home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / pem / pem-minutes-94jul.txt < prev    next >
Text File  |  1994-11-02  |  11KB  |  191 lines
  1.  
  2. CURRENT_MEETING_REPORT_
  3.  
  4. Reported by Steve Kent/BBN
  5.  
  6. Minutes of the Privacy Enhanced Mail Working Group (PEM)
  7.  
  8. The major focus of this meeting was review of two very recent Internet
  9. Drafts:  ``Security Multiparts for MIME: Multipart/Signed and
  10. Multipart/Encrypted'' (draft-ietf-pem-sigenc), and ``PEM Security
  11. Services and MIME'' (draft-ietf-pem-mime).  Presentations on both
  12. Internet-Drafts were made by Jim Galvin, who is a co-author on both
  13. documents.
  14.  
  15.  
  16. ``Security Multiparts for MIME: Multipart/Signed and
  17. Multipart/Encrypted''
  18.  
  19. The first Internet-Draft, defines two multipart content types:  one for
  20. use when encrypting body parts, and one for use when signing body parts.
  21. The intent is that these generic multipart content types can then be
  22. customized for use with different security protocols that would operate
  23. in the MIME environment, not just PEM. For each such protocol, a
  24. separate RFC will be required to specify the details of how that
  25. protocol makes use of these basic context types.  The current form of
  26. this Internet-Draft also contains brief specifications for two control
  27. body parts, one for keys and one for signature information.  However,
  28. the authors concluded that it would be better to move these two body
  29. parts to the second Internet-Draft to facilitate management of the
  30. application-specific parameters of these body parts.  Thus the
  31. definitions of these body parts for each application will be relegated
  32. to the documents describing the rest of the parameters for the
  33. application-specific multipart construct.  (The working group chair also
  34. believes that these body parts were insufficiently general, as currently
  35. described, to be included in this Internet-Draft.)
  36.  
  37.  
  38. PEM Security Services and MIME
  39.  
  40. Most of the discussion centered on the second ID, that provides a PEM
  41. specification of how to employ the encryption and signature content
  42. types.  The discussion highlighted major differences between the
  43. previous draft and the current draft:
  44.  
  45. MIME headers are included in the signature, to be consistent with the
  46. inclusion of headers in encrypted contents.
  47.  
  48. The hash algorithm ID is included in the header of the (signed) data
  49. body part to facilitate one-pass processing of signed messages, but the
  50. rest of the signature data is retained in the control body part to make
  51. display of signed but not encrypted data easy for non-PEM users.
  52.  
  53. To retain an ability for non-PEM users to read signed messages, and to
  54. avoid the canonicalization problems that have plagued previous attempts
  55. at PEM-MIME integration, this Internet-Draft calls for 7bit encoding for
  56. all data that is signed.  There is an additional requirement for
  57. canonical line delineation, and this is addressed by requiring use of
  58. CRLF for computation of the signature hash value, although the CRLF
  59. transformed body part is not transmitted.  Instead, recipients are
  60. required to re-encode received, signed body parts to this format when
  61. checking the hash.  There is general agreement that this is a painful
  62. approach (e.g., it will entail multiple encodings when a message is both
  63. signed and encrypted), but it is the only means developed so far to
  64. address the canonicalization problem in a fashion that is consistent
  65. with existing MIME conventions.  There also was agreement that
  66. additional details are required to completely nail down the
  67. canonicalization step, e.g., conventions for representation of tabs.
  68.  
  69. A question was raised as to whether the complexity of the resulting
  70. system is worthwhile, e.g., relative to the simpler proposal put forth
  71. over 6 months ago by Jeff Schiller.  The approach in the current
  72. Internet-Drafts allows for recursive application of PEM processing, but
  73. does not include syntax for semantics such as serial versus parallel
  74. signatures.  There was no substantive discussion on this question.
  75.  
  76. The current Internet-Draft does not include support for symmetric key
  77. management, unlike RFC 1421.  The rationale provided for dropping this
  78. facility was a lack of implementations including this facility.  It was
  79. observed, however, that many of the independent implementations (if not
  80. the more widely distributed TIS implementation) have included symmetric
  81. key management support and that these implementations have bootstrapped
  82. interoperability testing using that form of key management.
  83. Nonetheless, the PEM RFCs have clearly expressed a strong preference for
  84. public-key key management, and no RFC comparable to 1422 has been
  85. published for symmetric key management.  However, an Internet-Draft for
  86. use of PEM with X9.17 key management, for support of authenticated (not
  87. encrypted) messaging, is in preparation, as a result of interest from a
  88. member of the banking community.  (X9.17 is an ANSI standard, and there
  89. is a corresponding Federal Information Processing Standard, for DES key
  90. management in the wholesale financial banking community.  However, one
  91. attendee questioned whether the banking community had a substantial
  92. X9.17 infrastructure in place.)  It was suggested that it may suffice to
  93. revise 1421 to accommodate this requested change, not propagating it to
  94. MIME-PEM.
  95.  
