home *** CD-ROM | disk | FTP | other *** search

---

/ Hackers Toolkit v2.0 / Hackers_Toolkit_v2.0.iso / HTML / archive / Rainbow / ncsc / lbluencsc.txt

< prev

next >

Wrap

Text File  |  1999-11-04  |  54KB  |  1,070 lines

---

1. Guide to Understanding I&A
2.  
3. NCSC-TG-017 
4.  
5. Library No. 5-235,479 
6.  
7. Version 1 
8.  
9. FOREWORD
10.  
11. A Guide to Understanding Identification and Authentication in Trusted
12. Systems provides a set of good practices related to identification and
13. authentication (I & A). 
14.  
15. We have written this guideline to help the vendor and evaluator community
16. under- V₧ 
17.  
18. stand the requirements for l & A, as well as the level of detail required
19. of l & A at all classes, as described in the Department of Defense Trusted
20. Computer Systems 
21.  
22. Evaluation Criteria. In an effort to provide guidance, we make
23. recommendations in this technical guideline that are not requirements in
24. the Criteria. 
25.  
26. The I & A Guide is the latest in a series of technical guidelines
27. published by the Na-tional Computer Security Center. These publications
28. provide insight to the Trusted Computer Systems Evaluation Criteria
29. requirements for the computer security vendor and technical evaluator. The
30. goal of the Technical Guideline Program is to discuss each feature of the
31. Criteria in detail and to provide the proper interpretations with specific
32. guidance. 
33.  
34. The National Computer Security Center has established an aggressive
35. program to study and implement computer security technology. Our goal is
36. to encourage the widespread availability of trusted computer products for
37. use by any organization desiring better protection of its important data.
38. One of the ways we do this is by the Trusted Product Evaluation Program.
39. This program focuses on the security features of commercially produced and
40. supported computer systems. We evaluate the pro-tection capabilities
41. against the established criteria presented in the Trusted Comput-er System
42. Evaluation Criteria. This program, and an open and cooperative business
43. relationship with the computer and telecommunications industries, will
44. result in the fulfillment of our country's information systems security
45. requirements. We resolve to meet the challenge of identifying trusted
46. computer products suitable for use in pro-cessing delicate information. 
47.  
48. I invite your suggestions for revising this technical guideline. We will
49. review this document as the need arises. 
50.  
51.      Patrick R. GALLAGHER, JR. 1 September 1991 
52.      Director 
53.      National Computer Security Center 
54.  
55. ACKNOWLEDGMENTS
56.  
57. The National Computer Security Center extends special recognition and
58. acknowledgment to James Anderson and to Lt. CoI. Rayford Vaughn (USA) as
59. coauthors of this document. Lt. Patricia R. Toth (USN) is recognized for
60. the develop-ment of this guideline, and Capt. James A. Muysenberg (USAF)
61. is recognized for its editing and publication. 
62.  
63. We wish to thank the many members of the computer security community who
64. enthusiastically gave their time and technical expertise in reviewing this
65. guideline and providing valuable comments and suggestions. 
66.  
67. INTRODUCTION
68.  
69. BACKGROUND
70.  
71. The principal goal of the National Computer Security Center (NCSC) is to
72. en-courage the widespread availability of trusted computer systems. In
73. support of this goal the NCSC created a metric, the DoD Trusted Computer
74. System Evaluation Criteria (TCSEC) [3], against which computer systems
75. could be evaluated. 
76.  
77. The TCSEC was originally published on 15 August 1983 as CSC-STD-001 -83.
78. In December 1985 the Department of Defense adopted it, with a few changes,
79. as a Department of Defense Standard, DoD 5200.28-STD. DoD Directive
80. 5200.28, Security Requirements for Automatic Information Systems (A 155)
81. [11], requires the TCSEC be used throughout the Department of Defense. The
82. TCSEC is the standard used for evaluating the effectiveness of security
83. controls built into DoD AlSs. 
84.  
85. The TCSEC is divided into four divisions: D, C, B, and A. These divisions
86. are ordered in a hierarchical manner, with the highest division (A) being
87. reserved for systems providing the best available level of assurance and
88. security. Within divisions C and B are subdivisions known as classes,
89. which are also ordered in a hierarchical manner to represent different
90. levels of security in these divisions. 
91.  
92. PURPOSE
93.  
94. This document provides guidance to vendors on how to design and
95. incorporate effective identification and authentication (l & A) mechanisms
96. into their systems. It's also written to help vendors and evaluators
97. understand I & A requirements. Exam-ples in this document a;e not the only
98. way of accomplishing identification or authen-tication. Nor are the
99. recommendations supplementary requirements to the TCSEC. The only measure
100. of TCSEC compliance is the TCSEC itself. 
101.  
102. SCOPE
103.  
104. Computer security is founded upon the notion of controlling access
105. betweenAlS users and the data within the AlS. The concept of controlled
106. access relies uponestablishing identifying information for the AlS users,
107. such that this information canbe used to determine whether the user has
108. the proper clearance or identity to ac-cess a given data object. In this
109. manner, the l & A requirements are central to the system's identification
110. and authentication of users, and thus the enforcement of the Mandatory
111. Access Control (MAC) and Discretionary Access Control (DAC) policies. I &
112. A also provides the audit mechanism the information it needs to associate
113. ac-tions with specific users. 
114.  
115. CONTROL OBJECTIVE
116.  
117. Identification is part of the accountability control objective. The
118. accountability control objective states:"Systems that are used to process
119. or handle classified or other sensitive informa-tion must assure
120. individual accountability whenever either a mandatory or discretionary
121. security policy is invoked. Furthermore, to assure accountability the
122. capabilitymust exist for an authorized and competent agent to access and
123. evaluate accountability information by a secure means, within a reasonable
124. amount of time, and with-out undue difficulty." [3, p. 76] 
125.  
126. The fundamental identification requirement states:"Individual subjects
127. must be identified. Each access to information must be mediated based on
128. who is accessing the information and what classes of information theyare
129. authorized to deal with. This identification and authorization information
130. must besecurely maintained by the computer system and be associated with
131. every activeelement that pertorms some security-relevant action in the
132. system." [3, p. 4] 
133.  
