home *** CD-ROM | disk | FTP | other *** search
/ Internet Core Protocols / Oreilly-InternetCoreProtocols.iso / RFCs / rfc2480.txt < prev    next >
Encoding:
Text File  |  1999-10-14  |  11.8 KB  |  340 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                        N. Freed
  8. Request for Comments: 2480               Innosoft International, Inc.
  9. Category: Standards Track                                January 1999
  10.  
  11.  
  12.                  Gateways and MIME Security Multiparts
  13.  
  14. Status of this Memo
  15.  
  16.    This document specifies an Internet standards track protocol for the
  17.    Internet community, and requests discussion and suggestions for
  18.    improvements.  Please refer to the current edition of the "Internet
  19.    Official Protocol Standards" (STD 1) for the standardization state
  20.    and status of this protocol.  Distribution of this memo is unlimited.
  21.  
  22. Copyright Notice
  23.  
  24.    Copyright (C) The Internet Society (1999).  All Rights Reserved.
  25.  
  26. 1.  Abstract
  27.  
  28.    This document examines the problems associated with use of MIME
  29.    security multiparts and gateways to non-MIME environments. A set of
  30.    requirements for gateway behavior are defined which provide
  31.    facilities necessary to properly accomodate the transfer of security
  32.    multiparts through gateways.
  33.  
  34. 2.  Requirements Notation
  35.  
  36.    This document occasionally uses terms that appear in capital letters.
  37.    When the terms "MUST", "MUST NOT", "SHOULD", "SHOULD NOT", and "MAY"
  38.    appear capitalized, they are being used to indicate particular
  39.    requirements of this specification. A discussion of the meanings of
  40.    the terms "MUST", "SHOULD", and "MAY" appears in  RFC 1123 [2]; the
  41.    terms "MUST NOT" and "SHOULD NOT" are logical extensions of this
  42.    usage.
  43.  
  44. 3.  The Problem
  45.  
  46.    Security multiparts [RFC-1847] provide an effective way to add
  47.    integrity and confidentiality services to protocols that employ MIME
  48.    objects [RFC-2045, RFC-2046]. Difficulties arise, however, in
  49.    heterogeneous environments involving gateways to environments that
  50.    don't support MIME. Specifically:
  51.  
  52.     (1)   Security services have to be applied to MIME objects in
  53.           their entirety. Failure to do so can lead to security
  54.           exposures.
  55.  
  56.  
  57.  
  58. Freed                       Standards Track                     [Page 1]
  59.  
  60. RFC 2480         Gateways and MIME Security Multiparts      January 1999
  61.  
  62.  
  63.           For example, a signature that covers only object data and not
  64.           the object's MIME labels would allow someone to tamper with
  65.           the labels in an undetectable fashion.  Similarly, failure to
  66.           encrypt MIME label information exposes information about the
  67.           content that could facilitate traffic analysis.
  68.  
  69.           Composite MIME objects (e.g., multipart/mixed, message/rfc822)
  70.           also have to be secured as a unit.  Again, failure to do so
  71.           may facilitate tampering, reveal important information
  72.           unnecessarily, or both.
  73.  
  74.     (2)   Gateways that deal with MIME objects have to be able to
  75.           convert them to non-MIME formats.
  76.  
  77.           For example, gateways often have to transform MIME labelling
  78.           information into other forms. MIME type information may end up
  79.           being expressed as a file extension or as an OID.
  80.  
  81.           Gateways also have to take apart composite MIME objects into
  82.           their component parts, converting the resulting set of parts
  83.           into whatever form the non-MIME environments uses for
  84.           composite objects. Failure to do so makes the objects unusable
  85.           in any environment that doesn't support MIME. In many cases
  86.           this also means that multi-level MIME structures have to be
  87.           converted into a sequential list of parts.
  88.  
  89.     (3)   Security services have to be deployed in an end-to-end
  90.           fashion. Failure to do so again can lead to security
  91.           exposures.
  92.  
