home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / pem / pem-minutes-93jul.txt

< prev

next >

Wrap

Text File  |  1993-09-22  |  19KB  |  397 lines

---

1.  
2. CURRENT_MEETING_REPORT_
3.  
4. Reported by Steve Kent/BBN
5.  
6. Minutes of the Privacy Enhanced Mail Working Group (PEM)
7.  
8.  
9. PEM Implementation Status Report
10.  
11.    o TIS
12.      TIS/PEM is now available via anonymous FTP and the distribution
13.      includes CA software.  The TIS UK office is working on a commercial
14.      PEM implementation to be made available in Europe.
15.  
16.    o MIT
17.      TechMail with PEM, a Mac PEM implementation integrated with a Mac
18.      e-mail system, will be available very soon via anonymous FTP.
19.      TechMail requires a POP3 server and has been shown to interoperate
20.      with TIS/PEM. Ray Lau, a well-known Mac software developer, has
21.      developed a stand-alone version of PEM software for the Mac which
22.      may be available soon.
23.  
24.    o PASSWORD Project
25.      Three Unix PEM implementations are now available, and a fourth is
26.      on the way as a result of this EC-sponsored project.  The
27.      implementations are from UCL, Cambridge University, INRIA, and GMD.
28.      All can make use of X.500 directories and all include CA software.
29.      All the implementations interoperate with one another and there
30.      have been some interworking tests with TIS/PEM.
31.      The UCL version is ``somewhat'' integrated with MH and runs on a
32.      SPARC now.
33.      The GMD version is part of a larger security tool kit, using a
34.      variety of algorithms, and secure (strong authentication) X.500
35.      operations.  The GMD implementation is a standalone version that is
36.      not integrated into an e-mail system, although it is integrated
37.      with X.500 directory access code to fetch certificates and CRLs.
38.      It will be available via anonymous FTP (subject to COCOM
39.      restrictions).  There are plans to establish a PCA for academic
40.      users within Germany.
41.      The Cambridge version supports symmetric key management as well as
42.      asymmetric key management (using RSA). The Cambridge version is the
43.      subject of experimentation with other algorithm suites, e.g., DSA
44.      and SHA. It also works without access to a directory server.
45.  
46.    o COST (Sweden)
47.      This commercial PEM implementation runs on DEC and Sun
48.      workstations, includes CA software, and includes a centralized
49.      certificate server for all COST/PEM users.  COST intends to run its
50.      own PCA. COST/PEM is now undergoing beta testing at universities in
51.      Dublin and Stockholm.  They are performing interoperability tests
52.      with TIS. A smart card version is being developed.
53.  
54.    o RSADSI
55.      A new TIPEM (commercial product) version is in beta now and should
56.      be available in eight to twelve weeks.  The Certificate Issuing
57.      Systems (a commercial product) software and hardware will be
58.      available in six to eight weeks.  A description of the RSADSI plans
59.      for operating a low-assurance PCA with two CAs will be available
60.      very soon.  One CA (a free service) under this PCA will be a
61.      PERSONA CA and it is now operating on a trial basis; a second
62.      (non-PERSONA) CA will become operational soon along with a policy
63.      statement available via FTP. A commercial PCA, using the CIS noted
64.      above, will be available soon, and the policy for that PCA also
65.      will be available soon.
66.  
67.  
68. MIME-PEM Discussion
69.  
70. It was the intent of this PEM Working Group meeting to review the latest
71. technical proposal (Internet-Draft) for MIME-PEM integration, as
72. announced in the agenda distributed several weeks prior to the meeting.
73. John Linn and Jeff Schiller were asked to review this Internet-Draft and
74. prepare comments for this meeting.  Unfortunately, the Internet-Draft
75. available immediately prior to the meeting did not reflect changes
76. discussed at the last working group meeting and in subsequent pem-dev
77. mailing list discussion.  Thus no substantive progress was made on this
78. topic.
79.  
80. Both John and Jeff expressed concern about the continued presence of
81. inline ``optional'' fields to indicate the PEM processing to be applied,
82. or to indicate the PEM processing that has been applied to a message.
83. They also expressed concern about ``distinguished encoding'' problems
84. that may arise in complex MIME messages where a signature might
85. encompass MIME headers embedded in these complex messages.  Both
86. observed that one possible means of simplifying the MIME-PEM
87. ``integration problem'' is to treat an RFC 1421 ``message'' as a body
88. part to be carried by MIME. This might not offer all of the flexibility
89. of the recent proposals, but it would significantly simplify both
90. processing and backward compatibility for RFC 822-PEM implementations.
91.  
