home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / internet-drafts / draft-haller-auth-requirements-01.txt

< prev

next >

Wrap

Text File  |  1993-09-30  |  33KB  |  722 lines

---

1.  
2. INTERNET DRAFT                                         Neil Haller, Bellcore
3.                                                        Randall Atkinson, NRL
4.                                                        5 October 1993
5.  
6.  
7.                    Internet Authentication Guidelines
8.  
9.  
10. STATUS OF THIS MEMO
11.  
12.    This document is an Internet  Draft.   Internet  Drafts  are  working
13.    documents of the Internettt Engineering Task Force (IETF), it's Areas
14.    and Working Groups.  Note  that  other  groups  may  also  distribute
15.    working documents as Internet Drafts.
16.  
17.    Internet Drafts are draft  documents  valid  for  a  maximum  of  six
18.    months.  Drafts  may  be  updated,  replaced,  or  obsoleted by other
19.    documents at any time.  It is not appropriate to use Internet  Drafts
20.    as reference material or to cite them other than as a "working draft"
21.    or "work in progress."
22.  
23.    To learn the current status of any Internet Draft, please  check  the
24.    1id-abstracts.txt  listing  contained  in  the Internet-Drafts Shadow
25.    Directories on ds.internic.net, nic.nordu.net,  ftp.nisc.sri.com,  or
26.    munnari.oz.au.
27.  
28.    The distribution of this Internet Draft is unlimited.  It is filed as
29.    <draft-haller-auth-requirements-01.txt>,  and  it replaces an earlier
30.    Internet Draft "Internet Authentication Requirements",  August  1993.
31.    It expires on April 5, 1994.
32.  
33.  
34. ABSTRACT
35.  
36. The  authentication  requirements  of  computing  systems  and   network
37. protocols vary greatly with their intended use, accessibility, and their
38. network  connectivity.   This   document   describes   a   spectrum   of
39. authentication technologies and provides guidance to protocol developers
40. on what kinds of authentication might be  suitable  for  what  kinds  of
41. protocols and applications used in the Internet.
42.  
43. DEFINITION OF TERMS
44.  
45. This section briefly defines some of the terms used in this paper to aid
46. the reader in understanding the draft.
47.  
48.    Active Attack:  An attempt to gain authentication or authorization by
49.           inserting  false  packets into the data stream or by modifying
50.           packets transiting the data stream. (See passive  attacks  and
51.           replay attacks.)
52.  
53.    Asymmetric Cryptography:  An encryption system  that  uses  different
54.           keys,    for   encryption   and   decryption.    Also   called
55.           Public Key Cryptography.  (See Symmetric Cryptography)
56.  
57.  
58.  
59. Atkinson & Haller                                               [Page 1]
60.  
61.  
62.  
63.  
64.  
65. Internet-Draft                                            5 October 1993
66.  
67.  
68.    Authentication:  The verification of the identity of  the  source  of
69.           information,   possibly   including   verification   that  the
70.           information has not been tampered with since being sent.
71.  
72.    Authorization:   The  granting  of  access   rights   based   on   an
73.           authenticated identity.
74.  
75.    Confidentiality: The protection of information so  that  someone  not
76.           authorized   to   access   the  information  cannot  read  the
77.           information even though the unauthorized person might see  the
78.           information's   container   (e.g.  computer  file  or  network
79.           packet).
80.  
81.    Encryption: A mechanism often used to provide confidentiality.
82.  
83.    Integrity:   The  protection   of   information   from   unauthorized
84.           modification.
85.  
86.    Key Certificate: TBD
87.  
88.    Passive Attack:  An attack on an authentication system  that  inserts
89.           no  data  into the stream, but instead relies on being able to
90.           passively  monitor  information  being  sent   between   other
91.           parties.   This information could be used a later time in what
92.           appears to be a valid session.  (See active attack and  replay
93.           attack)
94.  
95.    Plain-text:  Unencrypted text.
96.  
97.    Replay Attack:  An attack on an authentication  system  by  recording
98.           and  replaying  previously  sent  valid  messages (or parts of
99.           messages).  Any constant authentication information, such as a
100.           password  or electronically transmitted biometric data, can be
101.           recorded and used later to forge messages that  appear  to  be
102.           authentic.