134. OVERVIEW OF PRINCIPLES
135.  
136. Identification and authentication requirements are found together
137. throughout all evaluation classes. They are directly related in that
138. "identification" is a statement of who the user is (globally known)
139. whereas "authentication" is proof of identification. Authentication is the
140. process by which a claimed identity is verified. The l & A proce-dures of
141. a system are critical to the correct operation of all other trusted
142. computing base (TCIS) security features. 
143.  
144. PURPOSE OF I&A
145.  
146. The strength of I & A procedures directly impacts the ability of the other
147. TCB mechanisms to fulfill their function. For example, the strength of an
148. audit mechanism and the assurance of correctness in the audit is dependent
149. upon the I & A mecha-nism. If l & A is successfully circumvented, then all
150. audited actions become unreli-able, because an incorrect ID could be
151. associated with auditable actions. In this sense, the l & A requirement is
152. the foundation for other TClB functional requirements (figure 1). 
153.  
154. A TCB, using security-relevant data structures, controls access to a
155. system, de-termines authorized access to objects within a system, and
156. associates audited actions* with specific individuals based on their
157. identity. 
158.  
159. In controlling access to a system, the TCIS acts as the first line of
160. defense.Once the TCIS identifies the user as a unique entity or a member
161. of a group, it thenaccurately determines what access privileges the user
162. may be assigned with re-spect to the data protected by the system. If the
163. system has a C1 rating, group membership provides sufficient granularity
164. for enforcing the l & A requirements. In C2 or higher rated systems, l & A
165. enforcement must ~e at the individual user level. Systems at the B and A
166. levels enforce a mandatory access control policy and use the l & A
167. mechanism to establish an authorized security level or levels at which the
168. user will operate during a given session. 
169.  
170. The user's identity determines which functions or privileges the user can
171. exer-cise on a system. In some systems (e.g., transaction systems),
172. functional access may be the predominant expression of security policy. A
173. common case of functional access found in many systems is the control of
174. access to the system seCurity offi-cer's functions based on his identity. 
175.  
176. The purpose of a device also may determine functions or privileges the
177. user can exercise on a system. For example, the same physical mechanisms
178. protecting system hardware normally protect the device commonly called the
179. "operator's con-sole." The user of this device is ordinarily subject to
180. stronger physical controls and administrative procedures than are other
181. users of the system. In some cases, ac-cess to the device implies physical
182. access to the data (all storage media) that the TCB is charged to protect.
183. In B1 and lower rated systems, the l & A requirements may be relaxedt for
184. the user of the operator's console if the device is protected by the same
185. physical security mechanisms protecting the system itself. 
186.  
187. Auditing functions in trusted systems are a TCB responsibility. Certainly,
188. accu-rate identification of an individual user is required for proper
189. attribution of actions taken on behalf of the individual by the system.
190. Again, the strength of the l & A mechanism directly affects the
191. reliability and assurance of correct audit functions. 
192.  
193. THE l&A PROCESS
194.  
195. The identification and authentication process (typically called "Login)
196. starts witha user establishing communications with the TCB. (In B2
197. andiabove TCBs, this isdone by invoking a Trusted Path, which is
198. guaranteed by design to be an inviolable communication path between the
199. user and the TCIS.) Once the user is communicat-ing with the TCIS, the
200. user identifies himself (i.e., claims-an identity). Either as part of the
201. transmission claiming an identity or in response to a prompt from the
202. TCIS, the user supplies one or more authentication elements as proof of
203. identity 
204.  
205. *Discretionary access controls, enforced at the C level and higher, are
206. dependent upon effective and reliable I & A. 
207.  
208. **See Interpretations ct -cl-02-83 and ci -cl-04-86 on the NCSC DockMaster
209. Eva __Announcements forum. B2 and above require the operator to log on,
210. but operator logon is optional at B1 and below 
211.  
212. The TCB, using the claimed identity and authentication elements as
213. parameters, validates the supplied information against an authentication
214. database. If the informa-tion from the user satisfies the TCB validation
215. process, the TCB completes the login by establishing a user session, and
216. associating the user's identity and access con-trol information with that
217. session. In C1-C2 systems, this access control information may merely be a
218. recording of the user identity to compare to access control infor-mation
219. associated with files. In 191-Al systems, the TCB also associates a
220. specific security level (within the valid range for the user) with the
221. user session for use in making mandatory access control decisions. 
222.  
223. At C2 and above, the TCB is able to record (audit) the success or failure
224. of a new login. If the login succeeded, the TCB then completes any
225. necessary actions to establish the user session. 
226.  
227. ASPECTS OF EFFECTIVE AUTHENTICATION
228.  
229. Users' identities are verified using one of three generic methods
230. something they know (type 1), something they have (type 2), or something
231. they are (type 3). While the requirements of the TCSEC can be met by any
232. ONE of these different methods, systems using two or more methods can
233. result in greater system security. Systems using only one method of
234. authentication may be more vulnerable to com-promise of the authenticator,
235. thus multiple methods are preferred. 
236.  
237. Examples of type 1 mechanisms include passwords, passphrases, PINs
238. (Personal Identification Numbers), and data about one's self or famiy
239. members. Type 2 mechanisms include real and electronic keys, challenge
240. resport.se generators, and magnetic-strip cards or badges. The final
241. category, type 3, includes fingerprints, retinal patterns, DNA patterns,
242. and hand geometry. 
243.  
244. To be effective, authentication mechanisms must uniquely and
245. unforgeablyidentify an individual. "Authentication by knowledge" (type 1)
246. and "authentication byownership" (type 2) mechanisms are limited in
247. effectiveness through only being as-sociated with a person by possession.
248. A person possesses knowledge or some 
249.  
250. Type 1 = Authentication by Knowledge (Something They Know) 
251.  
252. Type 2 = Authentication by Ownership (Something They Have) 
253.  
254. Type 3 = Authentication by Characteristic (Something They Are) 
255.  
256. figure 2 
257.  
258. identifying object, but since the user is not physically attached to the
259. authentication information, the authentication information could be lost,
260. stolen, or otherwise com-promised. 
261.  
