home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / rfc / rfc989 < prev    next >
Text File  |  1991-04-21  |  63KB  |  1,358 lines

  1.  
  2.  
  3.  
  4. Network Working Group                                   John Linn (BBNCC)
  5. Request for Comments: 989                          IAB Privacy Task Force
  6.                                                             February 1987
  7.  
  8.  
  9.            Privacy Enhancement for Internet Electronic Mail:
  10.        Part I: Message Encipherment and Authentication Procedures
  11.  
  12.  
  13. STATUS OF THIS MEMO
  14.  
  15.    This RFC suggests a proposed protocol for the Internet community and
  16.    requests discussion and suggestions for improvements.  Distribution
  17.    of this memo is unlimited.
  18.  
  19. ACKNOWLEDGMENT
  20.  
  21.    This RFC is the outgrowth of a series of IAB Privacy Task Force
  22.    meetings and of internal working papers distributed for those
  23.    meetings.  I would like to thank the following Privacy Task Force
  24.    members and meeting guests for their comments and contributions at
  25.    the meetings which led to the preparation of this RFC: David
  26.    Balenson, Matt Bishop, Danny Cohen, Tom Daniel, Charles Fox, Morrie
  27.    Gasser, Steve Kent (chairman), John Laws, Steve Lipner, Dan Nessett,
  28.    Mike Padlipsky, Rob Shirey, Miles Smid, Steve Walker, and Steve
  29.    Wilbur.
  30.  
  31. 1  Executive Summary
  32.  
  33.    This RFC defines message encipherment and authentication procedures,
  34.    as the initial phase of an effort to provide privacy enhancement
  35.    services for electronic mail transfer in the Internet.  Detailed key
  36.    management mechanisms to support these procedures will be defined in
  37.    a subsequent RFC.  As a goal of this initial phase, it is intended
  38.    that the procedures defined here be compatible with a wide range of
  39.    key management approaches, including both conventional (symmetric)
  40.    and public-key (asymmetric) approaches for encryption of data
  41.    encrypting keys.  Use of conventional cryptography for message text
  42.    encryption and/or authentication is anticipated.
  43.  
  44.    Privacy  enhancement services (confidentiality, authentication, and
  45.    message integrity assurance) are offered through the use of end-to-
  46.    end cryptography between originator and recipient User Agent
  47.    processes, with no special processing requirements imposed on the
  48.    Message Transfer System at endpoints or at intermediate relay sites.
  49.    This approach allows privacy enhancement facilities to be
  50.    incorporated on a site-by-site or user-by-user basis without impact
  51.    on other Internet entities.  Interoperability among heterogeneous
  52.    components and mail transport facilities is supported.
  53.  
  54.  
  55.  
  56.  
  57.  
  58. Linn, Privacy Task Force                                        [Page 1]
  59.  
  60. RFC 989                                                    February 1987
  61.  
  62.  
  63. 2  Terminology
  64.  
  65.    For descriptive purposes, this RFC uses some terms defined in the OSI
  66.    X.400 Message Handling System Model.  This section replicates a
  67.    portion of X.400's Section 2.2.1, "Description of the MHS Model:
  68.    Overview" in order to make the terminology clear to readers who may
  69.    not be familiar with the OSI MHS Model.
  70.  
  71.    In the [MHS] model, a user is a person or a computer application.  A
  72.    user is referred to as either an originator (when sending a message)
  73.    or a recipient (when receiving one).  MH Service elements define the
  74.    set of message types and the capabilities that enable an originator
  75.    to transfer messages of those types to one or more recipients.
  76.  
  77.    An originator prepares messages with the assistance of his User
  78.    Agent.  A User Agent (UA) is an application process that interacts
  79.    with the Message Transfer System (MTS) to submit messages.  The MTS
  80.    delivers to one or more recipient UAs the messages submitted to it.
  81.    Functions performed solely by the UA and not standardized as part of
  82.    the MH Service elements are called local UA functions.
  83.  
  84.    The MTS is composed of a number of Message Transfer Agents (MTAs).
  85.    Operating together, the MTAs relay messages and deliver them to the
  86.    intended recipient UAs, which then make the messages available to the
  87.    intended recipients.
  88.  
  89.    The collection of UAs and MTAs is called the Message Handling System
  90.    (MHS).  The MHS and all of its users are collectively referred to as
  91.    the Message Handling Environment.
  92.  
  93. 3  Services, Constraints, and Implications
  94.  
  95.    This RFC's goal is to define mechanisms to enhance privacy for
  96.    electronic mail transferred in the Internet.  The facilities
  97.    discussed in this RFC provide privacy enhancement services on an
  98.    end-to-end basis between sender and recipient UAs.  No privacy
  99.    enhancements are offered for message fields which are added or
  100.    transformed by intermediate relay points.  Two distinct privacy
  101.    enhancement service options are supported:
  102.  
  103.       1.  an option providing sender authentication and integrity
  104.           verification
  105.  
  106.       2.  an option providing sender authentication and integrity
  107.           verification in addition to confidentiality service through
  108.           encryption
  109.  
  110.    No facility for confidentiality service in the absence of
  111.    authentication is provided.  Encryption and authentication facilities
  112.    may be applied selectively to portions of a message's contents; this
  113.    allows less sensitive portions of messages (e.g., descriptive fields)
  114.  
  115.  
  116.  
  117. Linn, Privacy Task Force                                        [Page 2]
  118.  
  119. RFC 989                                                    February 1987
  120.  
  121.  
  122.    to be processed by a recipient's delegate in the absence of the
  123.    recipient's personal cryptographic keys.
  124.  
  125.    In keeping with the Internet's heterogeneous constituencies and usage
  126.    modes, the measures defined here are applicable to a broad range of
  127.    Internet hosts and usage paradigms.  In particular, it is worth
  128.    noting the following attributes:
  129.  
  130.  
  131.         1.   The mechanisms defined in this RFC are not restricted to a
  132.              particular host or operating system, but rather allow
  133.              interoperability among a broad range of systems.  All
  134.              privacy enhancements are implemented at the application
  135.              layer, and are not dependent on any privacy features at
  136.              lower protocol layers.
  137.  
  138.         2.   The defined mechanisms offer compatibility with non-
  139.              enhanced Internet components.  Privacy enhancements will be
  140.              implemented in an end-to-end fashion which does not impact
  141.              mail processing by intermediate relay hosts which do not
  142.              incorporate privacy enhancement facilities.  It is
  143.              necessary, however, for a message's sender to be cognizant
  144.              of whether a message's intended recipient implements
  145.              privacy enhancements, in order that encoding and possible
  146.              encipherment will not be performed on a message whose
  147.              destination is not equipped to perform corresponding
  148.              inverse transformations.
  149.  