103.  
104.    Symmetric Cryptography: An encryption system that uses the  same  key
105.           for  encryption  and  decryption.   Sometimes  referred  to as
106.           Secret Key Cryptography.
107.  
108.  
109.  
110. AUTHENTICATION TECHNOLOGIES
111.  
112. There are a number of different classes of authentication, ranging  from
113. no    authentication   to   very   strong   authentication.    Different
114. authentication mechanisms are appropriate for addressing different kinds
115. of  authentication  problems,  so  this  is  not  a  strict hierarchical
116. ordering.
117.  
118. No Authentication
119.  
120. For completeness, the simplest authentication system is not to have any.
121. A  non-networked  PC  in  a  private  location  or  a stand-alone public
122.  
123.  
124.  
125. Atkinson & Haller                                               [Page 2]
126.  
127.  
128.  
129.  
130.  
131. Internet-Draft                                            5 October 1993
132.  
133.  
134. workstation containing no sensitive data need not authenticate potential
135. users.
136.  
137. Disclosing Passwords
138.  
139. The  simple  password  check  is  by  far  the  most  common   form   of
140. authentication.   Password  checks  come in many forms: the key may be a
141. password memorized by the user, it may be a physical or electronic  item
142. possessed by the user, or it may be a unique biological feature.  Simple
143. password systems are said to use disclosing  passwords  because  if  the
144. password is transmitted over a network it is disclosed to eavesdroppers.
145. Access keys may be stored on the target system, in which case  a  single
146. breach   in   system   security   may  gain  access  to  all  passwords.
147. Alternatively, as on most systems, the data stored on the system can  be
148. enough to verify passwords but not to generate them.
149.  
150. Non-disclosing Passwords
151.  
152. Non-disclosing password systems have been  designed  to  prevent  replay
153. attacks.   Several systems have been invented to generate non-disclosing
154. passwords.  For example, the SecurID Card from  Security  Dynamics  uses
155. synchronized  clocks for authentication information.  The card generates
156. a visual display and thus must  be  in  the  possession  of  the  person
157. seeking  authentication.   The  S/KEY authentication system developed at
158. Bellcore generates multiple single use passwords from  a  single  secret
159. key. [SKEY] It does not use a physical token, so it is also suitable for
160. machine-machine  authentication.   In  addition  there  are   challenge-
161. response  systems  in  which  a  device  or  computer program is used to
162. generate a verifiable response from a  non-repeating  challenge.   These
163. systems  vary  in  the  sensitivity  of  the  information  stored in the
164. authenticating host, and thus vary in  the  security  requirements  that
165. must be placed on that host.
166.  
167. Stronger Authentication Systems
168.  
169. The growing use of networked computing environments has led to the  need
170. for  stronger  authentication.   In  open  networks, many users can gain
171. access to any information flowing over the network, and with  additional
172. effort,  a  user  can send information that appears to come from another
173. user.
174.  
175. More  powerful  authentication  systems  make  use  of  the  computation
176. capability  of  the  two  authenticating parties.  Authentication may be
177. unidirectional such as most time sharing systems, or it may be mutual in
178. which case the entity logging in is assured of the identity of the host.
179. Authentication systems use cryptographic techniques and establish  as  a
180. part  of  the  authentication process a shared secret (session key) that
181. can be used for further exchanges.  One example  is  the  passing  of  a
182. ticket  that  can  be  use  to  obtain  other  services  without further
183. authentication.   These  authentication   systems   can   also   provide
184. confidentiality (using encryption) over insecure networks when required.
185.  
186.  
187.  
188.  
189.  
190.  
191. Atkinson & Haller                                               [Page 3]
192.  
193.  
194.  
195.  
196.  
197. Internet-Draft                                            5 October 1993
198.  
199.  
200. Symmetric Cryptography
201.  
202. Symmetric Cryptography includes all systems that use the  same  key  for
203. encryption  and  decryption.  This means that knowledge of the key by an
204. undesired third party  fully  compromises  the  confidentiality  of  the
205. system.   Therefore,  the  keys  used  need  to be distributed securely,
206. either by courier or perhaps by use of a key distribution  protocol,  of
207. which  the best known is perhaps that proposed by Needham and Schroeder.