262. What distinguishes the first two types is how effectively each can be
263. protected; each has advantages and disadvantages. The principal weakness
264. of type 1 is dupli-cation. Not only is it usually very easy to learn
265. something someone else knows, but it may be possible to guess the
266. information without even having access to it. No special tools, skills, or
267. equipment are required to duplicate "authentication by knowl-edge." One
268. can often break it by a simple brute force guessing attack using automated
269. techniques. 
270.  
271. The most important advantage of this type of authentication item is this:
272. the user can take it anywhere and change it whenever a compromise should
273. occur. An-other advantage is its simplicity, since such information tends
274. to be easily represent-ed to the TCB without special equipment. Any
275. authentication data must ultimately be encoded in some form in the TCB's
276. authentication database, and in this sense a copy of the information has
277. to be kept by the TCB to be usable in authentication. Since a character
278. string can usually represent type 1, it's easy to store it for later use
279. by the TCB. 
280.  
281. Although type 1 is easy to copy if it's genuinely unique, such as a
282. nonsense word or number, it may be easier to guard it than a physical
283. object. This is because an item of knowledge, although easily copied, is
284. always fully in the possession of the person it identifies. Unlike a key,
285. card, or other physical device, "authentication by knowledge" can't be
286. stolen while temporarily left sitting on a desk, can't acciden-tally fall
287. out of a pocket, and often can't be forcefully stolen unless the person
288. steal-ing it can verify it is correct. Yet the ease of duplication makes
289. type 1 always an imperfect form of authentication and thus requires
290. conscientious protection to re-main effective. 
291.  
292. By comparison, "authentication by ownership" has its major strength in the
293. diffi-culty of duplication. Type 1 is, in fact, an example of type 2. So
294. when we speak of type 2 we will, by convention, mean a physical object
295. rather than an item of knowl-edge. While such objects require more effort
296. to guard from theft, they can be made using special equipment or
297. procedures that are generally unavailable. Hence, dupli-cating them is
298. more costly than the value of whatever is to be gained by falsifying them.
299. This discourages their duplication, although it doesn't necessarily
300. prevent duplication by a determined intruder. 
301.  
302. The third type of authentication item, "authentication by characteristic,"
303. is much stronger than the first two. After all, the goal of authentication
304. is to verify who you are, and type 3 is very closely tied to this. 
305.  
306. A major obstacle with this type of authentication is the difficulty of
307. building cost-effective peripherals that can obtain a complete enough
308. sample of a characteristic to entirely distinguish one individual from
309. another. Cost is also a factor in identifying type 2. But in type 3, the
310. authentication item itself can be designed to simplify identi-fication by
311. the TCB. Conventional computer peripherals usually cannot easily en-code
312. "authentication by characteristic." While it may be easy to build devices
313. that confirm someone's distinguishing features such as weight or finger
314. length, the additior of more detail to completely distinguish one person
315. from another can substantially increase the cost. 
316.  
317. Fortunately, an adequately unique identification doesn't require every
318. detail about a person. Thus, specific methods such as fingerprinting or
319. eye retinal scans may be used alone, reducing costs in comparison with a
320. total examination of all a person s physical attributes. Even these
321. methods incur greater costs than simple use of a password, which requires
322. no additional hardware at all, and they are not guaranteed to be
323. infallible. Identical twins for instance would not be distinguishable by
324. DNA readers, and might not be distinguishable by other spec;ific tests of
325. physical characteristics. In the imaginary case of entirely identical
326. twins, the two individuals might be solely distinguished by things in the
327. "authentication by knowledge" category. 
328.  
329. Not only do the various types of authentication methods have cost and
330. feasibility tradeoffs, but an adequate certainty of authentication may
331. require several methods. (Each is subject to an amount of error at the
332. most theoretical level.) One would expect greater assurance from a
333. combination of type 1 and type 2 mechanisms than either used alone.
334. Likewise, type 3 may provide more assurance than the combina-tion of types
335. 1 and 2 together. Potential approach choices are shown in figure 3, where
336. type 12 represents the use of type 1 and type 2 mechanisms. 
337.  
338. Direct comparisons of strength relationships are not possible unless one
339. knows the exact implementation mechanism; however, one can theorize that
340. some such re-lationships are likely. One might argue that type 2 is
341. stronger than type tin terms of assurance, and type 123 is probably
342. stronger than type 12. Singular mechanisms may offer the needed assurance
343. at lower levels, whereas higher levels may require combinations to achieve
344. adequate assurance. 
345.  
346. Possible Authenticatiort Approaches
347.  
348. Type-I Type 12 Type 2 
349.  
350. Type 13 Type 23 
351.  
352. Type 3
353.  
354.      Type 1 = Authentication by Knowledge 
355.      Type 2 = Authentication by Ownership 
356.      Type 3 = Authentication by Characteristic 
357.  
358. FIGURE 3 
359.  
360. SECURITY OF AUTHENTICATION DATA
361.  
362. Identification and authentication data (like most transmissions) is
363. vulnerable to interception (e.g., eavesdropping, spoofing) by an intruder
364. interposed between the user and the TCB. As a consequence, the connection
365. between a user and the trust-ed computer requires protection commensurate
366. with the sensitivity of the data the system processes. Due to government
367. regulations, systems used to process classi-fied data must meet stringent
368. physical security standards that include protection of the connection of a
369. terminal to the TCB. (This protection can involve putting the computer and
370. its terminals in a physically secure area, protecting the wireways
371. be-tween the terminals and the computer, or using cryptography to protect
372. the trans-missions.) Unclassified systems may require similar protection.
373. Additionally, 192 and higher rated systems must have trusted paths. 
374.  
375. Networks provide many opportunities for intruders to intercept the I & A
376. data. 
377.  
378. One-time passwords can help protect against that possibility. 
379.  
380. The user authentication data must be stored, protected, and maintained by
381. the TCB. It should be accessible only to the System Security Officer
382. (550). However, even the 550 should be barred from seeing the actual plain
383. text version of the data (for example, the passwords used by the users.)
384. To assure only the 550 can ac-cess and manipulate the l & A database, a
385. unique and possibly extended special 550 identification and authentication
386. procedure must be embedded in the TCB. The TCB should use this procedure
387. to verify the identity of the 550 (and perhaps the device used) when that
388. individual maintains the l & A database. 
389.  
