home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / cat / cat-minutes-96jun.txt < prev    next >
Text File  |  1996-10-07  |  22KB  |  421 lines
  1. Editor's note:  These minutes have not been edited.
  2.  
  3.  
  4. COMMON AUTHENTICATION TECHNOLOGY (CAT) MINUTES, 
  5. Montreal IETF, June 1996, reported by John Linn (OpenVision). 
  6.  
  7. The CAT WG met for two sessions at the Montreal IETF, on Wednesday 
  8. and Thursday.
  9.  
  10. DOCUMENT STATUS REVIEW
  11.  
  12. The status of CAT WG Internet-Drafts was summarized. 
  13.  
  14. The former draft-ietf-cat-kerb5gss-07.txt is now RFC-1964. 
  15.  
  16. Two CAT WG I-Ds (draft-ietf-cat-spkmgss-06.txt, draft-ietf-cat-gssv2-
  17. 06.txt) have completed IETF Last-Call and are now in IESG hands. Jeff 
  18. Schiller (MIT, Security Area Director) indicated that he expected the 
  19. IESG to vote on these drafts on 11 July and/or 25 July for advancement to 
  20. Proposed Standards, and that he anticipated positive results. 
  21. Regarding SPKM, Jeff noted that the impasse which had placed this 
  22. draft on hold for an extended period in response to public-key licensing 
  23. issues appears to have been resolved. 
  24.  
  25. One I-D (draft-ietf-cat-snego-01.txt) had been offered for CAT WG 
  26. Last-Call. This draft, concerning the GSS-API negotiated mechanism, 
  27. had received only limited review and comment during the WG Last-
  28. Call period proposed on the mailing list, and the apparent sense of the 
  29. meeting was, therefore, that no strong consensus for advancement had 
  30. yet been achieved. The comment period was extended to 20 July to 
  31. solicit review by additional WG members, and the draft's status will 
  32. be reviewed thereafter. A suggestion was made that, if active 
  33. involvement remains limited, the draft should be considered for 
  34. Experimental status.
  35.  
  36. Status of other CAT WG I-Ds:
  37.  
  38. - draft-ietf-cat-sesamemech-00.txt: Was to have been revised June 
  39. 1996, per Tom Parker (ICL)'s 29 May E-mail to CAT list. 
  40. Approximately 4 attendees indicated familiarity with the draft. 
  41. Stephen Farrell (SSE) commented that a revision will be issued in 
  42. approximately 2 weeks, responding to comments which had been 
  43. received. 
  44.  
  45. - draft-ietf-cat-xgssapi-acc-cntrl-00.txt: To be revised June 1996, per 
  46. Tom Parker's 29 May E-mail to CAT list. Approximately 3 attendees 
  47. indicated familiarity with the draft. Denis Pinkas (Bull) will send a 
  48. message to the mailing list, soliciting broader review and comment. 
  49.  
  50. - draft-ietf-cat-wingss-00.txt: To be revised by Piers McMahon (ICL) 
  51. and/or Ted Ts'o (MIT), per 3 June E-mail to CAT list. Ted Ts'o is willing 
  52. to take this draft and update it to reflect GSS-V2 and to support both 
  53. Win16 and Win32 environments, assuming that the nroff source can be 
  54. obtained (John Linn and Ted Ts'o to coordinate with Piers McMahon).
  55.  
  56. - draft-ietf-cat-gssv2-cbind-01.txt: I-D revision in progress; July 
  57. availability target.
  58.  
  59. - draft-ietf-cat-kerberos-pk-init-01.txt: Revised Internet-Draft posted. 
  60. Further discussion was held later in the meeting (see separate section of 
  61. minutes).
  62.  
  63. - draft-ietf-cat-ftpsec-08.txt: I-D revision in progress. I-D currently 
  64. expired; to be renewed or revised. 
  65.  
  66. - Pending revision of RFC-1510. Revision targeted for early July. 
  67. Further discussion was held later in the meeting (see separate section of 
  68. minutes).
  69.  
