home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / internet-drafts / draft-haller-auth-requirements-00.txt < prev    next >
Encoding:
Text File  |  1993-07-26  |  24.3 KB  |  530 lines
  1.  
  2.   INTERNET DRAFT                                         Neil Haller, Bellcore
  3.                                                          Randall Atkinson, NRL
  4.                                                          August 1993
  5.  
  6.  
  7.                   Internet Authentication Requirements
  8.  
  9.  
  10.   STATUS OF THIS MEMO
  11.  
  12.      This documentis an Internet Draft.   Internet  Drafts  are  working
  13.      documents  of  the  Internettt  Engineering Task Force (IETF), it's
  14.      Areas  and  Working  Groups.  Note  that  other  groups  maay  also
  15.      distribute working documents as Internet Drafts.
  16.  
  17.      Internet Drafts are draft documents valid  for  a  maximum  of  six
  18.      months.  Drafts  may  be  updated,  replaced, or obsoleted by other
  19.      documents at any time.  It is ot appropriate to use Internet Drafts
  20.      as  reference  material  or  to  cite them other than as a "working
  21.      draft" or "work in progress."
  22.  
  23.      To learn the current status of any Internet Draft, please check the
  24.      1id-abstracts.txt  listing  contained in the Internet-Drafts Shadow
  25.      Directories  on  nic.ddn.mil,  nnsc.nsf.net,  ftp.nisc.sri.com,  or
  26.      munnari.oz.au.
  27.  
  28.      Distribution of this memo is unlimited.  It expires on February  1,
  29.      1994.
  30.  
  31.  
  32.   ABSTRACT
  33.  
  34.   The authentication  requirements  of  computing  systems  and  network
  35.   protocols  vary  greatly  with  their intended use, accessibility, and
  36.   their network connectivity.  This document  describes  a  spectrum  of
  37.   authentication   technologies   and   provides  guidance  to  protocol
  38.   developers on what kinds of authentication might be suitable for  what
  39.   kinds of protocols and applications used in the Internet.
  40.  
  41.   DEFINITION OF TERMS
  42.  
  43.   This section briefly defines some of the terms used in this  paper  to
  44.   aid the reader in understanding the draft.
  45.  
  46.      Active Attack:  An attempt to gain authentication or  authorization
  47.             by  inserting  false  packets  into  the  data stream.  (See
  48.             passive attacks and replay attacks.)
  49.  
  50.      Authentication:  The verification of the identity of the source  of
  51.             information,   possibly   including  verification  that  the
  52.             information has not been tampered with since being sent.
  53.  
  54.      Authorization:   The  granting  of  access  rights  based   on   an
  55.             authenticated identity.
  56.  
  57.      Confidentiality: The protection of information so that someone  not
  58.             authorized   to  access  the  information  cannot  read  the
  59.             information even though the unauthorized  person  might  see
  60.             the  information's  container (e.g. computer file or network
  61.             packet).
  62.  
  63.  
  64.  
  65.  
  66.  
  67.  
  68.                                             Atkinson & Haller  -  Page 2
  69.  
  70.      Encryption: A mechanism often used to provide confidentiality.
  71.  
  72.      Integrity:   The  protection  of  information   from   unauthorized
  73.             modification.
  74.  
  75.      Passive Attack:  An attack on an authentication system  that  takes
  76.             inserts no data into the stream, but instead relies on being
  77.             able to passively monitor  information  being  sent  between
  78.             other  parties.  This information could be used a later time
  79.             in what appears to be a valid session.  (See  active  attack
  80.             and replay attack)
  81.  
  82.      Plain-text:  Unencrypted text.
  83.  
  84.      Replay Attack:  An attack on an authentication system by  recording
  85.             and  replaying  previously  sent valid messages (or parts of
  86.             messages).  Any constant authentication information, such as
  87.             a password or electronically transmitted biometric data, can
  88.             be recorded and used later to forge messages  that  appeared
  89.             to be authentic.
  90.  
  91.      Symmetric Cryptography: An encryption system that uses the same key
  92.             for  encryption  and  decryption.   Sometimes referred to as
  93.             Secret Key Cryptography.
  94.  
  95.      Asymmetric Cryptography:  An encryption system that uses  different
  96.             keys, for encryption and decryption.  Also called Public Key
  97.             Cryptography.
  98.  
