home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / cat / cat-minutes-91nov.txt < prev    next >
Text File  |  1993-02-17  |  16KB  |  327 lines
  1.  
  2. CURRENT_MEETING_REPORT_
  3.  
  4.  
  5. Reported by John Linn/DEC
  6.  
  7. CAT Minutes
  8.  
  9. The meeting began with a review of the planned agenda.  The first
  10. session was devoted to mechanism-oriented discussion, including
  11. presentation and discussion of public-key Distributed Authentication
  12. Security Services (DASS) architecture and consideration of weaker-level
  13. authentication schemes which might be considered in support of CAT. The
  14. second session was primarily devoted to interface questions and issues
  15. pending from the Atlanta meeting.
  16.  
  17. To this point, CAT has emphasized authentication mechanisms which
  18. provide authentication in terms of global names but which also requiring
  19. deployment of significant supporting infrastructure.  Interest has been
  20. expressed in enabling entry to CAT through simpler alternative
  21. mechanisms (e.g., passwords, hand-held authenticators, Yellow Pages
  22. (YP)), which generally authenticate in terms of local (per-host) names
  23. rather than a global structure.  This prospect was controversial for two
  24. basic reasons:  (1) in terms of the level of portability that would
  25. actually be supportable for subsequent migration to stronger mechanisms,
  26. and (2) because of concern that support within CAT could result in
  27. institutionalizing the current weak state of authentication within the
  28. Internet.  Evaluation and debate on these questions will continue.
  29.  
  30. DASS Architecture
  31.  
  32. Charlie Kaufman gave a presentation on the DASS architecture, which was
  33. recently submitted to Internet-Drafts and accompanied by a letter from
  34. Digital Equipment Corporation to the IAB ceding change control to the
  35. IETF process.  The general scope was described as strong mutual
  36. interactive authentication, with functionality analogous to Kerberos
  37. (V4) but extended for elimination of the on-line Key Distribution Center
  38. (KDC), limitation of dictionary attacks against passwords, delegation
  39. support, hierarchic realm support, and support for various types of
  40. principals (user, node, combination).  A login agent protocol using two
  41. hash algorithms was incorporated to provide password guessing
  42. protection.  DASS fits under the GSS-API, providing all CAT services as
  43. well as additional functions.
  44.  
  45. DASS credentials cannot, if intercepted, be used to permanently
  46. impersonate the principal they represent.  Temporary impersonation (for
  47. credentials' lifetime, normally corresponding to the duration of a login
  48. session) is possible in the case of an overrun workstation.  It was also
  49. observed that execution of rlogin with the delegation option set results
  50. in transfer of credentials to the rlogin target, and concern was
  51. expressed that this poses danger in the case of a temporarily unattended
  52. workstation.
  53.  
  54. Several aspects were contrasted against Kerberos.  DASS tokens are built
  55. by using a certificate chain and the target's public key, but repeated
  56.  
  57.                                    1
  58.  
  59.  
  60.  
  61.  
  62.  
  63. use of public key operations is not needed to build successive
  64. authenticators on the same context.  Address data is placed into the
  65. authenticator, not the predecessor ticket, permitting a deferred,
  66. application-specific binding.  Timestamps and Kerberos-like
  67. authenticator caches are employed to determine authenticator acceptance.
  68.  
  69. The motivation for DASS's login agent was questioned.  This agent was
  70. described as a means to provide password guessing protection; it was
  71. noted that other key and password protection schemes can also be used,
  72. offering different tradeoffs.  The absence of Certificate Revocation
  73. Lists (CRLs) from the architecture was also questioned; it was noted
  74. that the intent was to trust the certificate store as a primary and
  75. rapid revocation mechanism, leading to a discussion of the recognized
  76. (though not currently implemented) need for authentication of the
  77. certificate store.  It was also noted that hybrid models accommodating
  78. CRL as well as store-based revocation were also possible.
  79.  