  150.         3.   The defined mechanisms offer compatibility with a range of
  151.              mail transport facilities (MTAs).  Within the Internet,
  152.              electronic mail transport is effected by a variety of SMTP
  153.              implementations.  Certain sites, accessible via SMTP,
  154.              forward mail into other mail processing environments (e.g.,
  155.              USENET, CSNET, BITNET).  The privacy enhancements must be
  156.              able to operate across the SMTP realm; it is desirable that
  157.              they also be compatible with protection of electronic mail
  158.              sent between the SMTP environment and other connected
  159.              environments.
  160.  
  161.         4.   The defined mechanisms offer compatibility with a broad
  162.              range of electronic mail user agents (UAs).  A large
  163.              variety of electronic mail user agent programs, with a
  164.              corresponding broad range of user interface paradigms, is
  165.              used in the Internet.  In order that an electronic mail
  166.              privacy enhancement be available to the broadest possible
  167.              user community, it is desirable that the selected mechanism
  168.              be usable with the widest possible variety of existing UA
  169.              programs.  For purposes of pilot implementation, it is
  170.              desirable that privacy enhancement processing be
  171.              incorporable into a separate program, applicable to a range
  172.              of UAs, rather than requiring internal modifications to
  173.  
  174.  
  175.  
  176. Linn, Privacy Task Force                                        [Page 3]
  177.  
  178. RFC 989                                                    February 1987
  179.  
  180.  
  181.              each UA with which enhanced privacy services are to be
  182.              provided.
  183.  
  184.         5.   The defined mechanisms allow electronic mail privacy
  185.              enhancement processing to be performed on personal
  186.              computers (PCs) separate from the systems on which UA
  187.              functions are implemented.  Given the expanding use of PCs
  188.              and the limited degree of trust which can be placed in UA
  189.              implementations on many multi-user systems, this attribute
  190.              can allow many users to process privacy-enhanced mail with
  191.              a higher assurance level than a strictly UA-based approach
  192.              would allow.
  193.  
  194.         6.   The defined mechanisms support privacy protection of
  195.              electronic mail addressed to mailing lists.
  196.  
  197.    In order to achieve applicability to the broadest possible range of
  198.    Internet hosts and mail systems, and to facilitate pilot
  199.    implementation and testing without the need for prior modifications
  200.    throughout the Internet, three basic restrictions are imposed on the
  201.    set of measures to be considered in this RFC:
  202.  
  203.  
  204.           1.   Measures will be restricted to implementation at
  205.                endpoints and will be amenable to integration at the user
  206.                agent (UA) level or above, rather than necessitating
  207.                integration into the message transport system (e.g., SMTP
  208.                servers).
  209.  
  210.           2.   The set of supported measures enhances rather than
  211.                restricts user capabilities.  Trusted implementations,
  212.                incorporating integrity features protecting software from
  213.                subversion by local users, cannot be assumed in general.
  214.                In the absence of such features, it appears more feasible
  215.                to provide facilities which enhance user services (e.g.,
  216.                by protecting and authenticating inter-user traffic) than
  217.                to enforce restrictions (e.g., inter-user access control)
  218.                on user actions.
  219.  
  220.           3.   The set of supported measures focuses on a set of
  221.                functional capabilities selected to provide significant
  222.                and tangible benefits to a broad user community.  By
  223.                concentrating on the most critical set of services, we
  224.                aim to maximize the added privacy value that can be
  225.                provided with a modest level of implementation effort.
  226.  
  227.    As a result of these restrictions, the following facilities can be
  228.    provided:
  229.  
  230.          -- disclosure protection,
  231.  
  232.  
  233.  
  234.  
  235. Linn, Privacy Task Force                                        [Page 4]
  236.  
  237. RFC 989                                                    February 1987
  238.  
  239.  
  240.          -- sender authenticity, and
  241.  
  242.          -- message integrity measures,
  243.  
  244.    but the following privacy-relevant concerns are not addressed:
  245.  
  246.          -- access control,
  247.  
  248.          -- traffic flow security,
  249.  
  250.          -- address list accuracy,
  251.  
  252.          -- routing control,
  253.  
  254.          -- issues relating to the serial reuse of PCs by multiple users,
  255.  
  256.          -- assurance of message receipt and non-deniability of receipt, and
  257.  
  258.          -- automatic association of acknowledgments with the messages to
  259.             which they refer
  260.  
  261.    An important goal is that privacy enhancement mechanisms impose a
  262.    minimum of burden on the users they serve.  In particular, this goal
  263.    suggests eventual automation of the key management mechanisms
  264.    supporting message encryption and authentication.  In order to
  265.    facilitate deployment and testing of pilot privacy enhancement
  266.    implementations in the near term, however, compatibility with out-
  267.    of-band (e.g., manual) key distribution must also be supported.
  268.  
  269.    A message's sender will determine whether privacy enhancements are to
  270.    be performed on a particular message.  This will necessitate
  271.    mechanisms by which a sender can determine whether particular
  272.    recipients are equipped to process privacy-enhanced mail.  In a
  273.    general architecture, these mechanisms will be based on server
  274.    queries; thus, the query function could be integrated into a UA to
  275.    avoid imposing burdens or inconvenience on electronic mail users.
  276.  
  277. 4  Processing of Messages
  278.  
  279. 4.1  Message Processing Overview
  280.  
  281.    This subsection provides a high-level overview of the components and
  282.    processing steps involved in electronic mail privacy enhancement
  283.    processing.  Subsequent subsections will define the procedures in
  284.    more detail.
  285.  
  286.    A two-level keying hierarchy is used to support privacy-enhanced
  287.    message transmission:
  288.  
  289.  
  290.      1.   Data Encrypting Keys (DEKs) are used for encryption of message
  291.  
  292.  
  293.  
  294. Linn, Privacy Task Force                                        [Page 5]
  295.  
  296. RFC 989                                                    February 1987
  297.  
  298.  
  299.           text and for computation of message authentication codes
  300.           (MACs).  DEKs are generated individually for each transmitted
  301.           message; no predistribution of DEKs is needed to support
  302.           privacy-enhanced message transmission.
  303.  
  304.      2.   Interchange Keys (IKs) are used to encrypt DEKs for
  305.           transmission.  An IK may either be a single symmetric
  306.           cryptographic key or, where asymmetric (public-key)
  307.           cryptography is used for DEK encryption, the composition of a
  308.           public component used by an originator and a secret component
  309.           used by a recipient.  Ordinarily, the same IK will be used for
  310.           all messages sent between a given originator-recipient pair
  311.           over a period of time.  Each transmitted message includes a
  312.           representation of the DEK(s) used for message encryption
  313.           and/or authentication, encrypted under an individual IK per
  314.           named recipient.  This representation is accompanied by an
  315.           identifier (IK ID) to enable the recipient to determine which
  316.           IK was used, and so to decrypt the representation yielding the
  317.           DEK required for message text decryption and/or MAC
  318.           verification.
