home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / internet-drafts / draft-haller-auth-requirements-01.txt < prev    next >
Encoding:
Text File  |  1993-09-30  |  31.9 KB  |  722 lines
  1.  
  2. INTERNET DRAFT                                         Neil Haller, Bellcore
  3.                                                        Randall Atkinson, NRL
  4.                                                        5 October 1993
  5.  
  6.  
  7.                    Internet Authentication Guidelines
  8.  
  9.  
  10. STATUS OF THIS MEMO
  11.  
  12.    This document is an Internet  Draft.   Internet  Drafts  are  working
  13.    documents of the Internettt Engineering Task Force (IETF), it's Areas
  14.    and Working Groups.  Note  that  other  groups  may  also  distribute
  15.    working documents as Internet Drafts.
  16.  
  17.    Internet Drafts are draft  documents  valid  for  a  maximum  of  six
  18.    months.  Drafts  may  be  updated,  replaced,  or  obsoleted by other
  19.    documents at any time.  It is not appropriate to use Internet  Drafts
  20.    as reference material or to cite them other than as a "working draft"
  21.    or "work in progress."
  22.  
  23.    To learn the current status of any Internet Draft, please  check  the
  24.    1id-abstracts.txt  listing  contained  in  the Internet-Drafts Shadow
  25.    Directories on ds.internic.net, nic.nordu.net,  ftp.nisc.sri.com,  or
  26.    munnari.oz.au.
  27.  
  28.    The distribution of this Internet Draft is unlimited.  It is filed as
  29.    <draft-haller-auth-requirements-01.txt>,  and  it replaces an earlier
  30.    Internet Draft "Internet Authentication Requirements",  August  1993.
  31.    It expires on April 5, 1994.
  32.  
  33.  
  34. ABSTRACT
  35.  
  36. The  authentication  requirements  of  computing  systems  and   network
  37. protocols vary greatly with their intended use, accessibility, and their
  38. network  connectivity.   This   document   describes   a   spectrum   of
  39. authentication technologies and provides guidance to protocol developers
  40. on what kinds of authentication might be  suitable  for  what  kinds  of
  41. protocols and applications used in the Internet.
  42.  
  43. DEFINITION OF TERMS
  44.  
  45. This section briefly defines some of the terms used in this paper to aid
  46. the reader in understanding the draft.
  47.  
  48.    Active Attack:  An attempt to gain authentication or authorization by
  49.           inserting  false  packets into the data stream or by modifying
  50.           packets transiting the data stream. (See passive  attacks  and
  51.           replay attacks.)
  52.  
  53.    Asymmetric Cryptography:  An encryption system  that  uses  different
  54.           keys,    for   encryption   and   decryption.    Also   called
  55.           Public Key Cryptography.  (See Symmetric Cryptography)
  56.  
  57.  
  58.  
  59. Atkinson & Haller                                               [Page 1]
  60.  
  61.  
  62.  
  63.  
  64.  
  65. Internet-Draft                                            5 October 1993
  66.  
  67.  
  68.    Authentication:  The verification of the identity of  the  source  of
  69.           information,   possibly   including   verification   that  the
  70.           information has not been tampered with since being sent.
  71.  
  72.    Authorization:   The  granting  of  access   rights   based   on   an
  73.           authenticated identity.
  74.  
  75.    Confidentiality: The protection of information so  that  someone  not
  76.           authorized   to   access   the  information  cannot  read  the
  77.           information even though the unauthorized person might see  the
  78.           information's   container   (e.g.  computer  file  or  network
  79.           packet).
  80.  
  81.    Encryption: A mechanism often used to provide confidentiality.
  82.  
  83.    Integrity:   The  protection   of   information   from   unauthorized
  84.           modification.
  85.  
  86.    Key Certificate: TBD
  87.  
  88.    Passive Attack:  An attack on an authentication system  that  inserts
  89.           no  data  into the stream, but instead relies on being able to
  90.           passively  monitor  information  being  sent   between   other
  91.           parties.   This information could be used a later time in what
  92.           appears to be a valid session.  (See active attack and  replay
  93.           attack)
  94.  
  95.    Plain-text:  Unencrypted text.
  96.  
  97.    Replay Attack:  An attack on an authentication  system  by  recording
  98.           and  replaying  previously  sent  valid  messages (or parts of
  99.           messages).  Any constant authentication information, such as a
  100.           password  or electronically transmitted biometric data, can be
  101.           recorded and used later to forge messages that  appear  to  be
  102.           authentic.