  99.  
  100.   AUTHENTICATION TECHNOLOGIES
  101.  
  102.   There are a number of different  classes  of  authentication,  ranging
  103.   from  no  authentication  to  very  strong  authentication.  Different
  104.   authentication mechanisms are  appropriate  for  addressing  different
  105.   kinds of authentication problems, so this is not a strict hierarchical
  106.   ordering.
  107.  
  108.   No Authentication
  109.  
  110.   For completeness, the simplest authentication system is  not  to  have
  111.   any.  A non-networked PC in a private location or a stand-alone public
  112.   workstation  containing  no  sensitive  data  need  not   authenticate
  113.   potential users.
  114.  
  115.   Disclosing Passwords
  116.  
  117.   The  simple  password  check  is  by  far  the  most  common  form  of
  118.   authentication.   Password checks come in many forms: the key may be a
  119.   password memorized by the user, it may be  a  physical  or  electronic
  120.   item  possessed by the user, or it may be a unique biological feature.
  121.   Simple password systems are said to use disclosing  passwords  because
  122.   if  the  password  is  transmitted  over  a network it is disclosed to
  123.   eavesdroppers.  Access keys may be stored on  the  target  system,  in
  124.   which  case  a single breach in system security may gain access to all
  125.   passwords.  Alternatively, as on most systems, the data stored on  the
  126.   system can be enough to verify passwords but not to generate them.
  127.  
  128.  
  129.  
  130.  
  131.  
  132.  
  133.  
  134.                                             Atkinson & Haller  -  Page 3
  135.  
  136.   Non-disclosing Passwords
  137.  
  138.   Non-disclosing password systems have been designed to  prevent  replay
  139.   attacks.    Several  systems  have  been  invented  to  generate  non-
  140.   disclosing passwords.  For example, the  SecurID  Card  from  Security
  141.   Dynamics  uses synchronized clocks for authentication information.  It
  142.   generates a visual display and thus must be in the possession  of  the
  143.   person   seeking  authentication.   The  S/KEY  authentication  system
  144.   developed at Bellcore generates multiple single use passwords  from  a
  145.   single  secret  key.  It  does not use a physical token, so it is also
  146.   suitable for machine-machine authentication.  In  addition  there  are
  147.   challenge-response  systems  in  which a device or computer program is
  148.   used to generate a verifiable response from a non-repeating challenge.
  149.   These systems vary in the sensitivity of the information stored in the
  150.   authenticating host, and thus vary in the security  requirements  that
  151.   must be placed on that host.
  152.  
  153.   Stronger Authentication Systems
  154.  
  155.   The growing use of networked computing environments  has  led  to  the
  156.   need  for  stronger  authentication.  In open networks, many users can
  157.   gain access to any information flowing  over  the  network,  and  with
  158.   additional  effort,  a  user can send information that appears to come
  159.   from another user.
  160.  
  161.   More powerful authentication  systems  make  use  of  the  computation
  162.   capability  of  the two authenticating parties.  Authentication may be
  163.   unidirectional such as most time sharing systems, or it may be  mutual
  164.   in  which case the entity logging in is assured of the identity of the
  165.   host.   Authentication  systems  use  cryptographic   techniques   and
  166.   establish  as  a  part  of  the authentication process a shared secret
  167.   (session key) that can be used for further exchanges.  One example  is
  168.   the  passing  of  a  ticket  that  can be use to obtain other services
  169.   without further authentication.  These authentication systems can also
  170.   provide confidentiality (using encryption) over insecure networks when
  171.   required.
  172.  
  173.   Symmetric Cryptography
  174.  
  175.   Symmetric Cryptography includes all systems that use the same key  for
  176.   encryption and decryption.  This means that knowledge of the key by an
  177.   undesired third party fully compromises  the  confidentiality  of  the
  178.   system.   Therefore,  the  keys  used need to be distributed securely,
  179.   either by courier or perhaps by use of a key distribution protocol, of
  180.   which  the  best  known  is  perhaps  that  proposed  by  Needham  and
  181.   Schroeder.  The widely used Data Encryption Standard (DES)  algorithm,
  182.   which  has  been standardized for use to protect unclassified civilian
  183.   US  Government  information,  is  perhaps  the  best  known  symmetric
  184.   encryption algorithm.
