home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / rfc / 3 / rfc1704.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  41.3 KB  |  956 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                          N. Haller
  8. Request for Comments: 1704                  Bell Communications Research
  9. Category: Informational                                      R. Atkinson
  10.                                                Naval Research Laboratory
  11.                                                             October 1994
  12.  
  13.  
  14.                        On Internet Authentication
  15.  
  16. Status of this Memo
  17.  
  18.    This document provides information for the Internet community.  This
  19.    memo does not specify an Internet standard of any kind.  Distribution
  20.    of this memo is unlimited.
  21.  
  22. 1. INTRODUCTION
  23.  
  24.    The authentication requirements of computing systems and network
  25.    protocols vary greatly with their intended use, accessibility, and
  26.    their network connectivity.  This document describes a spectrum of
  27.    authentication technologies and provides suggestions to protocol
  28.    developers on what kinds of authentication might be suitable for some
  29.    kinds of protocols and applications used in the Internet.  It is
  30.    hoped that this document will provide useful information to
  31.    interested members of the Internet community.
  32.  
  33.    Passwords, which are vulnerable to passive attack, are not strong
  34.    enough to be appropriate in the current Internet [CERT94].  Further,
  35.    there is ample evidence that both passive and active attacks are not
  36.    uncommon in the current Internet [Bellovin89, Bellovin92, Bellovin93,
  37.    CB94, Stoll90].  The authors of this paper believe that many
  38.    protocols used in the Internet should have stronger authentication
  39.    mechanisms so that they are at least protected from passive attacks.
  40.    Support for authentication mechanisms secure against active attack is
  41.    clearly desirable in internetworking protocols.
  42.  
  43.    There are a number of dimensions to the internetwork authentication
  44.    problem and, in the interest of brevity and readability, this
  45.    document only describes some of them.  However, factors that a
  46.    protocol designer should consider include whether authentication is
  47.    between machines or between a human and a machine, whether the
  48.    authentication is local only or distributed across a network,
  49.    strength of the authentication mechanism, and how keys are managed.
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58. Haller & Atkinson                                               [Page 1]
  59.  
  60. RFC 1704               On Internet Authentication           October 1994
  61.  
  62.  
  63. 2. DEFINITION OF TERMS
  64.  
  65.    This section briefly defines some of the terms used in this paper to
  66.    aid the reader in understanding these suggestions.  Other references
  67.    on this subject might be using slightly different terms and
  68.    definitions because the security community has not reached full
  69.    consensus on all definitions.  The definitions provided here are
  70.    specifically focused on the matters discussed in this particular
  71.    document.
  72.  
  73.    Active Attack:  An attempt to improperly modify data, gain
  74.           authentication, or gain authorization by inserting false
  75.           packets into the data stream or by modifying packets
  76.           transiting the data stream. (See passive attacks and replay
  77.           attacks.)
  78.  
  79.    Asymmetric Cryptography:  An encryption system that uses different
  80.           keys, for encryption and decryption.  The two keys have an
  81.           intrinsic mathematical relationship to each other.  Also
  82.           called Public~Key~Cryptography.  (See Symmetric Cryptography)
  83.  
  84.    Authentication:  The verification of the identity of the source of
  85.           information.
  86.  
  87.    Authorization:  The granting of access rights based on an
  88.           authenticated identity.
  89.  
  90.    Confidentiality: The protection of information so that someone not
  91.           authorized to access the information cannot read the
  92.           information even though the unauthorized person might see the
  93.           information's container (e.g., computer file or network
  94.           packet).
  95.  
  96.    Encryption: A mechanism often used to provide confidentiality.
  97.  
  98.    Integrity:  The protection of information from unauthorized
  99.           modification.
  100.  
  101.    key, the identity of the person, system, or role associated with that
  102.           key, and information authenticating both the key and the
  103.           association between that identity and that public key.  The
  104.           keys used by PEM are one example of a key certificate
  105.           [Kent93].
  106.  
  107.    Passive Attack:  An attack on an authentication system that inserts
  108.           no data into the stream, but instead relies on being able to
  109.           passively monitor information being sent between other
  110.           parties.  This information could be used a later time in what
  111.  
  112.  
  113.  
  114. Haller & Atkinson                                               [Page 2]
  115.  
  116. RFC 1704               On Internet Authentication           October 1994
  117.  
  118.  
  119.           appears to be a valid session.  (See active attack and replay
  120.           attack.)
  121.  
  122.    Plain-text:  Unencrypted text.
  123.  
  124.    Replay Attack:  An attack on an authentication system by recording
  125.           and replaying previously sent valid messages (or parts of
  126.           messages).  Any constant authentication information, such as a
  127.           password or electronically transmitted biometric data, can be
  128.           recorded and used later to forge messages that appear to be
  129.           authentic.
  130.  
  131.    Symmetric Cryptography: An encryption system that uses the same key
  132.           for encryption and decryption.  Sometimes referred to as
  133.           Secret~Key~Cryptography.
  134.  
  135. 3. AUTHENTICATION TECHNOLOGIES
  136.  
  137.    There are a number of different classes of authentication, ranging
  138.    from no authentication to very strong authentication.  Different
  139.    authentication mechanisms are appropriate for addressing different
  140.    kinds of authentication problems, so this is not a strict
  141.    hierarchical ordering.
  142.  
  143.    3.1 No Authentication
  144.  
