home *** CD-ROM | disk | FTP | other *** search
/ Internet Core Protocols / Oreilly-InternetCoreProtocols.iso / RFCs / rfc2692.txt < prev    next >
Encoding:
Text File  |  1999-10-14  |  29.6 KB  |  788 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                         C. Ellison
  8. Request for Comments: 2692                                         Intel
  9. Category: Experimental                                    September 1999
  10.  
  11.  
  12.                            SPKI Requirements
  13.  
  14. Status of this Memo
  15.  
  16.    This memo defines an Experimental Protocol for the Internet
  17.    community.  It does not specify an Internet standard of any kind.
  18.    Discussion and suggestions for improvement are requested.
  19.    Distribution of this memo is unlimited.
  20.  
  21. Copyright Notice
  22.  
  23.    Copyright (C) The Internet Society (1999).  All Rights Reserved.
  24.  
  25. Abstract
  26.  
  27.    The IETF Simple Public Key Infrastructure [SPKI] Working Group is
  28.    tasked with producing a certificate structure and operating procedure
  29.    to meet the needs of the Internet community for trust management in
  30.    as easy, simple and extensible a way as possible.
  31.  
  32.    The SPKI Working Group first established a list of things one might
  33.    want to do with certificates (attached at the end of this document),
  34.    and then summarized that list of desires into requirements.  This
  35.    document presents that summary of requirements.
  36.  
  37. Table of Contents
  38.  
  39.    Charter of the SPKI working group................................2
  40.    Background.......................................................2
  41.    General Requirements.............................................3
  42.    Validity and CRLs................................................4
  43.    Implementation of Certificates...................................4
  44.    List of Certificate Uses.........................................5
  45.    Open Questions..................................................11
  46.    References......................................................12
  47.    Security Considerations.........................................12
  48.    Author's Address................................................13
  49.    Full Copyright Statement........................................14
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58. Ellison                       Experimental                      [Page 1]
  59.  
  60. RFC 2692                   SPKI Requirements              September 1999
  61.  
  62.  
  63. Charter of the SPKI working group
  64.  
  65.    Many Internet protocols and applications which use the Internet
  66.    employ public key technology for security purposes and require a
  67.    public key infrastructure to manage public keys.
  68.  
  69.    The task of the working group will be to develop Internet standards
  70.    for an IETF sponsored public key certificate format, associated
  71.    signature and other formats, and key acquisition protocols.  The key
  72.    certificate format and associated protocols are to be simple to
  73.    understand, implement, and use. For purposes of the working group,
  74.    the resulting formats and protocols are to be known as the Simple
  75.    Public Key Infrastructure, or SPKI.
  76.  
  77.    The SPKI is intended to provide mechanisms to support security in a
  78.    wide range of Internet applications, including IPSEC protocols,
  79.    encrypted electronic mail and WWW documents, payment protocols, and
  80.    any other application which will require the use of public key
  81.    certificates and the ability to access them. It is intended that the
  82.    Simple Public Key Infrastructure will support a range of trust
  83.    models.
  84.  
  85. Background
  86.  
  87.    The term certificate traces back to the MIT bachelor's thesis of
  88.    Loren M. Kohnfelder [KOHN].  Kohnfelder, in turn, was responding to a
  89.    suggestion by Diffie and Hellman in their seminal paper [DH].  Diffie
  90.    and Hellman noted that with public key cryptography, one no longer
  91.    needs a secure channel over which to transmit secret keys between
  92.    communicants.  Instead, they suggested, one can publish a modified
  93.    telephone book -- one with public keys in place of telephone numbers.
  94.    One could then look up his or her desired communication partner in
  95.    the directory, find that person's public key and open a secure
  96.    channel to that person.  Kohnfelder took that suggestion and noted
  97.    that an on-line service has the disadvantage of being a performance
  98.    bottleneck.  To replace it, he proposed creation of digitally signed
  99.    directory entries which he called certificates.  In the time since
  100.    1978, the term certificate has frequently been assumed to mean a
  101.    binding between name and key.
  102.  