  70. - draft-ietf-cat-kerberos-passwords-xx.txt (draft currently expired.) 
  71. Approximately 8 attendees indicated familiarity with the draft. Glen 
  72. Zorn (Microsoft), the draft's editor, indicated that Denis Pinkas' 
  73. comments were the only ones currently pending against this document, 
  74. and some mailing list discussion ensued during the meeting week. Denis 
  75. considers the draft a framework, which is not in itself sufficient to 
  76. support independent implementations, but Glen believes that the 
  77. document is suitable as a basis for implementation and essentially 
  78. ready for advancement. The draft is to be renewed, made available to 
  79. the list, or revised within two weeks as a basis for continuing 
  80. discussion.
  81.  
  82. GSS TOKENS IN CONNECTIONLESS ENVIRONMENTS 
  83.  
  84. Denis Pinkas gave a presentation on a proposed approach for use of GSS 
  85. tokens in connectionless environments. His goal was to define procedures 
  86. for using GSS tokens in a special manner, only for use with mechanisms 
  87. supporting this optional technique. Use of this approach is restricted to 
  88. mechanisms which can establish a context with a single context 
  89. establishment token and which can send a protected message along 
  90. with that token. Such mechanisms cannot, therefore, engage in 
  91. challenge/response interactions at context establishment time. It was 
  92. noted that mechanisms already exist for which single-token context 
  93. establishment cases can be valid; this facility allows usage of this 
  94. characteristic, when known, to be optimized. Ted Ts'o criticized such 
  95. usage as intrinsically non-portable across the general set of GSS-API 
  96. mechanisms and thereby contributing to mechanism specificity on the 
  97. part of callers. 
  98.  
  99. Considering specifics of Denis' proposal, his suggestion was to send a 
  100. fixed-length header (64 bits) in front of tokens, to be used as a reference 
  101. to cached tokens. The header would be a 32-bit Unix time concatenated 
  102. with a 32-bit random number, and would effectively be used to define a 
  103. security context and make subsequent references to it. Denis suggested 
  104. that return of GSS_COMPLETE status from an initial 
  105. GSS_Init_sec_context() call could be used to recognize a mechanism's 
  106. inclusion of the caching support facility, without requisite changes to 
  107. the current GSS-V2 document, but John Linn observed that this would be 
  108. ambiguous, given the fact of currently-existing mechanisms for which 
  109. single token context establishment sequences were valid. Marc 
  110. Horowitz (Cygnus) asked what standards status was desired for this 
  111. proposal; Denis did not have a specific position on this question. Marc 
  112. also commented on his perception that the proposal's goal was more 
  113. appropriately construed as an application issue than a security issue. 
  114.  
  115. Ted Ts'o commented that his perception of the proposal's motivation 
  116. was targeted towards support for an "academic definition of 
  117. connectionless protocols", and further stated a premise that, by design 
  118. and intent, replayed context establishment tokens (or references 
  119. thereto) should be rejected. Bill Sommerfeld (HP) commented that he 
  120. didn't view the proposal as simplifying to applications, and suggested 
  121. that GSS usage in connectionless environments requires instead 
  122. assignment and management of IDs by a layer above. An attendee asked 
  123. whether a facility such as Denis proposed might be applicable to usage 
  124. in CGI proxies, but no clear conclusion was apparent; Simon Cooper 
  125. posed the question of whether GSS-IDUP would be suited to satisfy 
  126. such requirements. 
  127.  
  128. IDUP
  129.  
  130. Carlisle Adams (NorTel) led a discussion on current status and issues for 
  131. IDUP. Approximately 6 attendees indicated that they were tracking 
  132. the documents. Related drafts: draft-ietf-cat-idup-gss-05.txt, draft-
  133. ietf-cat-idup-cbind-02.txt, and
  134. draft-ietf-cat-pim-01.txt. Carlisle provided an overview of IDUP 
  135. facilities, and then summarized and responded to a set of questions 
  136. which he'd received about IDUP from various sources. Carlisle's 
  137. questions and answers about IDUP rationale (paraphrased here by 
  138. editor):
  139.  
