home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / otp / otp-minutes-96dec.txt < prev    next >
Encoding:
Text File  |  1997-01-30  |  4.2 KB  |  93 lines
  1. Editor's note:  These minutes have not been edited.
  2.  
  3. 37th IETF, San Jose, CA, December 12, 1996
  4. Working Group on One-Time Password Authentication (OTP)
  5.  
  6.  
  7. Reported by:    Neil Haller (notes recorded by Richard Graveman)
  8.  
  9.  
  10. Report on Interoperability Demonstration
  11. ----------------------------------------
  12.  
  13. Advancing a Proposed Standard to Draft Standard requires demonstrating
  14. interoperation between two or more independent implementations.  A
  15. demonstration was held on December 10, 1996 using three servers and
  16. four generators.  All systems interoperated.  A server and a generator
  17. were from Rus Rashid (representing Bellcore), Corwin, and Phil Servita.
  18. And additional generator was supplied by Phil Nesser.  All algorithms
  19. (MD4, MD5, SHA1, and the alternative dictionary) were demonstrated.
  20.  
  21.  
  22. Advancing RFC 1938 to Draft Standard
  23. ------------------------------------
  24.  
  25. The Working Group unanimously agreed that RFC 1938 should be submitted
  26. to the IESG for advancement to Draft Standard.  During the discussion
  27. Neil Haller announced that all changes discussed on the list will be
  28. included in the revised document when it is issued as an Internet
  29. Draft.  Denis Pinkas suggested that the Security Considerations section
  30. be expanded to include the limitations of this technology.  Denis
  31. agreed to write this paragraph and submit it to the mailing list.
  32.  
  33.  
  34.  
  35. OTP Extended Responses  <draft-ietf-otp-ext-01.txt>
  36. ----------------------------------------------------
  37.  
  38. Craig Metz (author of I-D) suggest that for consistency with the keyword
  39. "init-word", the keyword specifying hexadecimal format be changed from
  40. "init" to "init-hex".  Denis Pinkas suggested that as this response is
  41. not likely to be manually entered, the 6-word format was unnecessary.
  42. Ran Atkinson said that having both formats was convenient, and Phil
  43. Servita said that the implementation of both was straightforward.  The
  44. working group agreed to go with "init-hex" and "init-word".
  45.  
  46. Denis Pinkas spoke about the patent status of the part of this Internet
  47. Draft.  A patent application has been filed by his firm on protecting 
  48. re-initialization from certain active attacks.  He stated that the IETF
  49. rules called for fair, reasonable, non-discriminatory and openly
  50. specified terms for licensing.  The terms he expected, for which he does
  51. not have formal approval, would be a royalty-free license subject to the
  52. terms that would cover use of the patent only in relationship with RFC
  53. 1938 (the patent was said to include a variant for Kerberos) if the OTP
  54. Extended Responses follows the standards track, if the requester agrees
  55. to reciprocate, and if a notice will be placed on the software and
  56. hardware.  Jeff Schiller (Security Area Director) polled the group, and
  57. the opinion was that this technology should not be included in the draft.
  58. Ran Atkinson added that the value of this addition to the protocol is
  59. negligible as the OTP protocol doesn't in general defend against active
  60. attacks.
  61.  
  62. Neil Haller pointed out that a colleague at Bellcore had proposed another
  63. defense against active attacks during re-initialization on which a patent
  64. had been filed.  There was no "free use" offer, but other reasonable
  65. terms would be forthcoming.  No one wanted to pursue this further and
  66. the issue was dropped.
  67.  
  68. It was agreed that the author of this I-D be asked to re-post the draft 
  69. in January with the patented technology removed.  It was agreed that 
  70. if there were no new issues, we would have a working group last call
  71. late in January for advancing this draft to Proposed Standard.
  72.  
  73.  
  74. OTP Verification Examples <draft-ietf-otp-ver-00.txt>
  75. -----------------------------------------------------
  76.  
  77. It is difficult to verify the correctness of a new OTP implementation
  78. without using existing code such as the Bellcore reference 
  79. implementation.  Phil Nesser's draft provides a rich suite of test
  80. cases.  The current draft contains errors and Phil agreed to post
  81. a corrected document in early January.  The intent is to post a
  82. working group last call by January 15, and to include the verification
  83. examples as an appendix to the revised RFC 1938.
  84.  
  85.  
  86. Documents
  87. ---------
  88.  
  89.     RFC 1760, N Haller, February 1995
  90.     RFC 1938, N Haller & C Metz, May 1996
  91.     draft-ietf-otp-ver-00.txt
  92.     draft-ietf-otp-ext-01.txt
  93.