  145.       For completeness, the simplest authentication system is not to
  146.       have any.  A non-networked PC in a private (secure) location is an
  147.       example of where no authentication is acceptable.  Another case is
  148.       a stand-alone public workstation, such as "mail reading"
  149.       workstations provided at some conferences,  on which the data is
  150.       not sensitive to disclosure or modification.
  151.  
  152.    3.2 Authentication Mechanisms Vulnerable to Passive Attacks
  153.  
  154.       The simple password check is by far the most common form of
  155.       authentication.  Simple authentication checks come in many forms:
  156.       the key may be a password memorized by the user, it may be a
  157.       physical or electronic item possessed by the user, or it may be a
  158.       unique biological feature.  Simple authentication systems are said
  159.       to be "disclosing" because if the key is transmitted over a
  160.       network it is disclosed to eavesdroppers.  There have been
  161.       widespread reports of successful passive attacks in the current
  162.       Internet using already compromised machines to engage in passive
  163.       attacks against additional machines [CERT94].  Disclosing
  164.       authentication mechanisms are vulnerable to replay attacks.
  165.       Access keys may be stored on the target system, in which case a
  166.       single breach in system security may gain access to all passwords.
  167.  
  168.  
  169.  
  170. Haller & Atkinson                                               [Page 3]
  171.  
  172. RFC 1704               On Internet Authentication           October 1994
  173.  
  174.  
  175.       Alternatively, as on most systems, the data stored on the system
  176.       can be enough to verify passwords but not to generate them.
  177.  
  178.    3.3 Authentication Mechanisms Vulnerable to Active Attacks
  179.  
  180.       Non-disclosing password systems have been designed to prevent
  181.       replay attacks.  Several systems have been invented to generate
  182.       non-disclosing passwords.  For example, the SecurID Card from
  183.       Security Dynamics uses synchronized clocks for authentication
  184.       information.  The card generates a visual display and thus must be
  185.       in the possession of the person seeking authentication.  The S/Key
  186.       (TM) authentication system developed at Bellcore generates
  187.       multiple single use passwords from a single secret key [Haller94].
  188.       It does not use a physical token, so it is also suitable for
  189.       machine-machine authentication.  In addition there are challenge-
  190.       response systems in which a device or computer program is used to
  191.       generate a verifiable response from a non-repeating challenge.
  192.       S/Key authentication does not require the storage of the user's
  193.       secret key, which is an advantage when dealing with current
  194.       untrustworthy computing systems.  In its current form, the S/Key
  195.       system is vulnerable to a dictionary attack on the secret password
  196.       (pass phrase) which might have been poorly chosen.  The Point-to-
  197.       Point Protocol's CHAP challenge-response system is non-disclosing
  198.       but only useful locally [LS92, Simpson93].  These systems vary in
  199.       the sensitivity of the information stored in the authenticating
  200.       host, and thus vary in the security requirements that must be
  201.       placed on that host.
  202.  
  203.    3.4 Authentication Mechanisms Not Vulnerable to Active Attacks
  204.  
  205.       The growing use of networked computing environments has led to the
  206.       need for stronger authentication.  In open networks, many users
  207.       can gain access to any information flowing over the network, and
  208.       with additional effort, a user can send information that appears
  209.       to come from another user.
  210.  
  211.       More powerful authentication systems make use of the computation
  212.       capability of the two authenticating parties.  Authentication may
  213.       be unidirectional, for example authenticating users to a host
  214.       computer system, or it may be mutual in which case the entity
  215.       logging in is assured of the identity of the host.  Some
  216.       authentication systems use cryptographic techniques and establish
  217.       (as a part of the authentication process) a shared secret (e.g.,
  218.       session key) that can be used for further exchanges.  For example,
  219.       a user, after completion of the authentication process, might be
  220.       granted an authorization ticket that can be used to obtain other
  221.       services without further authentication.  These authentication
  222.       systems might also provide confidentiality (using encryption) over
  223.  
  224.  
  225.  
  226. Haller & Atkinson                                               [Page 4]
  227.  
  228. RFC 1704               On Internet Authentication           October 1994
  229.  
  230.  
  231.       insecure networks when required.
  232.  
  233. 4. CRYPTOGRAPHY
  234.  
  235.    Cryptographic mechanisms are widely used to provide authentication,
  236.    either with or without confidentiality, in computer networks and
  237.    internetworks.  There are two basic kinds of cryptography and these
  238.    are described in this section.  A fundamental and recurring problem
  239.    with cryptographic mechanisms is how to securely distribute keys to
  240.    the communicating parties.  Key distribution is addressed in Section
  241.    6 of this document.
  242.  
  243.    4.1 Symmetric Cryptography
  244.  
  245.       Symmetric Cryptography includes all systems that use the same key
  246.       for encryption and decryption.  Thus if anyone improperly obtains
  247.       the key, they can both decrypt and read data encrypted using that
  248.       key and also encrypt false data and make it appear to be valid.
  249.       This means that knowledge of the key by an undesired third party
  250.       fully compromises the confidentiality of the system.  Therefore,
  251.       the keys used need to be distributed securely, either by courier
  252.       or perhaps by use of a key distribution protocol, of which the
  253.       best known is perhaps that proposed by Needham and Schroeder
  254.       [NS78, NS87].  The widely used Data Encryption Standard (DES)
  255.       algorithm, that has been standardized for use to protect
  256.       unclassified civilian US Government information, is perhaps the
  257.       best known symmetric encryption algorithm [NBS77].