  103.    The SPKI team directly addressed the issue of <name,key> bindings and
  104.    realized that such certificates are of extremely limited use for
  105.    trust management.  A keyholder's name is one attribute of the
  106.    keyholder, but as can be seen in the list of needs in this document,
  107.    a person's name is rarely of security interest.  A user of a
  108.    certificate needs to know whether a given keyholder has been granted
  109.    some specific authorization.
  110.  
  111.  
  112.  
  113.  
  114. Ellison                       Experimental                      [Page 2]
  115.  
  116. RFC 2692                   SPKI Requirements              September 1999
  117.  
  118.  
  119. General Requirements
  120.  
  121.    We define the term KEYHOLDER of a public key to refer to the person
  122.    or other entity that controls the corresponding private key.
  123.  
  124.    The main purpose of an SPKI certificate is to authorize some action,
  125.    give permission, grant a capability, etc. to or for a keyholder.
  126.  
  127.    The keyholder is most directly identified by the public key itself,
  128.    although for convenience or other purposes some indirection (delayed
  129.    binding) may be employed.  That indirection can be via a collision-
  130.    free hash of the public key or via a name, later to be resolved into
  131.    a key.
  132.  
  133.    The definition of attributes or authorizations in a certificate is up
  134.    to the author of code which uses the certificate.  The creation of
  135.    new authorizations should not require interaction with any other
  136.    person or organization but rather be under the total control of the
  137.    author of the code using the certificate.
  138.  
  139.    Because SPKI certificates might carry information that the keyholder
  140.    might not want to publish, we assume that certificates will be
  141.    distributed directly by the keyholder to the verifier.  If the
  142.    keyholder wishes to use a global repository, such as LDAP, the global
  143.    PGP key server or the DNS database, that is up to the keyholder and
  144.    not for the SPKI WG to specify.
  145.  
  146.    Because SPKI certificates will carry information that, taken together
  147.    over all certificates, might constitute a dossier and therefore a
  148.    privacy violation, each SPKI certificate should carry the minimum
  149.    information necessary to get a job done.  The SPKI certificate is
  150.    then to be like a single key rather than a key ring or a single
  151.    credit card rather than a whole wallet.  The keyholder should be able
  152.    to release a minimum of information in order to prove his or her
  153.    permission to act.
  154.  
  155.    It is necessary for at least some certificates to be anonymous.
  156.  
  157.    Because one use of SPKI certificates is in secret balloting and
  158.    similar applications, an SPKI certificate must be able to assign an
  159.    attribute to a blinded signature key.
  160.  
  161.    One attribute of a keyholder is a name.  There are names the
  162.    keyholder prefers to be called and there are names by which the
  163.    keyholder is known to various other keyholders.  An SPKI certificate
  164.    must be able to bind a key to such names.  The SDSI work of Rivest
  165.    and Lampson has done an especially good job of defining and using
  166.    local name spaces, therefore if possible SPKI should support the SDSI
  167.  
  168.  
  169.  
  170. Ellison                       Experimental                      [Page 3]
  171.  
  172. RFC 2692                   SPKI Requirements              September 1999
  173.  
  174.  
  175.    name construct.  [Note: SPKI and SDSI have merged.]
  176.  
  177. Validity and CRLs
  178.  
  179.    An SPKI certificate, like any other, should be able to carry a
  180.    validity period: dates within which it is valid.  It may also be
  181.    necessary to have on-line refinement of validity.  This is frequently
  182.    achieved via a Certificate Revocation List (CRL) in previous
  183.    certificate designs.
  184.  
  185.    A minimal CRL contains a list of revoked certificates, identified
  186.    uniquely, a sequence number and a signature.  Its method of
  187.    transmission is not specified.  If it encounters some certificate
  188.    that it lists, then it annihilates that certificate.  If it
  189.    encounters a previous CRL, as indicated by sequence number, then it
  190.    annihilates that previous CRL.  Such a CRL leads to non-deterministic
  191.    program behavior.  Therefore, we take as a requirement that if SPKI
  192.    uses CRLs, then the certificate that uses it must explicitly tell the
  193.    verifier where to find the CRL, the CRL must carry explicit validity
  194.    dates and the dates of a sequence of CRLs must not overlap.  Under
  195.    this set of requirements, behavior of certificate validation is
  196.    deterministic (aside from the question of clock skew).
  197.  