390. Besides interception, operator misfeasance or unauthorized physical access
391. could compromise I & A data. This may be done by mishandling off-line
392. versions of the data in such forms as system backup files, fault-induced
393. system dumps, or list-ings. To protect I & A data from this kind
394. unauthorized disclosurq,, the data could be stored in encrypted form.
395. Several so-called one-way transformations (non-invertible functions) of
396. authentication data exist that could serve the function (see Purdy [10]).
397. However, if one uses one-way transformations, it's important it be a true
398. non-invertible transformation. For an example of how an ad hoc one-way
399. transformation was broken, see Downey's paper [4]. 
400.  
401. The authentication database needs protection from general access whether
402. the database is encrypted or not. Even in an encrypted form, a database
403. may be sub-ject to a "catalog attack." (Such an attack was highly
404. successful during the Novem-ber 1988 INTERNET attack by a network worm
405. program. [5]) A catalog attack is conducted by encrypting a dictionary of
406. probable authentication data (e.g., pass-words). The attacker then matches
407. the ciphertexts of the authentication database with the ciphertext of the
408. dictionary to discover legitimate authenticators. If the data-base stores
409. both the user's identification and authentication in encrypted form, the
410. attacker must find a user's identification AND authenticator (e.g., the
411. password) in COMBINATION. However, the need to protect the transformation
412. mechanism re-mains. 
413.  
414. MEETING THE TCSEC REQUIREMENTS
415.  
416. This chapter describes the I & A requirements from the TCSEC and their
417. interac-tion with related TCSEC requirements. 
418.  
419. C1 REQUIREMENTS
420.  
421. I & A Requirements
422.  
423. "2.1.2.1 Identification and Authentication 
424.  
425. The TCB shall require users to identI'y themselves to it before beginning
426. to perform any other actions that the TCB is expected to mediate.
427. Furthermore, the TCB shall use a protected mechanism (e.g., passwords) to
428. authenticate the user's identity. The TCB shall protect authentication
429. data so that it cannot be accessed by any unauthorized user." 
430.  
431. Other Related Requirements
432.  
433. "2.1.1.1 discretionary Access Control 
434.  
435. The enforcement mechanism (e.g., self/group/public controls, access
436. control lists) shall allow users to specify and control sharing of those
437. objects by named in-diviauals or defined groups or both." 
438.  
439. Comments
440.  
441. The related Discretionary Access Control (DAC) requirement, allowing users
442. to control sharing by defined groups, means it's sufficient to identify
443. users as a mem-ber of a group. Individual identity is NOT required at C1.
444. Thus, it's acceptable to have a collective identity such as "Purchasing,"
445. authenticated with a password con-trolling access to a purchasing file.
446. The TCSEC requires no additional information. And, without individual
447. accounting, auditing isn't possible or required. 
448.  
449. What is sufficient authentication? This is a difficult question, since it
450. interactscritically with how the Trusted System is used, combined with the
451. assurances anddesign features associated with the ratings. (See Guidance
452. for Applying the Depart-ment of Defense Trusted Computer System Evaluation
453. Criteria in Specific Environ-ments [7].) The C1 requirement specifies only
454. the use of a protected mechanism and gives, as an example, passwords. As
455. discussed elsewhere in this guideline, passwords can be an effective
456. authentication mechanism if conscientiously applied. 
457.  
458. C2 REQUIREMENTS
459.  
460. I & A Requirements
461.  
462. "2.2.2.1 Identification and Authentication 
463.  
464. The TCB shall require users to identify themselves to it before beginning
465. to perform any other actions that the TCB is expected to mediate.
466. Furthermore, the TCB shall use a protected mechanism (e.g., passwords) to
467. authenticate the user's identity. The TCB shall protect authentication
468. data so that it cannot be accessed by any unauthorized user. The TCB shall
469. be able to enforce individual accountability by providing the capability
470. to uniquely identify each individual ADl£ system user. The TCB shall also
471. provide the capability of associating this identity with all au-ditable
472. actions taken by that individual." 
473.  
474. Other Related Requirements
475.  
476. "2.2.1.1 Discretionary Access Control 
477.  
478. The enforcement mechanism . . . shall allow users to speci~ and control
479. shar-ing of. . . objects by. . . defined groups of individuals . . . .
480. These access con-trols shall be capable of including or excluding access
481. to the granularity of a single user. . 
482.  
483. "2.2.2.2 Audit 
484.  
485. ... The TCB shall be able to record the following types of events: use of
486. identi-fication and authentication mechanisms,.. . actions taken by
487. computer opera-tors and system administrators and/or system security
488. officers . . . . For each recorded event, the audit record shall identify:
489. date and time of the event, user, type of event, and success or failure of
490. the evenv;. For identification AND Authentication events the origin of
491. request (e.g., terminal ID) shall be included in the audit record. . . .
492. The ADP system administrator shall be able to selec-tively audit... one or
493. more users based on individual identity." 
494.  
495. Comments
496.  
497. Beginning at the C2 level, individual users are identified. The access
498. control re-quirement mandates using individual identity for access
499. decisions. lf group-based access control is available, membership in the
500. group is based on the identity of the individual rather than a user
501. providing a group name with an authenticator. This is an important
502. distinction. With a group identifier, a collective name and shared
503. authenti-cator is valid. With individual identifiers, a unique individual
504. ID, verified through unique authentication, is used to determine
505. membership in the group, with group identification then used to access the
506. data. In this latter implementation, the system can audit the actions of
507. the individual, thus ensuring individual accountability. 
508.  
509. Strengthening the requirement for individual identity is the audit
510. requirement. 
511.  
512. This means the system administrator can audit the actions of any one or
513. more us-ers, based on individual identity. l & A must distinguish
514. operators, system administrators, and system security officers from
515. ordinary users in order to record security related events as actions
516. initiated by the individuals performing those roles. Since in-dividuals
517. performing those roles may also be ordinary users of the system, it's
518. nec-essary to distinguish the people when acting as ordinary users. 
519.  
520. As an example, in one (network) system with many individuals performing
521. ad-ministrator or security officer tasks, the system established an
522. identifier associated with the role being performed (e.g., System
523. Administrator (SA)). In an extended log-on, a two-step identification and
524. authentication occurred; first as the SA, and then as the individual
525. performing that role. If the individual wasn't recognized as one of those
526. authorized the SA functions, the logon ended and the system audited the
527. event. 