92. Steve Crocker presented several technical points related to the
93. structure of MIME-PEM messages, based on a very recent meeting with
94. Marshall Rose.  There was agreement that signatures on complex MIME
95. objects cannot be effected as previously proposed, and that new
96. application type MIME objects were required to ``protect'' signed data
97. from possible manipulation by MIME relays.
98.  
99. He agreed that representing PEM messages as application context types
100. would allow RFC 1421 data to be a body part, as suggested above.  An
101. analysis by Steve Crocker and Marshall suggested that a (MIME) message
102. reader can easily distinguish among a vanilla text message, a MIME
103. message, or a PEM-MIME message.  Disambiguation would require
104. introduction of an additional blank line into the RFC 1421 message
105. format.  However, if an RFC 1421 message were to pass through an
106. intermediate MIME relay, it might be transformed in a way that would
107. make it ambiguous as to whether this was initially an RFC 1421 message
108. or initially a MIME-PEM message.
109.  
110. There was no resolution of these issues.  There was agreement that a new
111. MIME-PEM Internet-Draft must be written to reflect the recent improved
112. understanding of these problems, and to reflect the comments of the
113. previous PEM Working Group meetings.  A proposal for a simple, MIME
114. encapsulation of RFC 1421 messages may be developed, but no authors were
115. identified.
116.  
117.  
118. Certificate Name Discussion
119.  
120. At the previous PEM Working Group meeting, Steve Crocker initiated a
121. discussion of the form of names that should appear in certificates used
122. in PEM. He advocated the use of domain name system (DNS) mailbox names
123. in lieu of distinguished names (DNs).  This discussion took the form of
124. several hand-written slides that were reported upon in the meeting
125. minutes, but there was no written follow-up on the pem-dev mailing list.
126. In response to this previous presentation, Steve Kent assembled material
127. to compare the use of DNS names and DNs.  Due to time constraints, only
128. some of this material was presented during the meeting. All of the material
129. is included at the end of these minutes. This material argues that many 
130. (though not all) of the objections previously raised to the use of DNs 
131. can be addressed through good PEM implementation practice and that the 
132. use of DNs offers a number of advantages relative to the use of DNs.
133.  
134.  
135. Certification System Discussion
136.  
137. At the previous PEM Working Group meeting, Steve Crocker also initiated
138. a discussion of the concept of relaxing some of the constraints imposed
139. by the PEM certificate management system (RFC 1422).  This discussion
140. took the form of several hand-written slides that were reported upon in
141. the meeting minutes, but there was no written follow-up on the pem-dev
142. mailing list.  In response to this previous presentation, Steve Kent
143. assembled material to review some of the rationale that underlies the
144. current certification system.  Due to time constraints, none of this
145. material was presented.  The material is included at the end of these
146. notes. 
147.  
148.  
149.  
150. Algorithm Discussion
151.  
152. There was extensive discussion of ways to use ``triple-DES'' on the
153. pem-dev mailing list prior to this meeting.  Mike Roe made a brief
154. presentation on triple-DES options and distributed to attendees an
155. extensive analysis he had prepared.  There is agreement that use of EDE
156. as a codebook is intrinsically slower than approaches that perform
157. multiple chaining passes, if parallel hardware is employed.  However, in
158. the PEM (e-mail) context it is not clear that this performance
159. improvement is a significant factor, especially if software DES (not
160. executed in parallel on multiple processors) is the dominant
161. implementation mode.  In this context, the various triple-DES options
162. are essentially equivalent in performance.
163.  
164. It was suggested that the primary motivation for using triple-DES is
165. security, not performance.  Although there is significant literature
166. supporting the security of EDE as a codebook, there is little if any
167. analysis of the security of the other proposed modes.  It was announced
168. that RSA Labs will perform a study of the security of the different
169. proposed modes and make a report available to the PEM Working Group.
170.  
171. No resolution of this issue was reached at this meeting.
172.  
173.  
174. Attendees
175.  
