home *** CD-ROM | disk | FTP | other *** search

---

/ QRZ! Ham Radio 8 / QRZ Ham Radio Callsign Database - Volume 8.iso / pc / files / p_misc / netconf.arc / AUTHENT.TXT

< prev

next >

Wrap

Text File  |  1988-12-10  |  19KB  |  392 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7.  
8.  
9.  
10.                             Another Look at Authentication
11.  
12.  
13.                                    Phil Karn, KA9Q
14.  
15.  
16.  
17.                                        _A_B_S_T_R_A_C_T
18.  
19.                      A  simple  and  effective  technique  for  packet
20.                 authentication in a datagram network is described that
21.                 is based on the Data Encryption  Standard  (DES).   In
22.                 accordance  with  FCC  rules,  the  actual data is not
23.                 encrypted; rather DES is used  to  compute  a  special
24.                 "cipher  checksum" that is appended to the unencrypted
25.                 user data before transmission.  The  recipient  recom-
26.                 putes  the cipher checksum and compares it against the
27.                 incoming value, thereby  detecting  bogus  or  altered
28.                 packets.   This  technique  is potentially useful in a
29.                 wide variety of amateur radio applications in addition
30.                 to  packet  radio;  for  example,  it  could provide a
31.                 secure control link for a remote repeater site.
32.  
33.  
34.  
35.            _1.  _I_n_t_r_o_d_u_c_t_i_o_n
36.  
37.                 At the 5th ARRL Computer Networking Conference,  Hal  Fein-
38.            stein  described  a  technique for authenticating amateur packet
39.            transmissions [1] useful for protecting radio control links.  In
40.            the commercial and military worlds, the solution is simple: just
41.            encrypt everything. Not only does this protect against unauthor-
42.            ized  commands from those not knowing the key, it also hides the
43.            command information itself.  In the  amateur  service,  however,
44.            this  is  prohibited by FCC rules. [2] The only exception is for
45.            command links in the Amateur Satellite Service; [3] there is  no
46.            corresponding exception for terrestrial links.
47.  
48.                 Fortunately, as Hal showed in his paper, a rule  change  is
49.            not  necessary to add security legally to a control link.  Cryp-
50.            tographic techniques can be used to add "authentication"  to  an
51.            unencrypted  command to verify that it was sent by an authorized
52.            station.  Hal assumed that a virtual circuit  would  be  set  up
53.            between the control station and the remote site, and as a result
54.            his technique is quite involved. I have devised  a  similar  but
55.            much  simpler  approach  made  possible by the use of a datagram
56.            protocol.
57.  
58.  
59.  
61.  
62.  
63.                                    December 6, 1988
64.  
65.  
66.  
67.  
68.  
69.  
70.  
71.  
72.            _2.  _T_h_e _D_a_t_a _E_n_c_r_y_p_t_i_o_n _S_t_a_n_d_a_r_d
73.  
74.                 As in Hal's approach, I use the  Data  Encryption  Standard
75.            (DES).  [4,5]  A  full  description is outside the scope of this
76.            paper; however, I will review two of its properties  since  they
77.            are important to the proposed authentication scheme.
78.  
79.  
80.            1.   The internals of DES are public knowledge, since  the  com-
81.                 plete  specifications  have  been  widely published. Like a
82.                 well-designed safe, however, knowing how  DES  works  isn't
83.                 much help in cracking it; only the key (or the combination)
84.                 need be secret for good security. This is what allowed  DES
85.                 to  become the first-ever cryptographic standard; similarly
86.                 it allows us to establish an amateur  authentication  stan-
87.                 dard  so that each system operator doesn't have to reimple-
88.                 ment the wheel.
89.  
90.            2.   In practice, DES has been highly resistant to "known plain-
91.                 text"   attacks.    [6,7,8,9,10]   That  is,  even  with  a
92.                 plaintext/ciphertext "matched pair", the  algorithm  is  so
93.                 nonlinear that at present there is no known way (outside of
94.                 the NSA, at least)  to  find  the  key  that  produced  the
95.                 transformation  other  than by trying all possible 2 keys
96.                 in the algorithm until you find the one that works.  As  we
97.                 will  see, this property is very important to the authenti-
98.                 cation scheme described here, since each transmission  con-
99.                 tains  both  the ciphertext and the plaintext that produced
100.                 it. It should be pointed out, however, that as yet there is
101.                 no  published  mathematical  _p_r_o_o_f  that  a known-plaintext
102.                 attack against DES requires an exhaustive  search.  Despite
103.                 some  "suspicious"  structure in the algorithm that reduces
104.                 the required brute-force effort  somewhat,  the  accusation
105.                 that  a  "trap door" may have been planted in the algorithm
106.                 by its designers has yet to be either proven or disproven.