  103.  
  104.    Symmetric Cryptography: An encryption system that uses the  same  key
  105.           for  encryption  and  decryption.   Sometimes  referred  to as
  106.           Secret Key Cryptography.
  107.  
  108.  
  109.  
  110. AUTHENTICATION TECHNOLOGIES
  111.  
  112. There are a number of different classes of authentication, ranging  from
  113. no    authentication   to   very   strong   authentication.    Different
  114. authentication mechanisms are appropriate for addressing different kinds
  115. of  authentication  problems,  so  this  is  not  a  strict hierarchical
  116. ordering.
  117.  
  118. No Authentication
  119.  
  120. For completeness, the simplest authentication system is not to have any.
  121. A  non-networked  PC  in  a  private  location  or  a stand-alone public
  122.  
  123.  
  124.  
  125. Atkinson & Haller                                               [Page 2]
  126.  
  127.  
  128.  
  129.  
  130.  
  131. Internet-Draft                                            5 October 1993
  132.  
  133.  
  134. workstation containing no sensitive data need not authenticate potential
  135. users.
  136.  
  137. Disclosing Passwords
  138.  
  139. The  simple  password  check  is  by  far  the  most  common   form   of
  140. authentication.   Password  checks  come in many forms: the key may be a
  141. password memorized by the user, it may be a physical or electronic  item
  142. possessed by the user, or it may be a unique biological feature.  Simple
  143. password systems are said to use disclosing  passwords  because  if  the
  144. password is transmitted over a network it is disclosed to eavesdroppers.
  145. Access keys may be stored on the target system, in which case  a  single
  146. breach   in   system   security   may  gain  access  to  all  passwords.
  147. Alternatively, as on most systems, the data stored on the system can  be
  148. enough to verify passwords but not to generate them.
  149.  
  150. Non-disclosing Passwords
  151.  
  152. Non-disclosing password systems have been  designed  to  prevent  replay
  153. attacks.   Several systems have been invented to generate non-disclosing
  154. passwords.  For example, the SecurID Card from  Security  Dynamics  uses
  155. synchronized  clocks for authentication information.  The card generates
  156. a visual display and thus must  be  in  the  possession  of  the  person
  157. seeking  authentication.   The  S/KEY authentication system developed at
  158. Bellcore generates multiple single use passwords from  a  single  secret
  159. key. [SKEY] It does not use a physical token, so it is also suitable for
  160. machine-machine  authentication.   In  addition  there  are   challenge-
  161. response  systems  in  which  a  device  or  computer program is used to
  162. generate a verifiable response from a  non-repeating  challenge.   These
  163. systems  vary  in  the  sensitivity  of  the  information  stored in the
  164. authenticating host, and thus vary in  the  security  requirements  that
  165. must be placed on that host.
  166.  
  167. Stronger Authentication Systems
  168.  
  169. The growing use of networked computing environments has led to the  need
  170. for  stronger  authentication.   In  open  networks, many users can gain
  171. access to any information flowing over the network, and with  additional
  172. effort,  a  user  can send information that appears to come from another
  173. user.
  174.  
  175. More  powerful  authentication  systems  make  use  of  the  computation
  176. capability  of  the  two  authenticating parties.  Authentication may be
  177. unidirectional such as most time sharing systems, or it may be mutual in
  178. which case the entity logging in is assured of the identity of the host.
  179. Authentication systems use cryptographic techniques and establish  as  a
  180. part  of  the  authentication process a shared secret (session key) that
  181. can be used for further exchanges.  One example  is  the  passing  of  a
  182. ticket  that  can  be  use  to  obtain  other  services  without further
  183. authentication.   These  authentication   systems   can   also   provide
  184. confidentiality (using encryption) over insecure networks when required.
  185.  
  186.  
  187.  
  188.  
  189.  
  190.  
  191. Atkinson & Haller                                               [Page 3]
  192.  
  193.  
  194.  
  195.  
  196.  
  197. Internet-Draft                                            5 October 1993
  198.  
  199.  
  200. Symmetric Cryptography
  201.  
  202. Symmetric Cryptography includes all systems that use the  same  key  for
  203. encryption  and  decryption.  This means that knowledge of the key by an
  204. undesired third party  fully  compromises  the  confidentiality  of  the
  205. system.   Therefore,  the  keys  used  need  to be distributed securely,
  206. either by courier or perhaps by use of a key distribution  protocol,  of
  207. which  the best known is perhaps that proposed by Needham and Schroeder.