  258.  
  259.       A well known system that addresses insecure open networks as a
  260.       part of a computing environment is the Kerberos (TM)
  261.       Authentication Service that was developed as part of Project
  262.       Athena at MIT [SNS88, BM91, KN93].  Kerberos is based on Data
  263.       Encryption Standard (DES) symmetric key encryption and uses a
  264.       trusted (third party) host that knows the secret keys of all users
  265.       and services, and thus can generate credentials that can be used
  266.       by users and servers to prove their identities to other systems.
  267.       As with any distributed authentication scheme, these credentials
  268.       will be believed by any computer within the local administrative
  269.       domain or realm.  Hence, if a user's password is disclosed, an
  270.       attacker would be able to masquerade as that user on any system
  271.       which trusts Kerberos.  As the Kerberos server knows all secret
  272.       keys, it must be physically secure.  Kerberos session keys can be
  273.       used to provide confidentiality between any entities that trust
  274.       the key server.
  275.  
  276.  
  277.  
  278.  
  279.  
  280.  
  281.  
  282. Haller & Atkinson                                               [Page 5]
  283.  
  284. RFC 1704               On Internet Authentication           October 1994
  285.  
  286.  
  287.    4.2 Asymmetric Cryptography
  288.  
  289.       In the late 1970s, a major breakthrough in cryptology led to the
  290.       availability of Asymmetric Cryptography.  This is different from
  291.       Symmetric Cryptography because different keys are used for
  292.       encryption and decryption, which greatly simplifies the key
  293.       distribution problem.  The best known asymmetric system is based
  294.       on work by Rivest, Shamir, and Adleman and is often referred to as
  295.       "RSA" after the authors' initials [RSA78].
  296.  
  297.       SPX is an experimental system that overcomes the limitations of
  298.       the trusted key distribution center of Kerberos by using RSA
  299.       Public Key Cryptography [TA91].  SPX assumes a global hierarchy of
  300.       certifying authorities at least one of which is trusted by each
  301.       party.  It uses digital signatures that consist of a token
  302.       encrypted in the private key of the signing entity and that are
  303.       validated using the appropriate public key.  The public keys are
  304.       believed to be correct as they are obtained under the signature of
  305.       the trusted certification authority.  Critical parts of the
  306.       authentication exchange are encrypted in the public keys of the
  307.       receivers, thus preventing a replay attack.
  308.  
  309.    4.3 Cryptographic Checksums
  310.  
  311.       Cryptographic checksums are one of the most useful near term tools
  312.       for protocol designers.  A cryptographic checksum or message
  313.       integrity checksum (MIC) provides data integrity and
  314.       authentication but not non-repudiation.  For example, Secure SNMP
  315.       and SNMPv2 both calculate a MD5 cryptographic checksum over a
  316.       shared secret item of data and the information to be authenticated
  317.       [Rivest92, GM93].  This serves to authenticate the data origin and
  318.       is believed to be very difficult to forge.  It does not
  319.       authenticate that the data being sent is itself valid, only that
  320.       it was actually sent by the party that claims to have sent it.
  321.       Crytographic checksums can be used to provide relatively strong
  322.       authentication and are particularly useful in host-to-host
  323.       communications.  The main implementation difficulty with
  324.       cryptographic checksums is key distribution.
  325.  
  326.    4.4 Digital Signatures
  327.  
  328.       A digital signature is a cryptographic mechanism which is the
  329.       electronic equivalent of a written signature.  It serves to
  330.       authenticate a piece of data as to the sender.  A digital
  331.       signature using asymmetric cryptography (Public Key) can also be
  332.       useful in proving that data originated with a party even if the
  333.       party denies having sent it; this property is called non-
  334.       repudiation.  A digital signature provides authentication without
  335.  
  336.  
  337.  
  338. Haller & Atkinson                                               [Page 6]
  339.  
  340. RFC 1704               On Internet Authentication           October 1994
  341.  
  342.  
  343.       confidentiality and without incurring some of the difficulties in
  344.       full encryption.  Digital signatures are being used with key
  345.       certificates for Privacy Enhanced Mail [Linn93, Kent93,
  346.       Balenson93, Kaliski93].
  347.  
  348. 5. USER TO HOST AUTHENTICATION
  349.  
  350.    There are a number of different approaches to authenticating users to
  351.    remote or networked hosts.  Two types of hazard are created by remote
  352.    or networked access: First an intruder can eavesdrop on the network
  353.    and obtain user ids and passwords for a later replay attack. Even the
  354.    form of existing passwords provides a potential intruder with a head
  355.    start in guessing new ones.
  356.  
  357.    Currently, most systems use plain-text disclosing passwords sent over
  358.    the network (typically using telnet or rlogin) from the user to the
  359.    remote host [Anderson84, Kantor91].  This system does not provide
  360.    adequate protection from replay attacks where an eavesdropper gains
  361.    remote user ids and remote passwords.
  362.  
  363.    5.1 Protection Against Passive Attack Is Necessary
  364.  