  140. - Q: We already have MOSS, MIME, etc, and applications now using 
  141. these don't need a new API, so is it useful to define one? A: All of these 
  142. protocols exist, and don't appear likely to converge, so an API enables 
  143. useful portability.
  144.  
  145. - Q: I've heard that IETF doesn't do APIs, so why is this a valid 
  146. activity? A: IDUP's scope is consistent with GSS-API, which is an 
  147. accepted IETF activity.
  148.  
  149. - Q: I'm just interested in authentication and confidentiality, so why 
  150. does IDUP provides functionality which I don't really need? A: If not 
  151. already needed, non-repudiation facilities will be needed soon in order 
  152. to support electronic commerce.
  153.  
  154. - Q: IDUP looks too complicated. Can't it be simpler? A: In simple cases, 
  155. many parameters accept default and "don't care" values. 
  156.  
  157. David Kurn (Tandem) commented that, in working with IDUP, he had 
  158. encountered needs to use mechanism-specific facilities more frequently 
  159. than with base GSS-API; he acknowledged, however, more detailed 
  160. familiarity with IDUP than with base GSS. Denis Pinkas commented 
  161. that he would like to remove mechanism-specific parameters from the 
  162. IDUP specification. Carlisle asserted that selection of the default 
  163. mechanism allows a sufficiently rich service to be useful. 
  164.  
  165. Technical issues were discussed regarding the facts that (1) some IDUP 
  166. mechs (PGP/MIME, e.g.) do their own transport encoding, and (2) that 
  167. interoperability between IDUP-based and non-IDUP peers was 
  168. functionally desirable but might not always be achievable. The current 
  169. IDUP specification uses the same token framing as is defined for base 
  170. GSS-API; it was suggested that perhaps IDUP framing should become 
  171. 7-bit safe. Ted Ts'o requested more clarification about how IDUP mechs 
  172. are to be used.
  173.  
  174. Minor changes have been made in the idup-05 draft, including new 
  175. "File_Protect" and "File_Unprotect" calls which reference file 
  176. handles. Carlisle commented that he had recommended against 
  177. inclusion of these calls, which were incorporated in response to 
  178. implementor requests. The apparent sense of attendees was that these 
  179. file-level calls should be deprecated for standardization purposes. 
  180.  
  181. Regarding status of IDUP mechanism specifications, the recent and 
  182. current P7IM I-D describes one IDUP mechanism. Carlisle suggested 
  183. that PIM should transition to Experimental status; Informational 
  184. and/or Historic status was suggested by others. Carlisle stated that a 
  185. specification for a MOSS IDUP mechanism spec may be coming by 
  186. December and that implementation work is underway. Nortel has a 
  187. currently-internal MSP IDUP mechanism spec; some interest was 
  188. indicated by attendees in publication of this material as an 
  189. Informational RFC if the text can be made available. 
  190.  
  191. Re implementation status: most implementations have been done by 
  192. Nortel, and are not public domain, but interoperability testing is 
  193. solicited. Implementation activity re the PEM-based mechanism is on 
  194. hold, an MSP implementation is complete, and PKCS#7 alpha code is 
  195. complete; MOSS-based mechanism (not by Nortel) development is in 
  196. progress. Carlisle anticipates that a PGP mechanism will be done, but 
  197. this work hasn't started yet.
  198.  
  199. SASL
  200.  
  201. John Myers (CMU) led a discussion on his SASL draft (successor to RFC-
  202. 1731), which about 4-5 attendees have been following. SASL adds a 
  203. command to a protocol to identify a named mechanism (Kerberos V4, 
  204. GSS-API, SKEY). A SASL server and client exchange a sequence of 
  205. challenges and responses. Upon completion, the peers have negotiated 
  206. authentication, an authorization identity (username), protection 
  207. mechanism, and a buffer size. If a session layer is negotiated, it applies 
  208. to the rest of the protocol session. 
  209.  