  185.  
  186.   A well known system that addresses insecure open networks as a part of
  187.   a  computing  environment was the Kerberos Authentication Service that
  188.   was developed as part of Project Athena at MIT.  Kerberos is based  on
  189.   Data  Encryption  Standard  (DES)  symmetric key encryption and uses a
  190.   trusted (third party) host that knows the secret keys of all users and
  191.   services,  and thus can generate credentials that can be used by users
  192.   and servers to prove  their  identities  to  other  systems.   As  the
  193.   Kerberos  server  knows all secret keys, it must be physically secure.
  194.  
  195.  
  196.  
  197.  
  198.  
  199.  
  200.                                             Atkinson & Haller  -  Page 4
  201.  
  202.   Kerberos session keys can be used to provide  confidentiality  between
  203.   any entities that trust the key server.
  204.  
  205.   Asymmetric Cryptography
  206.  
  207.   In the recent past, a major breakthrough in cryptology has led to  the
  208.   availability  of  Asymmetric  Cryptography.   This  is  different from
  209.   Symmetric Cryptography because different keys are used for  encryption
  210.   and decryption, which greatly simplifies the key distribution problem.
  211.   The best known asymmetric system is based on work by  Rivest,  Shamir,
  212.   and  Adleman  and  is  often  referred  to as "RSA" after the author's
  213.   initials.
  214.  
  215.   SPX is an experimental system that overcomes the  limitations  of  the
  216.   trusted  key  distribution  center of Kerberos by using RSA Public Key
  217.   Cryptography.   SPX  assumes  a   global   hierarchy   of   certifying
  218.   authorities  at  least one of which is trusted by each party.  It uses
  219.   digital signatures that consist of a token encrypted  in  the  private
  220.   key of the signing entity and that are validated using the appropriate
  221.   public key.  The public keys are known  to  be  correct  as  they  are
  222.   obtained  under  the signature of the trusted certification authority.
  223.   Critical parts of the authentication exchange  are  encrypted  in  the
  224.   public keys of the receivers, thus preventing a replay attack.
  225.  
  226.   Digital Signatures
  227.  
  228.   Digital signatures are a comparatively recent addition  to  the  tools
  229.   available  to  protocol  designers.   A  digital  signature performs a
  230.   function analogous to written signatures.  It serves to authenticate a
  231.   piece of data as to the sender and possibly as to the integrity of the
  232.   data.  It is also useful in proving that data in fact originated  with
  233.   a  party even if the party denies having sent it.  A digital signature
  234.   provides authentication without confidentiality and without  incurring
  235.   some of the difficulties in full encryption.  For example, Secure SNMP
  236.   calculates a MD5 cryptographic checksum over a shared secret  item  of
  237.   data  and  the  information  to  be  authenticated.   This serves as a
  238.   digital signature and it is believed to be  very  difficult  to  forge
  239.   such  a digital signature or to invert it to recover the shared secret
  240.   data.  Digital signatures can be used  to  provide  relatively  strong
  241.   authentication   and   are   particularly   useful   in   host-to-host
  242.   communications.
  243.  
  244.   USER TO HOST AUTHENTICATION
  245.  
  246.   There are a number of different approaches to authenticating users  to
  247.   remote  or  networked  hosts.   Two  hazards  are created by remote or
  248.   networked access: First an intruder can eavesdrop on the  network  and
  249.   obtain  user  ids  and  passwords  for a later replay attack.  This is
  250.   called a passive attack.   Second,  an  intruder  can  "take  over"  a
  251.   connection  after  authentication;  this  is  an example of an "active
  252.   attack".
  253.  
  254.   Currently, most systems use plain-text disclosing passwords sent  over
  255.   the  network  (typically  using telnet or rlogin) from the user to the
  256.   remote host.  This system does not provide  adequate  protection  from
  257.   reply  attacks  where an eavesdropper gains remote user ids and remote
  258.   passwords.
  259.  
  260.  
  261.  
  262.  
  263.  
  264.  
  265.  
  266.                                             Atkinson & Haller  -  Page 5
  267.  