  208. [NS78, NS87] The widely used Data Encryption Standard  (DES)  algorithm,
  209. which  has been standardized for use to protect unclassified civilian US
  210. Government information, is perhaps the best known  symmetric  encryption
  211. algorithm. [NBS77]
  212.  
  213. A well known system that addresses insecure open networks as a part of a
  214. computing  environment  is  the Kerberos Authentication Service that was
  215. developed as part of Project Athena at MIT.  [SNS88, BM91]  Kerberos  is
  216. based  on  Data  Encryption  Standard (DES) symmetric key encryption and
  217. uses a trusted (third party) host that knows  the  secret  keys  of  all
  218. users  and  services, and thus can generate credentials that can be used
  219. by users and servers to prove their identities to other systems.  As the
  220. Kerberos  server  knows  all  secret keys, it must be physically secure.
  221. Kerberos session keys can be used to provide confidentiality between any
  222. entities that trust the key server.
  223.  
  224. Asymmetric Cryptography
  225.  
  226. In the recent past, a major breakthrough in cryptology has  led  to  the
  227. availability   of  Asymmetric  Cryptography.   This  is  different  from
  228. Symmetric Cryptography because different keys are  used  for  encryption
  229. and  decryption,  which greatly simplifies the key distribution problem.
  230. The best known asymmetric system is based on work by Rivest, Shamir, and
  231. Adleman  and  is often referred to as "RSA" after the authors' initials.
  232. [RSA78]
  233.  
  234. SPX is an experimental system that  overcomes  the  limitations  of  the
  235. trusted  key  distribution  center  of  Kerberos by using RSA Public Key
  236. Cryptography. [TA91]  SPX  assumes  a  global  hierarchy  of  certifying
  237. authorities  at  least  one  of which is trusted by each party.  It uses
  238. digital signatures that consist of a token encrypted in the private  key
  239. of  the  signing  entity  and  that  are validated using the appropriate
  240. public key.  The public keys  are  known  to  be  correct  as  they  are
  241. obtained  under  the  signature  of the trusted certification authority.
  242. Critical parts of the  authentication  exchange  are  encrypted  in  the
  243. public keys of the receivers, thus preventing a replay attack.
  244.  
  245. Digital Signatures
  246.  
  247. Digital signatures are a comparatively  recent  addition  to  the  tools
  248. available  to  protocol  designers.   A  digital  signature  performs  a
  249. function analogous to written signatures.  It serves to  authenticate  a
  250. piece  of  data as to the sender and possibly as to the integrity of the
  251. data.  A digital signature using asymmetric technology (public key)  can
  252. also be useful in proving that data in fact originated with a party even
  253. if the party denies having sent it, a property  called  non-repudiation.
  254.  
  255.  
  256.  
  257. Atkinson & Haller                                               [Page 4]
  258.  
  259.  
  260.  
  261.  
  262.  
  263. Internet-Draft                                            5 October 1993
  264.  
  265.  
  266. A  digital signature provides authentication without confidentiality and
  267. without incurring some of the  difficulties  in  full  encryption.   For
  268. example,  Secure  SNMP  and  SNMPv2  both  calculate a MD5 cryptographic
  269. checksum over a shared secret item of data and  the  information  to  be
  270. authenticated.  [Rivest92,  GM93] This serves as a digital signature and
  271. it is believed to be very difficult to forge such a digital signature or
  272. to  invert it to recover the shared secret data.  Digital signatures can
  273. be used to provide relatively strong authentication and are particularly
  274. useful in host-to-host communications.
  275.  
  276. USER TO HOST AUTHENTICATION
  277.  
  278. There are a number of different approaches to  authenticating  users  to
  279. remote  or  networked  hosts.   Two  hazards  are  created  by remote or
  280. networked access: First an intruder can eavesdrop  on  the  network  and
  281. obtain user ids and passwords for a later replay attack.  This is called
  282. a passive attack.  Second, an intruder  can  "take  over"  a  connection
  283. after authentication; this is an example of an "active attack".
  284.  
  285. Currently, most systems use plain-text disclosing  passwords  sent  over
  286. the  network  (typically  using  telnet  or rlogin) from the user to the
  287. remote host. [Anderson84  ,  Kantor91]  This  system  does  not  provide
  288. adequate  protection  from  reply  attacks  where  an eavesdropper gains
  289. remote user ids and remote passwords.