  319.  
  320.    An encoding procedure is employed in order to represent encrypted
  321.    message text in a universally transmissible form and to enable
  322.    messages encrypted on one type of system to be decrypted on a
  323.    different type.  Four phases are involved in this process.  A
  324.    plaintext message is accepted in local form, using the host's native
  325.    character set and line representation.  The local form is converted
  326.    to a canonical message text representation, defined as equivalent to
  327.    the inter-SMTP representation of message text.  The canonical
  328.    representation is padded to an integral multiple of eight octets, as
  329.    required by the encryption algorithm.  MAC computation is performed,
  330.    and (if disclosure protection is required), the padded canonical
  331.    representation is encrypted.  The output of this step is encoded into
  332.    a printable form.  The printable form is composed of a restricted
  333.    character set which is chosen to be universally representable across
  334.    sites, and which will not be disrupted by processing within and
  335.    between MTS entities.
  336.  
  337.    The output of the encoding procedure is combined with a set of header
  338.    fields (to be defined in Section 4.8) carrying cryptographic control
  339.    information.  The result is passed to the electronic mail system to
  340.    be encapsulated as the text portion of a transmitted message.
  341.  
  342.    When a privacy-enhanced message is received, the cryptographic
  343.    control fields within its text portion provide the information
  344.    required for the authorized recipient to perform MAC verification and
  345.    decryption on the received message text.  First, the printable
  346.    encoding is converted to a bitstring.  If the transmitted message was
  347.    encrypted, it is decrypted into the canonical representation.  If the
  348.    message was not encrypted, decoding from the printable form produces
  349.    the canonical representation directly.  The MAC is verified, and the
  350.  
  351.  
  352.  
  353. Linn, Privacy Task Force                                        [Page 6]
  354.  
  355. RFC 989                                                    February 1987
  356.  
  357.  
  358.    canonical representation is converted to the recipient's local form,
  359.    which need not be the same as the sender's local form.
  360.  
  361. 4.2  Encryption Algorithms and Modes
  362.  
  363.    For purposes of this RFC, the Block Cipher Algorithm DEA-1, defined
  364.    in ISO draft international standard DIS 8227 [1] shall be used for
  365.    encryption of message text and for computation of authentication
  366.    codes on messages.  The DEA-1 is equivalent to the Data Encryption
  367.    Standard (DES), as defined in FIPS PUB 46 [2].  When used for these
  368.    purposes, the DEA-1 shall be used in the Cipher Block Chaining (CBC)
  369.    mode, as defined in ISO DIS 8372 [3].  The CBC mode definition in DIS
  370.    8372 is equivalent to that provided in FIPS PUB 81 [4].  A unique
  371.    initializing vector (IV) will be generated for and transmitted with
  372.    each encrypted electronic mail message.
  373.  
  374.    An algorithm other than DEA-1 may be employed, provided that it
  375.    satisfies the following requirements:
  376.  
  377.        1.  it must be a 64-bit block cipher, enciphering and deciphering
  378.            in 8 octet blocks
  379.  
  380.        2.  it is usable in the ECB and CBC modes defined in DIS8372
  381.  
  382.        3.  it is able to be keyed using the procedures and parameters
  383.            defined in this RFC
  384.  
  385.        4.  it is appropriate for MAC computation
  386.  
  387.        5.  cryptographic key field lengths are limited to 16 octets
  388.            in length
  389.  
  390.    Certain operations require that one key be encrypted under another
  391.    key (interchange key) for purposes of transmission.  For purposes of
  392.    this RFC, such encryption will be performed using DEA-1 in Electronic
  393.    Codebook (ECB) mode.  An optional facility is available to an
  394.    interchange key provider to indicate that an associated key is to be
  395.    used for encryption in another mode (e.g., the Encrypt-Decrypt-
  396.    Encrypt (EDE) mode used for key encryption and decryption with pairs
  397.    of 64-bit keys, as described [5] by ASC X3T1).
  398.  
  399.    Future support of public key algorithms for key encryption is under
  400.    consideration, and it is intended that the procedures defined in this
  401.    RFC be appropriate to allow such usage.  Support of key encryption
  402.    modes other than ECB is optional for implementations, however.
  403.    Therefore, in support of universal interoperability, interchange key
  404.    providers should not specify other modes in the absence of a priori
  405.    information indicating that recipients are equipped to perform key
  406.    encryption in other modes.
  407.  
  408.  
  409.  
  410.  
  411.  
  412. Linn, Privacy Task Force                                        [Page 7]
  413.  
  414. RFC 989                                                    February 1987
  415.  
  416.  
  417. 4.3  Canonical Encoding
  418.  
  419.    Any encryption scheme must be compatible with the transparency
  420.    constraints of its underlying electronic mail facilities.  These
  421.    constraints are generally established based on expected user
  422.    requirements and on the characteristics of anticipated endpoint
  423.    transport facilities.  SMTP, designed primarily for interpersonal
  424.    messages and anticipating systems and transport media which may be
  425.    restricted to a 7-bit character set, can transmit any 7-bit
  426.    characters (but not arbitrary 8-bit binary data) in message text.
  427.  
  428.    SMTP introduces other transparency constraints related to line
  429.    lengths and message delimiters.  Message text may not contain the
  430.    string "<CR><LF>.<CR><LF>" in sequence before the end of a message,
  431.    and must contain the string "<CR><LF>" at least every 1000
  432.    characters.  Another important SMTP transparency issue must be noted.
  433.    Although SMTP specifies a standard representation for line delimiters
  434.    (ASCII <CR><LF>), numerous systems use a different native
  435.    representation to delimit lines.  For example, the <CR><LF> sequences
  436.    delimiting lines in mail inbound to UNIX(tm) systems are transformed
  437.    to single <LF>s as mail is written into local mailbox files.  Lines
  438.    in mail incoming to record-oriented systems (such as VAX VMS) may be
  439.    converted to appropriate records by the destination SMTP [6] server.
  440.    As a result, if the encryption process generated <CR>s or <LF>s,
  441.    those characters might not be accessible to a recipient UA program at
  442.    a destination using different line delimiting conventions.  It is
  443.    also possible that conversion between tabs and spaces may be
  444.    performed in the course of mapping between inter-SMTP and local
  445.    format; this is a matter of local option.  If such transformations
  446.    changed the form of transmitted ciphertext, decryption would fail to
  447.    regenerate the transmitted plaintext, and a transmitted MAC would
  448.    fail to compare with that computed at the destination.
  449.  