  365.       Failure to use at least a non-disclosing password system means
  366.       that unlimited access is unintentionally granted to anyone with
  367.       physical access to the network.  For example, anyone with physical
  368.       access to the Ethernet cable can impersonate any user on that
  369.       portion of the network.  Thus, when one has plain-text disclosing
  370.       passwords on an Ethernet, the primary security system is the guard
  371.       at the door (if any exist).  The same problem exists in other LAN
  372.       technologies such as Token-Ring or FDDI.  In some small internal
  373.       Local Area Networks (LANs) it may be acceptable to take this risk,
  374.       but it is an unacceptable risk in an Internet [CERT94].
  375.  
  376.       The minimal defense against passive attacks, such as
  377.       eavesdropping, is to use a non-disclosing password system.  Such a
  378.       system can be run from a dumb terminal or a simple communications
  379.       program (e.g., Crosstalk or PROCOMM) that emulates a dumb terminal
  380.       on a PC class computer.  Using a stronger authentication system
  381.       would certainly defend against passive attacks against remotely
  382.       accessed systems, but at the cost of not being able to use simple
  383.       terminals.  It is reasonable to expect that the vendors of
  384.       communications programs and non user-programmable terminals (such
  385.       as X-Terminals) would build in non-disclosing password or stronger
  386.       authentication systems if they were standardized or if a large
  387.       market were offered.  One of the advantages of Kerberos is that,
  388.       if used properly, the user's password never leaves the user's
  389.       workstation.  Instead they are used to decrypt the user's Kerberos
  390.       tickets, which are themselves encrypted information which are sent
  391.  
  392.  
  393.  
  394. Haller & Atkinson                                               [Page 7]
  395.  
  396. RFC 1704               On Internet Authentication           October 1994
  397.  
  398.  
  399.       over the network to application servers.
  400.  
  401.    5.2 Perimeter Defenses as Short Term Tool
  402.  
  403.       Perimeter defenses are becoming more common.  In these systems,
  404.       the user first authenticates to an entity on an externally
  405.       accessible portion of the network, possibly a "firewall" host on
  406.       the Internet, using a non-disclosing password system. The user
  407.       then uses a second system to authenticate to each host, or group
  408.       of hosts, from which service is desired.  This decouples the
  409.       problem into two more easily handled situations.
  410.  
  411.       There are several disadvantages to the perimeter defense, so it
  412.       should be thought of as a short term solution.  The gateway is not
  413.       transparent at the IP level, so it must treat every service
  414.       independently.  The use of  double authentication is, in general,
  415.       difficult or impossible for computer-computer communication.  End
  416.       to end protocols, which are common on the connectionless Internet,
  417.       could easily break.  The perimeter defense must be tight and
  418.       complete, because if it is broken, the inner defenses tend to be
  419.       too weak to stop a potential intruder.  For example, if disclosing
  420.       passwords are used internally, these passwords can be learned by
  421.       an external intruder (eavesdropping).  If that intruder is able to
  422.       penetrate the perimeter, the internal system is completely
  423.       exposed.  Finally, a perimeter defense may be open to compromise
  424.       by internal users looking for shortcuts.
  425.  
  426.       A frequent form of perimeter defense is the application relay.  As
  427.       these relays are protocol specific, the IP connectivity of the
  428.       hosts inside the perimeter with the outside world is broken and
  429.       part of the power of the Internet is lost.
  430.  
  431.       An administrative advantage of the perimeter defense is that the
  432.       number of machines that are on the perimeter and thus vulnerable
  433.       to attack is small.  These machines may be carefully checked for
  434.       security hazards, but it is difficult (or impossible) to guarantee
  435.       that the perimeter is leak-proof.  The security of a perimeter
  436.       defense is complicated as the gateway machines must pass some
  437.       types of traffic such as electronic mail.  Other network services
  438.       such as the Network Time Protocol (NTP) and the File Transfer
  439.       Protocol (FTP) may also be desirable [Mills92, PR85, Bishop].
  440.       Furthermore, the perimeter gateway system must be able to pass
  441.       without bottleneck the entire traffic load for its security
  442.       domain.
  443.  
  444.  
  445.  
  446.  
  447.  
  448.  
  449.  
  450. Haller & Atkinson                                               [Page 8]
  451.  
  452. RFC 1704               On Internet Authentication           October 1994
  453.  
  454.  
  455.    5.3 Protection Against Active Attacks Highly Desirable
  456.  
  457.       In the foreseeable future, the use of stronger techniques will be
  458.       required to protect against active attacks.  Many corporate
  459.       networks based on broadcast technology such as Ethernet probably
  460.       need such techniques.  To defend against an active attack, or to
  461.       provide privacy, it is necessary to use a protocol with session
  462.       encryption, for example Kerberos, or use an authentication
  463.       mechanism that protects against replay attacks, perhaps using time
  464.       stamps.  In Kerberos, users obtain credentials from the Kerberos
  465.       server and use them for authentication to obtain services from
  466.       other computers on the network.  The computing power of the local
  467.       workstation can be used to decrypt credentials (using a key
  468.       derived from the user-provided password) and store them until
  469.       needed.  If the security protocol relies on synchronized clocks,
  470.       then NTPv3 might be useful because it distributes time amongst a
  471.       large number of computers and is one of the few existing Internet
  472.       protocols that includes authentication mechanisms [Bishop,
  473.       Mills92].
  474.  
  475.       Another approach to remotely accessible networks of computers is
  476.       for all externally accessible machines to share a secret with the
  477.       Kerberos KDC.  In a sense, this makes these machines "servers"
  478.       instead of general use workstations.  This shared secret can then
  479.       be used encrypt all communication between the two machines
  480.       enabling the accessible workstation to relay authentication
  481.       information to the KDC in a secure way.