  268.   Failure to use at least a non-disclosing password  system  means  that
  269.   unlimited  access  is  unintentionally granted to anyone with physical
  270.   access to the network.  For example, anyone with  physical  access  to
  271.   the  Ethernet  cable  can  impersonate any user on that portion of the
  272.   network.  Thus, when one has plain-text  disclosing  passwords  on  an
  273.   Ethernet, the primary security system is the guard at the door (if any
  274.   exist).  The same problem exists in other  LAN  technologies  such  as
  275.   Token-Ring or FDDI.  In some small internal Local Area Networks (LANs)
  276.   this may be acceptable to take this risk, but it  is  an  unacceptable
  277.   risk in an Internet.
  278.  
  279.   The minimal defense against eavesdropping is to use  a  non-disclosing
  280.   password  system.   Such a system can be run from a dumb terminal or a
  281.   simple communications program (e.g.  CTRM or PROCOMM) that emulates  a
  282.   dumb terminal on a PC class computer.  Using a stronger authentication
  283.   system would certainly defend against passive attacks against remotely
  284.   accessed  systems,  but  at  the  cost of not being able to use simple
  285.   terminals.   It  is  reasonable  to  expect  that   the   vendors   of
  286.   communications  programs  and non user-programmable terminals (such as
  287.   X-Terminals)  would  build  in  non-disclosing  password  or  stronger
  288.   authentication  systems if they were standardized or if a large market
  289.   were offered.
  290.  
  291.   Perimeter defenses are becoming more common.  In  these  systems,  the
  292.   user  first authenticates to the access network, possibly a "firewall"
  293.   host on the Internet, using a non-disclosing password system and  then
  294.   uses  a second system to authenticate to each host, or group of hosts,
  295.   from which service is desired.  This decouples the  problem  into  two
  296.   more easily handled situations.
  297.  
  298.   There are several disadvantages to the perimeter defense, so it should
  299.   be thought of as a short term solution.  The double authentication is,
  300.   in   general,   difficult   or   impossible   for    computer-computer
  301.   communication.   End  to  end  protocols,  which  are  common  on  the
  302.   connectionless Internet, could easily break.   The  perimeter  defense
  303.   must  be  tight  and  complete,  because  if  it  is broken, the inner
  304.   defenses tend to be too  weak  to  stop  a  potential  intruder.   For
  305.   example,  if disclosing passwords are used internally, these passwords
  306.   can be learned by  an  external  intruder  (eavesdropping).   If  that
  307.   intruder  is  able  to penetrate the perimeter, the internal system is
  308.   completely exposed.  Finally, a  perimeter  defense  may  be  open  to
  309.   compromise by internal users looking for shortcuts.
  310.  
  311.   A frequent form of perimeter defense is  the  application  relay.   As
  312.   these  relays  are protocol specific, the IP connectivity of the hosts
  313.   inside the perimeter with the outside world is broken and part of  the
  314.   power of the Internet is broken.
  315.  
  316.   An administrative advantage of  the  perimeter  defense  is  that  the
  317.   number  of  machines  that are on the perimeter and thus vulnerable to
  318.   attack is small.  These machines may be carefully checked for security
  319.   hazards,  but  it  is  difficult (or impossible) to guarantee that the
  320.   perimeter is leak-proof.  The  security  of  a  perimeter  defense  is
  321.   complicated  as  the  gateway machines must pass some types of traffic
  322.   such as electronic mail.  Other network services such as the  Internet
  323.   Network   Time   Protocol   (NTP)  and  FTP  may  also  be  desirable.
  324.   Furthermore the perimeter gateway system must be able to pass  without
  325.   bottleneck the entire traffic load for its security domain.
  326.  
  327.  
  328.  
  329.  
  330.  
  331.  
  332.                                             Atkinson & Haller  -  Page 6
  333.  
  334.   In the foreseeable future, the use  of  stronger  techniques  will  be
  335.   required  to  protect against active attacks.  Many corporate networks
  336.   based on broadcast technology such  as  Ethernet  probably  need  such
  337.   techniques.   To  defend  against  an  active  attack,  or  to provide
  338.   privacy, it is necessary to use a protocol  with  session  encryption,
  339.   for example Kerberos, or use an authentication mechanism that protects
  340.   against replay attacks, perhaps using time stamps.  In Kerberos, users
  341.   obtain   credentials  from  the  Kerberos  server  and  use  them  for
  342.   authentication to obtain services from other computers on the network.