107.  
108.                 As an aside, it  is  this  resistance  to  known  plaintext
109.            attack that makes the M/A-Com Videocipher system (which encrypts
110.            the audio with DES) so hard to break. Anyone can buy a box, sub-
111.            scribe  to  a  service  and get millions of ciphertext/plaintext
112.            pairs. However, that doesn't help in finding out the DES key  in
113.            use, which you would need to build a pirate decoder.  The key is
114.            kept inside the decryption device in a  battery-backed  register
115.            which can't be read from the device pins. Only a physical attack
116.            is likely to work here, e.g., dissolving the epoxy off the  chip
117.            with  solvents  and reading the key from the exposed chip with a
118.            scanning electron microscope of the type designed for  debugging
119.            ICs  under  test.  This illustrates an important practical point
120.            in cryptography: key security, not the mathematical strength  of
121.            the encryption algorithm, is usually the weak link. Key security
122.            is harder than you might think, especially when many people  are
123.            involved.
124.  
126.  
127.  
128.                                    December 6, 1988
129.  
130.  
131.  
132.  
133.  
134.  
135.  
136.  
137.            _3.  _D_E_S _M_o_d_e_s _o_f _O_p_e_r_a_t_i_o_n
138.  
139.                 The basic  DES  algorithm  transforms  64-bit  data  blocks
140.            between  plaintext and ciphertext form under control of a 56-bit
141.            key. As long as the key is constant, enciphering a given  64-bit
142.            data block always gives the same 64-bit block of ciphertext.  If
143.            you encrypt data directly in this way, you are using DES in  the
144.            Electronic  Code  Book  (ECB)  mode.  ECB can result in repeated
145.            patterns when, for example, strings of blanks are encrypted.  To
146.            avoid  this potential problem, several modes all involving feed-
147.            back are recommended by the NBS. [11] One of  these  is  "cipher
148.            block chaining" (CBC). In this mode, each 64-bit block of plain-
149.            text is exclusive-ored with the DES ciphertext  output  for  the
150.            _l_a_s_t  64-bit data block before being encrypted.  (Since there is
151.            no preceding block of ciphertext the first block of plaintext is
152.            instead  exclusive-ored  with a prearranged "initialization vec-
153.            tor"). The ciphertext at a given point in the message  therefore
154.            depends  on  _a_l_l  of the data preceding it, not just the current
155.            block. Any change therefore "propagates" throughout the rest  of
156.            the message.
157.  
158.            _4.  _A_u_t_h_e_n_t_i_c_a_t_i_o_n _W_i_t_h _D_E_S
159.  
160.                 This error-propagation property is the basis of the authen-
161.            tication scheme, which can now be described.
162.  
163.                 Encrypt each packet with DES in the cipher  block  chaining
164.            mode.  Then  send the original unencrypted packet along with the
165.            last cipher  word  (64  bits)  of  the  encrypted  version.  The
166.            receiver  also encrypts the packet and compares its final cipher
167.            word with the received version; if they  match,  the  packet  is
168.            accepted.   Changing  even  one  bit in the message results in a
169.            completely unpredictable change in the cipher checksum with only
170.            1 chance in 2 of escaping detection by the receiver.
171.  
172.                 This technique amounts to adding a "cipher checksum" to the
173.            packet, an apt description since it functions much like an ordi-
174.            nary checksum or CRC. The only difference is that the  "checksum
175.            algorithm"  must  protect  against  corruption  or  spoofing  by
176.            malevolent humans as well as by nature, and  therefore  must  be
177.            more sophisticated.
178.  
179.                 For example, it would not be  sufficient  to  generate  the
180.            cipher  checksum  by computing a normal checksum over the packet
181.            and then encrypting it  before  transmission.  A  spoofer  could
182.            carefully  construct  a  packet  to  have the same checksum as a
183.            valid packet he had seen earlier on the channel, and then append
184.            the  same  cipher  checksum.  The size of the cipher checksum is
185.            also very important. Ordinary  checksums,  designed  to  protect
186.            only  against  random natural corruption, are often only 16 bits
187.            wide. It is not that impractical  to  try  all  65,536  possible
188.            checksums  until  the  correct one is found by chance. Since the
189.            cipher checksum produced by DES is 64 bits wide, trying all pos-
190.            sible  values  is  out  of  the question. Naturally, such a wide
191.  