176. Harald Alvestrand        Harald.Alvestrand@uninett.no
177. Frederik Andersen        fha@dde.dk
178. James Conklin            jbc@bitnic.educom.edu
179. Stephen Crocker          crocker@tis.com
180. Maria Dimou-Zacharova    dimou@dxcern.cern.ch
181. Kishan Dudkikar          kishan@icm1.icp.net
182. Steve Dusse              spock@rsa.com
183. Barbara Fraser           byf@cert.org
184. James Galvin             galvin@tis.com
185. Tim Goodwin              tim@pipex.net
186. Richard Graveman         rfg@ctt.bellcore.com
187. Neil Haller              nmh@thumper.bellcore.com
188. Alton Hoover             hoover@ans.net
189. Nada Kapidzic            nadak@dsv.su.se
190. Stephen Kent             kent@bbn.com
191. Peter Kirstein           P.Kirstein@cs.ucl.ac.uk
192. Jim Knowles              jknowles@binky.arc.nasa.gov
193. Arjen Lenstra            lenstra@bellcore.com
194. John Linn                linn@gza.com
195. Kim Chr.  Madsen         kimcm@ic.dk
196. Keith Moore              moore@cs.utk.edu
197. Michael Roe              mrr@cl.cam.ac.uk
198. Jeffrey Schiller         jis@mit.edu
199. Wolfgang Schneider       schneiw@darmstadt.gmd.de
200. Robert Shirey            shirey@mitre.org
201. Theodore Ts'o            tytso@mit.edu
202. Lea Viljanen             Lea.Viljanen@helsinki.fi
203. Erik Zegwaart            zegwaart@surfnet.nl
204. James Zmuda              zmuda@mls.hac.com
205.  
206.  
207.  
208. Appendix One
209.  
210. Material presented for the "Certificate Name Discussion'': 
211.  
212.                  ``Features'' for Names Used in Certificates
213.  
214.  
215. Feature                Distinguished                     Domain
216.                             Name                          Name
217.  
218. globally unique             YES                           YES
219.  
220. distributed generation      YES                           YES
221.  
222. descriptive                 YES                       NO->SOMEWHAT
223.  
224. naming infrastructure      SPARSE                      EXTENSIVE
225.  
226. storage infrastructure    GROWING                      EXTENSIVE
227.  
228. mailbox independent         YES                       NO->SOMEWHAT
229.  
230. easy to remember           MAYBE                         MAYBE
231.  
232. easy to deduce             MAYBE                         MAYBE
233.  
234. easy to type                 NO                           YES
235.  
236.  
237.      - From a message submission perspective, a good PEM
238. implementation should accept DNS names, DNs, or local alia ses as
239. input from user to select recipients.  All three forms could be mapped
240. locally to the name form used in certificates.  Many users make
241. extensive use of local aliases, in which case mapping to a DN or a DNS
242. name is equally easy.  If DNs are used, one can help avoid suppress by
243. allowing the sender to review the certificate names (prior to
244. submission) to avoid the ``I securely sent the message to the wrong
245. recipient'' phenomenon.
246.  
247.      - Received e-mail will always contain DNS names, but the name in
248. the certificate is what is authenticated.  One can argue that if both
249. names are the same this makes it easier for the user (or software) to
250. check, and hence DNS names should be favored.  However, because mail
251. systems sometimes translate DNS names in headers, often there may not
252. be a 1-1 correspondence between the DNS name that appears in an 822
253. header for different recipients and that seen by the originator.
254. Also, if a sender wants to employ the same certificate to send/receive
255. mail at various mailboxes, or for persona certificate users, there
256. cannot always be a direct correspondence between the mailbox name and
257. the name contained in a certificate.
258.  
259.      - Although DNs are longer and more awkward to type than DNS
260. names, a good PEM implementation would require a u ser to enter the
261. name of a recipient at most once, and maybe never.  For example,
262. consider receipt of a certificate in a PEM message from a user with
263. whom the recipient has not previously corresponded.  A good PEM
264. implementation can query the recipient for a (local) name to be
265. assigned to the sender, thus avoiding any requirement for the
266. recipient to type the certificate name associated with this sender.
267. This local name could be an alias or could be the DNS name, at the
268. discretion of the recipient.
269.  
270.      - If name subordination is to be maintained as a requirement for
271. certificate validation below the PCA tier, th en this may be more
272. easily done using DNs than DNS names, although this depends on details
273. of organizational structure and DNS domain organization.
274.  
275.      - Some have complained that using a DN vs. a DNS name somehow
276. usurps a user's ability to be represented by hi s existing DNS name.
277. But messages continue to carry the same DNS names for originator and
278. recipients as before.  Also, many messages carry a commented ``more
279. descriptive individual name'' adjacent to the originator's DNS name in
280. the message header and some carry elaborate trailers providing
281. organizational affiliation.  Thus, some significant percentage of
282. e-mail users already seem to feel that DNS names are not sufficiently
283. descriptive.
284.  
285.      - It has been suggested that if DNs appear in certificates then
286. the certificates must be stored in X.500 dire ctories.  This is not
287. correct.  Certificates containing DNs (or DNS names) might be stored
288. in various databases, e.g., whois++ or DNS servers, not only in X.500
289. directories.  Certificates can be compressed to save space and/or
290. encoded to permit storage in ASCII- only databases.  Certificates can
291. be retrieved based on any search key convenient for users.  The
292. fundamental requirement is that the name contained in the certificate
293. be sufficiently descriptive so that the user can verify that the
294. certificate retrieved corresponds to the entity in question,
295. irrespective of the search key used.