  482.  
  483.       Finally, workstations that are remotely accessible could use
  484.       asymmetric cryptographic technology to encrypt communications.
  485.       The workstation's public key would be published and well known to
  486.       all clients.  A user could use the public key to encrypt a simple
  487.       password and the remote system can decrypt the password to
  488.       authenticate the user without risking disclosure of the password
  489.       while it is in transit.  A limitation of this workstation-oriented
  490.       security is that it does not authenticate individual users only
  491.       individual workstations.  In some environments for example,
  492.       government multi-level secure or compartmented mode workstations,
  493.       user to user authentication and confidentiality is also needed.
  494.  
  495. 6. KEY DISTRIBUTION & MANAGEMENT
  496.  
  497.    The discussion thus far has periodically mentioned keys, either for
  498.    encryption or for authentication (e.g., as input to a digital
  499.    signature function).  Key management is perhaps the hardest problem
  500.    faced when seeking to provide authentication in large internetworks.
  501.    Hence this section provides a very brief overview of key management
  502.    technology that might be used.
  503.  
  504.  
  505.  
  506. Haller & Atkinson                                               [Page 9]
  507.  
  508. RFC 1704               On Internet Authentication           October 1994
  509.  
  510.  
  511.    The Needham & Schroeder protocol, which is used by Kerberos, relies
  512.    on a central key server.  In a large internetwork, there would need
  513.    to be significant numbers of these key servers, at least one key
  514.    server per administrative domain.  There would also need to be
  515.    mechanisms for separately administered key servers to cooperate in
  516.    generating a session key for parties in different administrative
  517.    domains.  These are not impossible problems, but this approach
  518.    clearly involves significant infrastructure changes.
  519.  
  520.    Most public-key encryption algorithms are computationally expensive
  521.    and so are not ideal for encrypting packets in a network.  However,
  522.    the asymmetric property makes them very useful for setup and exchange
  523.    of symmetric session keys.  In practice, the commercial sector
  524.    probably uses asymmetric algorithms primarily for digital signatures
  525.    and key exchange, but not for bulk data encryption.  Both RSA and the
  526.    Diffie-Hellman techniques can be used for this [DH76].  One advantage
  527.    of using asymmetric techniques is that the central key server can be
  528.    eliminated.  The difference in key management techniques is perhaps
  529.    the primary difference between Kerberos and SPX.  Privacy Enhanced
  530.    Mail has trusted key authorities use digital signatures to sign and
  531.    authenticate the public keys of users [Kent93].  The result of this
  532.    operation is a key certificates which contains the public key of some
  533.    party and authentication that the public key in fact belongs to that
  534.    party.  Key certificates can be distributed in many ways.  One way to
  535.    distribute key certificates might be to add them to existing
  536.    directory services, for example by extending the existing Domain Name
  537.    System to hold each host's the key certificate in a new record type.
  538.  
  539.    For multicast sessions, key management is harder because the number
  540.    of exchanges required by the widely used techniques is proportional
  541.    to the number of participating parties.  Thus there is a serious
  542.    scaling problem with current published multicast key management
  543.    techniques.
  544.  
  545.    Finally, key management mechanisms described in the public literature
  546.    have a long history of subtle flaws.  There is ample evidence of
  547.    this, even for well-known techniques such as the Needham & Schroeder
  548.    protocol [NS78, NS87].  In some cases, subtle flaws have only become
  549.    known after formal methods techniques were used in an attempt to
  550.    verify the protocol.  Hence, it is highly desirable that key
  551.    management mechanisms be kept separate from authentication or
  552.    encryption mechanisms as much as is possible.  For example, it is
  553.    probably better to have a key management protocol that is distinct
  554.    from and does not depend upon another security protocol.
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562. Haller & Atkinson                                              [Page 10]
  563.  
  564. RFC 1704               On Internet Authentication           October 1994
  565.  
  566.  
  567. 7. AUTHENTICATION OF NETWORK SERVICES
  568.  
  569.    In addition to needing to authenticate users and hosts to each other,
  570.    many network services need or could benefit from authentication.
  571.    This section describes some approaches to authentication in protocols
  572.    that are primarily host to host in orientation.  As in the user to
  573.    host authentication case, there are several techniques that might be
  574.    considered.
  575.  
  576.    The most common case at present is to not have any authentication
  577.    support in the protocol.  Bellovin and others have documented a
  578.    number of cases where existing protocols can be used to attack a
  579.    remote machine because there is no authentication in the protocols
  580.    [Bellovin89].
  581.  
  582.    Some protocols provide for disclosing passwords to be passed along
  583.    with the protocol information.  The original SNMP protocols used this
  584.    method and a number of the routing protocols continue to use this
  585.    method [Moy91, LR91, CFSD88].  This method is useful as a
  586.    transitional aid to slightly increase security and might be
  587.    appropriate when there is little risk in having a completely insecure
  588.    protocol.
  589.  