208. [NS78, NS87] The widely used Data Encryption Standard  (DES)  algorithm,
209. which  has been standardized for use to protect unclassified civilian US
210. Government information, is perhaps the best known  symmetric  encryption
211. algorithm. [NBS77]
212.  
213. A well known system that addresses insecure open networks as a part of a
214. computing  environment  is  the Kerberos Authentication Service that was
215. developed as part of Project Athena at MIT.  [SNS88, BM91]  Kerberos  is
216. based  on  Data  Encryption  Standard (DES) symmetric key encryption and
217. uses a trusted (third party) host that knows  the  secret  keys  of  all
218. users  and  services, and thus can generate credentials that can be used
219. by users and servers to prove their identities to other systems.  As the
220. Kerberos  server  knows  all  secret keys, it must be physically secure.
221. Kerberos session keys can be used to provide confidentiality between any
222. entities that trust the key server.
223.  
224. Asymmetric Cryptography
225.  
226. In the recent past, a major breakthrough in cryptology has  led  to  the
227. availability   of  Asymmetric  Cryptography.   This  is  different  from
228. Symmetric Cryptography because different keys are  used  for  encryption
229. and  decryption,  which greatly simplifies the key distribution problem.
230. The best known asymmetric system is based on work by Rivest, Shamir, and
231. Adleman  and  is often referred to as "RSA" after the authors' initials.
232. [RSA78]
233.  
234. SPX is an experimental system that  overcomes  the  limitations  of  the
235. trusted  key  distribution  center  of  Kerberos by using RSA Public Key
236. Cryptography. [TA91]  SPX  assumes  a  global  hierarchy  of  certifying
237. authorities  at  least  one  of which is trusted by each party.  It uses
238. digital signatures that consist of a token encrypted in the private  key
239. of  the  signing  entity  and  that  are validated using the appropriate
240. public key.  The public keys  are  known  to  be  correct  as  they  are
241. obtained  under  the  signature  of the trusted certification authority.
242. Critical parts of the  authentication  exchange  are  encrypted  in  the
243. public keys of the receivers, thus preventing a replay attack.
244.  
245. Digital Signatures
246.  
247. Digital signatures are a comparatively  recent  addition  to  the  tools
248. available  to  protocol  designers.   A  digital  signature  performs  a
249. function analogous to written signatures.  It serves to  authenticate  a
250. piece  of  data as to the sender and possibly as to the integrity of the
251. data.  A digital signature using asymmetric technology (public key)  can
252. also be useful in proving that data in fact originated with a party even
253. if the party denies having sent it, a property  called  non-repudiation.
254.  
255.  
256.  
257. Atkinson & Haller                                               [Page 4]
258.  
259.  
260.  
261.  
262.  
263. Internet-Draft                                            5 October 1993
264.  
265.  
266. A  digital signature provides authentication without confidentiality and
267. without incurring some of the  difficulties  in  full  encryption.   For
268. example,  Secure  SNMP  and  SNMPv2  both  calculate a MD5 cryptographic
269. checksum over a shared secret item of data and  the  information  to  be
270. authenticated.  [Rivest92,  GM93] This serves as a digital signature and
271. it is believed to be very difficult to forge such a digital signature or
272. to  invert it to recover the shared secret data.  Digital signatures can
273. be used to provide relatively strong authentication and are particularly
274. useful in host-to-host communications.
275.  
276. USER TO HOST AUTHENTICATION
277.  
278. There are a number of different approaches to  authenticating  users  to
279. remote  or  networked  hosts.   Two  hazards  are  created  by remote or
280. networked access: First an intruder can eavesdrop  on  the  network  and
281. obtain user ids and passwords for a later replay attack.  This is called
282. a passive attack.  Second, an intruder  can  "take  over"  a  connection
283. after authentication; this is an example of an "active attack".
284.  
285. Currently, most systems use plain-text disclosing  passwords  sent  over
286. the  network  (typically  using  telnet  or rlogin) from the user to the
287. remote host. [Anderson84  ,  Kantor91]  This  system  does  not  provide
288. adequate  protection  from  reply  attacks  where  an eavesdropper gains
289. remote user ids and remote passwords.