  198.    A CRL is a negative statement.  It is the digital equivalent of the
  199.    little paper books of bad checks or bad credit cards that were
  200.    distributed to cashiers in the 1970's and before.  These have been
  201.    replaced in the retail world by positive statements -- on-line
  202.    validation of a single check, ATM card or credit card.
  203.  
  204.    SPKI should support both positive and negative on-line validations.
  205.  
  206.    Any CRL or revalidation instrument must have its own lifetime.  A
  207.    lifetime of 0 is not possible because of communication delays and
  208.    clock skews, although one can consider an instrument whose lifetime
  209.    is "one use" and which is delivered only as part of a
  210.    challenge/response protocol.
  211.  
  212. Implementation of Certificates
  213.  
  214.    The authorization certificates that are envisioned for SPKI (and
  215.    needed to meet the demands of the list given at the end of this
  216.    document) should be generated by any keyholder empowered to grant or
  217.    delegate the authorization in question.  The code to generate
  218.    certificates should be written by many different developers,
  219.    frequently persons acting alone, operating out of garages or dorm
  220.    rooms.  This leads to a number of constraints on the structure and
  221.    encoding of certificates.  In addition, SPKI certificates should be
  222.    usable in very constrained environments, such as smart cards or small
  223.  
  224.  
  225.  
  226. Ellison                       Experimental                      [Page 4]
  227.  
  228. RFC 2692                   SPKI Requirements              September 1999
  229.  
  230.  
  231.    embedded systems.  The code to process them and the memory to store
  232.    them should both be as small as possible.
  233.  
  234.    An SPKI certificate should be as simple as possible.  There should be
  235.    a bare minimum of fields necessary to get the job done and there
  236.    should be an absolute minimum of optional fields.  In particular, the
  237.    structure should be specific enough that the creator of a certificate
  238.    is constrained by the structure definition, not by complaints (or
  239.    error messages) from the reader of a certificate.
  240.  
  241.    An SPKI certificate should be described in as simple a method as
  242.    possible, relating directly to the kind of structures a C or PASCAL
  243.    programmer would normally write.
  244.  
  245.    No library code should be required for the packing or parsing of SPKI
  246.    certificates.  In particular, ASN.1 is not to be used.
  247.  
  248.    A certificate should be signed exactly as it is transmitted.  There
  249.    should be no reformatting called for in the process of checking a
  250.    certificate's signature (although one might canonicalize white space
  251.    during certificate input, for example, if the format is text).
  252.  
  253.    For efficiency, if possible, an SPKI certificate should be encoded in
  254.    an LR(0) grammar.  That is, neither packing nor parsing of the
  255.    structure should require a scan of the data.  Data should be read
  256.    into the kind of structure a programmer would want to use without
  257.    touching the incoming bytes more than once.
  258.  
  259.    For efficiency, if possible, an SPKI certificate should be packed and
  260.    parsed without any recursion.
  261.  
  262. List of Certificate Uses
  263.  
  264.    The list below is a brainstorming list, accumulated on the SPKI
  265.    mailing list, of uses of such certificates.
  266.  
  267.       -  I need a certificate to give me permission to write electronic
  268.          checks.
  269.  
  270.       -  My bank would need a certificate, proving to others that it is
  271.          a bank capable of cashing electronic checks and permitted to
  272.          give permission to people to write electronic checks.
  273.  
  274.  
  275.  
  276.  
  277.  
  278.  
  279.  
  280.  
  281.  
  282. Ellison                       Experimental                      [Page 5]
  283.  
  284. RFC 2692                   SPKI Requirements              September 1999
  285.  
  286.  
  287.       -  My bank would issue a certificate signing the key of a master
  288.          bank certifier -- perhaps NACHA -- so that I could follow a
  289.          certificate chain from a key I know (my bank's) to the key of
  290.          any other bank in the US and, similarly, to any other bank in
  291.          the world.
  292.  
  293.       -  I might generate a certificate (a "reputation voucher") for a
  294.          friend to introduce him to another friend -- in which
  295.          certificate I could testify to my friend's political opinion
  296.          (e.g., libertarian cypherpunk) or physical characteristics or
  297.          anything else of interest.
  298.  
  299.       -  I might have a certificate giving my security clearance, signed
  300.          by a governmental issuing authority.
  301.  