192.  
193.                                    December 6, 1988
194.  
195.  
196.  
197.  
198.  
199.  
200.  
201.  
202.            field also provides superior protection  against  corruption  by
203.            natural causes.
204.  
205.            _5.  _P_l_a_y_b_a_c_k _A_t_t_a_c_k_s
206.  
207.                 Hal's paper discusses in detail the problem of  the  "play-
208.            back attack". Even though the bad guy might not be able generate
209.            his own message or corrupt a  real  one  without  upsetting  the
210.            authentication  mechanism, he could record and play back a valid
211.            message at a later time in an attempt to repeat the same  opera-
212.            tion.
213.  
214.                 However, using a transport (level 4) protocol designed  for
215.            a  datagram  network neatly solves this problem.  Such protocols
216.            are already designed to  detect  and  reject  duplicate  packets
217.            arriving  minutes or even hours after the original. This protec-
218.            tion is necessary because a datagram network  will  occasionally
219.            deliver  a  long-delayed duplicate of a packet, usually when its
220.            routing algorithm is trying to recover from a failing  or  cong-
221.            ested  link. For example, TCP [12] uses 32-bit sequence numbers,
222.            so over 4 gigabytes must be sent on a  given  connection  before
223.            the  sequence numbers wrap around. In most implementations, sub-
224.            sequent connections generally cycle through  all  possible  port
225.            numbers on the originating end, and this adds another 16 bits to
226.            the "sequence space". Even when the  exact  same  pair  of  port
227.            numbers  is reused, a clock has incremented the initial sequence
228.            number for the connection fast enough that it is  very  unlikely
229.            to  reuse  the sequence numbers from the last incarnation of the
230.            connection. In short, a properly implemented TCP can go  a  _v_e_r_y
231.            long  time before it reuses the exact same combination of source
232.            address, destination address,  source  port,  destination  port,
233.            send  sequence  number  and receive sequence number, long enough
234.            for the DES key to have been conveniently changed in  the  mean-
235.            time!
236.  
237.                 Connectionless,  transaction-oriented  transport  protocols
238.            (such as might be used for the remote control of a packet switch
239.            or repeater) can protect against  duplicates  in  several  ways:
240.            with sequence numbers as in a connection oriented protocol, with
241.            timestamping (rejecting packets older than some  limit),  or  by
242.            designing  the set of commands in an "idempotent" fashion, which
243.            means that receiving a command more than once causes no  further
244.            change in the state of the system being controlled.
245.  
246.            _6.  _I_m_p_l_e_m_e_n_t_a_t_i_o_n _I_s_s_u_e_s
247.  
248.                 How could a cipher checksum be added  to  TCP/IP,  and  how
249.            much  of the packet should it cover? If the authentication is to
250.            be end-to-end, it can't include the IP  header,  [13]  since  at
251.            least the time-to-live (TTL) field is modified by each IP packet
252.            switch.  The  data  covered  by  the  cipher  checksum  must  be
253.            delivered  unchanged for the cipher checksum to be valid; there-
254.            fore it should cover only the  data  following  the  IP  header.
255.            While  this would seem to open up devious opportunities based on
256.  
257.  
258.                                    December 6, 1988
259.  
260.  
261.  
262.  
263.  
264.  
265.  
266.  
267.            modifying the IP header, this really isn't a  problem.  TCP  and
268.            UDP  [14] incorporate "pseudo-headers" into their checksum algo-
269.            rithms that include the IP  source  and  destination  addresses,
270.            protocol  type  and data length. Changing any of these fields in
271.            the IP header would result in a checksum error when  the  packet
272.            reaches the destination, and of course any attempt to modify the
273.            checksum field in the TCP or UDP header would be detected by the
274.            cipher checksum.
275.  
276.                 Another question is, where should the cipher  checksum  go?
277.            It  would  be  nice to find a place to put it that wouldn't make
278.            the resulting datagram incompatible with versions of TCP/IP that
279.            didn't  understand  it.  This  suggests placing it in one of the
280.            option fields, either in IP or TCP (assuming TCP is  used).   If
281.            it  is  put  in  the  TCP  options  field, one runs afoul of the
282.            specification that says options should be present  only  in  SYN
283.            segments   (connection  requests).  New  TCP  options  are  also
284.            discouraged.  This leaves the IP options field, of  which  there
285.            are  relatively  many, some of which are not understood by every
286.            implementation. To allow for this, option codes  always  include
287.            the  length of the option, so that an unknown option type can be
288.            skipped over.  Putting the cipher checksum  into  an  IP  option
289.            also  allows  it  to be used with transport protocols other than
290.            TCP (e.g., UDP).
291.  
