home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / cat / cat-minutes-92nov.txt < prev    next >
Encoding:
Text File  |  1993-02-17  |  10.1 KB  |  253 lines
  1. Editor's Note: Minutes received 11/3/92
  2.  
  3. CURRENT_MEETING_REPORT_
  4.  
  5.  
  6.  
  7. Reported by John Linn/DEC
  8.  
  9. Minutes of the Common Authentication Technology Working Group (CAT)
  10.  
  11. The CAT Working Group met for one session at the November 1992 IETF.
  12. Primary discussion topics were:
  13.  
  14.  
  15.    o Status of documents.
  16.    o Future work items and issues.
  17.    o Token representation and integration.
  18.    o FTP security.
  19.  
  20.  
  21. Status of Documents
  22.  
  23. Steve Crocker stated his belief that the GSS-API and associated C
  24. bindings Internet-Drafts were ready for advancement to Proposed Standard
  25. RFCs, and that he would recommend this action shortly.  The Kerberos V5
  26. Internet-Draft is pending certain local and specific edits, and is to be
  27. included in the same advancement recommendation.  Despite the fact that
  28. Kerberos is the only CAT technology visibly under active development and
  29. support at this time, it was still viewed as a desirable goal that
  30. applications use CAT/GSS-API rather than mechanism-specific interfaces
  31. so as to support future portability.
  32.  
  33. Future Work Items and Issues
  34.  
  35. Ted Ts'o led a discussion suggesting future work items and issues for
  36. CAT. He divided client applications for authentication services into
  37. four groups:
  38.  
  39.  
  40.   1. Datagram protocols, generally (e.g., SNMP) not viewed as a good fit
  41.      for CAT, though better suitability to other connectionless
  42.      protocols was considered as a possibility.
  43.  
  44.   2. Store-and-forward protocols, also not viewed as a good fit for CAT.
  45.  
  46.   3. Stream protocols (e.g., Telnet, rpc, lpr, NNTP), considered by Ted
  47.      as the best-fitting candidates for CAT usage.
  48.  
  49.   4. Multiple-stream protocols (e.g., FTP), with suitability not
  50.      evaluated.
  51.  
  52.  
  53. His list of thoughts on future work included [with editor's annotations
  54. in square brackets]:
  55.  
  56.                                    1
  57.  
  58.  
  59.  
  60.  
  61.  
  62.    o A need for better [more complete and fully-tested] GSS-API clients
  63.      and mechanism implementations, e.g., to implement rlogin with less
  64.      reliance on local or mechanism-specific routines in addition to
  65.      GSS-API.
  66.  
  67.    o Development of an easy-to-use layer overlaid atop GSS-API to embody
  68.      token-passing, analogous to Kerberos's krb_sendauth.
  69.  
  70.  
  71. Ted's list of issues and near-term action recommendations was as
  72. follows:
  73.  
  74.  
  75.    o Negotiation of mechanisms:  recognized as important in the eventual
  76.      term, but not needed in the near term, given a presumption that
  77.      GSS-API callers (in an environment with only a limited number of
  78.      mechanisms in use) would not be burdened by a requirement to pass
  79.      in explicit mechanism type specifiers.
  80.  
  81.    o Strength ranking of mechanisms:  as with negotiation, not needed at
  82.      first.
  83.  
  84.    o Naming:  generalized translation between types not needed, but a
  85.      canonical flat ASCII representation was desirable for ACLs, etc.
  86.      Internationalization was recognized as an issue here, with a
  87.      character set selection tag being requested.  The long-requested
  88.      and as-long-frustrated desire for a unifying Internet naming
  89.      framework also arose as an issue here.
  90.  
  91.    o Infrastructure requirements:  given that many sites don't want to
  92.      pay the prices attendant to use of Kerberos, SPX, or similar
  93.      cryptographic mechanisms, peer-peer key/password exchange and
  94.      non-disclosing password systems should be considered as CAT
  95.      mechanisms.  An issue here is the fact that such lower-function
  96.      mechanisms don't generally authenticate principals in terms of
  97.      global names; use of an interface facility [e.g., a name type tag]
  98.      to distinguish local from global names is a partial approach to the
  99.      issue.  Many lower-function mechanisms do not yield session keys
  100.      for per-message protection as a result of authentication, but
  101.      mechanisms with this characteristic are accommodated with existing
  102.      interface indicators.
  103.  
  104.  
  105. Availability of a Kerberos V4 GSS-API implementation would be
  106. convenient; while some activities had been undertaken to this end in
  107. previous years, no complete implementation compatible with current
  108. specifications is known to exist.  The GSS-API modules within the
  109. Kerberos V5 implementation (as of the re- cent Beta 2 release) have been
  110. unit tested, and code exists to support all calls, but have not been
  111. linked and tested with a sample client.  Ted Ts'o indicated that he
  112. would like to coor- dinate with anyone interested in performing this
  113. testing, but that he cannot himself provide the resources needed to
  114. develop or carry out the tests in the near future; Steve Lunt expressed
  115.  
  116.                                    2
  117.  
  118.  
  119.  
  120.  
  121.  
  122. interest in this activity.
  123.  
  124. Token Representation and Integration
  125.  
  126. The present Kerberos V5 GSS-API implementation includes tagging
  127. facilities on its tokens, but (unsurprisingly, given the order of
  128. events) the tags do not include the object identifier recently assigned
  129. to Kerberos by the IANA and to be included in the upcoming revision to
  130. the Kerberos specification.  As a goal, it was agreed desirable that
  131. applications into which authentication is being newly integrated should
  132. use OID-identified mechanism tags.  It was noted that use of ASN.1 in
  133. tagging should be constrained (and, in the GSS-API appendix's
  134. recommendation, is constrained to X.509-DER) so that the use of a fully
  135. general ASN.1 parser is not required; further clarification on the
  136. encoding conventions and their processing requirements was requested.