  210. Changes since RFC-1731: specification of how to apply to protocols 
  211. other than IMAP, use of the service name namespace as defined for GSS 
  212. host-based services, establishment of a first-come, first-serve registry 
  213. of mechanism names. John Linn's comments on SASL were the only set 
  214. which had so far been posted to the CAT mailing list. 
  215.  
  216. Marc Horowitz asked, "why wasn't SASL being discussed in the TLS 
  217. WG?" John Myers responded that TLS approaches define and use new 
  218. port numbers, while SASL (like GSS-API) is intended for integration 
  219. within a self-contained protocol. Denis Pinkas offered some 
  220. terminology comments, and referenced the fact that security is 
  221. explicitly excluded from the ISO session layer and therefore suggested 
  222. renaming the SASL specification. Usage and implementation: John 
  223. Myers has done POP3 and IMAP with Kerberos V4; Ted Ts'o said that 
  224. GSS-ized POP is being considered; someone else commented that he's 
  225. implemented SASL with an "SSL-like" mechanism; it was reported 
  226. that Ned Freed was implementing with Diffie-Hellman and that an 
  227. SKEY implementation has also been done. John Myers commented that 
  228. several other activities, previously blocked pending advancement of 
  229. GSS-V2, are now blocking on advancement of the SASL document.
  230.  
  231. KERBEROS V5 BETA 6 UPDATE
  232.  
  233. Ted Ts'o (MIT) presented a status summary of KerberosV5 beta 6, which 
  234. was released on 6 June 1996. The FTP reference is ftp://athena-
  235. dist.mit.edu/pub/kerberos/README_BETA6. This version supports 
  236. UNIX (with OSF/1, SunOS, Solaris, and SGI known to work) and 
  237. Win16; Win32 and Macintosh support are on the way but not in beta 6. 
  238. FSF's autoconf facility is used. Client interfaces are stable; work is 
  239. currently in progress to incorporate an administration server donated by 
  240. OpenVision, which will be integrated into the distribution as of beta 7. 
  241. A Kerberos V4 backward compatibility server is available now, so it is 
  242. possible to drop in a V5B6 KDC as a replacement for a V4 KDC without 
  243. making client changes. GSSAPI V2 support is "almost but not quite 
  244. there"; the most recently added V2 calls are not included. It is still 
  245. necessary to fix a previously-typo'd reference to an OID (which had 
  246. been unintentionally usurped from the U.S. General Services 
  247. Administration (GSA) arc, but which, fortunately, was being 
  248. transitioned away from). Code for this fix has been written but is not in 
  249. the beta 6 distribution. Beta 6 has the beginnings, but not the 
  250. completion, of triple-DES support. 
  251.  
  252. SUNSOFT WORK ON GSS-API SECURITY FOR ONC RPC 
  253.  
  254. Mike Eisler (SunSoft, mre@eng.sun.com) gave a talk on SunSoft's work 
  255. on GSS-API Security for ONC RPC, which is being formally discussed 
  256. within the ONC RPC working group. The new authentication flavor is 
  257. called RPCSEC_GSS. An Internet-Draft is being written, and the work 
  258. will also be the subject of a presentation at the USENIX Security 
  259. Symposium in July.
  260.  
  261. The work was motivated by the fact that previously existing ONC 
  262. security flavors were weak, and had designed-in (unintended) 
  263. limitations. The former AUTH_UNIX (now AUTH_SYS) supported 
  264. only a fixed number of UNIX group IDs (gids), a limitation which 
  265. conflicted with operating system practice and was not extensible in a 
  266. standards-compatible fashion, AUTH_DES had too small a key, and 
  267. neither provided authentication or integrity. Mike believes that a 
  268. GSS-based solution satisfies requisite requirements. Most GSS-level 
  269. interfaces are exposed to ONC applications, but the GSS-API channel 
  270. binding facility wasn't well understood and was therefore omitted. The 
  271. rpc_gss_seccreate() call takes, among other arguments: name of target 
  272. service, string name of mechanism, QOP value. Using GSS-V2 calls, a 
  273. mapping can be accomplished from GSS mechanism-provided names 
  274. into UIDs; this library may be generalized for broader usage by non-
  275. RPC GSS-API callers.
  276.  