  343.   The  computing  power  of the local workstation is used to decrypt the
  344.   credentials (using a key derived from the user-provided password)  and
  345.   store them until needed.
  346.  
  347.   Another approach to remotely accessible networks of  computers  is  to
  348.   consider  externally  accessible  machines  to be "servers" instead of
  349.   general use  workstations,  in  the  Kerberos  sense.   That  is,  the
  350.   Kerberos  authentication server and the server to which the users logs
  351.   in share a secret key. This  secret  can  then  be  used  encrypt  all
  352.   communication between the two machines.  This cryptographically secure
  353.   channel makes  the  accessible  server  a  logical  extension  of  the
  354.   Kerberos  authentication  server.   The  sub-network  of machines thus
  355.   linked becomes, in effect, a larger distributed authentication server.
  356.   Also,  Workstations  that  are  remotely accessible could generate use
  357.   asymmetric technology to encrypt communications.  The  public  key  is
  358.   published  and  well  known to all clients.  A user can use the public
  359.   key to encrypt a simple password that can then be used and the  remote
  360.   system  can  decrypt  the  password  to  authenticate the user without
  361.   risking disclosure of the password while it is in transit.
  362.  
  363.   AUTHENTICATION OF NETWORK SERVICES
  364.  
  365.   In addition to needing to authenticate users and hosts to each  other,
  366.   many network services need or could benefit from authentication.  This
  367.   section describes some approaches to authentication in protocols  that
  368.   are  primarily  host  to  host in orientation.  As in the user to host
  369.   authentication case,  there  are  several  techniques  that  might  be
  370.   considered.
  371.  
  372.   The most common case at present is  to  not  have  any  authentication
  373.   support in the protocol.  Bellovin and others have documented a number
  374.   of cases where existing protocols can  be  used  to  attack  a  remote
  375.   machine because there is no authentication in the protocols.
  376.  
  377.   Some protocols provide for disclosing passwords  to  be  passed  along
  378.   with  the protocol information.  The original SNMP protocols used this
  379.   method and a number of the routing  protocols  continue  to  use  this
  380.   method.   This  method  is  useful  as  a transitional aid to slightly
  381.   increase security and might be appropriate when there is  little  risk
  382.   in having a completely insecure protocol.
  383.  
  384.   However, there are  many  protocols  that  need  to  support  stronger
  385.   authentication  mechanisms.  For example, there was widespread concern
  386.   that SNMP needed stronger authentication than it originally had.  This
  387.   led  to  the  publication  of  the Secure SNMP protocols which support
  388.   optional authentication, using  a  digital  signature  mechanism,  and
  389.   optional   confidentiality,   using   DES   encryption.   The  digital
  390.   signatures used in Secure SNMP are based on appending a  cryptographic
  391.   checksum  to  the  SNMP  information.   The  cryptographic checksum is
  392.  
  393.  
  394.  
  395.  
  396.  
  397.  
  398.                                             Atkinson & Haller  -  Page 7
  399.  
  400.   computed using the MD5 algorithm  and  a  secret  shared  between  the
  401.   communicating  parties  so  is  believed  to  be difficult to forge or
  402.   invert.
  403.  
  404.   Digital signature technology has evolved in recent years and should be
  405.   considered   for   applications   requiring   authentication  but  not
  406.   confidentiality.  Digital signatures may use a  single  secret  shared
  407.   among  two  or  more  communicating  parties  or  it might be based on
  408.   asymmetric encryption technology.  The former case would  require  the
  409.   use  of  predetermined  keys  or  the use of a secure key distribution
  410.   protocol, such as that devised  by  Needham  and  Schroeder.   In  the
  411.   latter  case,  the  public  keys  would  need  to be distributed in an
  412.   authenticated manner.  If a general key  distribution  mechanism  were
  413.   available,  support  for optional digital signatures could be added to
  414.   most protocols with little additional expense.   Each  protocol  could
  415.   address the key exchange and setup problem, but that might make adding
  416.   support  for  digital  signatures  more  complicated  and  effectively
  417.   discourage protocol designers from adding digital signature support.
  418.  
  419.   For cases where both authentication and confidentiality  are  required
  420.   on  a  host-to-host  basis, session encryption could be employed using
  421.   symmetric cryptography, asymmetric cryptography, or a  combination  of
  422.   both.   Use  of the asymmetric cryptography simplifies key management.