  290.  
  291. Failure to use at least a  non-disclosing  password  system  means  that
  292. unlimited  access  is  unintentionally  granted  to anyone with physical
  293. access to the network.  For example, anyone with physical access to  the
  294. Ethernet  cable can impersonate any user on that portion of the network.
  295. Thus, when one has plain-text disclosing passwords on an  Ethernet,  the
  296. primary  security  system  is the guard at the door (if any exist).  The
  297. same problem exists in other LAN  technologies  such  as  Token-Ring  or
  298. FDDI.   In  some  small  internal Local Area Networks (LANs) this may be
  299. acceptable to take this risk, but it  is  an  unacceptable  risk  in  an
  300. Internet.
  301.  
  302. The minimal defense against eavesdropping is  to  use  a  non-disclosing
  303. password  system.   Such  a  system can be run from a dumb terminal or a
  304. simple communications program (e.g.  CTRM or PROCOMM)  that  emulates  a
  305. dumb  terminal  on a PC class computer.  Using a stronger authentication
  306. system would certainly defend against passive attacks  against  remotely
  307. accessed  systems,  but  at  the  cost  of  not being able to use simple
  308. terminals.   It  is  reasonable  to   expect   that   the   vendors   of
  309. communications  programs and non user-programmable terminals (such as X-
  310. Terminals)  would  build  in   non-disclosing   password   or   stronger
  311. authentication  systems  if  they were standardized or if a large market
  312. were offered.
  313.  
  314. Perimeter defenses are becoming more common.  In these systems, the user
  315. first  authenticates to an entity on an externally accessable portion of
  316. the network, possibly a "firewall" host on the Internet,  using  a  non-
  317. disclosing  password  system.  The  user  then  uses  a second system to
  318. authenticate to each host, or group of  hosts,  from  which  service  is
  319. desired.   This  decouples  the  problem  into  two  more easily handled
  320.  
  321.  
  322.  
  323. Atkinson & Haller                                               [Page 5]
  324.  
  325.  
  326.  
  327.  
  328.  
  329. Internet-Draft                                            5 October 1993
  330.  
  331.  
  332. situations.
  333.  
  334. There are several disadvantages to the perimeter defense, so  it  should
  335. be  thought of as a short term solution.  The gateway is not transparent
  336. at the IP level, so it must treat every service independently.  The  use
  337. of   double  authentication  is, in general, difficult or impossible for
  338. computer-computer communication.  End to end protocols, which are common
  339. on  the  connectionless  Internet,  could  easily  break.  The perimeter
  340. defense must be tight and complete, because if it is broken,  the  inner
  341. defenses tend to be too weak to stop a potential intruder.  For example,
  342. if disclosing passwords are used  internally,  these  passwords  can  be
  343. learned  by  an  external intruder (eavesdropping).  If that intruder is
  344. able to penetrate the  perimeter,  the  internal  system  is  completely
  345. exposed.   Finally,  a  perimeter  defense  may be open to compromise by
  346. internal users looking for shortcuts.
  347.  
  348. A frequent form of perimeter defense is the application relay.  As these
  349. relays  are  protocol  specific, the IP connectivity of the hosts inside
  350. the perimeter with the outside world is broken and part of the power  of
  351. the Internet is lost.
  352.  
  353. An administrative advantage of the perimeter defense is that the  number
  354. of  machines  that are on the perimeter and thus vulnerable to attack is
  355. small.  These machines may be carefully checked  for  security  hazards,
  356. but  it  is difficult (or impossible) to guarantee that the perimeter is
  357. leak-proof.  The security of a perimeter defense is complicated  as  the
  358. gateway  machines  must  pass  some  types of traffic such as electronic
  359. mail.  Other network services such as the Network  Time  Protocol  (NTP)
  360. and  the  File  Transfer Protocol (FTP) may also be desirable. [Mills92,
  361. PR85] Furthermore the perimeter gateway system  must  be  able  to  pass
  362. without bottleneck the entire traffic load for its security domain.
  363.  