  277. The RPCSEC_GSS protocol is session-based like AUTH_DES and 
  278. AUTH_KERB, and is based on OpenVision's prior AUTH_GSSAPI 
  279. work. Context setup iterations are supported, with RPC-layer critical 
  280. sections around GSS calls. Data copies are optimized away for the 
  281. integrity-only verification case, using gss_sign(). When privacy is 
  282. provided, gss_seal() is used; both integrity and privacy cases prepend 
  283. sequence numbers to data. The server side verifies the following data: 
  284. version number of RPCSEC_GSS, service, context handle, sequence 
  285. number, checksum, and maintains a sequence number window. The ONC 
  286. level doesn't pass RPC credentials with replies; the verifier contains a 
  287. signature (generated with gss_sign()) of a request's sequence number. 
  288.  
  289. Mike presented a graph of observed performance; authentication-only 
  290. was almost the same as AUTH_NONE, integrity (with Kerberos V5, 
  291. DES_MD5) was about half the authentication-only throughput, and 
  292. privacy about half the integrity throughput. Mike commented that he 
  293. would like the GSS-API C bindings to accomodate operations which 
  294. didn't require buffer copies, and noted that cryptographic processing 
  295. bandwidth dominates for software implementations but that data 
  296. copies can assume greater relative significance in hardware-based 
  297. implementations. Martin Rex (SAP) commented that he would like 
  298. string-level references to mech OIDs.
  299.  
  300. A general comment was made in discussion that it would be valuable to 
  301. unify different references to crypto algorithms in different contexts 
  302. within the IETF. In RPCSEC_GSS, a shorthand table is used to 
  303. translate text strings into mechanism OIDs. Comment (Marc Horowitz): 
  304. it would be preferable to use native GSS constants for, e.g., QOP 
  305. representations. Initially, Sun plans to do its own multi-mechanism 
  306. packaging, but this might later be generalized to a more general 
  307. binding facility.
  308.  
  309. KERBEROS PK-INIT DISCUSSION
  310.  
  311. Brian Tung (ISI) led discussion on the Kerberos public-key initial 
  312. authentication (pk-init) draft, co-authored by Cliff Neuman, Brian 
  313. Tung, and John Wray. Changes made in the -01 version were 
  314. summarized. Pending issues include: incorporation of separate keys for 
  315. encryption and signature (accepted), addition of signature support for 
  316. DSS, and others. A new draft is to be submitted in 4-6 weeks; other 
  317. ongoing plans include prototype implementation, integration with 
  318. Kerberos V5 beta7, attempted demonstration of interoperability with 
  319. DCE public-key login, targeted advancement to Proposed Standard. 
  320. Bill Sommerfeld is also implementing pk-init. 
  321.  
  322. It was observed that pk-init affects initial ticket acquisition only, and 
  323. therefore provides (for Kerberos purposes) the same level of single sign-
  324. on (SSO) functionality as other login protocols. Currently, a client must 
  325. sign requests, and must decrypt responses. Brian Tung believes that 
  326. Denis Pinkas' issues have been addressed; John Linn suggested that a 
  327. cover message summarizing changes be sent along with (or before) the 
  328. new I-D. Cliff Neuman requested a WG Last-Call by end of summer. 
  329.  
  330. RFC-1510 UPDATE DISCUSSION
  331.  
  332. Cliff Neuman led discussion on the ongoing update to RFC-1510. 
  333. Identified purposes: integrate previous errata, update assigned 
  334. numbers, align specification with implementations regarding 
  335. encryption types, add new encryption types for triple-DES and SHA, 
  336. explain more clearly often-misunderstood aspects of protocol, 
  337. highlight often-overlooked areas of protocol, and explain means 
  338. through which certain hooks are intended to be used by separate 
  339. specifications. This update will not integrate OTP or PK-INIT, but will 
  340. list PA-DATA identifiers therefor.
  341.  
  342. Cliff posed the following questions (also to be sent to CAT list, 
  343. soliciting inputs for phase-in strategies): 
  344.  