  302.       -  I want a certificate for some software I have downloaded and am
  303.          considering running on my computer -- to make sure it hasn't
  304.          changed and that some reputable company or person stands behind
  305.          it.
  306.  
  307.       -  I need certificates to bind names to public keys:
  308.  
  309.          -  [traditional certificate] binding a key to a name, implying
  310.             "all the attributes of the real person having this name are
  311.             transferred to this key by this certificate".  This requires
  312.             unique identification of a person (which is difficult in
  313.             non-digital space, as it is) and someone trustworthy binding
  314.             that unique name to the key in question.  In this model, a
  315.             key starts out naked and acquires attributes, permissions
  316.             and authority from the person bound to it.
  317.  
  318.          -  [direct certificate] binding a name to a key, implying "I
  319.             (the person who is able to use the associated private key to
  320.             make this signature) declare that I go by the name of
  321.             XXXXXXX."  The unique identification of the key is automatic
  322.             -- from the key itself or a cryptographic hash of the key.
  323.             The binding is done by the key itself -- in a self-signed
  324.             certificate.  In this model, a key is loaded with
  325.             attributes, permissions and authority directly by other
  326.             certificates, not indirectly through some person's name, and
  327.             this certificate declares only a name or nickname by which
  328.             the key's owner likes to be addressed.
  329.  
  330.          -  [personal binding] binding a key to a nickname.  This kind
  331.             of certificate is signed by me, singing someone else's key
  332.             and binding it to a nickname by which I know that person.
  333.             It is for my use only -- never given out -- and is a signed
  334.             certificate to prevent tampering with my own private
  335.  
  336.  
  337.  
  338. Ellison                       Experimental                      [Page 6]
  339.  
  340. RFC 2692                   SPKI Requirements              September 1999
  341.  
  342.  
  343.             directory of keys.  It says nothing about how I certified
  344.             the binding to my own satisfaction between the key and my
  345.             friend.
  346.  
  347.       -  I might be doing genealogy and be collecting what amounts to
  348.          3x5 cards with facts to be linked together.  Some of these
  349.          links would be from one content to another reference [e.g.,
  350.          indexing and cross-referencing].  Others might be links to the
  351.          researcher who collected the fact.  By rights, the fact should
  352.          be signed by that researcher.  Viewing only the signature on
  353.          the fact and the link to the researcher, this electronic 3x5
  354.          card becomes a certificate.
  355.  
  356.       -  I want to sign a contract to buy a house.  What kind of
  357.          certificate do I need?
  358.  
  359.       -  I have found someone on the net and she sounds really nice.
  360.          Things are leading up to cybersex.  How do I make sure she's
  361.          not really some 80-year-old man in a nursing home?
  362.  
  363.       -  I have met someone on the net and would like a picture of her
  364.          and her height, weight and other measurements from a
  365.          trustworthy source.
  366.  
  367.       -  Can I have a digital marriage license?
  368.  
  369.       -  Can I have a digital divorce decree?
  370.  
  371.       -  ..a digital Voter Registration Card?
  372.  
  373.       -  There are a number of cards one carries in a typical wallet
  374.          which could become certificates attached to a public key:
  375.  
  376.       -  health insurance card
  377.  
  378.       -  prescription drug card
  379.  
  380.       -  driver's license (for permission to drive)
  381.  
  382.       -  driver's license (for permission to buy alcohol)
  383.  
  384.       -  supermarket discount card
  385.  
  386.       -  supermarket check-cashing card [I know -- anachronism]
  387.  
  388.       -  Blockbuster Video rental card
  389.  
  390.       -  ATM card
  391.  
  392.  
  393.  
  394. Ellison                       Experimental                      [Page 7]
  395.  
  396. RFC 2692                   SPKI Requirements              September 1999
  397.  
  398.  
  399.       -  Credit card
  400.  
  401.       -  membership card in the ACLU, NRA, Republican party, Operation
  402.          Rescue, NARAL, ACM, IEEE, ICAR....
  403.  
  404.       -  Red Cross blood donor card
  405.  
  406.       -  Starbuck's Coffee buy-10-get-1-free card
  407.  
  408.       -  DC Metro fare card
  409.  
  410.       -  Phone calling card
  411.  
  412.       -  Alumni Association card
  413.  