  364. In the foreseeable future,  the  use  of  stronger  techniques  will  be
  365. required  to  protect  against  active attacks.  Many corporate networks
  366. based on broadcast  technology  such  as  Ethernet  probably  need  such
  367. techniques.   To defend against an active attack, or to provide privacy,
  368. it is necessary to use a protocol with session encryption,  for  example
  369. Kerberos,  or  use  an  authentication  mechanism  that protects against
  370. replay attacks, perhaps using time stamps.  In  Kerberos,  users  obtain
  371. credentials  from the Kerberos server and use them for authentication to
  372. obtain services from other computers  on  the  network.   The  computing
  373. power of the local workstation is used to decrypt the credentials (using
  374. a key derived from the user-provided  password)  and  store  them  until
  375. needed.   If  the  security protocol relies on synchronized clocks, then
  376. NTPv3 will be useful because it distributes time amongst a large  number
  377. of  computers  and  is  one  of the few existing Internet protocols that
  378. includes solid authentication mechanisms.
  379.  
  380. Another approach to remotely accessible networks of computers is for all
  381. externally  accessable machines to share a secret with the Kerberos KDC.
  382. In a sense, this makes these machines "servers" instead of  general  use
  383. workstations.    This  shared  secret  can  then  be  used  encrypt  all
  384. communication  between  the  two  machines   enabling   the   accessable
  385. workstation  to  relay authentication information to the KDC in a secure
  386.  
  387.  
  388.  
  389. Atkinson & Haller                                               [Page 6]
  390.  
  391.  
  392.  
  393.  
  394.  
  395. Internet-Draft                                            5 October 1993
  396.  
  397.  
  398. way.
  399.  
  400. Finally, workstations that are remotely accessible could use  asymmetric
  401. cryptographic  technology  to encrypt communications.  The workstation's
  402. public key would be published and well known to  all  clients.   A  user
  403. could  use  the  public  key to encrypt a simple password and the remote
  404. system can decrypt the password to authenticate the user without risking
  405. disclosure of the password while it is in transit.
  406.  
  407. KEY DISTRIBUTION & MANAGEMENT
  408.  
  409. The discussion thus far has  periodically  mentioned  keys,  either  for
  410. encryption  or  for authentication (e.g. as input to a digital signature
  411. function).  Key management is perhaps the  hardest  problem  faced  when
  412. seeking  to  provide  authentication in large internetworks.  Hence this
  413. section provides a very brief overview of key management technology that
  414. might be used.
  415.  
  416. The Needham & Schroeder protocol, which is used by Kerberos, relies on a
  417. central  key  server.   In  a large internetwork, there would need to be
  418. significant numbers of these key servers, at least one  key  server  per
  419. administrative  domain.   There  would  also  need  to be mechanisms for
  420. separately administered key servers to cooperate in generating a session
  421. key  for  parties  in  different  administrative domains.  These are not
  422. impossible problems, but  this  approach  clearly  involves  significant
  423. infrastructure changes.
  424.  
  425. Most public-key encryption algorithms are computationally expensive  and
  426. so  are  not  ideal  for  encrypting packets in a network.  However, the
  427. asymmetric property makes them very useful for  setup  and  exchange  of
  428. symmetric  session  keys.   In  practice, the commercial sector probably
  429. uses asymmetric algorithms  primarily  for  key  exchange  and  not  for
  430. encryption.   Both RSA and the Diffie-Hellman techniques can be used for
  431. this.  One advantage of using asymmetric techniques is that the  central
  432. key  server  can  be  eliminated.   The  difference  in  key  management
  433. techniques is perhaps the primary difference between Kerberos  and  SPX.
  434. Privacy Enhanced Mail uses asymmetric digital signatures for trusted key
  435. authorities to sign the public keys of users.  The result of this use is
  436. key  certificates  which  contain  the  public  key  of  some  party and
  437. authentication that the public key in fact belongs to that  party.   Key
  438. certificates  can  be  distributed  in  many  ways.  One way might be to
  439. extend the existing Domain Name System by adding a new DNS  record  that
  440. would hold the key certificate for a host.
  441.  
  442. For multicast sessions, key management is harder because the widely used
  443. key  management  techniques have their number of operations proportional
  444. to the number of participating parties.  In the  future,  more  scalable
  445. multicast key management techniques are desirable.
  446.  
  447. Finally, key management mechanisms described in  the  public  literature
  448. have  a  long history of subtle flaws.  There is ample evidence of this,
  449. even for well-known techniques such as the Needham & Schroeder  protocol
  450. [NS78,  NS87].  In some cases, subtle flaws have only become known after
  451. formal methods  techniques  were  used  in  an  attempt  to  verify  the
  452.  