  80. The relation between DASS and Privacy-Enhanced Mail (PEM) was discussed.
  81. At the moment, DASS diverges from the most recent PEM selection of
  82. signature algorithm representation within X.509 certificates; DASS will
  83. likely align with PEM. Different hierarchic traversal rules are employed
  84. (including DASS's use of uplink as well as downlink certificates), but
  85. DASS and PEM should be able to use a common infrastructure.  Sharing of
  86. keys and certificate stores should also be possible, given resolution of
  87. credential management issues.
  88.  
  89. The DASS usage of uplink as well as downlink certificates has trust
  90. implications, and builds on a premise that closer points in the trust
  91. hierarchy will generally be viewed by users and administrators as more
  92. trusted than more remote points.  Pairwise cross-certification makes it
  93. possible to manifest pairwise relationships between different
  94. Certification Authorities (CAs), even if remote from each other in the
  95. namespace.  Compromise of a high-level CA can compromise a large number
  96. of authentication paths, but does not impact local or cross-certified
  97. authentications lower in the tree.
  98.  
  99. DASS futures include:  DASS/PEM alignment, replacement of the
  100. Certificate Distribution Center (CDC) with a standard directory,
  101. serverless ``PEM-like'' modes of operation in which certificates are
  102. transferred between peers, and supplemental options to the login agent
  103. mechanism, allowing different security vs.  convenience tradeoffs (it
  104. was noted that standardization in this area, while useful, is less
  105. critical than standardization of tokens.  A question arose as to whether
  106. DASS and PEM should share long-term private keys, given DASS's goal of
  107. minimizing such keys' exposure and PEM's requirement (unless, e.g., a
  108. password is demanded for each processed PEM message) to keep such keys
  109. available and accessible for use.  Questions also exist about the
  110. logistics of infrastructure sharing with PEM.
  111.  
  112. Discussion was given to revocation, and how storage and use of CRLs
  113. could reduce the need to trust the certificate store.  It was asserted
  114. that store- based revocation is better suited to rapid revocation (e.g.,
  115. of a terminated employee) than is the (generally schedule-based) CRL
  116. model.  While unscheduled CRLs can be generated at any time, it is hard
  117.  
  118.                                    2
  119.  
  120.  
  121.  
  122.  
  123.  
  124. to assure their propagation to all necessary points.  Multi-tiered
  125. revocation, including CRLs for highly trusted mid- to long-term
  126. revocation and store-based short-term revocation, may be an appropriate
  127. hybrid.
  128.  
  129. Discussion was given to partial (limited) delegation.  It is desirable
  130. to constrain the set of delegated rights, but difficult to predetermine
  131. a useful set of restrictions to be supported or to identify what rights
  132. particular servers will require in order to carry out user requests.
  133. Group affiliations are one possibility (as employed, e.g., in the OSF
  134. DCE). It was noted that delegation crosses the boundary from
  135. authentication towards authorization.  Kerberos V4 requires password
  136. re-entry to delegate; in V5, login-time flags permit various
  137. alternatives, but there is yet little operational experience with what
  138. flag options will be most used.  Vint Cerf cited a digital library
  139. service example, motivating the need for delegation by the fact that a
  140. requester cannot generally determine where actions must be taken in
  141. order to satisfy their requests; for this example, a controllable
  142. charging right is desired.
  143.  
  144. Lower-Function Mechanisms
  145.  
  146. There are a large range of authentication schemes with lower function
  147. than the powerful cryptographic schemes so far emphasized within CAT. A
  148. key controversial question arose:  should such schemes, even at the
  149. level of unprotected passwords, be construed or explicitly supported
  150. within the CAT model?  Arguments in favor include easy caller adoption
  151. with potential migration path to later use of stronger mechanisms.
  152. Arguments opposed include technical issues which could constrain later
  153. migration, and the prospect that institutionalization of weak mechanisms
  154. could in fact deter deployment of stronger security mechanisms within
  155. the Internet (conflicting with the goal of facilitating deployment of
  156. stronger authentication within the Internet).
  157.  