296.  
297.  
298. Appendix Two
299.  
300. Material prepared for the ``Certification System Discussion'': 
301.  
302.  
303.                 PEM Certification Infrastructure ``Features''
304.  
305.  
306. - support for diverse policies
307.  
308.      In the global Internet environment, certificates will be issued
309. under a number of different policies.  The policies will differ based
310. on the rigor with which organizational or individual identities are
311. verified, CRLs are maintained, CA keys are generated and protected,
312. etc.  The certification infrastructure must accommodate this
313. diversity, ranging from high assurance policies suitable for use in
314. business and official government contexts, to persona policies.  The
315. current architecture achieves this through the use of Policy CAs
316. (PCAs).
317.  
318. - alerting users to trust policies
319.  
320.      Users must be made aware of the differences in trust policies, so
321. that they can make informed decisions as to the trustworthiness of the
322. identity information contained in a certificate.  It must be possible
323. for any user to determine (unambiguously) the policy under which any
324. certificate was issued.  The means by which a user is alerted to these
325. differences should be simple, uniform, and automated.  The current
326. architecture achieves this through the use of PCAs, prohibition of
327. cross-certification, and the requirement that PCA policies be
328. available on-line.
329.  
330. - ``what you see if what you believe'' principle
331.  
332.      We expect a recipient of a message to pay only minimal attention
333. to the authentication information presented by PEM.  At a minimum the
334. name from the originator's certificate, or a local alias assigned to
335. this name, should be displayed.  The current architecture fulfills
336. this requirement through display of the originator's distinguished
337. name (or a local alias thereof).  For an originator not already known
338. to the recipient, this display not only uniquely identifies the
339. originator, but also identifies superior CAs (because of the DN name
340. subordination rule).  Since different policies are supported, some
341. form of identification of the policy under which this certificate was
342. issued must be displayed.  In the current architecture, this is
343. effected by displaying the PCA's DN, or a local alias thereof.  The
344. combination of these two identifying data items provides a recipient
345. with a fairly complete picture of the originator's identity.
346.  
347.  
348. - minimizing trust in CAs
349.  
350.      In any distributed certification system, there is a valid concern
351. about the extent of damage that can result from malicious or careless
352. certification practices by a certifying authority.  The signing of a
353. certificate provides a basis for non-repudiable evidence of the
354. (certification) actions of any certification authority.  However,
355. additional ``rules of conduct'' are required to establish generic
356. expectations for certification authority behavior, especially in an
357. architecture that admits a variety of certification policies.
358.  
359.      In the current architecture, the IPRA operates under a very
360. straightforward policy in its certification of PCAs.  The IPRA uses
361. highly secure technology to generate and protect the private key it
362. uses to sign PCA certificates, and employs stringent security
363. procedures to protect the signing process.
364.  
365.      In the current architecture, PCAs are allowed greater leeway in
366. defining the protection they afford to the keys used to sign CA
367. certificates, and other security policy issues, but the PCAs are
368. required to publish these procedures so that users can personally
369. evaluate the quality of security afforded by PCAs and the CAs they
370. certify.  The IPRA requires PCAs to co-operate to ensure the
371. uniqueness of the (distinguished) names of the entities they certify.
372. This establishes a clear PCA responsibility and egregious failure to
373. abide by this requirement constitutes cause for de-certifying a PCA.
374. Each CA is required to issue certificates only for entities that are
375. (distinguished) name subordinated to the CA.  This requirement
376. prevents a CA from issuing a certificate to a user (or a CA) that is
377. not related to the CA in an obvious, syntactic fashion.  This
378. restricts the damage that a careless or malicious CA can do, by
379. limiting the scope of certification of each CA.
380.  
381. - uniform certification processing rules
382.  
383.      Although certification policies differ, it is important to employ
384. a uniform algorithm for validating certificates.  This algorithm
385. should be simple, both to minimize the likelihood of implementation
386. errors and to make the validation process understandable by users.  In
387. the current architecture, the validation rules are consistent across
388. PCA boundaries and for all CAs, despite policy differences.  This
389. certification system is simple, with explicit recognition of IPRA, PCA
390. and CA tiers.  The IPRA public key is the root of the certification
391. system and thus is ``built into'' an implementation.  A PCA, CA, or user
392. certificate is validated relative to its issuer's public key in all
393. cases.  A user certificate, or a certificate for a CA subordinate to
394. another CA (vs. a PCA), must also be checked for subordination
395. relative to it's issuer.
396.  
397.