home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / cat / cat-minutes-92nov.txt

< prev

next >

Wrap

Text File  |  1993-02-17  |  10KB  |  253 lines

---

1. Editor's Note: Minutes received 11/3/92
2.  
3. CURRENT_MEETING_REPORT_
4.  
5.  
6.  
7. Reported by John Linn/DEC
8.  
9. Minutes of the Common Authentication Technology Working Group (CAT)
10.  
11. The CAT Working Group met for one session at the November 1992 IETF.
12. Primary discussion topics were:
13.  
14.  
15.    o Status of documents.
16.    o Future work items and issues.
17.    o Token representation and integration.
18.    o FTP security.
19.  
20.  
21. Status of Documents
22.  
23. Steve Crocker stated his belief that the GSS-API and associated C
24. bindings Internet-Drafts were ready for advancement to Proposed Standard
25. RFCs, and that he would recommend this action shortly.  The Kerberos V5
26. Internet-Draft is pending certain local and specific edits, and is to be
27. included in the same advancement recommendation.  Despite the fact that
28. Kerberos is the only CAT technology visibly under active development and
29. support at this time, it was still viewed as a desirable goal that
30. applications use CAT/GSS-API rather than mechanism-specific interfaces
31. so as to support future portability.
32.  
33. Future Work Items and Issues
34.  
35. Ted Ts'o led a discussion suggesting future work items and issues for
36. CAT. He divided client applications for authentication services into
37. four groups:
38.  
39.  
40.   1. Datagram protocols, generally (e.g., SNMP) not viewed as a good fit
41.      for CAT, though better suitability to other connectionless
42.      protocols was considered as a possibility.
43.  
44.   2. Store-and-forward protocols, also not viewed as a good fit for CAT.
45.  
46.   3. Stream protocols (e.g., Telnet, rpc, lpr, NNTP), considered by Ted
47.      as the best-fitting candidates for CAT usage.
48.  
49.   4. Multiple-stream protocols (e.g., FTP), with suitability not
50.      evaluated.
51.  
52.  
53. His list of thoughts on future work included [with editor's annotations
54. in square brackets]:
55.  
56.                                    1
57.  
58.  
59.  
60.  
61.  
62.    o A need for better [more complete and fully-tested] GSS-API clients
63.      and mechanism implementations, e.g., to implement rlogin with less
64.      reliance on local or mechanism-specific routines in addition to
65.      GSS-API.
66.  
67.    o Development of an easy-to-use layer overlaid atop GSS-API to embody
68.      token-passing, analogous to Kerberos's krb_sendauth.
69.  
70.  
71. Ted's list of issues and near-term action recommendations was as
72. follows:
73.  
74.  
75.    o Negotiation of mechanisms:  recognized as important in the eventual
76.      term, but not needed in the near term, given a presumption that
77.      GSS-API callers (in an environment with only a limited number of
78.      mechanisms in use) would not be burdened by a requirement to pass
79.      in explicit mechanism type specifiers.
80.  
81.    o Strength ranking of mechanisms:  as with negotiation, not needed at
82.      first.
83.  
84.    o Naming:  generalized translation between types not needed, but a
85.      canonical flat ASCII representation was desirable for ACLs, etc.
86.      Internationalization was recognized as an issue here, with a
87.      character set selection tag being requested.  The long-requested
88.      and as-long-frustrated desire for a unifying Internet naming
89.      framework also arose as an issue here.
90.  
91.    o Infrastructure requirements:  given that many sites don't want to
92.      pay the prices attendant to use of Kerberos, SPX, or similar
93.      cryptographic mechanisms, peer-peer key/password exchange and
94.      non-disclosing password systems should be considered as CAT
95.      mechanisms.  An issue here is the fact that such lower-function
96.      mechanisms don't generally authenticate principals in terms of
97.      global names; use of an interface facility [e.g., a name type tag]
98.      to distinguish local from global names is a partial approach to the
99.      issue.  Many lower-function mechanisms do not yield session keys
100.      for per-message protection as a result of authentication, but
101.      mechanisms with this characteristic are accommodated with existing
102.      interface indicators.
103.  
104.  
105. Availability of a Kerberos V4 GSS-API implementation would be
106. convenient; while some activities had been undertaken to this end in
107. previous years, no complete implementation compatible with current
108. specifications is known to exist.  The GSS-API modules within the
109. Kerberos V5 implementation (as of the re- cent Beta 2 release) have been
110. unit tested, and code exists to support all calls, but have not been
111. linked and tested with a sample client.  Ted Ts'o indicated that he
112. would like to coor- dinate with anyone interested in performing this
113. testing, but that he cannot himself provide the resources needed to
114. develop or carry out the tests in the near future; Steve Lunt expressed
115.  
116.                                    2
117.  
118.  
119.  
120.  
121.  
122. interest in this activity.
123.  
124. Token Representation and Integration
125.  
126. The present Kerberos V5 GSS-API implementation includes tagging
127. facilities on its tokens, but (unsurprisingly, given the order of
128. events) the tags do not include the object identifier recently assigned
129. to Kerberos by the IANA and to be included in the upcoming revision to
130. the Kerberos specification.  As a goal, it was agreed desirable that
131. applications into which authentication is being newly integrated should
132. use OID-identified mechanism tags.  It was noted that use of ASN.1 in