528.  
529. Audit records taken of actions done by the SA incorporated the
530. individual's identity. Later examination of the audit records permitted
531. collection of all actions by the SA in time-sequenced order. Within the SA
532. function, the system identified individuals performing in the SA role.
533. Since this was a very large international time-sharing system, two or more
534. people might be doing SA functions totally indepen-dently of each other.
535. The system recorded all their activities under the SA identity, and within
536. each record were the identities of the individuals actually performing the
537. function. 
538.  
539. Finally, the related audit requirement calls for identification of the
540. origin of I & A events. The example given is from a terminal, but, in some
541. systems, it may be a stored batch procedure (PROC on some systems)
542. activated by an -operator from the operator's console. In this case, the
543. audit record should contain both the operator's console ID and an
544. indication the operator ran the job for some individual identified in the
545. batch procedure. The origin of a connection is often joined with the
546. user's identi-ty to insure the terminal's location is approved to handle
547. classified material at the user's authorized level. 
548.  
549. B1 REQUIREMENTS
550.  
551. I & A Requirements
552.  
553. "3.1.2.1 Identification and Authentication 
554.  
555. The TCB shall require users to identily themselves to it before beginning
556. to perform any other actions that the TCB is expected to mediate.
557. Furthermore, the TCB shall maintain authentication data that includes
558. information for verifying the identity of individual users (e.g.,
559. passwords) as well as information for determining the clearance and
560. authorizations of individual users. This data shall be used by the TCB to
561. authenticate the user's identity and to ensure that the security level and
562. authorizations of subjects external to the TCB that may be created to act
563. on behalf of the individual user are dominated by the clearance and
564. authorization of that user. The TCB shall protect authentication data so
565. that it cannot be acces-sed by any unauthorized user. The TCB shall be
566. able to enforce individual account-ability by providing the capability to
567. uniquely identily each individual ADP system user. The TCB shall also
568. provide the capability of associating this identity with all au-ditable
569. actions taken by that individual." 
570.  
571. Other Related Requirements
572.  
573. "3.1.1.4 Mandatory Access Control 
574.  
575. ... Identification and authentication data shall be used by the TCB to
576. authenti-cate the user's identity and to ensure that the security level
577. and authorization of subjects external to the TCB that may be created to
578. act on behalf of the in-dividual user are dominated by the clearance and
579. authorization of that user." 
580.  
581. Comments
582.  
583. B1 is the first rating level in which access and data movement control
584. based on sensitivity levels of subjects and objects takes place. For an
585. unprivileged user, the & A data is used to determine the user's current
586. authorization level, which the TCB compares with its user database
587. containing authorization ranges for each user. If the logon information is
588. correct and his level is valid, the TCB lets him on the system. Then the
589. TCB moderates the access to files based on the user's current level and
590. the label on the file or object the user is trying to get to. Since the
591. sensitivity level is represented by the clearance and category of access,
592. and object access permis-sion is determined by the sensitivity associated
593. with both the subject (outside of the TCB) and the object, the
594. authorization of a subject becomes a component of the au-thentication
595. requirement. 
596.  
597. The meaning of the term "authorizations" in this section includes
598. functional roles assigned to individuals. The authorizations associated
599. with user roles (e.g., SA, 550, operator) define modes of access that may
600. or may not be controlled by a label-processing (or MAC) policy, depending
601. upon the particular system. One can have a system where a user, acting as
602. an authorized 550, may add new users, de-lete users, or modify their
603. authentication data to increase or decrease their autho-rized access, all
604. without any sensitivity label associated with the records or the 550's
605. actions. Such actions are, of course, subject to audit. The better
606. approach uses MAC mechanisms to provide additional support for
607. administrative least privi-lege. Here the user, as the 550, must still log
608. onto the system at whatever level is necessary to do his work. 
609.  
610. B2 REQUIREMENTS
611.  
612. I & A Requirements
613.  
614. "3.2.2.1 Identification and Authentication 
615.  
616. The TCB shall require users to identily themselves to it before beginning
617. to performany other actions that the TCB is expected to mediate.
618. Furthermore, the TCB shallmaintain authentication data that includes
619. information for verilying the identity of indi-vidual users (e.g.,
620. passwords) as weh as information for determining the clearanceand
621. authorizations of individual users. This data shall be used by the TCB to
622. authen-ticate the user's identity and to ensure that the security level
623. and authorizations of subjects external to the TCB that may be created to
624. act on behalf of the individual user are dominated by the clearance and
625. authorization of that user. The TCB shall protect authentication data so
626. that it cannot be accessed by any unauthorized user. The TCB shall be able
627. to enforce individual accountability by providing the capability to
628. uniquely identily each individual ADP system user. The TCB shall also
629. provide the capability of associating this identity with all auditable
630. actions taken by that individ-ual." 
631.  
632. "3.2.2.1.1 Trusted Path 
633.  
634. The TCB shall support a trusted communication path between itself and
635. [the] user for initial login and authentication. Communications via this
636. path shall be initiated exclusively by a user." 
637.  
638. Other Related Requirements
639.  
640. "3.2.3.1.4 Trusted Facility Management 
641.  
642. The TCB shall support separate operator and administrator functions." 
643.  
644. Comments
645.  
646. The trusted path requirement is the principal addition at this level. The
647. B2 level is the first rating level providing sufficient architectural
648. support for trusted paths in an operating system. This requirement ensures
649. that at the B2 level and above, the indi-vidual user logging in is in
650. unforgeable communication with the TCB, and not some program masquerading
651. as a TCB. Otherwise, the user may be spoofed into divul-ging his
652. authentication data to an application program. 
653.  
654. The requirement' to support separate operator and administrator functions
655. could place an additional burden on the l & A function to distinguish
656. individuals acting in those roles. To this end, the (functional)
657. authorizations associated with the authenti-cation data from the B1
658. requirement can be effectively used. 
659.  
660. B3 (AND A1) REQUIREMENTS
661.  
662. l & A Requirements
663.  
664. "3.3.2.1 Identification and Authentication 
665.  
