home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / urn / urn-archives / urn-ietf.archive.9610 / 000052_owner-urn-ietf _Thu Oct 17 12:24:40 1996.msg < prev    next >
Internet Message Format  |  1997-02-19  |  6KB
  1. Received: (from daemon@localhost) by services.bunyip.com (8.6.10/8.6.9) id MAA03604 for urn-ietf-out; Thu, 17 Oct 1996 12:24:40 -0400
  2. Received: from mocha.bunyip.com (mocha.Bunyip.Com [192.197.208.1]) by services.bunyip.com (8.6.10/8.6.9) with SMTP id MAA03597 for <urn-ietf@services.bunyip.com>; Thu, 17 Oct 1996 12:24:05 -0400
  3. Received: from acl.lanl.gov by mocha.bunyip.com with SMTP (5.65a/IDA-1.4.2b/CC-Guru-2b)
  4.         id AA25994  (mail destined for urn-ietf@services.bunyip.com); Thu, 17 Oct 96 12:24:00 -0400
  5. Received: from legiron.acl.lanl.gov (legiron.acl.lanl.gov [128.165.147.188]) by acl.lanl.gov (8.7.3/8.7.3) with SMTP id KAA17262; Thu, 17 Oct 1996 10:23:46 -0600 (MDT)
  6. Message-Id: <2.2.32.19961017163113.006ff770@acl.lanl.gov>
  7. X-Sender: rdaniel@acl.lanl.gov
  8. X-Mailer: Windows Eudora Pro Version 2.2 (32)
  9. Mime-Version: 1.0
  10. Content-Type: text/plain; charset="us-ascii"
  11. Date: Thu, 17 Oct 1996 10:31:13 -0600
  12. To: Larry Masinter <masinter@parc.xerox.com>, liberte@ncsa.uiuc.edu
  13. From: Ron Daniel <rdaniel@acl.lanl.gov>
  14. Subject: Re: [URN] a possible security architecture for URNs
  15. Cc: urn-ietf@bunyip.com
  16. Sender: owner-urn-ietf@services.bunyip.com
  17. Precedence: bulk
  18. Reply-To: Ron Daniel <rdaniel@acl.lanl.gov>
  19. Errors-To: owner-urn-ietf@bunyip.com
  20.  
  21. Thus spoke Larry Masinter (at least at 02:21 AM 10/17/96 PDT)
  22.  
  23. >[...] the best we get from NAPTR is
  24. >a hand-wave and protests that security isn't important because it
  25. >might be expensive to implement.
  26.  
  27. That misrepresents my position on security.
  28. But before I can boil down my position to a single statement,
  29. let me establish some background.
  30.  
  31. Security is not a binary
  32. property of a system. There is no such thing as a "secure"
  33. system or a "non-secure" system. Systems can be secured
  34. against particular forms of attack. That does not make those
  35. attacks impossible, it makes them more difficult and expensive
  36. to mount, lowers their probability of success, increases the
  37. probability of detection and response, etc. Systems cannot be
  38. made invulnerable to all possible forms of attack. Furthermore,
  39. each threat that must be countered raises the cost of constructing
  40. and operating the system. There is no point in spending more on
  41. securing the system than the value of the information in the system,
  42. the profit that can be derived from its operation, etc.
  43.  
  44. The forms of attack that might be mounted, the resources available
  45. to an attacker, the costs of the measures required to defend
  46. against them, *and the decision on whether or not to implement those
  47. measures* cannot be evaluated in general. The likely threats and
  48. countermeasures to employ will depend on the information in the system
  49. and the resources available to the publisher of that information. *We
  50. cannot make that decision for them*.
  51.  
  52. Of course, all these caveats are too tedious to mention in normal
  53. conversation, so we tend to say things like "secure system" when
  54. we really mean "a system that is hard to subvert using some common
  55. attacks, but still not too expensive to operate".
  56.  
  57. With that background established, I can now state my position on
  58. URN security as:
  59.  
  60.           We shouldn't define an all-encompassing
  61.           security policy for URNs.
  62.  
  63. Not only does this mean that we should not establish a policy that
  64. requires everyone to implement defenses against many forms of
  65. attack, it also means that we should not prevent people from
  66. implementing those defenses. I will object to any standards-track
  67. proposal for a URN resolution proposal that does not provide the tools
  68. to allow people to implement defenses against common attacks. Not
  69. "all known tools" or "all possible attacks", but what in my best
  70. technical judgement are basic tools against common attacks. I am not
  71. a security expert, just an informed layman, so my technical judgement
  72. in such cases will rely on people who are expert in the area. This means
  73. people from the security area of the IETF, and some of my co-workers.
  74.  
  75.  
  76. As far as the NAPTR proposal goes, those tools come from DNSSEC.
  77. This toolkit does not include arbitrary encryption, but it
  78. does include key management, signatures, and some authentication.
  79. Arbitrary encryption would be nice, but it is unexportable. It
  80. appears to be the rough consensus of the DNSSEC-WG that the tools
  81. in the DNSSEC proposal are as much as can be provided at this time.
  82.  
  83. How do those tools affect the NAPTR proposal? The NAPTR resource
  84. records themselves will, in all but the most unusual cases, be
  85. things like:
  86.    If the URI you are trying to resolve contains "foo", ask
  87.    server "bar" how to procede.
  88. or just
  89.    ask server "baz", and talk to them using protocol X, Y, or Z.
  90.  
  91. Although it is possible that such information could be highly
  92. confidential, it is not likely. Therefore the lack of arbitrary
  93. encyption does not, in my best techincal opinion, greatly concern me.
  94. Other attacks, such as spoofing responses, seem much more likely.
  95. However, those are precisely the attacks that DNSSEC counters.
  96.  
  97. Once it comes time to talk with the resolver and actually put
  98. the URN onto the wire (it has not left the client up to this
  99. point) then we are no longer using DNS, we will be using one
  100. of the "resolution protocols" such as HTTP, HDL, RWHOIS, RCDS, etc.
  101. The security capabilities of these protocols are outside the
  102. bounds of the NAPTR proposal, but I will note that allowing
  103. the resolver to use different protocols allows the publisher
  104. to pick one suited to their security needs.
  105.  
  106.  
  107. Finally, note that the NAPTR proposal is targeted for an Experimental
  108. RFC, not a proposed standard. Using it, along with the capabilities
  109. of DNSSEC, allows those who care to gain experience with operating
  110. "secure" resolvers. That experience can then be used when it comes
  111. time to evaluate the security tools provided by standards-track
  112. URN resolution proposals.
  113.  
  114.  
  115. Ron Daniel Jr.                       email: rdaniel@lanl.gov
  116. Advanced Computing Lab               voice: +1 505 665 0597
  117. MS B287                                fax: +1 505 665 4939
  118. Los Alamos National Laboratory        http://www.acl.lanl.gov/~rdaniel/
  119. Los Alamos, NM, USA  87545    obscure_term: "hyponym"
  120.