  450.    The conversion performed by an SMTP server at a system with EBCDIC as
  451.    a native character set has even more severe impact, since the
  452.    conversion from EBCDIC into ASCII is an information-losing
  453.    transformation.  In principle, the transformation function mapping
  454.    between inter-SMTP canonical ASCII message representation and local
  455.    format could be moved from the SMTP server up to the UA, given a
  456.    means to direct that the SMTP server should no longer perform that
  457.    transformation.  This approach has the disadvantage that it would
  458.    imply internal file (e.g., mailbox) formats which would be
  459.    incompatible with the systems on which they reside, an untenable
  460.    prospect.  Further, it would require modification to SMTP servers, as
  461.    mail would be passed to SMTP in a different representation than it is
  462.    passed at present.
  463.  
  464.    Our approach to this problem selects a canonical character set,
  465.    uniformly representable across privacy-enhanced UAs regardless of
  466.    their systems' native character sets, to transport encrypted mail
  467.    text (but not electronic mail transport headers!) between endpoints.
  468.  
  469.  
  470.  
  471. Linn, Privacy Task Force                                        [Page 8]
  472.  
  473. RFC 989                                                    February 1987
  474.  
  475.  
  476.    In this approach, an outbound privacy-enhanced message is transformed
  477.    between four forms, in sequence:
  478.  
  479.  
  480.      1.   (Local_Form) The message text is created (e.g., via an editor)
  481.           in the system's native character set, with lines delimited in
  482.           accordance with local convention.
  483.  
  484.      2.   (Canonicalize) The message text is converted to the universal
  485.           canonical form, equivalent to the inter-SMTP representation as
  486.           defined in RFC822 [7] (ASCII character set, <CR><LF> line
  487.           delimiters).  (The processing required to perform this
  488.           conversion is relatively small, at least on systems whose
  489.           native character set is ASCII.)
  490.  
  491.      3.   (Encipher/Authenticate) A padded version of the canonical
  492.           plaintext representation is created by appending zero-valued
  493.           octets to the end of the representation until the length is an
  494.           integral multiple of 8 octets, as is required to perform
  495.           encryption in the DEA-1 CBC mode.  No padding is applied if
  496.           the canonical plaintext representation's length is already a
  497.           multiple of 8 octets.  This padded representation is used as
  498.           the input to the encryption function and to the MAC
  499.           computation function.
  500.  
  501.      4.   (Encode to Printable Form) The bits resulting from the
  502.           encryption operation are encoded into characters which are
  503.           universally representable at all sites, though not necessarily
  504.           with the same bit patterns (e.g., although the character "E"
  505.           is represented in an ASCII-based system as hexadecimal 45 and
  506.           as hexadecimal C5 in an EBCDIC-based system, the local
  507.           significance of the two representations is equivalent).  Use
  508.           of a 64-character subset of International Alphabet IA5 is
  509.           proposed, enabling 6 bits to be represented per printable
  510.           character.  (The proposed subset of characters is represented
  511.           identically in IA5 and ASCII.) Two additional characters, "="
  512.           and "*", are used to signify special processing functions.
  513.           The encoding function's output is delimited into text lines
  514.           (using local conventions), with each line containing 64
  515.           printable characters.  The encoding process is performed as
  516.           follows, transforming strings of 3 arbitrary (8-bit)
  517.           characters to strings of 4 encoded characters:
  518.  
  519.           4a.  Proceeding from left to right across the input characters
  520.                (considered as a contiguous bitstring), each group of 6
  521.                bits is used as an index into an array of 64 printable
  522.                characters; the character referenced by the index is
  523.                placed in the output string.  These characters,
  524.                identified in Table 1, are selected so as to be
  525.                universally representable, and the set excludes
  526.                characters with particular significance to SMTP e.g.,
  527.  
  528.  
  529.  
  530. Linn, Privacy Task Force                                        [Page 9]
  531.  
  532. RFC 989                                                    February 1987
  533.  
  534.  
  535.                ".", "<CR>", "<LF>").
  536.  
  537.           4b.  If fewer than 3 input characters are available in a final
  538.                quantum, zero bits are added (on the right) to form an
  539.                integral number of 6-bit groups.  Output character
  540.                positions which are not required to represent actual
  541.                input data are set to a 65th reserved, universally
  542.                representable character ("=").  Use of a reserved
  543.                character for padding allows compensatory processing to
  544.                be performed by a recipient, allowing the decoded message
  545.                text's length to be precisely the same as the input
  546.                message's length.  A final 3-octet input quantum will be
  547.                represented as a 4 octet encoding with no terminal "=", a
  548.                2-octet input quantum will be represented as 3 octets
  549.                followed by one terminal "=", and a 1-octet input quantum
  550.                will be represented as 2 octets followed by two
  551.                occurrences of "=".
  552.  
  553.    A sender may exclude one or more portions of a message from
  554.    encryption/authentication processing.  Explicit action is required to
  555.    exclude a portion of a message from such processing; by default,
  556.    encryption/authentication is applied to the entirety of message text.
  557.    The user-level delimiter which specifies such exclusion is a local
  558.    matter, and hence may vary between sender and recipient, but all
  559.    systems should provide a means for unambiguous  identification of
  560.    areas excluded from encryption/authentication processing.  An
  561.    excluded area is represented in the inter-SMTP transmission form
  562.    (universal across communicating systems) by bracketing with the
  563.    reserved delimiter "*".  Cryptographic state is preserved
  564.    transparently across an excluded area and continued after the end of
  565.    the excluded area.  A printable encoding quantum (per step 4b) is
  566.    completed before the delimiter "*" is output to initiate or terminate
  567.    the representation of an excluded block.  Note that the
  568.    canonicalizing transformation (step 2 above) and the encoding to
  569.    printable form (step 4 above) are applied to all portions of message
  570.    text, even those excluded from encryption and authentication.
  571.  
  572.    In summary, the outbound message is subjected to the following
  573.    composition of transformations:
  574.  
  575.      Transmit_Form = Encode(Encipher(Canonicalize(Local_Form)))
  576.  
  577.    The inverse transformations are performed, in reverse order, to
  578.    process inbound privacy-enhanced mail:
  579.  
  580.      Local_Form = DeCanonicalize(Decipher(Decode(Transmit_Form)))
  581.  
  582.    Note that the local form and the functions to transform messages to
  583.    and from canonical form may vary between the sender and recipient
  584.    systems without loss of information.
  585.  
  586.  
  587.  
  588.  
  589. Linn, Privacy Task Force                                       [Page 10]
  590.  
  591. RFC 989                                                    February 1987
  592.  
  593.  
  594.         Value Encoding Value Encoding Value Encoding Value Encoding
  595.         0     A        17    R        34    i        51    z
  596.         1     B        18    S        35    j        52    0
  597.         2     C        19    T        36    k        53    1
  598.         3     D        20    U        37    l        54    2
  599.         4     E        21    V        38    m        55    3
  600.         5     F        22    W        39    n        56    4
  601.         6     G        23    X        40    o        57    5
  602.         7     H        24    Y        41    p        58    6
  603.         8     I        25    Z        42    q        59    7
  604.         9     J        26    a        43    r        60    8
  605.         10    K        27    b        44    s        61    9
  606.         11    L        28    c        45    t        62    +
  607.         12    M        29    d        46    u        63    /
  608.         13    N        30    e        47    v
  609.         14    O        31    f        48    w        (pad) =
  610.         15    P        32    g        49    x
  611.         16    Q        33    h        50    y        (1)   *
  612.  