290.  
291. Failure to use at least a  non-disclosing  password  system  means  that
292. unlimited  access  is  unintentionally  granted  to anyone with physical
293. access to the network.  For example, anyone with physical access to  the
294. Ethernet  cable can impersonate any user on that portion of the network.
295. Thus, when one has plain-text disclosing passwords on an  Ethernet,  the
296. primary  security  system  is the guard at the door (if any exist).  The
297. same problem exists in other LAN  technologies  such  as  Token-Ring  or
298. FDDI.   In  some  small  internal Local Area Networks (LANs) this may be
299. acceptable to take this risk, but it  is  an  unacceptable  risk  in  an
300. Internet.
301.  
302. The minimal defense against eavesdropping is  to  use  a  non-disclosing
303. password  system.   Such  a  system can be run from a dumb terminal or a
304. simple communications program (e.g.  CTRM or PROCOMM)  that  emulates  a
305. dumb  terminal  on a PC class computer.  Using a stronger authentication
306. system would certainly defend against passive attacks  against  remotely
307. accessed  systems,  but  at  the  cost  of  not being able to use simple
308. terminals.   It  is  reasonable  to   expect   that   the   vendors   of
309. communications  programs and non user-programmable terminals (such as X-
310. Terminals)  would  build  in   non-disclosing   password   or   stronger
311. authentication  systems  if  they were standardized or if a large market
312. were offered.
313.  
314. Perimeter defenses are becoming more common.  In these systems, the user
315. first  authenticates to an entity on an externally accessable portion of
316. the network, possibly a "firewall" host on the Internet,  using  a  non-
317. disclosing  password  system.  The  user  then  uses  a second system to
318. authenticate to each host, or group of  hosts,  from  which  service  is
319. desired.   This  decouples  the  problem  into  two  more easily handled
320.  
321.  
322.  
323. Atkinson & Haller                                               [Page 5]
324.  
325.  
326.  
327.  
328.  
329. Internet-Draft                                            5 October 1993
330.  
331.  
332. situations.
333.  
334. There are several disadvantages to the perimeter defense, so  it  should
335. be  thought of as a short term solution.  The gateway is not transparent
336. at the IP level, so it must treat every service independently.  The  use
337. of   double  authentication  is, in general, difficult or impossible for
338. computer-computer communication.  End to end protocols, which are common
339. on  the  connectionless  Internet,  could  easily  break.  The perimeter
340. defense must be tight and complete, because if it is broken,  the  inner
341. defenses tend to be too weak to stop a potential intruder.  For example,
342. if disclosing passwords are used  internally,  these  passwords  can  be
343. learned  by  an  external intruder (eavesdropping).  If that intruder is
344. able to penetrate the  perimeter,  the  internal  system  is  completely
345. exposed.   Finally,  a  perimeter  defense  may be open to compromise by
346. internal users looking for shortcuts.
347.  
348. A frequent form of perimeter defense is the application relay.  As these
349. relays  are  protocol  specific, the IP connectivity of the hosts inside
350. the perimeter with the outside world is broken and part of the power  of
351. the Internet is lost.
352.  
353. An administrative advantage of the perimeter defense is that the  number
354. of  machines  that are on the perimeter and thus vulnerable to attack is
355. small.  These machines may be carefully checked  for  security  hazards,
356. but  it  is difficult (or impossible) to guarantee that the perimeter is
357. leak-proof.  The security of a perimeter defense is complicated  as  the
358. gateway  machines  must  pass  some  types of traffic such as electronic
359. mail.  Other network services such as the Network  Time  Protocol  (NTP)
360. and  the  File  Transfer Protocol (FTP) may also be desirable. [Mills92,
361. PR85] Furthermore the perimeter gateway system  must  be  able  to  pass
362. without bottleneck the entire traffic load for its security domain.
363.  