  137.  
  138. Ted Ts'o suggested development of a generic ``plug-in'' authentication
  139. protocol layered on GSS-API, to be embedded within applications which
  140. are built over stream-oriented communications.  NNTP was specifically
  141. cited as an example; Telnet (given the fact that it acts itself as a
  142. sophisticated stream manager and is oriented to transfer of data
  143. elements within options) was not considered as a customer for this
  144. proposed technology and would be more appropriately served by calling
  145. CAT directly.  In the ``plug-inx'' approach, a stream would be
  146. established by the application and then handed over for use by the
  147. authentication protocol while authentication tokens were exchanged.
  148. Subsequent to token exchange, within which mechanism negotiation could
  149. also be incorporated, the stream could (optionally) either be handed
  150. back to the application or the application's communications could be
  151. encapsulated and thereby protected by the ``plug-in'' protocol.  The
  152. ability to reinitiate the ``plug-in'' protocol on an
  153. already-authenticated stream, thereby accomplishing reauthentication,
  154. was requested in discussion and considered to be supportable.
  155.  
  156. The format of CAT tokens was not perceived as a particularly hard issue
  157. from the viewpoint of caller protocols; the prospect the token exchanges
  158. in the course of carrying out GSS-API continuation scenarios raises
  159. qualitatively different complexity to callers, which use of the
  160. ``plug-in'' could simplify.  It was observed that existing mechanisms
  161. involve exchange of no more than two tokens, one from an initiator to a
  162. target and a second returned from the target to the initiator, and that
  163. perhaps the most likely scenario in which need for longer exchanges
  164. might arise would be design of a ``negotiated'' mechanism in which
  165. authentication elements were preceded by tokens transferred in order to
  166. establish a mechanism shared between peers.
  167.  
  168. FTP Security
  169.  
  170. At the end of the meeting, Sam Sjogren led a brief discussion on
  171. security for FTP, a topic for which he has established a discussion
  172. group.  Interest exists in Kerberized FTP in order to eliminate
  173. transmission of cleartext passwords across networks.  The FTP
  174.  
  175.  
  176.                                    3
  177.  
  178.  
  179.  
  180.  
  181.  
  182. specification states that FTP's control connection ``follows Telnet
  183. protocol'', but is silent about use of Telnet options on the control
  184. connection and it was believed that at least most FTP implementations
  185. would not accept Telnet options on an FTP control port.  The FTP
  186. specification also states that data elements in FTP commands are usually
  187. to be interpreted by humans, but informal communication with Jon Postel
  188. suggests that he would not oppose the inclusion of encoded data intended
  189. for machine interpretation (e.g., cryptographic authentication tokens)
  190. so long as the data elements' contents were properly specified.  It was
  191. suggested that authentication information for an FTP control connection
  192. could be represented either through use of the Telnet authentication
  193. option (if Telnet options are found to be supported or easily
  194. supportable within FTP) or by direct calls to CAT and textual encoding
  195. of CAT tokens.
  196.  
  197. In addition to security on FTP's control connection, there was also
  198. interest in protecting the data connection, most efficiently in a block
  199. mode.  Any such protection would need to be compatible with the variety
  200. of transfer modes supported within FTP.
  201.  
  202. Actions
  203.  
  204. Ted Ts'o plans further work on documenting the stream-oriented
  205. ``plug-in'' overlay.
  206.  
  207. Neil Haller plans further work on integrating a lower-function
  208. authentication mechanism, probably to be based on the S/key technology,
  209. under the GSS-API.
  210.  
  211. John Linn plans further work on documenting token encoding conventions
  212. and their attendant requirements.
  213.  
  214. Attendees
  215.  
  216. David Conklin            conklin@jvnc.net
  217. Stephen Crocker          crocker@tis.com
  218. Cathy Cunningham         cmc@microcom.com
  219. Art Dertke               dertke@gateway.mitre.org
  220. William Edison
  221. Richard Graveman         rfg@ctt.bellcore.com
  222. Neil Haller              nmh@thumper.bellcore.com
  223. Ken Hirata               khirata@emulex.com
  224. Russell Housley          Housley.McLean_CSD@Xerox.Com
  225. Frank Kastenholz         kasten@ftp.com
  226. David Katinsky           dmk@rutgers.edu
  227. John Kunze               jak@violet.berkeley.edu
  228. Paul Lambert             paul_lambert@email.mot.com
  229. John Linn                linn@erlang.enet.dec.com
  230. Steven Lunt              lunt@bellcore.com
  231. Mohammad Mirhakkak       mmirhakk@mitre.org
  232. Clifford Neuman          bcn@isi.edu
  233. Hilarie Orman            ho@cs.arizona.edu
  234.  
  235.  
  236.                                    4
  237.  
  238.  
  239.  
  240.  
  241.  
  242. Paul Sangster            sangster@ans.net
  243. Sam Schaen               schaen@mitre.org
  244. Sam Sjogren              sjogren@tgv.com
  245. Tang Tang                tt@virginia.edu
  246. John Vollbrecht          jrv@merit.edu
  247. Chuck Warlick            warlick@theophilis.nsfc.nasa.gov
  248. Daniel Woycke            woycke@smiley.mitre.org
  249.  
  250.  
  251.  
  252.                                    5
  253.