  158. In discussion, most working group attendees opposed recommendation of ]
  159. unprotected passwords as a CAT mechanism.  It was observed, for example,
  160. that ``CAT should provide security services matching caller
  161. expectations'', and that extension down to the level of unprotected
  162. passwords was not perceived as k qualifying.  There was also an
  163. assertion that CAT integration within protocol implementations was
  164. unlikely to be performed if no security benefits would directly result.
  165. Extension to intermediate mechanisms providing enhancement over
  166. passwords, but requiring little infrastructure for deployment, was
  167. received more positively.
  168.  
  169. Many members of the lower-function mechanism class raise technical
  170. concerns for CAT integration.  They do not normally authenticate in
  171. terms of global names, but rather in terms of names local to the
  172. verifier system.  While it is fairly straightforward to distinguish
  173. mechanisms to callers in terms of the security services they provide,
  174. there is no comparable means to rank mechanisms providing a particular
  175. service in terms of the quality with which that service is provided.  It
  176. was observed that different classes of mechanisms might be admissible
  177. into mutually-trusting threat environments such as those for which
  178.  
  179.                                    3
  180.  
  181.  
  182.  
  183.  
  184.  
  185. RFC-931 was designed.  It may be appropriate to recognize the
  186. distinction and ordering between two suggested equivalence classes:
  187. ``non-disclosing'' (cryptographically strong) and ``disclosing''
  188. mechanisms, even though metrics for ordering of strengths within these
  189. classes are lacking.
  190.  
  191. Accommodation of hand-held authenticators and like technologies within
  192. CAT would require the ability for such a CAT mechanism to call out for
  193. user input at context establishment time.  The input required varies on
  194. a basis which is target-specific, in contrast to Kerberos or DASS
  195. credentials which are typically established in conjunction with user
  196. login in a target-independent fashion.  Simple passwords could also be
  197. user-entered at context establishment time on a target-specific basis,
  198. or an encrypted password file (containing multiple target-specific
  199. entries) could be unlocked at credential establishment time.
  200.  
  201. It was noted that Kerberos is the only presently-proposed mechanism
  202. which does not require the use of patented public-key technology.  NNTP
  203. (not developed on a product basis) was cited as an interested client
  204. effectively barred from access to such technology.  [Note:  Plans
  205. announced at the IETF Privacy Enchanced Mail Working Group by RSA Data
  206. Security to provide a freely-available public-key implementation may
  207. modify this situation, should this implementation's interfaces and
  208. characteristics prove suitable as a basis for CAT usage.]  It was noted
  209. that users lacking source code for their operating systems are impeded
  210. from authentication system integration requiring, e.g., modification to
  211. /bin/login.
  212.  
  213. A desire was voiced for a ``Strategic Plan for CAT Deployment'' document
  214. to be developed, documenting the pieces and steps required for this
  215. process.  It was noted that a perception exists that integration of CAT
  216. is being construed within the IETF as a prerequisite for advancement of
  217. an application protocol on the standards track, and that other working
  218. groups may not be fully cognizant of CAT scope, directions, and
  219. schedule.  It was also noted that a claim of ``CAT conformance'' is not
  220. in itself meaningful, but that ``CAT with specific mechanism(s)'' is
  221. well-formed.
  222.  
  223. Discussion of Issues List
  224.  
  225. We discussed identified issues flagged on the CAT mailing list, and
  226. considered the interface specification suitable for advancement as a
  227. basis for follow-on work.
  228.  
  229. [(D1) Suggestion that CAT mechanisms should incorporate additional token
  230. exchanges into context establishment sequences so as to avoid returning
  231. COMPLETE status before it is known that the CAT peer has successfully
  232. accepted the context.]:  It was accepted as a desirable recommendation
  233. to mechanism designers that context establishment should be
  234. self-contained and modular, providing full bidirectional peer-entity
  235. authentication (and assurance of cryptographic token acceptance) without
  236. need to invoke CAT per-message protection primitives in order to
  237. validate context setup.
  238.  
  239.  
  240.                                    4
  241.  
  242.  
  243.  
  244.  
  245.  