  613.         (1) The character "*" is used to delimit portions of an
  614.         encoded message to which encryption/authentication
  615.         processing has not been applied.
  616.  
  617.                          Printable Encoding Characters
  618.                                     Table 1
  619.  
  620. 4.4  Encapsulation Mechanism
  621.  
  622.    Encapsulation of privacy-enhanced messages within an enclosing layer
  623.    of headers interpreted by the electronic mail transport system offers
  624.    a number of advantages in comparison to a flat approach in which
  625.    certain fields within a single header are encrypted and/or carry
  626.    cryptographic control information.  Encapsulation provides generality
  627.    and segregates fields with user-to-user significance from those
  628.    transformed in transit.  As far as the MTS is concerned, information
  629.    incorporated into cryptographic authentication or encryption
  630.    processing will reside in a message's text portion, not its header
  631.    portion.
  632.  
  633.    The encapsulation mechanism to be used for privacy-enhanced mail is
  634.    derived from that described in RFC934 [8] which is, in turn, based on
  635.    precedents in the processing of message digests in the Internet
  636.    community.  To prepare a user message for encrypted or authenticated
  637.    transmission, it will be transformed into the representation shown in
  638.    Figure 1.  Note that, while encryption and/or authentication
  639.    processing of transmitted mail may depend on information contained in
  640.    the enclosing header (e.g., "To:"), all fields inserted in the course
  641.    of encryption/authentication processing are placed in the
  642.    encapsulated header.  This facilitates compatibility with mail
  643.    handling programs which accept only text, not header fields, from
  644.    input files or from other programs.  Further, privacy enhancement
  645.  
  646.  
  647.  
  648. Linn, Privacy Task Force                                       [Page 11]
  649.  
  650. RFC 989                                                    February 1987
  651.  
  652.  
  653.    processing can be applied recursively.
  654.  
  655.    Sensitive data should be protected by incorporating the data within
  656.    the encapsulated text rather than by applying measures selectively to
  657.    fields in the enclosing header.  Examples of potentially sensitive
  658.    header information may include fields such as "Subject:", with
  659.    contents which are significant on an end-to-end, inter-user basis.
  660.    The (possibly empty) set of headers to which protection is to be
  661.    applied is a user option.  If an authenticated version of header
  662.    information is desired, that data can be replicated within the
  663.    encapsulated text portion in addition to its inclusion in the
  664.    enclosing header.  If a user wishes disclosure protection for header
  665.    fields, they must occur only in the encapsulated text and not in the
  666.    enclosing or encapsulated header.  If disclosure protection is
  667.    desired for the "Subject:" field, it is recommended that the
  668.    enclosing header contain a "Subject:" field indicating that
  669.    "Encrypted Mail Follows".
  670.  
  671.    A specific point regarding the integration of privacy-enhanced mail
  672.    facilities with the message encapsulation mechanism is worthy of
  673.    note.  The subset of IA5 selected for transmission encoding
  674.    intentionally excludes the character "-", so encapsulated text can be
  675.    distinguished unambiguously from a message's closing encapsulation
  676.    boundary (Post-EB) without recourse to character stuffing.
  677.  
  678. 4.5  Processing for Authentication Without Confidentiality
  679.  
  680.    When a message is to be authenticated without confidentiality
  681.    service, a DEK is generated [9] for use in MAC computation, and a MAC
  682.    is computed using that DEK.  For each individually identified
  683.    recipient, an IK is selected and identified with an "X-IK-ID:" field.
  684.    Each "X-IK-ID:" field is followed by an "X-Key-Info:" field which
  685.    transfers the key under which MAC computation was performed,
  686.    encrypted under the IK identified by the preceding "X-IK-ID:" field,
  687.    along with a representation of the MAC encrypted under the same IK.
  688.    The encapsulated text portion following the encapsulated header is
  689.    canonically encoded, and coded into printable characters for
  690.    transmission, but not encrypted.
  691.  
  692.  
  693.  
  694.  
  695.  
  696.  
  697.  
  698.  
  699.  
  700.  
  701.  
  702.  
  703.  
  704.  
  705.  
  706.  
  707. Linn, Privacy Task Force                                       [Page 12]
  708.  
  709. RFC 989                                                    February 1987
  710.  
  711.  
  712.    Enclosing Header Portion
  713.  
  714.           (Contains header fields per RFC-822)
  715.  
  716.    Blank Line
  717.  
  718.           (Separates Enclosing Header from Encapsulated Message)
  719.  
  720.    Encapsulated Message
  721.  
  722.        Pre-Encapsulation Boundary (Pre-EB)
  723.  
  724.            -----PRIVACY-ENHANCED MESSAGE BOUNDARY-----
  725.  
  726.        Encapsulated Header Portion
  727.  
  728.            (Contains encryption control fields inserted in plaintext.
  729.            Examples include "X-IV:", "X-IK-ID:", "X-Key-Info:",
  730.            and "X-Pad-Count:".  Note that, although these control
  731.            fields have line-oriented representations similar to
  732.            RFC-822 header fields, the set of fields valid in this
  733.            context is disjoint from those used in RFC-822 processing.)
  734.  
  735.        Blank Line
  736.  
  737.            (Separates Encapsulated Header from subsequent encoded
  738.            Encapsulated Text Portion)
  739.  
  740.        Encapsulated Text Portion
  741.  
  742.            (Contains message data encoded as specified in Section 4.3;
  743.            may incorporate protected copies of "Subject:", etc.)
  744.  
  745.        Post-Encapsulation Boundary (Post-EB)
  746.  
  747.            -----PRIVACY-ENHANCED MESSAGE BOUNDARY-----
  748.  
  749.                            Message Encapsulation
  750.                                  Figure 1
  751.  
  752. 4.6  Processing for Authentication and Confidentiality
  753.  
  754.    When a message is to be authenticated with confidentiality service, a
  755.    DEK is generated for use in MAC computation and a variant of the DEK
  756.    is formed for use in message encryption.  For each individually
  757.    identified recipient, an IK is selected and identified with an "X-
  758.    IK-ID:" field.  Each "X-IK-ID:" field is followed by an "X-Key-Info:"
  759.    field, which transfers the DEK and computed MAC, each encrypted under
  760.    the IK identified in the preceding "X-IK-ID:" field.  The
  761.    encapsulated text portion following the encapsulated header is
  762.    canonically encoded, encrypted, and coded into printable characters
  763.  
  764.  
  765.  
  766. Linn, Privacy Task Force                                       [Page 13]
  767.  