  423.   Each host would encrypt the  information  and  within  the  host,  the
  424.   existing operating system mechanisms would provide protection.
  425.  
  426.   In some  cases,  possibly  including  electronic  mail,  it  might  be
  427.   desirable  to  provide  the security properties within the application
  428.   itself in a manner that  was  truly  user-to-user  rather  than  being
  429.   host-to-host.   The Privacy Enhanced Mail (PEM) work is employing this
  430.   approach.
  431.  
  432.   FUTURE DIRECTIONS
  433.  
  434.   Systems   are   moving   towards   the   cryptographically    stronger
  435.   authentication  protocols described in the first paragraph.  This move
  436.   has two implications for future systems.  We can  expect  to  see  the
  437.   introduction  and  eventually the widespread use of public key crypto-
  438.   systems.  Session authentication, integrity, and  privacy  issues  are
  439.   growing  in  importance. As computer-to-computer communication becomes
  440.   more important, protocols that provide simple  human  interfaces  will
  441.   become  less  important.  This is not to say that human interfaces are
  442.   unimportant; they are very important.  It means that these  interfaces
  443.   are  the  responsibility  of  the  applications,  not  the  underlying
  444.   protocol.  Human interface design is beyond the scope of this memo.
  445.  
  446.   The use of public key crypto-systems for user to  host  authentication
  447.   solve  many security issues, but unlike simple passwords, a public key
  448.   cannot be memorized.  Current public keys are about 500 bits long, and
  449.   it  is likely that in the near future longer keys will be used.  Thus,
  450.   users might have to carry their  private  keys  in  some  electrically
  451.   readable form.  The use of read-only storage, such as a floppy disk or
  452.   a magnetic stripe card provides such storage, but it might require the
  453.   user  to  trust  their  private  keys to the reading device.  Use of a
  454.   smart card, a portable device  containing  both  storage  and  program
  455.   might  be preferable.  These devices have the potential to perform the
  456.   authenticating operations  without  divulging  the  private  key  they
  457.   contain.   They  can  also  interact with the user requiring a simpler
  458.  
  459.  
  460.  
  461.  
  462.  
  463.  
  464.                                             Atkinson & Haller  -  Page 8
  465.  
  466.   form of authentication to "unlock" the card.
  467.  
  468.   The use of public key crypto-systems for host to  host  authentication
  469.   appears  not  to have the same key memorization problem as the user to
  470.   host case does.  A multiuser  host  can  store  its  key(s)  in  space
  471.   protected from users and obviate that problem.  Single user inherently
  472.   insecure systems, such as PCs and  Macintoshes,  remain  difficult  to
  473.   handle but the smart card approach should also work for them.
  474.  
  475.   The implications of this taxonomy  are  clear.   Strong  cryptographic
  476.   authentication  is  needed  in  the  near  future  for many protocols.
  477.   Public key technology should be used when it is  practical  and  cost-
  478.   effective.   In the short term, the use of disclosing password systems
  479.   should be phased out in favor of non-disclosing  systems  and  digital
  480.   signatures.
  481.  
  482.   SECURITY CONSIDERATIONS
  483.  
  484.     The entire Internet Draft discusses Security Considerations in  that
  485.   it  discusses  authentication  technologies  and  needs.  There are no
  486.   security issues regarding the public release of this draft.
  487.  
  488.   EXPIRATION
  489.  
  490.     This Internet Draft expires on February 1, 1994.
  491.  
  492.   AUTHORS' ADDRESSES
  493.  
  494.      Neil Haller              <nmh@thumper.bellcore.com>
  495.      Bell Communications Research
  496.      445 South Street  -- MRE 2Q-280
  497.      Morristown, NJ 07962-1910
  498.  
  499.      Randall Atkinson         <atkinson@itd.nrl.navy.mil>
  500.      Code 5544
  501.      Naval Research Laboratory
  502.      Washington, DC 20375
  503.  
  504.  
  505.  
  506.  
  507.  
  508.  
  509.  
  510.  
  511.  
  512.  
  513.  
  514.  
  515.  
  516.  
  517.  
  518.  
  519.  
  520.  
  521.  
  522.  
  523.  
  524.  
  525.  
  526.  
  527.  
  528.  
  529.  
  530.