364. In the foreseeable future,  the  use  of  stronger  techniques  will  be
365. required  to  protect  against  active attacks.  Many corporate networks
366. based on broadcast  technology  such  as  Ethernet  probably  need  such
367. techniques.   To defend against an active attack, or to provide privacy,
368. it is necessary to use a protocol with session encryption,  for  example
369. Kerberos,  or  use  an  authentication  mechanism  that protects against
370. replay attacks, perhaps using time stamps.  In  Kerberos,  users  obtain
371. credentials  from the Kerberos server and use them for authentication to
372. obtain services from other computers  on  the  network.   The  computing
373. power of the local workstation is used to decrypt the credentials (using
374. a key derived from the user-provided  password)  and  store  them  until
375. needed.   If  the  security protocol relies on synchronized clocks, then
376. NTPv3 will be useful because it distributes time amongst a large  number
377. of  computers  and  is  one  of the few existing Internet protocols that
378. includes solid authentication mechanisms.
379.  
380. Another approach to remotely accessible networks of computers is for all
381. externally  accessable machines to share a secret with the Kerberos KDC.
382. In a sense, this makes these machines "servers" instead of  general  use
383. workstations.    This  shared  secret  can  then  be  used  encrypt  all
384. communication  between  the  two  machines   enabling   the   accessable
385. workstation  to  relay authentication information to the KDC in a secure
386.  
387.  
388.  
389. Atkinson & Haller                                               [Page 6]
390.  
391.  
392.  
393.  
394.  
395. Internet-Draft                                            5 October 1993
396.  
397.  
398. way.
399.  
400. Finally, workstations that are remotely accessible could use  asymmetric
401. cryptographic  technology  to encrypt communications.  The workstation's
402. public key would be published and well known to  all  clients.   A  user
403. could  use  the  public  key to encrypt a simple password and the remote
404. system can decrypt the password to authenticate the user without risking
405. disclosure of the password while it is in transit.
406.  
407. KEY DISTRIBUTION & MANAGEMENT
408.  
409. The discussion thus far has  periodically  mentioned  keys,  either  for
410. encryption  or  for authentication (e.g. as input to a digital signature
411. function).  Key management is perhaps the  hardest  problem  faced  when
412. seeking  to  provide  authentication in large internetworks.  Hence this
413. section provides a very brief overview of key management technology that
414. might be used.
415.  
416. The Needham & Schroeder protocol, which is used by Kerberos, relies on a
417. central  key  server.   In  a large internetwork, there would need to be
418. significant numbers of these key servers, at least one  key  server  per
419. administrative  domain.   There  would  also  need  to be mechanisms for
420. separately administered key servers to cooperate in generating a session
421. key  for  parties  in  different  administrative domains.  These are not
422. impossible problems, but  this  approach  clearly  involves  significant
423. infrastructure changes.
424.  
425. Most public-key encryption algorithms are computationally expensive  and
426. so  are  not  ideal  for  encrypting packets in a network.  However, the
427. asymmetric property makes them very useful for  setup  and  exchange  of
428. symmetric  session  keys.   In  practice, the commercial sector probably
429. uses asymmetric algorithms  primarily  for  key  exchange  and  not  for
430. encryption.   Both RSA and the Diffie-Hellman techniques can be used for
431. this.  One advantage of using asymmetric techniques is that the  central
432. key  server  can  be  eliminated.   The  difference  in  key  management
433. techniques is perhaps the primary difference between Kerberos  and  SPX.
434. Privacy Enhanced Mail uses asymmetric digital signatures for trusted key
435. authorities to sign the public keys of users.  The result of this use is
436. key  certificates  which  contain  the  public  key  of  some  party and
437. authentication that the public key in fact belongs to that  party.   Key
438. certificates  can  be  distributed  in  many  ways.  One way might be to
439. extend the existing Domain Name System by adding a new DNS  record  that
440. would hold the key certificate for a host.
441.  
442. For multicast sessions, key management is harder because the widely used
443. key  management  techniques have their number of operations proportional
444. to the number of participating parties.  In the  future,  more  scalable
445. multicast key management techniques are desirable.
446.  
447. Finally, key management mechanisms described in  the  public  literature
448. have  a  long history of subtle flaws.  There is ample evidence of this,
449. even for well-known techniques such as the Needham & Schroeder  protocol
450. [NS78,  NS87].  In some cases, subtle flaws have only become known after
451. formal methods  techniques  were  used  in  an  attempt  to  verify  the
452.  