666. The TCB shall require users to identily themselves to it before beginning
667. to performany other actions that the TCB is expected to mediate.
668. Furthermore, the TCB shall maintain authentication data that includes
669. information for verilying the identity of indi-vidual users (e.g., pass
670. words) as well as information for determining the clearance and
671. authorizations of individual users. This data shall be used by the TCB to
672. authen-ticate the user's identity and to ensure that the security level
673. and authorizations of subjects external to the TCB that may be created to
674. act on behalf of the individual user are dominated by the clearance and
675. authorization of that user. The TCB shall protect authentication data so
676. that it cannot be accessed by any unauthorized user. The TCB shall be able
677. to enforce individual accountability by providing the capability to
678. uniquely identily each individual ADP system user. The TCB shall also
679. provide the capability of associating this identity with all auditable
680. actions taken by that individ-ual." 
681.  
682. "3.3.2.1.1 Trusted Path 
683.  
684. The TCB shall support a trusted communication path between itself and
685. users for use when a positive TCB-to-user connection is required (e.g.,
686. login, change subject security level). Communications via this trusted
687. path shall be activated ex-clusively by a user or the TCB and shall be
688. logically isolated and unmistakably distinguishable from other paths." 
689.  
690. Other Related Requirements
691.  
692. "3.3.1.1 Discretionary Access Control 
693.  
694. The TCB shall define and control access between named users and named
695. objects (e.g.,files and programs) . . . . These access controls shall be
696. capable of specify-ing, for each named object, a list of named individuals
697. and a list of groups of named individuals with their respective modes of
698. access to that object. Fur-thermore, for each Such named object, it shall
699. be possible to specify a list of named individuals and a list of groups of
700. named individuals for which no ac-cess to the object is to be given...." 
701.  
702. Comments
703.  
704. The trusted path's use is generalized to "when[ever] a positive
705. TCB-to-user connection is required," not just for login. In 193 systems,
706. other TCB-to-user commu-nications may be going on, hence the requirement
707. to logically isolate and to distinguish the TRUSTED path from all other
708. paths. Note that the TCB can start the trusted path if necessary The
709. distinction between trusted path at B3 and trusted path at B2 hinges on
710. whether the TCB needs to be aware of a previous context. In the B2 case,
711. the only requirement for trusted path is at Iogin. In the B3 case, a
712. trusted path may be re-quired for a user to change security levels or to
713. initiate another process at a differ-ent security level from the one he is
714. now in. An example of the TCB starting the trusted path could be telling a
715. user his security level has been changed as requested. 
716.  
717. The principal impact of this requirement is the establishment of a trusted
718. path between a user (i.e., an individual) and the TCB, not a
719. process-subject, nor any other user-surrogates. It's as important for the
720. person connecting to the TCB to be as-sured of the identity of the TCB as
721. it is for the TCB to be assured of the identity of the individual. Earlier
722. work in computer security suggested re-authentication as an assurance
723. mechanism to cover cases of this kind. If the system has such a
724. capabil-ity, the time between (re)authentications should be a
725. configuration parameter. 
726.  
727. The related Discretionary Access Control requirement has two components;
728. first, each named object (already controlled by the Mandatory Access
729. controls) shall also be under Discretionary Access controls. Second, lists
730. of named individuals or groups authorized or specifically denied access
731. must be maintained for each named object. 
732.  
733. POSSIBLE METHODS OF IMPLEMENTATION
734.  
735. There are a wide variety of implementation methods possible `for
736. identifying and authenticating people. The challenge to the TCB designer
737. is how to integrate the method chosen into the rest of the TCB design in
738. such a way that the chosen tech-nique cannot be bypassed or penetrated.
739. The most frequent method of identifying individuals is still the claimed
740. identity authenticated with a password. A reasonable discussion of the
741. issues is carried in Hoffman [8], although it's not complete with re-spect
742. to all the problems. The following discussion serves as a set of good
743. exam-ples or a general guideline only. There are many other acceptable
744. methods of l & A. 
745.  
746. SOMETHING A USER KNOWS (TYPE 1 METHOD)
747.  
748. This method is almost entirely focused on passwords. In the past, eight
749. charac-ter passwords have been more or less the standard on most systems
750. providing user identification and authentication, although there is no
751. specified standard for pass-word length. The Department of Defense
752. Password Management Guidehne [2] recommends a minimum of six characters.
753. Two appendices in that guideline discuss the parameters affecting the
754. choice of password length. 
755.  
756. The guideline also strongly recommends automating password generation. A
757. description of a pronounceable password generator can be found in Gasser's
758. pa-per [6]. 
759.  
760. As indicated above, simple passwords are sufficient for the lower rating
761. classes. 
762.  
763. As one moves up in the ratings, the password or passphrase system should
764. be-come more sophisticated. In the higher classes the password scheme
765. should be some variation of the one-time password schemes or a combination
766. of techniques, as depicted in figure 3. 
767.  
768. In a one-time password scheme, the system provides the user with an
769. initial password to authenticate his claimed identity. During the initial
770. Iogon, the user receives a new password for the next logon. In the
771. earliest conception of this ap-proach, no one was concerned for wiretapped
772. lines intercepting the users' pass-words, since all lines were within
773. protected wireways. The only concerns were for someone masquerading as
774. another user without being discovered or for users writing down their
775. passwords so they wouldn't forget them. 
776.  
777. In modern applications, particularly with personal computers used as
778. terminals, the TCB could encrypt the next password for the user; The user
779. would receive his next password, decrypt it with his (personal, unique)
780. decrypt key, and save it for his next session. 
781.  
782. Other proposals include storing personal data about an individual, such as
783. your grandmother's maiden name, the age of your father when he was
784. married, the middle name of your 3rd sister, etc. This method falls short
785. of the TCSEC requirements for a variety of reasons. It's difficult to
786. administer for any reasonable number of users, and, even if one randomizes
787. the challenge, the total number of available an-swers is too small.
788. Personal information relevant to an individual is normally available from
789. public sources and not protected. 
790.  
791. SOMETHING A USER HAS (TYPE 2 METHOD)
792.  
793. This type contains several artifact approaches to providing positive
794. identity of users. The schemes span a wide range, from magnetic strip
795. readers to various forms of ignition keys (some with cryptographic
796. subsystems, others merely alternate forms of the magnetic strip reader).