292.                 Other minor issues, such as padding and the choice of  ini-
293.            tialization  vector, are easily resolved. Since the DES CBC mode
294.            operates on 8-byte blocks of data, data fields not a multiple of
295.            8  bytes long should be padded out with zeros before encryption.
296.            The initialization vector (IV) required  by  the  CBC  algorithm
297.            could  serve  as  an  additional  key  element; it would be then
298.            necessary to know both the 56-bit DES key and the 64-bit  IV  in
299.            order  to  generate  and  check authenticators.  For the sake of
300.            simplicity, however, the  IV  should  probably  be  standardized
301.            (e.g., all zeroes) and only the DES key used for security.
302.  
303.            _7.  _S_u_m_m_a_r_y
304.  
305.                 Authentication is far easier to  implement  in  a  datagram
306.            network  than  in  one based on virtual circuits, resulting in a
307.            much simpler and more elegant design.  Since there is  only  one
308.            type  of packet at the datagram level, there is only one type of
309.            authentication operation. There is no need for a  "session  key"
310.            or "challenge" at the beginning of a connection should one exist
311.            at a  higher  protocol  layer.  Each  datagram  is  individually
312.            authenticated  to protect it against spoofing or corruption, and
313.            eliminating the possibility of a bad guy taking over  a  connec-
314.            tion  (assuming  one exists) after it has been established.  The
315.            measures already in place  to  protect  against  the  accidental
316.            packet  duplication possible in a datagram network automatically
317.            guard against playback attacks.
318.  
319.                 A public-domain implementation of DES  in  C  is  available
320.            from the author.
321.  
322.  
323.                                    December 6, 1988
324.  
325.  
326.  
327.  
328.  
329.  
330.  
331.  
332.            _8.  _R_e_f_e_r_e_n_c_e_s
333.  
334.            1.   Feinstein, Hal, WB3KDU, "Authentication of the Packet Radio
335.                 Switch Control Link", Proceedings of the ARRL Amateur Radio
336.                 5th Computer Networking Conference, p 5.72.
337.  
338.            2.   Federal  Communication  Commission  rules,  Section  97.117
339.                 (Codes and Ciphers Prohibited).
340.  
341.            3.   Ibid, section 97.421(a) (Telecommand Operation).
342.  
343.            4.   Federal Information Processing  Standards  Publication  46,
344.                 "Data Encryption Standard", January 15, 1977.
345.  
346.            5.   American National Standards Institute,  "American  National
347.                 Standard Data Encryption Algorithm", ANSI X3.92-1981.
348.  
349.            6.   Davio, et al,  "Analytical  Characteristics  of  the  DES",
350.                 Crypto '83, Santa Barbara.
351.  
352.            7.   Sugarman, "On Foiling Computer Crime", IEEE Spectrum,  July
353.                 1979.
354.  
355.            8.   Davies, "Some Regular Properties of  the  'Data  Encryption
356.                 Standard'  Algorithm",  National  Physical Laboratory, Ted-
357.                 dington, Middlesex, UK.
358.  
359.            9.   Lexar Corporation, "An Evaluation of the NBS  Data  Encryp-
360.                 tion Standard".
361.  
362.            10.  Branstad et al, "Report of the Workshop on Cryptography  in
363.                 Support of Computer Security", National Bureau of Standards
364.                 report NBSIR 77-1291.
365.  
366.            11.  Federal  Information  Processing   Standards   Publication,
367.                 "Announcing the Standard for DES Modes of Operation".
368.  
369.            12.  Postel, ed, "Transmission Control Protocol  Specification",
370.                 ARPA RFC 793.
371.  
372.            13.  Postel, ed, "Internet  Protocol  Specification",  ARPA  RFC
373.                 791.
374.  
375.            14.  Postel, ed, "User Datagram Protocol", ARPA RFC 768.
376.  
377.  
378.  
379.  
380.  
381.  
382.  
383.  
384.  
386.  
387.  
388.                                    December 6, 1988
389.  
390.  
391. 
392.