  96. There was extensive discussion of the ``name form'' and ``key
  97. identifier'' concepts presented in the new Internet-Draft.  It was
  98. observed that some public-key certificates provide key identifiers that
  99. do not fit the model presented in this Internet-Draft and that the model
  100. proposed in this Internet-Draft required a much less efficient
  101. representation for such an identifier than is necessary in some cases.
  102.  
  103. It was suggested that the syntactic requirements for originator and
  104. recipient asymmetric key management IDs need not be identical, as is
  105. reflected currently in RFC 1421.  The originator ID is used to convey
  106. information needed to select the public-key used by an originator to
  107. sign a message and to identity the originator.  This selection may
  108. involve directory access, or may be satisfied directly by conveying the
  109. originator's certificate in the message header (an identification option
  110. not accommodated by the proposed syntax).  For some encryption
  111. algorithms, there is also a need to convey per-message parameters for
  112. decryption; such parameters properly belong in the ``keys'' body part
  113. but not necessarily as part of the originator ID. In contrast, a
  114. recipient ID is used by a recipient to select the token in the message
  115. header that matches a private key held by the recipient.  A recipient
  116. may hold multiple sets of keying material, either under different
  117. identities (including mail list identities), or serially under the same
  118. identity.  So the recipient ID may be viewed as a means of selecting the
  119. proper private key among those available to the recipient.  This
  120. argument suggests that requiring an identical format for both originator
  121. and recipient key identifiers may be inappropriate.
  122.  
  123. The ``TYPE-KEYID-STRING'' syntax was criticized as an attempt to over
  124. generalize the concepts here, since (as noted above) not all legitimate
  125. approaches to providing key selectors fit the mold very well.  The
  126. ``IS'' construct already deviates from the general model somewhat, and
  127. the DN part of the construct is not the same DN as in the ``DN''
  128. construct, which could lead to some confusion.  (In the latter case, the
  129. distinguished name is that of the issuer of a certificate, whereas in
  130. the former case it is the distinguished name of the user.)  As noted
  131. earlier, there are much more efficient key identifier constructs for
  132. some algorithms and certificates that also don't fit this model.
  133.  
  134. Discussion of the ``STR'' construct strongly suggested that it should be
  135. renamed ``DS'' for ``domain specific,'' and that an explicit domain
  136. identifier (registered with the IANA) should be employed to avoid the
  137. ambiguity inherent in any domain-specific identifier form.  There also
  138. was a suggestion that the US-ASCII restriction, which is present because
  139. of MIME encoding concerns, be relaxed to 7bit and that a field be
  140. included to indicate (explicitly) the ``native'' character set of this
  141. string if it was encoded.
  142.  
  143. There was some discussion about the rationale for inclusion of the PGP2
  144. construct here.  It was observed that PGP can be carried by MIME using
  145. the constructs defined in the companion Internet-Draft.  One possible
  146. explanation is that one may make use of the PGP key management and thus
  147. this field should be present.  Alternatively, the inclusion of this key
  148. identifier format may pave the way for a migration of PGP users to a
  149. common format with PEM. It was suggested that these, and/or other
  150. rationales, be explicitly included in the Internet-Draft text.
  151.  
  152. It was noted that the format for use of e-mail addresses as user names
  153. (EN) does not have an accompanying certificate format defined.  The
  154. rationale for not using X.509 certificates is that the use of e-mail
  155. names as distinguished names is incompatible with most X.500 directory
  156. schema conventions, even though it is syntactically feasible.  One of
  157. the Internet-Draft authors indicated that use of signed body parts as
  158. certificates was a possible remedy for this situation, but no mention of
  159. this approach is cited in the Internet-Draft.
  160.  
  161. It was observed that the statement in the ID that calls for different
  162. certificates for signature and key management public keys is not
  163. strictly required, and is incompatible with X.509 certificates that
  164. combine both.  This latter approach is more efficient than requiring
  165. duplication of most of the certificate format just to change the
  166. SubjectPublicKeyInfo field.
  167.  
  168. It also was observed that the syntax in the Internet-Draft mixes
  169. certificates and CRLs in certificate lists, while there is also a
  170. separate CRL list construct.  It was suggested that the certificate list
  171. construct be simplified to eliminate CRLs, maintaining them only in the
  172. latter, more appropriately named data structure.  This would require
  173. changing the processing description of the latter structure, which
  174. describes it as being used only for returning CRLs in response to
  175. requests, as opposed to being provided unilaterally by a message
  176. originator.
  177.  
  178.  
  179. Conclusion
  180.  
  181. In general, a concern was voiced by several attendees about possible
  182. combinatoric explosion of options adversely affecting interoperability
  183. of the resulting protocol.  There also was a suggestion by the chair
  184. that these Internet-Drafts should be viewed only as defining the use of
  185. PEM with MIME, not as supplanting RFC 1421, which defines the use of PEM
  186. with non-MIME messages.  This approach would retain RFC 1424 (which the
  187. ``PEM for MIME'' Internet-Draft calls for making obsolete) and would
  188. also require that the new PEM-MIME Internet-Draft be more
  189. self-contained, i.e., not expressed as changes relative to RFC 1421.
  190.  
  191.