  453.  
  454.  
  455. Atkinson & Haller                                               [Page 7]
  456.  
  457.  
  458.  
  459.  
  460.  
  461. Internet-Draft                                            5 October 1993
  462.  
  463.  
  464. protocol.   Hence, it is highly desirable that key management mechanisms
  465. be kept separate from authentication or encryption mechanisms as much as
  466. is possible.
  467.  
  468. AUTHENTICATION OF NETWORK SERVICES
  469.  
  470. In addition to needing to authenticate users and hosts  to  each  other,
  471. many  network  services need or could benefit from authentication.  This
  472. section describes some approaches to authentication  in  protocols  that
  473. are  primarily  host  to  host  in  orientation.  As in the user to host
  474. authentication  case,  there  are  several  techniques  that  might   be
  475. considered.
  476.  
  477. The most common case at  present  is  to  not  have  any  authentication
  478. support  in  the protocol.  Bellovin and others have documented a number
  479. of cases where existing protocols can be used to attack a remote machine
  480. because there is no authentication in the protocols.  [Bellovin89]
  481.  
  482. Some protocols provide for disclosing passwords to be passed along  with
  483. the  protocol information.  The original SNMP protocols used this method
  484. and a number of the routing  protocols  continue  to  use  this  method.
  485. [Moy91,  LR91,  CFSD88]  This  method is useful as a transitional aid to
  486. slightly increase security and might be appropriate when there is little
  487. risk in having a completely insecure protocol.
  488.  
  489. There are many protocols that need to  support  stronger  authentication
  490. mechanisms.   For example, there was widespread concern that SNMP needed
  491. stronger authentication  than  it  originally  had.   This  led  to  the
  492. publication   of  the  Secure  SNMP  protocols  which  support  optional
  493. authentication,  using  a  digital  signature  mechanism,  and  optional
  494. confidentiality,  using  DES encryption.  The digital signatures used in
  495. Secure SNMP are based on appending a cryptographic checksum to the  SNMP
  496. information.   The  cryptographic  checksum  is  computed  using the MD5
  497. algorithm and a secret shared between the communicating  parties  so  is
  498. believed to be difficult to forge or invert.
  499.  
  500. Digital signature technology has evolved in recent years and  should  be
  501. considered   for   applications   requiring   authentication   but   not
  502. confidentiality.  Digital signatures may  use  a  single  secret  shared
  503. among  two  or  more  communicating  parties  or  it  might  be based on
  504. asymmetric encryption technology.  The former case would require the use
  505. of  predetermined keys or the use of a secure key distribution protocol,
  506. such as that devised by Needham and Schroeder.  In the latter case,  the
  507. public keys would need to be distributed in an authenticated manner.  If
  508. a  general  key  distribution  mechanism  were  available,  support  for
  509. optional digital signatures could be added to most protocols with little
  510. additional expense.  Each protocol could address the  key  exchange  and
  511. setup problem, but that might make adding support for digital signatures
  512. more complicated and  effectively  discourage  protocol  designers  from
  513. adding digital signature support.
  514.  
  515. For cases where both authentication and confidentiality are required  on
  516. a  host-to-host  basis,  session  encryption  could  be  employed  using
  517. symmetric cryptography, asymmetric cryptography,  or  a  combination  of
  518.  
  519.  
  520.  
  521. Atkinson & Haller                                               [Page 8]
  522.  
  523.  
  524.  
  525.  
  526.  
  527. Internet-Draft                                            5 October 1993
  528.  
  529.  
  530. both.   Use  of  the  asymmetric cryptography simplifies key management.
  531. Each host would  encrypt  the  information  and  within  the  host,  the
  532. existing operating system mechanisms would provide protection.
  533.  
  534. In some cases, possibly including electronic mail, it might be desirable
  535. to  provide  the  security properties within the application itself in a
  536. manner that was truly user-to-user rather than being host-to-host.   The
  537. Privacy  Enhanced  Mail  (PEM) work is employing this approach. [Linn93,
  538. Kent93, Balenson93, Kaliski93]
  539.  
  540. FUTURE DIRECTIONS
  541.  
  542. Systems are moving towards the cryptographically stronger authentication
  543. protocols   described  in  the  first  paragraph.   This  move  has  two
  544. implications for future systems.  We can expect to see the  introduction
  545. and eventually the widespread use of public key crypto-systems.  Session
  546. authentication, integrity, and privacy issues are growing in importance.