453.  
454.  
455. Atkinson & Haller                                               [Page 7]
456.  
457.  
458.  
459.  
460.  
461. Internet-Draft                                            5 October 1993
462.  
463.  
464. protocol.   Hence, it is highly desirable that key management mechanisms
465. be kept separate from authentication or encryption mechanisms as much as
466. is possible.
467.  
468. AUTHENTICATION OF NETWORK SERVICES
469.  
470. In addition to needing to authenticate users and hosts  to  each  other,
471. many  network  services need or could benefit from authentication.  This
472. section describes some approaches to authentication  in  protocols  that
473. are  primarily  host  to  host  in  orientation.  As in the user to host
474. authentication  case,  there  are  several  techniques  that  might   be
475. considered.
476.  
477. The most common case at  present  is  to  not  have  any  authentication
478. support  in  the protocol.  Bellovin and others have documented a number
479. of cases where existing protocols can be used to attack a remote machine
480. because there is no authentication in the protocols.  [Bellovin89]
481.  
482. Some protocols provide for disclosing passwords to be passed along  with
483. the  protocol information.  The original SNMP protocols used this method
484. and a number of the routing  protocols  continue  to  use  this  method.
485. [Moy91,  LR91,  CFSD88]  This  method is useful as a transitional aid to
486. slightly increase security and might be appropriate when there is little
487. risk in having a completely insecure protocol.
488.  
489. There are many protocols that need to  support  stronger  authentication
490. mechanisms.   For example, there was widespread concern that SNMP needed
491. stronger authentication  than  it  originally  had.   This  led  to  the
492. publication   of  the  Secure  SNMP  protocols  which  support  optional
493. authentication,  using  a  digital  signature  mechanism,  and  optional
494. confidentiality,  using  DES encryption.  The digital signatures used in
495. Secure SNMP are based on appending a cryptographic checksum to the  SNMP
496. information.   The  cryptographic  checksum  is  computed  using the MD5
497. algorithm and a secret shared between the communicating  parties  so  is
498. believed to be difficult to forge or invert.
499.  
500. Digital signature technology has evolved in recent years and  should  be
501. considered   for   applications   requiring   authentication   but   not
502. confidentiality.  Digital signatures may  use  a  single  secret  shared
503. among  two  or  more  communicating  parties  or  it  might  be based on
504. asymmetric encryption technology.  The former case would require the use
505. of  predetermined keys or the use of a secure key distribution protocol,
506. such as that devised by Needham and Schroeder.  In the latter case,  the
507. public keys would need to be distributed in an authenticated manner.  If
508. a  general  key  distribution  mechanism  were  available,  support  for
509. optional digital signatures could be added to most protocols with little
510. additional expense.  Each protocol could address the  key  exchange  and
511. setup problem, but that might make adding support for digital signatures
512. more complicated and  effectively  discourage  protocol  designers  from
513. adding digital signature support.
514.  
515. For cases where both authentication and confidentiality are required  on
516. a  host-to-host  basis,  session  encryption  could  be  employed  using
517. symmetric cryptography, asymmetric cryptography,  or  a  combination  of
518.  
519.  
520.  
521. Atkinson & Haller                                               [Page 8]
522.  
523.  
524.  
525.  
526.  
527. Internet-Draft                                            5 October 1993
528.  
529.  
530. both.   Use  of  the  asymmetric cryptography simplifies key management.
531. Each host would  encrypt  the  information  and  within  the  host,  the
532. existing operating system mechanisms would provide protection.
533.  
534. In some cases, possibly including electronic mail, it might be desirable
535. to  provide  the  security properties within the application itself in a
536. manner that was truly user-to-user rather than being host-to-host.   The
537. Privacy  Enhanced  Mail  (PEM) work is employing this approach. [Linn93,
538. Kent93, Balenson93, Kaliski93]
539.  
540. FUTURE DIRECTIONS
541.  
542. Systems are moving towards the cryptographically stronger authentication
543. protocols   described  in  the  first  paragraph.   This  move  has  two
544. implications for future systems.  We can expect to see the  introduction
545. and eventually the widespread use of public key crypto-systems.  Session
546. authentication, integrity, and privacy issues are growing in importance.