  414.       -  REI Membership card
  415.  
  416.       -  Car insurance card
  417.  
  418.       -  claim check for a suitcase
  419.  
  420.       -  claim check for a pawned radio
  421.  
  422.       -  authorization for followup visits to a doctor, after surgery
  423.  
  424.       -  Better Business Bureau [BBB] style reputation certificates
  425.          [testimonies from satisfied customers]
  426.  
  427.       -  BBB-style certificate that no complaints exist against a
  428.          business or doctor or dentist, etc.
  429.  
  430.       -  LDS Temple Recommend
  431.  
  432.       -  Stock certificate
  433.  
  434.       -  Stock option
  435.  
  436.       -  Car title
  437.  
  438.       -  deed to land
  439.  
  440.       -  proof of ownership of electronic equipment with an ID number
  441.  
  442.       -  time card certificate [activating a digital time clock]
  443.  
  444.       -  proof of degree earned [PhD, LLD, MD, ...]
  445.  
  446.       -  permission to write digitally signed prescriptions for drugs
  447.  
  448.  
  449.  
  450. Ellison                       Experimental                      [Page 8]
  451.  
  452. RFC 2692                   SPKI Requirements              September 1999
  453.  
  454.  
  455.       -  permission to spend up to $X of a company's money
  456.  
  457.       -  permission to issue nuclear launch codes
  458.  
  459.       -  I'm a sysadmin, I want to carry a certificate, signed by SAGE,
  460.          that says I'm good at the things sysadmins are good at.
  461.  
  462.       -  I'm that same sysadmin, I want an ephemeral certificate that
  463.          grants me root access to certain systems for the day, or the
  464.          week, or...
  465.  
  466.          Certain applications *will* want some form of auditing, but the
  467.          audit identity should be in the domain of the particular
  468.          application...  For instance an "is a system administrator of
  469.          this host" certificate would probably want to include an audit
  470.          identity, so you can figure out which of your multiple admins
  471.          screwed something up.
  472.  
  473.       -  I'm an amateur radio operator.  I want a signed certificate
  474.          that says I'm allowed to engage in amateur radio, issued by the
  475.          DOC.  [I currently have a paper version of one].  This would be
  476.          useful in enforcing access policies to the amateur spectrum;
  477.          and in tracking abuse of that same spectrum.  Heck!  extend
  478.          this concept to all licensed spectrum users.
  479.  
  480.       -  I'm the a purchasing agent for a large corporation.  I want to
  481.          posses a certificate that tells our suppliers that I'm
  482.          authorized to make purchases up to $15,000.  I don't want the
  483.          suppliers to know my name, lest their sales people bug me too
  484.          much.  I don't want to have to share a single "Megacorp
  485.          Purchasing Department Certificate" with others doing the same
  486.          job [the private key would need to be shared--yuck!].
  487.  
  488.       -  "This signed-key should be considered equivalent to the
  489.          certifying-key until this certificate expires for the following
  490.          purposes ..."
  491.             [This is desirable when you wish to reduce the exposure of
  492.             long-term keys.  One way to do this is to use smart cards,
  493.             but those typically have slow processors and are connected
  494.             through low-bandwidth links; however, if you only use the
  495.             smart card at "login" time to certify a short-term key pair,
  496.             you get high performance and low exposure of the long term
  497.             key.
  498.  
  499.  
  500.  
  501.  
  502.  
  503.  
  504.  
  505.  
  506. Ellison                       Experimental                      [Page 9]
  507.  
  508. RFC 2692                   SPKI Requirements              September 1999
  509.  
  510.  
  511.             I'll note here that this flies in the face of attempts to
  512.             prevent delegation of certain rights.  Maybe we need a
  513.             "delegation-allowed" bit -- but there's nothing to stop
  514.             someone who wishes to delegate against the rules from also
  515.             loaning out their private key.].
  516.  
  517.       -  "I am the current legitimate owner of a particular chunk of
  518.          Internet address space."
  519.             [I'd like to see IPSEC eventually become usable, at least
  520.             for privacy, without need for prior arrangement between
  521.             sites, but I think there's a need for a "I own this
  522.             address"/"I own this address range" certificate in order for
  523.             IPSEC to coexist with existing ip-address-based firewalls.]
  524.  