  590.    There are many protocols that need to support stronger authentication
  591.    mechanisms.  For example, there was widespread concern that SNMP
  592.    needed stronger authentication than it originally had.  This led to
  593.    the publication of the Secure SNMP protocols which support optional
  594.    authentication, using a digital signature mechanism, and optional
  595.    confidentiality, using DES encryption.  The digital signatures used
  596.    in Secure SNMP are based on appending a cryptographic checksum to the
  597.    SNMP information.  The cryptographic checksum is computed using the
  598.    MD5 algorithm and a secret shared between the communicating parties
  599.    so is believed to be difficult to forge or invert.
  600.  
  601.    Digital signature technology has evolved in recent years and should
  602.    be considered for applications requiring authentication but not
  603.    confidentiality.  Digital signatures may use a single secret shared
  604.    among two or more communicating parties or it might be based on
  605.    asymmetric encryption technology.  The former case would require the
  606.    use of predetermined keys or the use of a secure key distribution
  607.    protocol, such as that devised by Needham and Schroeder.  In the
  608.    latter case, the public keys would need to be distributed in an
  609.    authenticated manner.  If a general key distribution mechanism were
  610.    available, support for optional digital signatures could be added to
  611.    most protocols with little additional expense.  Each protocol could
  612.    address the key exchange and setup problem, but that might make
  613.    adding support for digital signatures more complicated and
  614.    effectively discourage protocol designers from adding digital
  615.  
  616.  
  617.  
  618. Haller & Atkinson                                              [Page 11]
  619.  
  620. RFC 1704               On Internet Authentication           October 1994
  621.  
  622.  
  623.    signature support.
  624.  
  625.    For cases where both authentication and confidentiality are required
  626.    on a host-to-host basis, session encryption could be employed using
  627.    symmetric cryptography, asymmetric cryptography, or a combination of
  628.    both.  Use of the asymmetric cryptography simplifies key management.
  629.    Each host would encrypt the information while in transit between
  630.    hosts and the existing operating system mechanisms would provide
  631.    protection within each host.
  632.  
  633.    In some cases, possibly including electronic mail, it might be
  634.    desirable to provide the security properties within the application
  635.    itself in a manner that was truly user-to-user rather than being
  636.    host-to-host.  The Privacy Enhanced Mail (PEM) work is employing this
  637.    approach [Linn93, Kent93, Balenson93, Kaliski93].  The recent IETF
  638.    work on Common Authentication Technology might make it easier to
  639.    implement a secure distributed or networked application through use
  640.    of standard security programming interfaces [Linn93a].
  641.  
  642. 8. FUTURE DIRECTIONS
  643.  
  644.    Systems are moving towards the cryptographically stronger
  645.    authentication mechanisms described earlier.  This move has two
  646.    implications for future systems.  We can expect to see the
  647.    introduction of non-disclosing authentication systems in the near
  648.    term and eventually see more widespread use of public key crypto-
  649.    systems.  Session authentication, integrity, and privacy issues are
  650.    growing in importance. As computer-to-computer communication becomes
  651.    more important, protocols that provide simple human interfaces will
  652.    become less important. This is not to say that human interfaces are
  653.    unimportant; they are very important.  It means that these interfaces
  654.    are the responsibility of the applications, not the underlying
  655.    protocol.  Human interface design is beyond the scope of this memo.
  656.  
  657.    The use of public key crypto-systems for user-to-host authentication
  658.    simplifies many security issues, but unlike simple passwords, a
  659.    public key cannot be memorized.  As of this writing, public key sizes
  660.    of at least 500 bits are commonly used in the commercial world.  It
  661.    is likely that larger key sizes will be used in the future.  Thus,
  662.    users might have to carry their private keys in some electrically
  663.    readable form.  The use of read-only storage, such as a floppy disk
  664.    or a magnetic stripe card provides such storage, but it might require
  665.    the user to trust their private keys to the reading device.  Use of a
  666.    smart card, a portable device containing both storage and program
  667.    might be preferable.  These devices have the potential to perform the
  668.    authenticating operations without divulging the private key they
  669.    contain.  They can also interact with the user requiring a simpler
  670.    form of authentication to "unlock" the card.
  671.  
  672.  
  673.  
  674. Haller & Atkinson                                              [Page 12]
  675.  
  676. RFC 1704               On Internet Authentication           October 1994
  677.  
  678.  
  679.    The use of public key crypto-systems for host-to-host authentication
  680.    appears not to have the same key memorization problem as the user-
  681.    to-host case does.  A multiuser host can store its key(s) in space
  682.    protected from users and obviate that problem.  Single user
  683.    inherently insecure systems, such as PCs and Macintoshes, remain
  684.    difficult to handle but the smart card approach should also work for
  685.    them.
  686.  
  687.    If one considers existing symmetric algorithms to be 1-key
  688.    techniques, and existing asymmetric algorithms such as RSA to be 2-
  689.    key techniques, one might wonder whether N-key techniques will be
  690.    developed in the future (i.e., for values of N larger than 2).  If
  691.    such N-key technology existed, it might be useful in creating
  692.    scalable multicast key distribution protocols.  There is work
  693.    currently underway examining the possible use of the Core Based Tree
  694.    (CBT) multicast routing technology to provide scalable multicast key
  695.    distribution [BFC93].
  696.  
  697.    The implications of this taxonomy are clear.  Strong cryptographic
  698.    authentication is needed in the near future for many protocols.
  699.    Public key technology should be used when it is practical and cost-
  700.    effective.  In the short term, authentication mechanisms vulnerable
  701.    to passive attack should be phased out in favour of stronger
  702.    authentication mechanisms.  Additional research is needed to develop
  703.    improved key management technology and scalable multicast security
  704.    mechanisms.