  246. [(D2) Desire to make identification of set of intermediaries involved in
  247. context establishment available to CAT caller.]:  Such a CAT extension
  248. would be technically feasible, but its value for mechanism-independent
  249. interpretation was questioned.  Since its primary advocate was not
  250. available for discussion, the topic was tabled for the present.
  251.  
  252. [(D3) Suggested optional overlay of calls to integrate CAT
  253. authentication with data stream calls, analogous to Kerberos' send_auth
  254. interface.]:  No new status was reported on this work item.
  255.  
  256. [(D4) Discussion of alternative coding schemes (character sets, etc.)
  257. for CAT tokens.]:  This suggestion had been intended as a means to
  258. support CAT-based integration of password mechanisms in a manner which
  259. would be interoperable with non-CAT peers implementing like schemes.  It
  260. was recognized in discussion that CAT's scope cannot extend in general
  261. to interoperation with peers not supporting CAT and its token exchange
  262. paradigm.
  263.  
  264. [(D5) Specifics of shared-mechanism determination approaches, including
  265. combinations of negotiation, directory entries, configuration data, and
  266. user/caller input.]:  It was proposed that negotiation schemes be
  267. considered in follow-on work on an identified ``negotiated'' mechanism,
  268. which would itself exchange tokens in order to identify a shared
  269. mechanism and then perform authentication under that shared mechanism.
  270.  
  271. [(D6) CAT naming portability issues and approaches, in advance of
  272. IETF-level agreement as cited in (H1)]:  Discussion explored aspects of
  273. this problematic area and of the GSS-API facilities incorporated for
  274. portability support absent agreement on a common global naming format.
  275.  
  276. Attendees
  277.  
  278. Jim Barnes               barnes@Xylogics.COM
  279. Charles Bazaar           bazaar@emulex.com
  280. Larry Blunk              ljb@merit.edu
  281. Thomas Boorman           tmb@lanl.gov
  282. David Borman             dab@cray.com
  283. Ken Carlberg             carlberg@cseic.saic.com
  284. Lida Carrier             lida@apple.com
  285. Vinton Cerf              vcerf@nri.reston.va.us
  286. Jim Clifford             jrc@lanl.gov
  287. Robert Cooney            cooney@wnyose.nctsw.navy.mil
  288. Curtis Cox               ccox@wnyose.nctsw.navy.mil
  289. Stephen Crocker          crocker@tis.com
  290. Jim DeMarco              jdemarco@ftp.com
  291. Steve Dusse              spock@rsa.com
  292. Barbara Fraser           byf@cert.sei.cmu.edu
  293. L. Dain Gary             ldg@cert.sei.cmu.edu
  294. Jisoo Geiter             geiter@gateway.mitre.org
  295. Joseph Godsil            jgodsil@ncsa.uiuc.edu
  296. Neil Haller              nmh@bellcore.com
  297. Charles Kaufman          kaufman@dsmail.enet.dec.com
  298. Stephen Kent             kent@bbn.com
  299. Peter Kirstein           kirstein@cs.ucl.ac.uk
  300.  
  301.                                    5
  302.  
  303.  
  304.  
  305.  
  306.  
  307. Deidre Kostick           dck2@sabre.bellcore.com
  308. John Linn                linn@zendia.enet.dec.com
  309. Ellen McDermott          emcd@osf.org
  310. Glenn McGregor           ghm@merit.edu
  311. Bill Melohn              melohn@auspex.com
  312. Andy Nicholson           droid@cray.com
  313. Brad Passwaters          bjp@sura.net
  314. Robert Purvy             bpurvy@us.oracle.com
  315. Jeffrey Schiller         jis@mit.edu
  316. William Simpson          Bill_Simpson@um.cc.umich.edu
  317. Richard Smith            smiddy@pluto.dss.com
  318. Sven Tafvelin            tafvelin@ce.chalmers.se
  319. Theodore Tso             tytso@mit.edu
  320. Sally Wilkins            sfw@lanl.gov
  321. Preston Wilson           preston@i88.isc.com
  322. C. Philip Wood           cpw@lanl.gov
  323.  
  324.  
  325.  
  326.                                    6
  327.