  525.       -  "I am the current legitimate owner of a this DNS name or
  526.          subtree."
  527.  
  528.       -  "I am the legitimate receiver of mail sent to this rfc822 email
  529.          address.  [this might need to be signed by a key which itself
  530.          had been certified by the appropriate "DNS name owner"
  531.          certificate]."
  532.             [This is in case I know someone owns a particular e-mail
  533.             address but I don't know their key.]
  534.  
  535.       -  Encryption keys for E-mail and file encryption
  536.  
  537.       -  Authentication of people or other entities
  538.  
  539.       -  Digital signatures (unforgeability)
  540.  
  541.       -  Timestamping / notary services
  542.  
  543.       -  Host authentication
  544.  
  545.       -  Service authentication
  546.  
  547.          Other requirements:
  548.  
  549.          -  Trust model must be a web (people want to choose whom they
  550.             trust).  People must be able to choose whom they trust or
  551.             consider reliable roots (maybe with varying reliabilities).
  552.  
  553.          -  Some applications (e.g., notary services) require highly
  554.             trusted keys; generation complexity is not an issue here.
  555.  
  556.          -  Some applications (e.g., host authentication) require
  557.             extremely light (or no) bureaucracy.  Even communication
  558.             with the central administrator may be a problem.
  559.  
  560.  
  561.  
  562. Ellison                       Experimental                     [Page 10]
  563.  
  564. RFC 2692                   SPKI Requirements              September 1999
  565.  
  566.  
  567.          -  Especially in lower-end applications (e.g. host
  568.             authentication) the people generating the keys (e.g.,
  569.             administrators) will change, and you will no longer want
  570.             them to be able to certify.  On the other hand, you will
  571.             usually also not want all keys they have generated to
  572.             expire.  This may imply a "certification right expiration"
  573.             certificate requirement, probably to be implemented together
  574.             with notary services.
  575.  
  576.          -  Keys will need to be cached locally to avoid long delays
  577.             fetching frequently used keys.  Cf. current name servers.
  578.             The key infrastructure may in future get used almost as
  579.             often as the name server.  The caching and performance
  580.             requirements are similar.
  581.  
  582.          -  Reliable distribution of key revocations and other
  583.             certificates (e.g., the ceasing of the right to make new
  584.             certificates).  May involve goals like "will have spread
  585.             everywhere in 24 hours" or something like that.  This
  586.             interacts with caching.
  587.  
  588. Open Questions
  589.  
  590.    Given such certificates, there remain some questions, most to do with
  591.    proofs of the opposite of what a certificate is designed to do.
  592.    These do not have answers provided by certificate definition or
  593.    issuing alone.
  594.  
  595.    -  Someone digitally signs a threatening e-mail message with my
  596.       private key and sends it to president@whitehouse.gov.  How do I
  597.       prove that I didn't compose and send the message?  What kind of
  598.       certificate characteristic might help me in this?
  599.  
  600.          This is an issue of (non-)repudiation and therefore a matter of
  601.          private key protection.  Although this is of interest to the
  602.          user of certificates, certificate format, contents or issuing
  603.          machinery can not ensure the protection of a user's private key
  604.          or prove whether or not a private key has been stolen or
  605.          misused.
  606.  
  607.    -  Can certificates help do a title scan for purchase of a house?
  608.  
  609.          Certificates might be employed to carry information in a
  610.          tamper-proof way, but building the database necessary to record
  611.          all house titles and all liens is a project not related to
  612.          certificate structure.
  613.  
  614.  
  615.  
  616.  
  617.  
  618. Ellison                       Experimental                     [Page 11]
  619.  
  620. RFC 2692                   SPKI Requirements              September 1999
  621.  
  622.  
  623.    -  Can a certificate be issued to guarantee that I am not already
  624.       married, so that I can then get a digital marriage license?
  625.  
  626.          The absence of attributes can be determined only if all
  627.          relevant records are digitized and all parties have inescapable
  628.          IDs.  The former is not likely to happen in our lifetimes and
  629.          the latter receives political resistance.
  630.  
  631.          A certificate can communicate the 'positive' attribute "not
  632.          already married" or "not registered as a voter in any other
  633.          district".  That assumes that some organization is capable of
  634.          determining that fact for a given keyholder.  The method of
  635.          determining such a negative fact is not part of the certificate
  636.          definition.
