this facility.
405.  
406. SESAME's GSS-API mechanism re-uses Kerberos and SPKM structures,
407. incorporating them into a broader framework; PACs, however, are
408. SESAME-defined.  Ted Ts'o asked about the desired disposition of the
409. SESAME mechanism document, which has so far received limited
410. readership within the CAT WG. John Wray asserted that the current
411. SESAME mechanism I-D, less the architecture document, did not appear
412. self-sufficiently complete to enable independent implementations, but
413. this was debated. Stephen Farrell (SSE) observed that SESAME already
414. handles many of the goals being addressed by pk-cross.
415.  
416. The question was raised, "What's the state of interoperability between
417. SESAME and a Kerberos KDC?"  It was stated that, per prior testing, a
418. SESAME client can obtain tickets from an MIT Kerberos server. Ted
419. noted that this interoperability is analogous to (though somewhat
420. different from) the MIT-DCE interoperability case, and that
421. Microsoft's intended Kerberos usage case presents another variant
422. which is similar in some respects although, like SESAME, incorporating
423. different authorization data.  Attending SESAME participants indicated
424. their openness to make changes if discussed.
425.  
426. GSS-IDUP I-D
427.  
428. Carlisle Adams (Nortel) led discussion on the -06 version of the GSS-
429. IDUP draft, stating that it was little changed from -05.  He had added
430. IDUP_SE calls, comprising a simplified API supporting signing and
431. encryption in single-buffer and multi-buffer modes, intending that
432. this would become the primary interface for all callers who use just
433. those functions.  Signing and encryption functions, however, would
434. also remain accessible through the previously-defined IDUP calls.
435. From mechanism implementations' perspective, the IDUP_SE calls can be
436. directly mapped to existing calls.  Carlisle described IDUP_SE as
437. being suitable for "straightforward" enveloping protocols (S/MIME,
438. PEM, MOSS, PGP), but not for access to extra facilities such as are
439. available in MSP.
440.  
441. Most comments which had been received against the previous IDUP draft
442. related to the parameter bundle construct.  Meeting attendees
443. requested that "sign-and-encrypt" and "encrypt-and-sign" operations
444. (in both orders), be provided via IDUP_SE; Carlisle had planned that
445. this level of flexibility would be provided in the general, non-SE
446. interface, though it has not yet been incorporated there. It was
447. observed in discussion that the currently proposed nesting of
448. signature and encryption is incompatible with current PGP (though this
449. should change with PGP 3 packet formats) or with MOSS.  Carlisle
450. accepted an action to add more options for protection modes.  A strong
451. request was made that compatibility with S/MIME, PEM, MOSS, and PGP
452. should be possible.
453.  
454. FTP SECURITY AND KEY DERIVATION I-Ds
455.  
456. Marc Horowitz presented status on the recently updated FTP security
457. Internet-Draft; all but one of its changes relative to its predecessor
458. are clarifications which do not impact functional behavior.  He noted
459. that multiple vendors are shipping FTP security implementations. While
460. relatively few attendees had read the most recent version, a large
461. number were familiar with earlier versions.  Our working position is
462. that, following the IETF meeting, the current version is to be placed
463. into WG Last-Call for advancement to Proposed Standard.  A question
464. was raised about the position of FTP security, and of
465. security-integrated versions of other IETF application protocols,
466. given the alternate prospect of SSL/TLS usage; the intent is that both
467. types of approaches can proceed in standardization and that the
468. marketplace (or sectors thereof) can select and adopt as appropriate.
469.  
470. Marc also summarized the status of the recently-released key
471. derivation Internet-Drafts; some changes will be made based on
472. comments received from cryptographers, and additional comments (e.g.,
473. requests for test vectors and improved clarifying text) were made.  It
474. was also noted that key derivation would be reflected for Kerberos
475. purposes in the RFC-1510 update, in order to support triple-DES.
476.  
477. OTHER CAT-WG I-Ds
478.  
479. Work on the IDUP C bindings document is currently idle.  The Windows
480. GSS bindings document is currently in Ted Ts'o's hands, pending
481. revision work.
482.  
483. SIMPLE AUTHENTICATION AND SESSION LAYER (SASL)
484.  
485. John Myers (CMU) presented brief comments on the latest SASL draft,
486. which includes description of an IANA registration facility; use of an
487. "X-" naming scheme had been suggested, but John argued rationale for
488. use of IANA registration instead. A SASL mailing list has been
489. established at ietf-sasl@imc.org; with requests to
490. ietf-sasl-request@imc.org; it was reported that some level of
491. discussion had taken place on that list. A Last-Call on SASL, which is
492. not a formal work item of an IETF WG, will be attempted on that list.
493. No GSS-API SASL implementation exists currently, but John stated that
494. he expects this status to change soon.
495.  
496. IDENT EXTENSIONS
497.  
498. A brief discussion was led by Bob Morgan (Stanford) re ident
499. extensions (draft-morgan-ident-ext-02.txt), an approach layered on
500. SASL and enabling an application server to call back to a client
501. system to request that strong authentication corresponding to an
502. inbound connection be delivered to the server across a path separate
503. from the connection itself.
504.  
505.