797. An interesting form of "something one has" that combines the artifact with
798. a password scheme is typified by a one-time password (challenge and
799. response) device. The device is a calculator-sized unit that, if keyed
800. correctly by a user with a personal identification number (PIN), generates
801. a correct one-time response to a password challenge issued by a server
802. host. 
803.  
804. Possession of the device alone does not let one obtain the correct
805. response to a random challenge. One must have the artifact and know the
806. PIN to use it. There's no known way to read the PINs set in this
807. particular product, so loss of the device may be an inconvenience rather
808. than a security breach of major magnitude if report-ed immediately. 
809.  
810. While it's possible such devices could be stolen from the rightful user,
811. the secu-rity breach might be manageable, unless the user doesn't report
812. the loss immediate-ly or carelessly writes the PIN down. Furthermore, if
813. one augments the mechanism with the standard password approach to form a
814. Type 12 method, one gets much greater assurance. There's a tendency to
815. require total security for simple devices (locking them in safes or
816. restricting where they may be carried). Manyiimes all that's needed is the
817. ability to detect the loss or compromise of the device. 
818.  
819. SOMETHING A USER IS (TYPE 3 METHOD)
820.  
821. This category of authentication includes all the biometric schemes, such
822. as fingerprint readers, lip print readers, retinal scanners, DNA
823. analyzers, and dynamic signature readers. Some claim these devices have
824. substantial resolution powers, virtually eliminating false acceptance,
825. while keeping the false rejections at a reason-able level*. However, the
826. statistical nature of the acceptance or rejection is some-thing to
827. consider. We noted earlier one could double up the authentication
828. mechanisms for higher rated systems so authentication is based on two
829. indepen-dent elements, for example a fingerprint reader and a password
830. (type 13 method). Such a scheme would virtually eliminate false acceptance
831. of the l & A procedure. In a doubled up authentication scheme, the system
832. shouldn't accept either one of the elements unless the other element is
833. also correct. 
834.  
835. The vendors of biometric devices have a harder time than those who are
836. con-tent with simple passwords, since it's virtually impossible to change
837. the biometric parameter being measured. However, it may be possible to
838. copy the biometric pa-rameter in such a way to gain access to a system as
839. though one is the actual user. If an intruder interposes himself between
840. the measuring device and the TCB, absent a protected path, he can copy the
841. reading for replay at a later time. As this may be possible regardless of
842. the authentication technique used, this suggests either mak-ing the
843. authentication₧ element be one-time, or protecting the path between
844. authentication entry (measurement) and the TCB against interception. 
845.  
846. COMMENTS
847.  
848. The requirements for identification and authentication are st5ressed
849. heavily in thedirection of authentication. One claims an identity, then
850. must prove it to the operat-ing system. It's "theoretically" possible to
851. have self-identifying authentication (or itmight be called
852. self-authenticating identification). Examples of such might be a
853. fingerprint reader or a DNA analysis of cells scraped from the skin. Of
854. course, it's always (and probably incorrectly) assumed one can maintain
855. the integrity of one's skin or fingerprints. However, it might be possible
856. to'copy fingerprints onto a latex finger (or fingers), and obtaining a
857. patch of skin might not be as difficult as one might imagine. Even for
858. self-identifying authentication, the protection of the authenti-cation₧
859. mechanism is key to its successful application. 
860.  
861. *Martin, in his book, reported false acceptance of a voice recognizor at
862. 1%, and a hand geometry reader at 0.5 to 0.05%, depending on the
863. measurement tolerances. The voice recognizor had a false rejection of 1%,
864. while the hand geometry reader was "very low."[9] 
865.  
866. As indicated above, if applied in situations calling for application of
867. lower rating classes, such methods that combine identification and
868. authentication could very well be sufficient. In situations where higher
869. classes are called for, the methods could be combined with another generic
870. authenticator. In effect this erects a second access barrier for systems
871. used in higher risk situations. 
872.  
873. How much authentication is enough has not been adequately addressed to
874. date and is a matter for discussion between the site accreditor or site
875. certifying officer and the vendor. One could require multiple
876. authentication mechanisms for any claimed identity for higher level
877. systems. However effective such a requirement might be, it would be quite
878. expensive for those myriads of systems NOT at special hazard but which use
879. B2 or higher ranked systems in quasi-system high environ-ments because of
880. their label processing provisions. (Quasi-system high environ-ments are
881. those where all users are given all clearances and categories within the
882. organization, but the data must be properly labeled to exercise control on
883. where it's exported.) Perhaps this is a point of application for an l & A
884. subsystem, to augment one built into a TCB. The principal recommendation
885. is it be a different basic mecha-nism. If the built-in authenticator is
886. based on authentication by characteristic, the & A subsysteni could be
887. either authentication by ownership (type 2) or authentica-tion by
888. knowledge (type 1). Conventional wisdom says password systems can be good
889. enough, but better means of authentication may be required. 
890.  
891. In general, one would expect the lower rated systems to use simpler
892. mecha-nisms than the higher rated systems. At C1, simple type 1
893. me'chanisms or any of the simplest artifact schemes (e.g., lock
894. combinations or keys to locked doors to terminal rooms for a user
895. population known to the system only as defined groups) might be
896. sufficient, based on the site where the system is used. 
897.  
898. At C2, any of the random pronounceable password systems or any of the
899. sim-pler artifact (e.g., a challenge response table) or biometric systems
900. (e.gmeasurement of hand geometry, inter-ocular distance, or other
901. Bertillon measures) seem appropriate. 
902.  
903. At B1, passphrases, random pronounceable passwords of at least 8
904. characters, challenge-response schemes, one-time passwords, advanced
905. artifacts (e.g., termi-nal Iogon "keys" or magnetic striped cards), or
906. biometric systems (e.g., fingerprints, retinal images, or voice images)
907. might be appropriate. 
908.  
909. For higher levels (B2, 03, and Al), authentication could be based on at
910. least two of the three generic ways of verifying identity. A magnetic
911. striped card and a password, a PIN used to start a challenge-response
912. device, or a biometric device and a password could be used in combination
913. to increase the "work factor" of at-tempting to subvert or diagnose the
914. authentication parameter(s). 