  705.  
  706. SECURITY CONSIDERATIONS
  707.  
  708.    This entire memo discusses Security Considerations in that it
  709.    discusses authentication technologies and needs.
  710.  
  711. ACKNOWLEDGEMENTS
  712.  
  713.    This memo has benefited from review by and suggestions from the
  714.    IETF's Common Authentication Technology (CAT) working group, chaired
  715.    by John Linn, and from Marcus J. Ranum.
  716.  
  717. REFERENCES
  718.  
  719.    [Anderson84]  Anderson, B., "TACACS User Identification Telnet
  720.    Option", RFC 927, BBN, December 1984.
  721.  
  722.    [Balenson93]  Balenson, D., "Privacy Enhancement for Internet
  723.    Electronic Mail: Part III: Algorithms, Modes, and Identifiers", RFC
  724.    1423, TIS, IAB IRTF PSRG, IETF PEM WG, February 1993.
  725.  
  726.  
  727.  
  728.  
  729.  
  730. Haller & Atkinson                                              [Page 13]
  731.  
  732. RFC 1704               On Internet Authentication           October 1994
  733.  
  734.  
  735.    [BFC93]  Ballardie, A., Francis, P., and J. Crowcroft, "Core Based
  736.    Trees (CBT) An Architecture for Scalable Inter-Domain Multicast
  737.    Routing", Proceedings of ACM SIGCOMM93, ACM, San Franciso, CA,
  738.    September 1993, pp. 85-95.
  739.  
  740.    [Bellovin89]  Bellovin, S., "Security Problems in the TCP/IP Protocol
  741.    Suite", ACM Computer Communications Review, Vol. 19, No. 2, March
  742.    1989.
  743.  
  744.    [Bellovin92]  Bellovin, S., "There Be Dragons", Proceedings of the
  745.    3rd Usenix UNIX Security Symposium, Baltimore, MD, September 1992.
  746.  
  747.    [Bellovin93]  Bellovin, S., "Packets Found on an Internet", ACM
  748.    Computer Communications Review, Vol. 23, No. 3, July 1993, pp. 26-31.
  749.  
  750.    [BM91]  Bellovin S., and M. Merritt, "Limitations of the Kerberos
  751.    Authentication System", ACM Computer Communications Review, October
  752.    1990.
  753.  
  754.    [Bishop]  Bishop, M., "A Security Analysis of Version 2 of the
  755.    Network Time Protocol NTP: A report to the Privacy & Security
  756.    Research Group", Technical Report PCS-TR91-154, Department of
  757.    Mathematics & Computer Science, Dartmouth College, Hanover, New
  758.    Hampshire.
  759.  
  760.    [CB94]  Cheswick W., and S. Bellovin, "Chapter 10: An Evening with
  761.    Berferd", Firewalls & Internet Security, Addison-Wesley, Reading,
  762.    Massachusetts, 1994.  ISBN 0-201-63357-4.
  763.  
  764.    [CERT94]  Computer Emergency Response Team, "Ongoing Network
  765.    Monitoring Attacks", CERT Advisory CA-94:01, available by anonymous
  766.    ftp from cert.sei.cmu.edu, 3 February 1994.
  767.  
  768.    [CFSD88]  Case, J., Fedor, M., Schoffstall, M., and  J. Davin,
  769.    "Simple Network Management Protocol", RFC 1067, University of
  770.    Tennessee at Knoxville, NYSERNet, Inc., Rensselaer Polytechnic
  771.    Institute, Proteon, Inc., August 1988.
  772.  
  773.    [DH76]  Diffie W., and M. Hellman, "New Directions in Cryptography",
  774.    IEEE Transactions on Information Theory, Volume IT-11, November 1976,
  775.    pp. 644-654.
  776.  
  777.    [GM93]  Galvin, J., and K. McCloghrie, "Security Protocols for
  778.    Version 2 of the Simple Network Management Protocol (SNMPv2)", RFC
  779.    1446, Trusted Information Systems, Hughes LAN Systems, April 1993.
  780.  
  781.  
  782.  
  783.  
  784.  
  785.  
  786. Haller & Atkinson                                              [Page 14]
  787.  
  788. RFC 1704               On Internet Authentication           October 1994
  789.  
  790.  
  791.    [Haller94]  Haller, N., "The S/Key One-time Password System",
  792.    Proceedings of the Symposium on Network & Distributed Systems
  793.    Security, Internet Society, San Diego, CA, February 1994.
  794.  
  795.    [Kaufman93]  Kaufman, C., "Distributed Authentication Security
  796.    Service (DASS)", RFC 1507, Digital Equipment Corporation, September
  797.    1993.
  798.  
  799.    [Kaliski93]  Kaliski, B., "Privacy Enhancement for Internet
  800.    Electronic Mail: Part IV: Key Certification and Related Services",
  801.    RFC 1424, RSA Laboratories, February 1993.
  802.  
  803.    [Kantor91]  Kantor, B., "BSD Rlogin", RFC 1258, Univ. of Calif San
  804.    Diego, September 1991.
  805.  
  806.    [Kent93]  Kent, S., "Privacy Enhancement for Internet Electronic
  807.    Mail: Part II: Certificate-Based Key Management", RFC 1422, BBN, IAB
  808.    IRTF PSRG, IETF PEM, February 1993.
  809.  