  547. As  computer-to-computer communication becomes more important, protocols
  548. that provide simple human interfaces will become less important. This is
  549. not  to  say  that  human  interfaces  are  unimportant;  they  are very
  550. important.  It means that these interfaces are the responsibility of the
  551. applications,  not  the  underlying protocol.  Human interface design is
  552. beyond the scope of this memo.
  553.  
  554. The use of public key  crypto-systems  for  user-to-host  authentication
  555. solve  many  security  issues, but unlike simple passwords, a public key
  556. cannot be memorized. As of this writing, public key sizes  of  at  least
  557. 500  bits  are commonly used in the commercial world.  It is likely that
  558. larger key sizes will be used in the future.  Thus, users might have  to
  559. carry their private keys in some electrically readable form.  The use of
  560. read-only storage, such as a floppy  disk  or  a  magnetic  stripe  card
  561. provides  such  storage,  but  it  might require the user to trust their
  562. private keys to the reading device.  Use of a  smart  card,  a  portable
  563. device  containing  both storage and program might be preferable.  These
  564. devices have the potential  to  perform  the  authenticating  operations
  565. without  divulging the private key they contain.  They can also interact
  566. with the user requiring a simpler form of authentication to "unlock" the
  567. card.
  568.  
  569. The use of public key  crypto-systems  for  host-to-host  authentication
  570. appears  not  to  have the same key memorization problem as the user-to-
  571. host case does.   A  multiuser  host  can  store  its  key(s)  in  space
  572. protected  from  users and obviate that problem.  Single user inherently
  573. insecure systems, such as  PCs  and  Macintoshes,  remain  difficult  to
  574. handle but the smart card approach should also work for them.
  575.  
  576. The implications of  this  taxonomy  are  clear.   Strong  cryptographic
  577. authentication  is needed in the near future for many protocols.  Public
  578. key technology should be used when there is benefit to do so and when it
  579. is  practical  and  cost-effective.   In  the  short  term,  the  use of
  580. disclosing password systems should  be  phased  out  in  favor  of  non-
  581. disclosing  systems  and  digital  signatures.   Additional  research is
  582. needed to  develop  improved  key  management  technology  and  scalable
  583. multicast security mechanisms.
  584.  
  585.  
  586.  
  587. Atkinson & Haller                                               [Page 9]
  588.  
  589.  
  590.  
  591.  
  592.  
  593. Internet-Draft                                            5 October 1993
  594.  
  595.  
  596. SECURITY CONSIDERATIONS
  597.  
  598.   The entire Internet Draft discusses Security Considerations in that it
  599. discusses  authentication technologies and needs.  There are no security
  600. issues regarding the public release of this draft.
  601.  
  602. REFERENCES
  603.  
  604. [GM93]  J. Galvin & K. McCloghrie, Security Protocols for Version  2  of
  605. the  Simple  Network Management Protocol (SNMPv2), RFC-1446, DDN Network
  606. Information Center, April 1993.
  607.  
  608. [SNS88]  J.G.  Steiner,  C.  Neuman,  &  J.I.  Schiller,  Kerberos:  "An
  609. Authentication  Service  for  Open  Network Systems",  _U_S_E_N_I_X _C_o_n_f_e_r_e_n_c_e
  610. _P_r_o_c_e_e_d_i_n_g_s , Dallas, Texas, February 1988.
  611.  
  612. [BM91]  Steven M.  Bellovin  &  Michael  Merritt,  "Limitations  of  the
  613. Kerberos  Authentication  System",  ACM  Computer Communications Review,
  614. October 1990.
  615.  
  616. [Bellovin89]  Steven M.  Bellovin,  "Security  Problems  in  the  TCP/IP
  617. Protocol  Suite",  ACM  Computer  Communications Review, Vol. 19, No. 2,
  618. March 1989.
  619.  
  620. [NBS77]  National  Bureau  of  Standards,  "Data  Encryption  Standard",
  621. _F_e_d_e_r_a_l  _I_n_f_o_r_m_a_t_i_o_n  _P_r_o_c_e_s_s_i_n_g  _S_t_a_n_d_a_r_d_s  _P_u_b_l_i_c_a_t_i_o_n  _4_6, Government
  622. Printing Office, Washington, DC, 1977.
  623.  