  637.  
  638.    -  The assumption in most certificates is that the proper user will
  639.       protect his private key very well, to prevent anyone else from
  640.       accessing his funds.  However, in some cases the certificate
  641.       itself might have monetary value [permission to prescribe drugs,
  642.       permission to buy alcohol, ...].  What is to prevent the holder of
  643.       such a certificate from loaning out his private key?
  644.  
  645.          This is a potential flaw in any system providing authorization
  646.          and an interesting topic for study.  What prevents a doctor or
  647.          dentist from selling prescriptions for controlled substances to
  648.          drug abusers?
  649.  
  650. References
  651.  
  652.    [DH]   Diffie and Hellman, "New Directions in Cryptography", IEEE
  653.           Transactions on Information Theory IT-22, 6 (Nov. 1976), 644-
  654.           654.
  655.  
  656.    [KOHN] Loren Kohnfelder, "Towards a Practical Public-key
  657.           Cryptosystem", Bachelor's thesis, MIT, May, 1978.
  658.  
  659. Security Considerations
  660.  
  661.    Security issues are discussed throughout this memo.
  662.  
  663.  
  664.  
  665.  
  666.  
  667.  
  668.  
  669.  
  670.  
  671.  
  672.  
  673.  
  674. Ellison                       Experimental                     [Page 12]
  675.  
  676. RFC 2692                   SPKI Requirements              September 1999
  677.  
  678.  
  679. Author's Address
  680.  
  681.    Carl M. Ellison
  682.    Intel Corporation
  683.    2111 NE 25th Ave   M/S JF3-212
  684.    Hillsboro OR 97124-5961 USA
  685.  
  686.    Phone: +1-503-264-2900
  687.    Fax:   +1-503-264-6225
  688.    EMail: carl.m.ellison@intel.com
  689.           cme@alum.mit.edu
  690.    Web:   http://www.pobox.com/~cme
  691.  
  692.  
  693.  
  694.  
  695.  
  696.  
  697.  
  698.  
  699.  
  700.  
  701.  
  702.  
  703.  
  704.  
  705.  
  706.  
  707.  
  708.  
  709.  
  710.  
  711.  
  712.  
  713.  
  714.  
  715.  
  716.  
  717.  
  718.  
  719.  
  720.  
  721.  
  722.  
  723.  
  724.  
  725.  
  726.  
  727.  
  728.  
  729.  
  730. Ellison                       Experimental                     [Page 13]
  731.  
  732. RFC 2692                   SPKI Requirements              September 1999
  733.  
  734.  
  735. Full Copyright Statement
  736.  
  737.    Copyright (C) The Internet Society (1999).  All Rights Reserved.
  738.  
  739.    This document and translations of it may be copied and furnished to
  740.    others, and derivative works that comment on or otherwise explain it
  741.    or assist in its implementation may be prepared, copied, published
  742.    and distributed, in whole or in part, without restriction of any
  743.    kind, provided that the above copyright notice and this paragraph are
  744.    included on all such copies and derivative works.  However, this
  745.    document itself may not be modified in any way, such as by removing
  746.    the copyright notice or references to the Internet Society or other
  747.    Internet organizations, except as needed for the purpose of
  748.    developing Internet standards in which case the procedures for
  749.    copyrights defined in the Internet Standards process must be
  750.    followed, or as required to translate it into languages other than
  751.    English.
  752.  
  753.    The limited permissions granted above are perpetual and will not be
  754.    revoked by the Internet Society or its successors or assigns.
  755.  
  756.    This document and the information contained herein is provided on an
  757.    "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
  758.    TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
  759.    BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
  760.    HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
  761.    MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
  762.  
  763. Acknowledgement
  764.  
  765.    Funding for the RFC Editor function is currently provided by the
  766.    Internet Society.
  767.  
  768.  
  769.  
  770.  
  771.  
  772.  
  773.  
  774.  
  775.  
  776.  
  777.  
  778.  
  779.  
  780.  
  781.  
  782.  
  783.  
  784.  
  785.  
  786. Ellison                       Experimental                     [Page 14]
  787.  
  788.