home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / pkix / pkix-minutes-96dec.txt < prev    next >
Text File  |  1997-01-30  |  5KB  |  178 lines
  1. Editor's note:  These minutes have not been edited.
  2.  
  3.  
  4.                PKIX WG Meeting Minutes
  5.  
  6.             (December 9-10, 1996)
  7.  
  8.  
  9.     The PKIX WG met for two days at the December IETF meeting in
  10.  
  11. San Jose.  Approximately 200 IETF members attended the two meetings.
  12.  
  13. The main agenda topics were status/update briefings on Parts 1 and 3
  14.  
  15. of the PKIX document set, and an initial briefing on certification
  16.  
  17. policies, the focus of the Part 4 document.  There also was a
  18. presentation
  19.  
  20. on a technique for requesting a certificate containing a
  21. Diffie-Hellman
  22.  
  23. key, which requires a mathematically different approach to verifying
  24. that
  25.  
  26. the requester holds the corresponding private key.
  27.  
  28.  
  29.     There were also several informational briefings on topics of
  30.  
  31. interest to the PKIX WG.  M. Polk provided a status update of the NIST
  32.  
  33. MISPC activity, and B. Blakley provided an extensive briefing on the
  34.  
  35. APKI Working Group (not an IETF WG) activity, relating this
  36.  
  37. architecture to IETF standards activities.  This presentation
  38.  
  39. generated a substantial number of questions, at least in part because
  40.  
  41. of its inclusion of facilities for key escrow/recovery.
  42.  
  43.  
  44.     The Part 1 document is nearing completion, and was briefed by
  45.  
  46. a new document editor, M. Polk, and by R. Housley.  Major changes
  47.  
  48. include a revision of the validity interval syntax (to better deal
  49.  
  50. with the year-2000 problem), inclusion of syntax for the PKIX
  51.  
  52. (private) extensions, etc.  Several suggestions for changes (most
  53.  
  54. minor) were made after the briefing, by D. Pinkas.  It was agreed that
  55.  
  56. these changes would be discussed on the WG mailing list after the
  57.  
  58. meeting.  The WG chairs called for rapid resolution of these issues
  59.  
  60. and document completion, to enable a WG last call early in 1997.
  61.  
  62.  
  63.     M. Polk provided a brief update on the status of the MISPC
  64.  
  65. activity at NIST, as a successor to a similar briefing provided in
  66.  
  67. Montreal.  For the most part, the resulting NIST specs match the PKIX
  68.  
  69. specs (parts 1 and 3), with minor differences.  For example, there are
  70.  
  71. no private extensions defined and there is a requirement for non-null
  72.  
  73. subject and issuer DN fields.  With regard to algorithms, ECDSA, DSA,
  74.  
  75. and RSA are all defined and support for at least one of these is
  76.  
  77. required.  LDAP is required for repository access, and the NIST spec
  78.  
  79. does not include any CA-repository protocols; it also accommodates
  80.  
  81. PKCS-10 request formats, embedded in PXIK message formats.  90-day
  82.  
  83. comment period began 12/2, and after review a NIST Special Publication
  84.  
  85. will be produced.
  86.  
  87.  
  88.     D. Solo provided a brief presentation on certificate requests
  89.  
  90. that contain Diffie-Hellman keys.  The focus here is on the means by
  91.  
  92. which the requester uses his private key to "sign" the request, since
  93.  
  94. D-H does not support signatures.  The context for this certificate
  95.  
  96. request is the PKCS-10 specification.  The basis of the "signature" is
  97.  
  98. a D-H key generated between the requester and the CA (the CA must have
  99.  
  100. a D-H certificate for this purpose), which is then input to a hash
  101.  
  102. including the requester and issuer names, and the resulting output is
  103.  
  104. used as a key for an HMAC computation covering the text of the request
  105.  
  106. message.
  107.  
  108.  
  109.     The presentation on the Part 3 document was made by its
  110.  
  111. authors, S. Farrell and C. Adams.  Major changes include
  112.  
  113. simplification of the ASN.1 syntax, added message types (e.g.,
  114.  
  115. information requests and responses, publication, private key archive),
  116.  
  117. some new security services for RA/user-CA communication.  There are
  118.  
  119. some differences between proposed "proof of possession" approaches for
  120.  
  121. D-H keys, vs. what D. Solo presented.  This difference needs to be
  122.  
  123. resolved.  Also, there was some concern that this protocol might be
  124.  
  125. "close" to the Bellovin-Meritt encrypted key exchange, which is a
  126.  
  127. patented algorithm.  An issue was raised about using PKCS-7 as a
  128.  
  129. security envelope technique, in lieu of some of the current Part 3
  130.  
  131. format This would simplify the document and re-uses existing code,
  132.  
  133. although it also creates a dependency on another document.  A straw
  134.  
  135. poll suggests widespread support for PKCS-7 in this context. There is
  136.  
  137. a separate issue about use of PKCS-10, which is somewhat less powerful
  138.  
  139. than what is currently offered.  Thus the suggestion is to make
  140.  
  141. PKCS-10 a format option, but not the only format option for
  142.  
  143. certificate request messages.
  144.  
  145.  
  146.     The PKIX Part 4 presentation was the first on this part of the
  147.  
  148. PKIX document set, and was provided by S. Chokhani.  This was a
  149.  
  150. informational briefing on the topic of certificate policies, as well
  151.  
  152. as providing technical details for a proposed certificate policy
  153.  
  154. framework.  The framework encompasses 9 top-level elements: community
  155.  
  156. definition and applicability, I&A policy for subjects/RAs/CAs, key
  157.  
  158. management policy, non-technical security policy, technical security
  159.  
  160. policy, operations policy, legal & business provisions, certificate
  161.  
  162. and CRL profiles, and policy administration.  This is all viewed as
  163.  
  164. human, not machine, readable.  The machine readable aspect is
  165.  
  166. captured by the use of the policy OIDs and policy qualifiers.
  167.  
  168.  
  169.     The meeting concluded with a brief announcement of the
  170.  
  171. formation of a BOF and a mailing list to address the topic of
  172.  
  173. certificate (and private key) storage.
  174.  
  175. </bigger></bigger></fontfamily>
  176.  
  177.  
  178.