  345. - Should/must compliant implementations support triple-DES SHA 
  346. encryption? Serious export problems were noted, suggesting that this 
  347. shouldn't be a "must". Marc Horowitz asserted that single-DES is 
  348. sufficient as an interoperability basis. Apparent sense of room: 
  349. "should".
  350.  
  351. - How much to deprecate single DES MD5, single DES MD4, single-DES 
  352. CRC? Apparent sense of room: "deprecate MD4, CRC, maintain single 
  353. DES MD5 as must".
  354.  
  355. - Where all existing implementations implement one of the deprecated 
  356. methods incorrectly, how do we fix?
  357.  
  358. Draft Internet Standard status requires independent implementation of 
  359. all features, and many Kerberos implementations share common code. 
  360. While this characteristic could complicate validation of 
  361. independence, Jonathan Trostle (CyberSAFE) and Stephen Farrell 
  362. commented that the CyberSAFE and SESAME implementations of RFC-
  363. 1510, respectively, were independent of the MIT code base. Ted Ts'o 
  364. further commented that Richard Ward at Microsoft was also working 
  365. on an independent implementation of RFC-1510.
  366.  
  367. Lively discussion ensued about migration to new cryptographic 
  368. algorithms. One suggestion for a "sunset clause", pre-establishing a 
  369. date beyond which use of particular algorithms would be discouraged, 
  370. was made. Glen Zorn argued for backward compatibility as a primary 
  371. requirement, and that technical decisions should not be driven by export 
  372. laws. Marc Horowitz asserted that the successor to RFC-1510 shouldn't 
  373. attempt to rank algorithms by strength. Ted Ts'o noted that the cross-
  374. product of all possible algorithm choices, independently defined, 
  375. would imply a need for large numbers of specifications, given the means 
  376. through which algorithm usage is structured in Kerberos. This dictated 
  377. a need for volunteers to specify new e-types. Jonathan Trostle 
  378. volunteered to provide new e-type definition, and also commented on a 
  379. possible need for definition of a general intra-Kerberos negotiation 
  380. facility which is not currently present; Ted questioned the requirement 
  381. for such a facility. No negotiation extension is currently planned, 
  382. though the errata will discuss some implementation-level issues, 
  383. related to key types and e-types, which concern a limited level of 
  384. negotiation-related function. 
  385.  
  386. CANDIDATE FUTURE WORK ITEMS
  387.  
  388. The concluding 15 minutes of the meeting were devoted to discussion of 
  389. possible future work items for the CAT WG, and determination as to 
  390. whether corresponding motivated volunteers were available. The 
  391. following candidate areas were identified. Unless noted otherwise, no 
  392. volunteers were identified to drive follow-on activities: 
  393.  
  394. - Further actions, if any, required to support binary compatibility 
  395. between GSS-API implementations: it was hoped that the upcoming 
  396. GSS-V2 C bindings document will satisfy requirements in this area and 
  397. was encouraged that it be reviewed from this perspective. 
  398.  
  399. - Asynchronous version of GSS-API interface 
  400.  
  401. - Further work on authorization extensions 
  402.  
  403. - Facilities to support installation-level configuration of multi-
  404. mechanism support using mechanism modules supplied independently 
  405. by different providers
  406.  
  407. - Kerberos extension for inter-realm authentication via public-key 
  408. technology (Brian Tung and Jonathan Trostle interested) 
  409.  
  410. - Kerberos extension for intra-mechanism negotiation of algorithms 
  411. (Jonathan Trostle interested)
  412.  
  413. - Streams-oriented interface: it was suggested that John Myers' SASL 
  414. interface be reviewed for sufficiency and appropriateness in this area.
  415.  
  416. - SSH GSS-API mechanism definition: given that SSH is becoming a 
  417. visibly popular technology (and is distributed from crypto-friendly 
  418. Finland), there might be interest in constructing a GSS-API mechanism 
  419. layered on SSH's underlying cryptographic technology. Ted Ts'o is 
  420. discussing this prospect with Tatu Ylonen, keeper of SSH.
  421.