547. As  computer-to-computer communication becomes more important, protocols
548. that provide simple human interfaces will become less important. This is
549. not  to  say  that  human  interfaces  are  unimportant;  they  are very
550. important.  It means that these interfaces are the responsibility of the
551. applications,  not  the  underlying protocol.  Human interface design is
552. beyond the scope of this memo.
553.  
554. The use of public key  crypto-systems  for  user-to-host  authentication
555. solve  many  security  issues, but unlike simple passwords, a public key
556. cannot be memorized. As of this writing, public key sizes  of  at  least
557. 500  bits  are commonly used in the commercial world.  It is likely that
558. larger key sizes will be used in the future.  Thus, users might have  to
559. carry their private keys in some electrically readable form.  The use of
560. read-only storage, such as a floppy  disk  or  a  magnetic  stripe  card
561. provides  such  storage,  but  it  might require the user to trust their
562. private keys to the reading device.  Use of a  smart  card,  a  portable
563. device  containing  both storage and program might be preferable.  These
564. devices have the potential  to  perform  the  authenticating  operations
565. without  divulging the private key they contain.  They can also interact
566. with the user requiring a simpler form of authentication to "unlock" the
567. card.
568.  
569. The use of public key  crypto-systems  for  host-to-host  authentication
570. appears  not  to  have the same key memorization problem as the user-to-
571. host case does.   A  multiuser  host  can  store  its  key(s)  in  space
572. protected  from  users and obviate that problem.  Single user inherently
573. insecure systems, such as  PCs  and  Macintoshes,  remain  difficult  to
574. handle but the smart card approach should also work for them.
575.  
576. The implications of  this  taxonomy  are  clear.   Strong  cryptographic
577. authentication  is needed in the near future for many protocols.  Public
578. key technology should be used when there is benefit to do so and when it
579. is  practical  and  cost-effective.   In  the  short  term,  the  use of
580. disclosing password systems should  be  phased  out  in  favor  of  non-
581. disclosing  systems  and  digital  signatures.   Additional  research is
582. needed to  develop  improved  key  management  technology  and  scalable
583. multicast security mechanisms.
584.  
585.  
586.  
587. Atkinson & Haller                                               [Page 9]
588.  
589.  
590.  
591.  
592.  
593. Internet-Draft                                            5 October 1993
594.  
595.  
596. SECURITY CONSIDERATIONS
597.  
598.   The entire Internet Draft discusses Security Considerations in that it
599. discusses  authentication technologies and needs.  There are no security
600. issues regarding the public release of this draft.
601.  
602. REFERENCES
603.  
604. [GM93]  J. Galvin & K. McCloghrie, Security Protocols for Version  2  of
605. the  Simple  Network Management Protocol (SNMPv2), RFC-1446, DDN Network
606. Information Center, April 1993.
607.  
608. [SNS88]  J.G.  Steiner,  C.  Neuman,  &  J.I.  Schiller,  Kerberos:  "An
609. Authentication  Service  for  Open  Network Systems",  _U_S_E_N_I_X _C_o_n_f_e_r_e_n_c_e
610. _P_r_o_c_e_e_d_i_n_g_s , Dallas, Texas, February 1988.
611.  
612. [BM91]  Steven M.  Bellovin  &  Michael  Merritt,  "Limitations  of  the
613. Kerberos  Authentication  System",  ACM  Computer Communications Review,
614. October 1990.
615.  
616. [Bellovin89]  Steven M.  Bellovin,  "Security  Problems  in  the  TCP/IP
617. Protocol  Suite",  ACM  Computer  Communications Review, Vol. 19, No. 2,
618. March 1989.
619.  
620. [NBS77]  National  Bureau  of  Standards,  "Data  Encryption  Standard",
621. _F_e_d_e_r_a_l  _I_n_f_o_r_m_a_t_i_o_n  _P_r_o_c_e_s_s_i_n_g  _S_t_a_n_d_a_r_d_s  _P_u_b_l_i_c_a_t_i_o_n  _4_6, Government
622. Printing Office, Washington, DC, 1977.
623.  