  93.           An integrity service deployed at something other than a
  94.           connection end point means a region exists between the point
  95.           where the integrity service is applied and the actual end
  96.           point where object tampering is possible. A confidentiality
  97.           service deployed at something other than a connection end
  98.           point means a region exists where the object is transferred in
  99.           the clear. And worse, distributed private keys are usually
  100.           necessary whenever someone other than the originator applies
  101.           an integrity service or someone other than the recipient
  102.           removes a confidentiality service, which in turn may make
  103.           theft of private key information a possibility.
  104.  
  105.           All of these issues can be addressed, of course. For example,
  106.           it may be possible to use multiple overlapping security
  107.           services to assure that no exposure exists even though there
  108.           is no end-to-end security per se. And keys can be distributed
  109.           in a secure fashion. However, such designs tend to be quite
  110.           complex, and complexity in a security system is highly
  111.  
  112.  
  113.  
  114. Freed                       Standards Track                     [Page 2]
  115.  
  116. RFC 2480         Gateways and MIME Security Multiparts      January 1999
  117.  
  118.  
  119.           undesireable.
  120.  
  121.    The preceeding three requirments are fundamentally in conflict: It is
  122.    possible to satisfy two of them at once, but not all three at once.
  123.  
  124.    In fact the conflict is even worse than it first appears. In most
  125.    situations of this sort some sort of compromise is possible which,
  126.    while not satisfying any of the requirements completely, does
  127.    optimize some sort of average of all the requirements. Such a
  128.    solution does not exist in this case, however, because many real
  129.    world situations exist where any one of these requirements absolutely
  130.    must be satisfied.
  131.  
  132. 4.  Solving the Problem
  133.  
  134.    Since the previously described problem doesn't allow for a single
  135.    solution the only viable approach is to require that gateways provide
  136.    multiple solutions.  In particular, gateways
  137.  
  138.     (1)   MUST provide the ability to tunnel multipart/signed and
  139.           multipart/encrypted objects as monolithic entities if there is
  140.           any chance whatsoever that MIME capabilities exist on the
  141.           non-MIME side of the gateway. No changes to content of the
  142.           multipart are permitted, even when the content is itself a
  143.           composite MIME object.
  144.  
  145.           This option must be provided so that entities behind the
  146.           gateway that are capable of processing security multiparts and
  147.           their MIME content will work properly.  As mentioned
  148.           previously, situations exist where application security
  149.           requirements are absolute and must be accomodated, even when
  150.           meeting them causes problems for other agents.
  151.  
  152.           Exceptions are allowed only when there is no possibility of
  153.           MIME support on one side of the gateway.  For example, a
  154.           gateway to a voice messaging system may have no useful way to
  155.           represent a signed MIME object.
  156.  
  157.     (2)   MUST provide the ability to take apart multipart/signed
  158.           objects, exposing the content (and in the process ruining the
  159.           signature). When this approach is selected, gateways SHOULD
  160.           NOT remove the signature. Instead, gateways SHOULD keep the
  161.           signature intact and add to it a note that it will probably be
  162.           invalid for checking the message contents, but may still be
  163.           contain valuable information about the sender.
  164.  
  165.  
  166.  
  167.  
  168.  
  169.  
  170. Freed                       Standards Track                     [Page 3]
  171.  
  172. RFC 2480         Gateways and MIME Security Multiparts      January 1999
  173.  
  174.  
  175.           This option must be provided so that entities behind the
  176.           gateway which are incapable of processing MIME will work
  177.           properly.
  178.  
  179.     (3)   SHOULD provide the ability to select between the previous two
  180.           options on per-user basis.
  181.  
  182.     (4)   MAY provide facilities to check signatures and decrypt
  183.           encrypted content. Such facilities MUST NOT be enabled by
  184.           default; the potential security exposure involved has to be
  185.           assessed before such capabilities can be used.
  186.  
  187.     (5)   MAY provide facilities to sign and/or encrypt material passing
  188.           from the non-MIME side to the MIME side of the gateway. Again,
  189.           such facilities MUST NOT be enabled by default; the potential
  190.           security exposure involved in the transfer of unsecured
  191.           content within the application domain behind the gateway has
  192.           to be assessed before such capabilities can be used.