133. tagging should be constrained (and, in the GSS-API appendix's
134. recommendation, is constrained to X.509-DER) so that the use of a fully
135. general ASN.1 parser is not required; further clarification on the
136. encoding conventions and their processing requirements was requested.
137.  
138. Ted Ts'o suggested development of a generic ``plug-in'' authentication
139. protocol layered on GSS-API, to be embedded within applications which
140. are built over stream-oriented communications.  NNTP was specifically
141. cited as an example; Telnet (given the fact that it acts itself as a
142. sophisticated stream manager and is oriented to transfer of data
143. elements within options) was not considered as a customer for this
144. proposed technology and would be more appropriately served by calling
145. CAT directly.  In the ``plug-inx'' approach, a stream would be
146. established by the application and then handed over for use by the
147. authentication protocol while authentication tokens were exchanged.
148. Subsequent to token exchange, within which mechanism negotiation could
149. also be incorporated, the stream could (optionally) either be handed
150. back to the application or the application's communications could be
151. encapsulated and thereby protected by the ``plug-in'' protocol.  The
152. ability to reinitiate the ``plug-in'' protocol on an
153. already-authenticated stream, thereby accomplishing reauthentication,
154. was requested in discussion and considered to be supportable.
155.  
156. The format of CAT tokens was not perceived as a particularly hard issue
157. from the viewpoint of caller protocols; the prospect the token exchanges
158. in the course of carrying out GSS-API continuation scenarios raises
159. qualitatively different complexity to callers, which use of the
160. ``plug-in'' could simplify.  It was observed that existing mechanisms
161. involve exchange of no more than two tokens, one from an initiator to a
162. target and a second returned from the target to the initiator, and that
163. perhaps the most likely scenario in which need for longer exchanges
164. might arise would be design of a ``negotiated'' mechanism in which
165. authentication elements were preceded by tokens transferred in order to
166. establish a mechanism shared between peers.
167.  
168. FTP Security
169.  
170. At the end of the meeting, Sam Sjogren led a brief discussion on
171. security for FTP, a topic for which he has established a discussion
172. group.  Interest exists in Kerberized FTP in order to eliminate
173. transmission of cleartext passwords across networks.  The FTP
174.  
175.  
176.                                    3
177.  
178.  
179.  
180.  
181.  
182. specification states that FTP's control connection ``follows Telnet
183. protocol'', but is silent about use of Telnet options on the control
184. connection and it was believed that at least most FTP implementations
185. would not accept Telnet options on an FTP control port.  The FTP
186. specification also states that data elements in FTP commands are usually
187. to be interpreted by humans, but informal communication with Jon Postel
188. suggests that he would not oppose the inclusion of encoded data intended
189. for machine interpretation (e.g., cryptographic authentication tokens)
190. so long as the data elements' contents were properly specified.  It was
191. suggested that authentication information for an FTP control connection
192. could be represented either through use of the Telnet authentication
193. option (if Telnet options are found to be supported or easily
194. supportable within FTP) or by direct calls to CAT and textual encoding
195. of CAT tokens.
196.  
197. In addition to security on FTP's control connection, there was also
198. interest in protecting the data connection, most efficiently in a block
199. mode.  Any such protection would need to be compatible with the variety
200. of transfer modes supported within FTP.
201.  
202. Actions
203.  
204. Ted Ts'o plans further work on documenting the stream-oriented
205. ``plug-in'' overlay.
206.  
207. Neil Haller plans further work on integrating a lower-function
208. authentication mechanism, probably to be based on the S/key technology,
209. under the GSS-API.
210.  
211. John Linn plans further work on documenting token encoding conventions
212. and their attendant requirements.
213.  
214. Attendees
215.  
216. David Conklin            conklin@jvnc.net
217. Stephen Crocker          crocker@tis.com
218. Cathy Cunningham         cmc@microcom.com
219. Art Dertke               dertke@gateway.mitre.org
220. William Edison
221. Richard Graveman         rfg@ctt.bellcore.com
222. Neil Haller              nmh@thumper.bellcore.com
223. Ken Hirata               khirata@emulex.com
224. Russell Housley          Housley.McLean_CSD@Xerox.Com
225. Frank Kastenholz         kasten@ftp.com
226. David Katinsky           dmk@rutgers.edu
227. John Kunze               jak@violet.berkeley.edu
228. Paul Lambert             paul_lambert@email.mot.com
229. John Linn                linn@erlang.enet.dec.com
230. Steven Lunt              lunt@bellcore.com
231. Mohammad Mirhakkak       mmirhakk@mitre.org
232. Clifford Neuman          bcn@isi.edu
233. Hilarie Orman            ho@cs.arizona.edu
234.  
235.  
236.                                    4
237.  
238.  
239.  
240.  
241.  
242. Paul Sangster            sangster@ans.net
243. Sam Schaen               schaen@mitre.org
244. Sam Sjogren              sjogren@tgv.com
245. Tang Tang                tt@virginia.edu
246. John Vollbrecht          jrv@merit.edu
247. Chuck Warlick            warlick@theophilis.nsfc.nasa.gov
248. Daniel Woycke            woycke@smiley.mitre.org
249.  
250.  
251.  
252.                                    5
253.