624. [LR91]  K. Lougheed & Y. Rekhter, "A Border Gateway protocol 3 (BGP-3)",
625. RFC-1267, DDN Network Information Center, October 1991.
626.  
627. [SKEY]  TBD
628.  
629. [TA91]  J. Tardo &  K.  Alagappan,  "SPX:  Global  Authentication  Using
630. Public  Key Certificates", Proceedings of the 1991 Symposium on Research
631. in Security & Privacy, IEEE Computer Society,  Los  Amitos,  California,
632. 1991. pp.232-244.
633.  
634. [Kaliski93]  B. Kaliski, Privacy  Enhancement  for  Internet  Electronic
635. Mail:  Part  IV:  Key  Certification and Related Services, RFC-1424, DDN
636. Network Information Center, February 1993.
637.  
638. [Balenson93]  D. Balenson, Privacy Enhancement for  Internet  Electronic
639. Mail:  Part  III:  Algorithms,  Modes,  and  Identifiers,  RFC-1423, DDN
640. Network Information Center, February 1993.
641.  
642. [Kent93]  S. Kent, Privacy Enhancement  for  Internet  Electronic  Mail:
643. Part   II:  Certificate-Based  Key  Management,  RFC-1422,  DDN  Network
644. Information Center, February 1993.
645.  
646. [Linn93]  J. Linn, Privacy Enhancement  for  Internet  Electronic  Mail:
647. Part  I: Message Encryption and Authentication Procedures, RFC-1421, DDN
648. Network Information Center, February 1993.
649.  
650.  
651.  
652.  
653. Atkinson & Haller                                              [Page 10]
654.  
655.  
656.  
657.  
658.  
659. Internet-Draft                                            5 October 1993
660.  
661.  
662. [NS78]   R.M.  Needham  &  M.D.   Schroeder,   "Using   Encryption   for
663. Authentication  in  Large  Networks of Computers", Communications of the
664. ACM, Vol. 21, No. 12, December 1978.
665.  
666. [NS87]  R.M. Needham & M.D. Schroeder, "Authentication  Revisited",  ACM
667. Operating Systems Review, Vol. 21, No. 1, 1987.
668.  
669. [RSA78]  R.L. Rivest, A. Shamir, & L. Adleman, "A Method  for  Obtaining
670. Digital Signatures and Public Key Crypto-systems", Communications of the
671. ACM, Vol. 21, No. 2, February 1978.
672.  
673. [Mills92]  D. Mills, Network Time Protocol  (Version  3)  Specification,
674. Implementation,  and Analysis, RFC-1305, DDN Network Information Center,
675. March 1992.
676.  
677. [PR85]  J. Postel & J. Reynolds, File Transfer  Protocol,  RFC-959,  DDN
678. Network Information Center, October 1985.
679.  
680. [Kantor91]  B. Kantor, BSD Rlogin,  RFC-1258,  DDN  Network  Information
681. Center, September 1991.
682.  
683. [Anderson84]  B. Anderson, TACACS  User  Identification  Telnet  Option,
684. RFC-927, DDN Network Information Center, December 1984.
685.  
686. [CFSD88]  J. Case, M. Fedor, M. Schoffstall, & J. Davin, "Simple Network
687. Management  Protocol",  RFC-1067, DDN Network Information Center, August
688. 1988.
689.  
690. [Moy91]  J. Moy, "OSPF  Routing  Protocol,  Version  2",  RFC-1247,  DDN
691. Network Information Center, July 1991.
692.  
693. EXPIRATION
694.  
695.   This Internet Draft expires on April 5, 1994.
696.  
697. AUTHORS' ADDRESSES
698.  
699.    Randall Atkinson         <atkinson@itd.nrl.navy.mil>
700.    Information Technology Division
701.    Naval Research Laboratory
702.    Washington, DC 20375-5320
703.  
704.    Neil Haller              <nmh@thumper.bellcore.com>
705.    Bell Communications Research
706.    445 South Street  -- MRE 2Q-280
707.    Morristown, NJ 07962-1910
708.  
709.  
710.  
711.  
712.  
713.  
714.  
715.  
716.  
717.  
718.  
719. Atkinson & Haller                                              [Page 11]
720.  
721.  
722.