  624. [LR91]  K. Lougheed & Y. Rekhter, "A Border Gateway protocol 3 (BGP-3)",
  625. RFC-1267, DDN Network Information Center, October 1991.
  626.  
  627. [SKEY]  TBD
  628.  
  629. [TA91]  J. Tardo &  K.  Alagappan,  "SPX:  Global  Authentication  Using
  630. Public  Key Certificates", Proceedings of the 1991 Symposium on Research
  631. in Security & Privacy, IEEE Computer Society,  Los  Amitos,  California,
  632. 1991. pp.232-244.
  633.  
  634. [Kaliski93]  B. Kaliski, Privacy  Enhancement  for  Internet  Electronic
  635. Mail:  Part  IV:  Key  Certification and Related Services, RFC-1424, DDN
  636. Network Information Center, February 1993.
  637.  
  638. [Balenson93]  D. Balenson, Privacy Enhancement for  Internet  Electronic
  639. Mail:  Part  III:  Algorithms,  Modes,  and  Identifiers,  RFC-1423, DDN
  640. Network Information Center, February 1993.
  641.  
  642. [Kent93]  S. Kent, Privacy Enhancement  for  Internet  Electronic  Mail:
  643. Part   II:  Certificate-Based  Key  Management,  RFC-1422,  DDN  Network
  644. Information Center, February 1993.
  645.  
  646. [Linn93]  J. Linn, Privacy Enhancement  for  Internet  Electronic  Mail:
  647. Part  I: Message Encryption and Authentication Procedures, RFC-1421, DDN
  648. Network Information Center, February 1993.
  649.  
  650.  
  651.  
  652.  
  653. Atkinson & Haller                                              [Page 10]
  654.  
  655.  
  656.  
  657.  
  658.  
  659. Internet-Draft                                            5 October 1993
  660.  
  661.  
  662. [NS78]   R.M.  Needham  &  M.D.   Schroeder,   "Using   Encryption   for
  663. Authentication  in  Large  Networks of Computers", Communications of the
  664. ACM, Vol. 21, No. 12, December 1978.
  665.  
  666. [NS87]  R.M. Needham & M.D. Schroeder, "Authentication  Revisited",  ACM
  667. Operating Systems Review, Vol. 21, No. 1, 1987.
  668.  
  669. [RSA78]  R.L. Rivest, A. Shamir, & L. Adleman, "A Method  for  Obtaining
  670. Digital Signatures and Public Key Crypto-systems", Communications of the
  671. ACM, Vol. 21, No. 2, February 1978.
  672.  
  673. [Mills92]  D. Mills, Network Time Protocol  (Version  3)  Specification,
  674. Implementation,  and Analysis, RFC-1305, DDN Network Information Center,
  675. March 1992.
  676.  
  677. [PR85]  J. Postel & J. Reynolds, File Transfer  Protocol,  RFC-959,  DDN
  678. Network Information Center, October 1985.
  679.  
  680. [Kantor91]  B. Kantor, BSD Rlogin,  RFC-1258,  DDN  Network  Information
  681. Center, September 1991.
  682.  
  683. [Anderson84]  B. Anderson, TACACS  User  Identification  Telnet  Option,
  684. RFC-927, DDN Network Information Center, December 1984.
  685.  
  686. [CFSD88]  J. Case, M. Fedor, M. Schoffstall, & J. Davin, "Simple Network
  687. Management  Protocol",  RFC-1067, DDN Network Information Center, August
  688. 1988.
  689.  
  690. [Moy91]  J. Moy, "OSPF  Routing  Protocol,  Version  2",  RFC-1247,  DDN
  691. Network Information Center, July 1991.
  692.  
  693. EXPIRATION
  694.  
  695.   This Internet Draft expires on April 5, 1994.
  696.  
  697. AUTHORS' ADDRESSES
  698.  
  699.    Randall Atkinson         <atkinson@itd.nrl.navy.mil>
  700.    Information Technology Division
  701.    Naval Research Laboratory
  702.    Washington, DC 20375-5320
  703.  
  704.    Neil Haller              <nmh@thumper.bellcore.com>
  705.    Bell Communications Research
  706.    445 South Street  -- MRE 2Q-280
  707.    Morristown, NJ 07962-1910
  708.  
  709.  
  710.  
  711.  
  712.  
  713.  
  714.  
  715.  
  716.  
  717.  
  718.  
  719. Atkinson & Haller                                              [Page 11]
  720.  
  721.  
  722.