915.  
916. Although not specifically addressed in the TCSEC, the evaluation process
917. must consider the strength of the l & A mechanism in relation to the
918. evaluation class. The assurance associated with a chosen mechanism must be
919. appropriate for the evalu-ated class. 
920.  
921. As an aside, the strength of the l & A mechanism should also be based on
922. the environment the system will be used in and the risk of losing the data
923. on the sys-tem. Remember, it's possible that a C2 system running at system
924. high with very sensitive data would need a high assurance l & A mechanism
925. just as an Al system would. 
926.  
927. It's interesting to observe that password systems have rarely failed to
928. perform their function on the systems protected. The bulk of password
929. failures is due to mis-feasance, sharing of passwords with an otherwise
930. unauthorized individual, or care-less handling of passwords (at least as
931. serious as equivalently careless handling of safe combinations). Some
932. agencies treat careless handling of passwords with the same degree of
933. seriousness as leaving safes unlocked and unattended. For mul-tilevel
934. systems handling classified data, the password is classified at the
935. highest lev-el of information authorized the user to whom it belongs. 
936.  
937. One can manage a password scheme properly with frequent changes of
938. pass-words and a pronounceable random password generator used to eliminate
939. some ofthe simpler guessing attacks. It's true people can misuse the
940. system by not treatingtheir passwords properly (e.g., by writing them on
941. their terminals, by deliberately giving them away, or allowing them to be
942. observed by others when used). Neverthe-less, the low cost and high degree
943. of effectiveness make passwords the authentica-tion method of choice for
944. most systems. 
945.  
946. If users are allowed to pick their own specific authenticators, their
947. behavior is stereotypical enough to permit diagnosis and recovery of the
948. selected authentica-tion. This is especially true of systems permitting
949. users to pick their own passwords. As a consequence, the technique of a
950. system administrator making the (initial) se-lection of the authenticator
951. is better security practice than it appears at first glance. 
952.  
953. GLOSSARY
954.  
955. ASSURANCE
956.  
957. A measure of confidence that the security features and architecture of an
958. automated information system accurately mediate and enforce the security
959. policy. 
960.  
961. AUDIT TRAIL
962.  
963. A chronological record of system activities that is sufficient to enable
964. the reconstruction, reviewing, and examination of the sequence of
965. environments and activities surrounding or leading to an operation, a
966. procedure, or an event in a transaction from its inception to final
967. results. 
968.  
969. AUTHENTlCATE
970.  
971. Verify a claimed identity as legitimate and belonging to the claimant. 
972.  
973. AUTHORIZATION
974.  
975. An individual's right to access or use an object. 
976.  
977. CRYPTOGRAPHY
978.  
979. The principles, means, and methods for rendering information
980. unintelligible, and for restoring encrypted information to intelligible
981. form. 
982.  
983. DISCRETIONARY ACCESS CONTROL (DAC)
984.  
985. A means of restricting access to objects based on the identity of subjects
986. and/or groups to which they belong. The controls are discretionary in the
987. sense that a subject with a certain access permission is capable of
988. passing that permission (perhaps indirectly) on to any other subject. 
989.  
990. DISCRETIONARY ACCESS PRIVILEGE
991.  
992. Access granted to objects based on the identity of a subject and/or the
993. groups to which they belong. 
994.  
995. DOMINATE
996.  
997. Security level S, dominates security level S2 if the hierarchical
998. classification of S, is greater than or equal to that of S2 and the
999. non-hierarchical categories of S, include all those of S2 as a subset. 
1000.  
1001. IDENTITY
1002.  
1003. A unique name or number assigned to an individual using a system. 
1004.  
1005. LEAST PRIVILEGE
1006.  
1007. The principle that requires that each subject be granted the most
1008. restrictive set of privileges needed for the performance of authorized
1009. tasks. The application of this principle limits the damage that can result
1010. from accident, error, or unauthorized use. 
1011.  
1012. MANDATORY ACCESS CONTROL (MAC)
1013.  
1014. A means of restricting access to objects based on the sensitivity (as
1015. represented by a label) of the information contained in the objects and
1016. the formal authorization (i.e., clearance) of subjects to access
1017. information of such sensitivity. 
1018.  
1019. OBJECT
1020.  
1021. A passive entity that contains or receives information. Access to an
1022. object potentially implies access to the information it contains. Examples
1023. of objects are: records, blocks, pages, segments, files, directories,
1024. directory trees, programs, bits, bytes, words, fields, processors, video
1025. displays, keyboards, clocks, printers, and network nodes. 
1026.  
1027. SENSITIVITY LABEL
1028.  
1029. A piece of information that represents the security level of an object and
1030. that describes the sensitivity (e.g., classification) of the data in the
1031. object. The TCB uses sensitivity labels as the basis for mandatory access
1032. control decisions. 
1033.  
1034. SPOOFlNG
1035.  
1036. An attempt to gain access to a system by posing as an authorized
1037. user.Synonymous with impersonating, masquerading, or mimicking. 
1038.  
1039. SUBJECT
1040.  
1041. An active entity, generally in the form of a person, process, or device
1042. that causes information to flow among objects or changes the system state.
1043. Technically, a process/domain pair. 
1044.  
1045. TRUSTED COMPUTING BASE (TCB)
1046.  
1047. The totality of protection mechanisms within a- computer system -including
1048. hardware, firmware, and software -the combination of which `is responsible
1049. for enforcing a security policy. It creates a basic protection environment
1050. and provides additional user services required for a trusted computer
1051. system. The ability of a TCB to correctly enforce a security policy
1052. depends solely on the mechanisms within the TCB and on the correct input
1053. by system administrative personnel of parameters (e.g., a user's
1054. clearance) related to the security policy. 
1055.  
1056. TRUSTED PATH
1057.  
1058. A mechanism by which a person at a terminal can communicate directly with
1059. the Trusted Computing Base. This mechanism can only be activated by the
1060. person or the Trusted Computing base and cannot be initiated by untrusted
1061. software. 
1062.  
1063. VERIFY
1064.  
1065. To prove the truth of by presenting evidence or testimony; substantiate. 
1066.  
1067.  
1068.  
1069.  
1070.