  768. RFC 989                                                    February 1987
  769.  
  770.  
  771.    for transmission.
  772.  
  773. 4.7  Mail for Mailing Lists
  774.  
  775.    When mail is addressed to mailing lists, two different methods of
  776.    processing can be applicable: the IK-per-list method and the IK-per-
  777.    recipient method.  The choice depends on the information available to
  778.    the sender and on the sender's preference.
  779.  
  780.    If a message's sender addresses a message to a list name or alias,
  781.    use of an IK associated with that name or alias as a entity (IK-per-
  782.    list), rather than resolution of the name or alias to its constituent
  783.    destinations, is implied.  Such an IK must, therefore, be available
  784.    to all list members.  This alternative will be the normal case for
  785.    messages sent via remote exploder sites, as a sender to such lists
  786.    may not be cognizant of the set of individual recipients.
  787.    Unfortunately, it implies an undesirable level of exposure for the
  788.    shared IK, and makes its revocation difficult.  Moreover, use of the
  789.    IK-per-list method allows any holder of the list's IK to masquerade
  790.    as another sender to the list for authentication purposes.
  791.  
  792.    If, in contrast, a message's sender is equipped to expand the
  793.    destination mailing list into its individual constituents and elects
  794.    to do so (IK-per-recipient), the message's DEK and MAC will be
  795.    encrypted under each per-recipient IK and all such encrypted
  796.    representations will be incorporated into the transmitted message.
  797.    (Note that per-recipient encryption is required only for the
  798.    relatively small DEK and MAC quantities carried in the X-Key-Info
  799.    field, not for the message text which is, in general, much larger.)
  800.    Although more IKs are involved in processing under the IK-per-
  801.    recipient method, the pairwise IKs can be individually revoked and
  802.    possession of one IK does not enable a successful masquerade of
  803.    another user on the list.
  804.  
  805. 4.8  Summary of Added Header and Control Fields
  806.  
  807.    This section summarizes the syntax and semantics of the new header
  808.    and control fields to be added to messages in the course of privacy
  809.    enhancement processing, indicating whether a particular field occurs
  810.    in a message's encapsulated header portion or its encapsulated text
  811.    portion.  Figure 2 shows the appearance of a small example
  812.    encapsulated message using these fields.  In all cases, hexadecimal
  813.    quantities are represented as contiguous strings of digits, where
  814.    each digit is represented by a character from the ranges "0"-"9" or
  815.    upper case "A"-"F".  Unless otherwise specified, all arguments are to
  816.    be processed in a case-sensitive fashion.
  817.  
  818.    Although the encapsulated header fields resemble RFC-822 header
  819.    fields, they are a disjoint set and will not in general be processed
  820.    by the same parser which operates on enclosing header fields.  The
  821.    complexity of lexical analysis needed and appropriate for
  822.  
  823.  
  824.  
  825. Linn, Privacy Task Force                                       [Page 14]
  826.  
  827. RFC 989                                                    February 1987
  828.  
  829.  
  830.    encapsulated header field processing is significantly less than that
  831.    appropriate to RFC-822 header processing.  For example, many
  832.    characters with special significance to RFC-822 at the syntactic
  833.    level have no such significance within encapsulated header fields.
  834.  
  835.    The "X-IK-ID" and "X-Key-Info" fields are the only encapsulated
  836.    header fields with lengths which can vary beyond a size conveniently
  837.    printable on a line.  Whitespace may be used between the subfields of
  838.    these fields to fold them in the manner of RFC-822; such whitespace
  839.    is not to be interpreted as a part of a subfield.
  840.  
  841.       -----PRIVACY-ENHANCED MESSAGE BOUNDARY-----
  842.       X-Proc-Type: 1,E
  843.       X-Pad-Count: 1
  844.       X-IV: F8143EDE5960C597
  845.       X-IK-ID: JL:3:ECB
  846.       X-Key-Info: 9FD3AAD2F2691B9A,B70665BB9BF7CBCD
  847.       X-IK-ID: JL:1:ECB
  848.       X-Key-Info: 161A3F75DC82EF26,E2EF532C65CBCFF7
  849.  
  850.       LLrHB0eJzyhP+/fSStdW8okeEnv47jxe7SJ/iN72ohNcUk2jHEUSoH1nvNSIWL9M
  851.       8tEjmF/zxB+bATMtPjCUWbz8Lr9wloXIkjHUlBLpvXR0UrUzYbkNpk0agV2IzUpk
  852.       J6UiRRGcDSvzrsoK+oNvqu6z7Xs5Xfz5rDqUcMlK1Z6720dcBWGGsDLpTpSCnpot
  853.       dXd/H5LMDWnonNvPCwQUHt==
  854.       -----PRIVACY-ENHANCED MESSAGE BOUNDARY-----
  855.  
  856.                          Example Encapsulated Message
  857.                                    Figure 2
  858.  
  859.  
  860.      X-IK-ID:      This field is placed in the encapsulated header
  861.                    portion of a message to identify the Interchange Key
  862.                    used for encryption of an associated Data Encrypting
  863.                    Key or keys (used for message text encryption and/or
  864.                    MAC computation).  This field is used for messages
  865.                    authenticated without confidentiality service and for
  866.                    messages authenticated with confidentiality service.
  867.                    The field contains (in order) an Issuing Authority
  868.                    subfield and an IK Qualifier subfield, and may also
  869.                    contain an optional IK Use Indicator subfield.  The
  870.                    subfields are delimited by the colon character (":"),
  871.                    optionally followed by whitespace.  Section 5.1.2,
  872.                    Interchange Keys, discusses the semantics of these
  873.                    subfields and specifies the alphabet from which they
  874.                    are chosen.  Note that multiple X-IK-ID fields may
  875.                    occur within a single encapsulated header.  Each X-
  876.                    IK-ID field is associated with an immediately
  877.                    subsequent X-Key-Info field.
  878.  
  879.      X-IV:         This field is placed in the encapsulated header
  880.                    portion of a message to carry the Initializing Vector
  881.  
  882.  
  883.  
  884. Linn, Privacy Task Force                                       [Page 15]
  885.  
  886. RFC 989                                                    February 1987
  887.  
  888.  
  889.                    used for message encryption.  It is used only for
  890.                    messages where confidentiality service is applied.
  891.                    Following the field name, and one or more delimiting
  892.                    whitespace characters, a 64-bit Initializing Vector
  893.                    is represented as a contiguous string of 16
  894.                    hexadecimal digits.
  895.  
  896.      X-Key-Info:   This field is placed in a message's encapsulated
  897.                    header portion to transfer two items: a DEK and a
  898.                    MAC.  Both items are encrypted under the IK
  899.                    identified by a preceding X-IK-ID field; they are
  900.                    represented as two strings of contiguous hexadecimal
  901.                    digits, separated by a comma.  For DEA-1, the DEK
  902.                    representation will be 16 hexadecimal digits
  903.                    (corresponding to a 64-bit key); this subfield can be
  904.                    extended to 32 hexadecimal digits (corresponding to a
  905.                    128-bit key) if required to support other algorithms.