  193.  
  194.    A gateway which complies with the above requirements is considered to
  195.    be security multiparts compliant.
  196.  
  197. 5.  Security Considerations
  198.  
  199.    This entire document is about security.
  200.  
  201.  
  202.  
  203.  
  204.  
  205.  
  206.  
  207.  
  208.  
  209.  
  210.  
  211.  
  212.  
  213.  
  214.  
  215.  
  216.  
  217.  
  218.  
  219.  
  220.  
  221.  
  222.  
  223.  
  224.  
  225.  
  226. Freed                       Standards Track                     [Page 4]
  227.  
  228. RFC 2480         Gateways and MIME Security Multiparts      January 1999
  229.  
  230.  
  231. 6.  References
  232.  
  233.    [RFC-822]  Crocker, D., "Standard for the Format of ARPA Internet
  234.               Text Messages", STD 11, RFC 822, August, 1982.
  235.  
  236.    [RFC-1847] Galvin, J., Murphy, S., Crocker, S. and N. Freed,
  237.               "Security Multiparts for MIME: Multipart/Signed and
  238.               Multipart/Encrypted", RFC 1847, October 1995.
  239.  
  240.    [RFC-1123] Braden, R., Ed., "Requirements for Internet Hosts --
  241.               Application and Support", STD 3, RFC 1123, October 1989.
  242.  
  243.    [RFC-2045] Freed, N. and N. Borenstein, "Multipurpose Internet Mail
  244.               Extensions (MIME) Part One: Format of Internet Message
  245.               Bodies", RFC 2045, December 1996.
  246.  
  247.    [RFC-2046] Freed, N. and N. Borenstein, "Multipurpose Internet Mail
  248.               Extensions (MIME) Part Two: Media Types", RFC 2046,
  249.               December 1996.
  250.  
  251.    [RFC-2049] Freed, N. and N. Borenstein, "Multipurpose Internet Mail
  252.               Extensions (MIME) Part Five: Conformance Criteria and
  253.               Examples", RFC 2049, December 1996.
  254.  
  255. 7.  Author's Address
  256.  
  257.    Ned Freed
  258.    Innosoft International, Inc.
  259.    1050 Lakes Drive
  260.    West Covina, CA 91790
  261.    USA
  262.  
  263.    Phone: +1 626 919 3600
  264.    Fax:   +1 626 919 3614
  265.    EMail: ned.freed@innosoft.com
  266.  
  267.  
  268.  
  269.  
  270.  
  271.  
  272.  
  273.  
  274.  
  275.  
  276.  
  277.  
  278.  
  279.  
  280.  
  281.  
  282. Freed                       Standards Track                     [Page 5]
  283.  
  284. RFC 2480         Gateways and MIME Security Multiparts      January 1999
  285.  
  286.  
  287. 8.  Full Copyright Statement
  288.  
  289.    Copyright (C) The Internet Society (1999).  All Rights Reserved.
  290.  
  291.    This document and translations of it may be copied and furnished to
  292.    others, and derivative works that comment on or otherwise explain it
  293.    or assist in its implementation may be prepared, copied, published
  294.    and distributed, in whole or in part, without restriction of any
  295.    kind, provided that the above copyright notice and this paragraph are
  296.    included on all such copies and derivative works.  However, this
  297.    document itself may not be modified in any way, such as by removing
  298.    the copyright notice or references to the Internet Society or other
  299.    Internet organizations, except as needed for the purpose of
  300.    developing Internet standards in which case the procedures for
  301.    copyrights defined in the Internet Standards process must be
  302.    followed, or as required to translate it into languages other than
  303.    English.
  304.  
  305.    The limited permissions granted above are perpetual and will not be
  306.    revoked by the Internet Society or its successors or assigns.
  307.  
  308.    This document and the information contained herein is provided on an
  309.    "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
  310.    TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
  311.    BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
  312.    HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
  313.    MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.  
  328.  
  329.  
  330.  
  331.  
  332.  
  333.  
  334.  
  335.  
  336.  
  337.  
  338. Freed                       Standards Track                     [Page 6]
  339.  
  340.