  810.    [KN93]  Kohl, J., and C. Neuman, "The Kerberos Network Authentication
  811.    Service (V5)", RFC 1510, Digital Equipment Corporation,
  812.    USC/Information Sciences Institute, September 1993.
  813.  
  814.    [Linn93]  Linn, J., "Privacy Enhancement for Internet Electronic
  815.    Mail: Part I: Message Encryption and Authentication Procedures", RFC
  816.    1421, IAB IRTF PSRG, IETF PEM WG, February 1993.
  817.  
  818.    [Linn93a]  Linn, J., "Common Authentication Technology Overview", RFC
  819.    1511, Geer Zolot Associate, September 1993.
  820.  
  821.    [LS92]  Lloyd B., and W. Simpson, "PPP Authentication Protocols", RFC
  822.    1334, L&A, Daydreamer, October 1992.
  823.  
  824.    [LR91]  Lougheed K., and Y. Rekhter, "A Border Gateway protocol 3
  825.    (BGP-3)", RFC 1267, cisco Systems, T.J. Watson Research Center, IBM
  826.    Corp., October 1991.
  827.  
  828.    [Mills92]  Mills, D., "Network Time Protocol (Version 3) -
  829.    Specification, Implementation, and Analysis", RFC 1305, UDEL, March
  830.    1992.
  831.  
  832.    [NBS77]  National Bureau of Standards, "Data Encryption Standard",
  833.    Federal Information Processing Standards Publication 46, Government
  834.    Printing Office, Washington, DC, 1977.
  835.  
  836.    [NS78]  Needham, R., and M. Schroeder, "Using Encryption for
  837.    Authentication in Large Networks of Computers", Communications of the
  838.    ACM, Vol. 21, No. 12, December 1978.
  839.  
  840.  
  841.  
  842. Haller & Atkinson                                              [Page 15]
  843.  
  844. RFC 1704               On Internet Authentication           October 1994
  845.  
  846.  
  847.    [NS87]  Needham, R., and M. Schroeder, "Authentication Revisited",
  848.    ACM Operating Systems Review, Vol. 21, No. 1, 1987.
  849.  
  850.    [PR85]  Postel J., and J. Reynolds, "File Transfer Protocol", STD 9,
  851.    RFC 959, USC/Information Sciences Institute, October 1985.
  852.  
  853.    [Moy91]  Moy, J., "OSPF Routing Protocol, Version 2", RFC 1247,
  854.    Proteon, Inc., July 1991.
  855.  
  856.    [RSA78]  Rivest, R., Shamir, A., and L. Adleman, "A Method for
  857.    Obtaining Digital Signatures and Public Key Crypto-systems",
  858.    Communications of the ACM, Vol. 21, No. 2, February 1978.
  859.  
  860.    [Rivest92]  Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321,
  861.    MIT Laboratory for Computer Science and RSA Data Security, Inc.,
  862.    April 1992.
  863.  
  864.    [Simpson93]  Simpson, W., "The Point to Point Protocol", RFC 1548,
  865.    Daydreamer, December 1993.
  866.  
  867.    [SNS88]  Steiner, J., Neuman, C., and J. Schiller, "Kerberos: "An
  868.    Authentication Service for Open Network Systems", USENIX Conference
  869.    Proceedings, Dallas, Texas, February 1988.
  870.  
  871.    [Stoll90]  Stoll, C., "The Cuckoo's Egg: Tracking a Spy Through the
  872.    Maze of Computer Espionage", Pocket Books, New York, NY, 1990.
  873.  
  874.    [TA91]  Tardo J., and K. Alagappan, "SPX: Global Authentication Using
  875.    Public Key Certificates", Proceedings of the 1991 Symposium on
  876.    Research in Security & Privacy, IEEE Computer Society, Los Amitos,
  877.    California, 1991. pp.232-244.
  878.  
  879.  
  880.  
  881.  
  882.  
  883.  
  884.  
  885.  
  886.  
  887.  
  888.  
  889.  
  890.  
  891.  
  892.  
  893.  
  894.  
  895.  
  896.  
  897.  
  898. Haller & Atkinson                                              [Page 16]
  899.  
  900. RFC 1704               On Internet Authentication           October 1994
  901.  
  902.  
  903.    AUTHORS' ADDRESSES
  904.  
  905.    Neil Haller
  906.    Bell Communications Research
  907.    445 South Street  -- MRE 2Q-280
  908.    Morristown, NJ 07962-1910
  909.  
  910.    Phone: (201) 829-4478
  911.    EMail: nmh@thumper.bellcore.com
  912.  
  913.  
  914.    Randall Atkinson
  915.    Information Technology Division
  916.    Naval Research Laboratory
  917.    Washington, DC 20375-5320
  918.  
  919.    Phone: (DSN) 354-8590
  920.    EMail: atkinson@itd.nrl.navy.mil
  921.  
  922.  
  923.  
  924.  
  925.  
  926.  
  927.  
  928.  
  929.  
  930.  
  931.  
  932.  
  933.  
  934.  
  935.  
  936.  
  937.  
  938.  
  939.  
  940.  
  941.  
  942.  
  943.  
  944.  
  945.  
  946.  
  947.  
  948.  
  949.  
  950.  
  951.  
  952.  
  953.  
  954. Haller & Atkinson                                              [Page 17]
  955.  
  956.