  906.                    The MAC is a 64-bit quantity, represented as 16
  907.                    hexadecimal digits.  The MAC is computed under an
  908.                    unmodified version of the DEK.  Message encryption is
  909.                    performed using a variant of the DEK, formed by
  910.                    modulo-2 addition of the hexadecimal quantity
  911.                    F0F0F0F0F0F0F0F0 to the DEK.
  912.  
  913.      X-Pad-Count:  This field is placed in the encapsulated header
  914.                    portion of a message to indicate the number of zero-
  915.                    valued octets which were added to pad the input
  916.                    stream to the encryption function to an integral
  917.                    multiple of eight octets, as required by the DEA-1
  918.                    CBC encryption mode.  A decimal number in the range
  919.                    0-7 follows the field name, and one or more
  920.                    delimiting whitespace characters.  Inclusion of this
  921.                    field allows disambiguation between terminal zero-
  922.                    valued octets in message text (admittedly, a
  923.                    relatively unlikely prospect) and zero-valued octets
  924.                    inserted for padding purposes.
  925.  
  926.      X-Proc-Type:  This field is placed in the encapsulated header
  927.                    portion of a message to identify the type of
  928.                    processing performed on the transmitted message.  The
  929.                    first subfield is a decimal version number, which
  930.                    will be used if future developments make it necessary
  931.                    to redefine the interpretation of encapsulated header
  932.                    fields.  At present, this field may assume only the
  933.                    value "1".  The second subfield, delimited by a
  934.                    comma, assumes one of two single-character alphabetic
  935.                    values: "A" and "E", to signify, respectively, (1)
  936.                    authentication processing only and (2) the
  937.                    combination of authentication and confidentiality
  938.                    service through encryption.
  939.  
  940.  
  941.  
  942.  
  943. Linn, Privacy Task Force                                       [Page 16]
  944.  
  945. RFC 989                                                    February 1987
  946.  
  947.  
  948. 5 Key Management
  949.  
  950. 5.1 Types of Keys
  951.  
  952. 5.1.1 Data Encrypting Keys (DEKs)
  953.  
  954.    Data Encrypting Keys (DEKs) are used for encryption of message text
  955.    and for computation of message authentication codes (MACs).  It is
  956.    strongly recommended that DEKs be generated and used on a one-time
  957.    basis.  A transmitted message will incorporate a representation of
  958.    the DEK encrypted under an interchange key (IK) known to the
  959.    authorized recipient.
  960.  
  961.    DEK generation can be performed either centrally by key distribution
  962.    centers (KDCs) or by endpoint systems.  One advantage of centralized
  963.    KDC-based generation is that DEKs can be returned to endpoints
  964.    already encrypted under the IKs of message recipients.  This reduces
  965.    IK exposure and simplifies endpoint key management requirements.
  966.    Further, dedicated KDC systems may be able to implement better
  967.    algorithms for random key generation than can be supported in
  968.    endpoint systems.  On the other hand, decentralization allows
  969.    endpoints to be relatively self-sufficient, reducing the level of
  970.    trust which must be placed in components other than a message's
  971.    originator and recipient.  Moreover, decentralized DEK generation by
  972.    endpoints reduces the frequency with which senders must make real-
  973.    time queries of (potentially unique) servers in order to send mail,
  974.    enhancing communications availability.
  975.  
  976. 5.1.2 Interchange Keys (IKs)
  977.  
  978.    Interchange Keys (IKs) are used to encrypt Data Encrypting Keys.  In
  979.    general, the granularity of IK usage is at the pairwise per-user
  980.    level except for mail sent to address lists comprising multiple
  981.    users.  In order for two principals to engage in a useful exchange of
  982.    privacy-enhanced electronic mail using conventional cryptography,
  983.    they must first share a common interchange key.  When asymmetric
  984.    cryptography is used, an originator and recipient must possess
  985.    appropriate public and secret components which, in composition,
  986.    constitute an interchange key.
  987.  
  988.    The means by which interchange keys are provided to appropriate
  989.    parties are outside the scope of this RFC, but may be centralized
  990.    (e.g., via key management servers) or decentralized (e.g., via direct
  991.    distribution among users).  In any case, a given IK is associated
  992.    with a responsible Issuing Authority (IA).  When an IA generates and
  993.    distributes an IK, associated control information must be provided to
  994.    direct how that IK is to be used.  In order to select the appropriate
  995.    IK to use in message encryption, a sender must retain a
  996.    correspondence between IKs and the recipients with which they are
  997.    associated.  Expiration date information must also be retained, in
  998.    order that cached entries may be invalidated and replaced as
  999.  
  1000.  
  1001.  
  1002. Linn, Privacy Task Force                                       [Page 17]
  1003.  
  1004. RFC 989                                                    February 1987
  1005.  
  1006.  
  1007.    appropriate.
  1008.  
  1009.    When a privacy-enhanced message is transmitted, an indication of the
  1010.    IK (or IKs, in the case of a message sent to multiple recipients)
  1011.    used for DEK encryption must be included.  To this end, the IK ID
  1012.    construct is defined to provide the following data:
  1013.  
  1014.         1.   Identification of the relevant Issuing Authority (IA
  1015.              subfield)
  1016.  
  1017.         2.   Qualifier string to distinguish the particular IK within
  1018.              the set of IKs distributed by the IA (IK qualifier
  1019.              subfield)
  1020.  
  1021.         3.   (Optional) Indicator of IK usage mode (IK use indicator
  1022.              subfield)
  1023.  
  1024.  
  1025.    The subfields of an IK ID are delimited with the colon character
  1026.    (":").  The IA and IK qualifier subfields are generated from a
  1027.    restricted character set, as prescribed by the following BNF (using
  1028.    notation as defined in RFC-822, sections 2 and 3.3):
  1029.  
  1030.    IAorIKQual   :=      1*ia-char
  1031.  
  1032.    ia-char      :=      DIGIT / ALPHA / "'" / "+" / "(" / ")" /
  1033.                         "," / "." / "/" / "=" / "?" / "-" / "@" /
  1034.                         "%" / "!" / '"' / "_" / "<" / ">"
  1035.  
  1036.    The IK use indicator subfield assumes a value from a small set of
  1037.    reserved strings, described later in this section.
  1038.  
  1039.    IA identifiers must be assigned in a manner which assures uniqueness.
  1040.    This can be done on a centralized or hierarchic basis.
  1041.  
  1042.    The IK qualifier string format may vary among different IAs, but must
  1043.    satisfy certain functional constraints.  An IA's IK qualifiers must
  1044.    be sufficient to distinguish among the set of IKs issued by that IA.
