home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / otp / otp-minutes-95dec.txt < prev    next >
Text File  |  1995-12-29  |  5KB  |  127 lines
  1. Editor's note:  These minutes have not been edited.
  2.  
  3. Date: Wed, 20 Dec 1995 09:56:18 -0500
  4. From: Neil M Haller <nmh@bellcore.com>
  5. Subject: One-Time Password (OTP) WG  Minutes
  6.  
  7.  
  8. IETF 34  -   WG on One-Time Password Authentication
  9.  
  10. Co-chairs:    Neil Haller (Bellcore)
  11.         Ran Atkinson (NRL)
  12.  
  13. Mailing List Info:
  14.  
  15.     General Interest:  ietf-otp@bellcore.com
  16.     [Un]subscribe:     ietf-otp-request@bellcore.com
  17.     Archive:       ftp.bellcore.com:/pub/ietf-otp/archive
  18.  
  19.  
  20. Reported by:    Neil Haller (notes recorded by Antonio Fernandez)
  21.  
  22.  
  23. It was announced that the fifth and latest internet draft had been
  24. submitted from the working group to the Area Director of Security,
  25. Jeff Schiller, with the recommendation that it go to "Proposed
  26. Standard".  It was noted that the WG had met this goal before ever
  27. meeting as a working group.
  28.  
  29. Jeff Schiller summarized the standards process.
  30.  
  31.   The IETF has three levels of standards documents.  Proposed Standard,
  32.   Draft Standard, and Full Standard.
  33.   
  34.   Proposed Standard requires that the WG come to consensus.  If the
  35.   Area Director approves, the draft is sent out for IETF last call for
  36.   a period of at least two weeks.  The IESG then votes; each member 
  37.   may vote yes, abstain, no objection, or discuss.  To pass, there
  38.   must be at least one yes, 2/3 yes or no objection, and no discuss
  39.   votes.  Jeff does not anticipate any objection to the OTP document
  40.   going through this process.
  41.  
  42.   Draft Standard requires the passage of time and at least two
  43.   independent implementations must interoperate.  It is a commitment
  44.   not to change unless something drastic happens compromising the
  45.   basic assumptions of the draft.
  46.  
  47.   Full Standard, of which there are very few, requires six months
  48.   (not 100% sure that six is correct) after the promotion to Draft
  49.   Standard.
  50.  
  51. Short presentations were invited on implementations.
  52.  
  53.   Phil Servita reported on his implementation.  He recently 
  54.   discovered that the SHA algorithm did not work, but that it would
  55.   be fixed shortly.  His implementation currently supports the
  56.   Alternative Dictionary as described in the working group I-D.
  57.   It also defends against the "wrong line" attack, which can occur
  58.   if the user of a paper list of one-time passwords enters the wrong
  59.   otp.  Phil's version also supports automatic reinitialization.
  60.   In addition to his OTP programs, Phil also a has available an
  61.   OTP toolkit (see below).  Phil said he thought his Windows client
  62.   code (OTP passphrase generator) should run just fine under NT
  63.   as it is just a Windows application. Phil offers his code free for
  64.   non-commercial use; commercial organizations interest in using it
  65.   should contact him.  [Phil has since reported that both the
  66.   DOS/Windows and UNIX code now do SHA1 correctly.]
  67.  
  68.   Ran Atkinson described the NRL implementation called OPIE.  It
  69.   defends against the race attack (see I-D), but is not very
  70.   different from Bellcore's reference implementation of S/KEY.   He
  71.   expects it to be upgraded to conform to the draft specification
  72.   in January.  It is available free as long as NRL gets some credit.
  73.   Available from ftp:/ftp.nr.navy.mil/nrl-opie.    There is also a
  74.   Macintosh key generator compiled for the PowerMac.
  75.  
  76.   Neil Haller discussed the status of Bellcore's work.  The public
  77.   version (reference implementation) will not be upgraded.  It does
  78.   not conform to the OTP draft.  Bellcore is doing a commercial
  79.   implementation that will conform to the OTP draft.
  80.  
  81. The was a discussion of proposals for additions to the OTP protocol.
  82. Most changes could be added after OTP is promoted to Proposed Standard
  83. as it is likely that they would be classed as editorial changes.
  84.  
  85.   It was agreed that the defense against the "wrong line attack"
  86.   should be described in the standard.  It should be classified as
  87.   optional (MAY implement) for servers.
  88.  
  89.   It was proposed on the mailing list that the standard dictionary
  90.   be modified to remove homonyms.  There was strong agreement that
  91.   the dictionary was used in too many implementations and should not
  92.   be changed.
  93.  
  94.   It was agreed that automatic re-initializaton of the one-time 
  95.   password sequence was desirable.  The details of various proposals
  96.   will be discussed on the mailing list.  It was agreed that all
  97.   proposals should be submitted to the list by January 1, 1996.
  98.  
  99. OTP authentication toolkit for UNIX  -  by Phil Servita
  100.  
  101.   -  Supports OTP as defined in WG draft.
  102.   -  Supports MD4, MD5, and SHA1 simultaneously
  103.   -  Queued access protects against the race attack
  104.   -  Supports Alternative Dictionary
  105.   -  Supports Reinitialization without having to access a
  106.      command-line shell
  107.   -  Configurable acceptance window to protect against the
  108.      wrong-line attach
  109.   -  A utility for converting from S/KEY style "skeykeys" file
  110.   -  A utility to generate alternative dictionaries.
  111.   -  Compiles under SunOS, Solaris, OSF/1, Linus, and soon
  112.      under HPUX, AIX, IRIX.
  113. Available from:
  114.      ftp.ftp.com:/pub/meister/otp/unix/otp.tar  (source code)
  115.      ftp.ftp.com:/pub/meister/otp/unix/otp.sig  (PGP signature)
  116.  
  117. Phil's DOS and Windows code is available from:
  118.      ftp.ftp.com:/pub/meister/otp/dosotp/*
  119.      ftp.ftp.com:/pub/meister/otp/winotp/*
  120.      Each directory contains binaries, a tar file containing source
  121.      code, and PGP signatures.
  122.  
  123. Documents
  124.  
  125.     RFC 1760, N Haller, February 1995
  126.     I-D draft-haller-otp-05.txt, November 21, 1995    
  127.