  1045.    Since a message may be sent with multiple IK IDs, corresponding to
  1046.    multiple intended recipients, each recipient must be able to
  1047.    determine which IK is intended for it.  Moreover, if no corresponding
  1048.    IK is available in the recipient's database when a message arrives,
  1049.    the recipient must be able to determine which IK to request and to
  1050.    identify that IK's associated IA.  Note that different IKs may be
  1051.    used for different messages between a pair of communicants.
  1052.    Consider, for example, one message sent from A to B and another
  1053.    message sent (using the IK-per-list method) from A to a mailing list
  1054.    of which B is a member.  The first message would use an IK shared
  1055.    between A and B, but the second would use an IK shared among list
  1056.    members.
  1057.  
  1058.  
  1059.  
  1060.  
  1061. Linn, Privacy Task Force                                       [Page 18]
  1062.  
  1063. RFC 989                                                    February 1987
  1064.  
  1065.  
  1066.    While use of a monotonically increasing number as an IK qualifier is
  1067.    sufficient to distinguish among the set of IKs distributed by an IA,
  1068.    it offers no facility for a recipient lacking a matching IK to
  1069.    determine the appropriate IK to request.  This suggests that sender
  1070.    and recipient name information should be incorporated into an IK
  1071.    qualifier, along with a number to distinguish among multiple IKs used
  1072.    between a sender/recipient pair.  In order to support universal
  1073.    interoperability, it is necessary to assume a universal form for the
  1074.    naming information.  General definition of such a form requires
  1075.    further study; issues and possible approaches will be noted in
  1076.    Section 6.  As an interim measure, the following IK qualifier format
  1077.    is suggested:
  1078.  
  1079.               <sender-name>/<recipient-name>/<numid>
  1080.  
  1081.    where <sender-name> and <recipient-name> are in the following form:
  1082.  
  1083.               <user>@<domain-qualified-host>
  1084.  
  1085.    For the case of installations which transform local host names before
  1086.    transmission into the broader Internet, it is strongly recommended
  1087.    that the host name as presented to the Internet be employed.  The
  1088.    <numid> is a contiguous string of decimal digits.
  1089.  
  1090.    The IK use indicator subfield is an optional facility, provided to
  1091.    identify the encryption mode in which the IK is to be used.
  1092.    Currently, this subfield may assume the following reserved string
  1093.    values: "ECB" and "EDE"; the default value is ECB.
  1094.  
  1095.    An example IK ID adhering to this recommendation is as follows:
  1096.  
  1097.           ptf-kmc:linn@CCY.BBN.COM/privacy-tf@C.ISI.EDU/2:ECB
  1098.  
  1099.    This IK ID would indicate that IA "ptf-kmc" has issued an IK for use
  1100.    on messages sent from "linn@CCY.BBN.COM" to "privacy-tf@C.ISI.EDU",
  1101.    that the IA has associated number 2 with that IK, and that the IK is
  1102.    to be used in ECB mode.
  1103.  
  1104.    IKs will remain valid for a period which will be longer than a single
  1105.    message and will be identified by an expiration time distributed
  1106.    along with the IK; IK cryptoperiod is dictated in part by a tradeoff
  1107.    between key management overhead and revocation responsiveness.  It
  1108.    would be undesirable to delete an IK permanently before receipt of a
  1109.    message encrypted using that IK, as this would render the message
  1110.    permanently undecipherable.  Access to an expired IK would be needed,
  1111.    for example, to process mail received by a user (or system) which had
  1112.    been inactive for an extended period of time.  In order to enable
  1113.    very old IKs to be deleted, a message's recipient desiring encrypted
  1114.    local long term storage should transform the DEK used for message
  1115.    text encryption via re-encryption under a locally maintained IK,
  1116.    rather than relying on IA maintenance of old IKs for indefinite
  1117.  
  1118.  
  1119.  
  1120. Linn, Privacy Task Force                                       [Page 19]
  1121.  
  1122. RFC 989                                                    February 1987
  1123.  
  1124.  
  1125.    periods.
  1126.  
  1127. 6 User Naming
  1128.  
  1129.    Unique naming of electronic mail users, as is needed in order to
  1130.    select corresponding keys correctly, is an important topic and one
  1131.    requiring significant study.  A logical association exists between
  1132.    key distribution and name/directory server functions; their
  1133.    relationship is a topic deserving further consideration.  These
  1134.    issues have not been fully resolved at this writing.  The interim
  1135.    architecture relies on association of IKs with user names represented
  1136.    in a universal form, which has the following properties:
  1137.  
  1138.           1.   The universal form must be specifiable by an IA as it
  1139.                distributes IKs and known to a UA as it processes
  1140.                received IKs and IK IDs.  If a UA or IA uses addresses in
  1141.                a local form which is different from the universal form,
  1142.                it must be able to perform an unambiguous mapping from
  1143.                the universal form into the local representation.
  1144.  
  1145.           2.   The universal form, when processed by a sender UA, must
  1146.                have a recognizable correspondence with the form of a
  1147.                recipient address as specified by a user (perhaps
  1148.                following local transformation from an alias into a
  1149.                universal form)
  1150.  
  1151.    It is difficult to ensure these properties throughout the Internet.
  1152.    For example, an MTS which transforms address representations between
  1153.    the local form used within an organization and the global form used
  1154.    for Internet mail transmission may cause property 2 to be violated.
  1155.  
  1156.    The use of flat (non-hierarchic) electronic mail user identifiers,
  1157.    which are unrelated to the hosts on which the users reside, appears
  1158.    useful.  Personal characteristics, like social security numbers,
  1159.    might be considered.  Individually-selected identifiers could be
  1160.    registered with a central authority, but a means to resolve name
  1161.    conflicts would be necessary.
  1162.  
  1163.    A point of particular note is the desire to accommodate multiple
  1164.    names for a single individual, in order to represent and allow
  1165.    delegation of various roles in which that individual may act.  A
  1166.    naming mechanism that binds user roles to keys is needed.  Bindings
  1167.    cannot be immutable since roles sometimes change (e.g., the
  1168.    comptroller of a corporation is fired).
  1169.  
  1170.    It may be appropriate to examine the prospect of extending the Domain
  1171.    Name System and its associated name servers to resolve user names to
  1172.    unique user IDs.  An additional issue arises with regard to mailing
  1173.    list support: name servers do not currently perform (potentially
  1174.    recursive) expansion of lists into users.  ISO and CSNet are working
  1175.    on user-level directory service mechanisms, which may also bear
  1176.  
  1177.  
  1178.  
  1179. Linn, Privacy Task Force                                       [Page 20]
  1180.  
  1181. RFC 989                                                    February 1987
  1182.  
  1183.  
  1184.    consideration.
  1185.  
  1186. 7  Example User Interface and Implementation
  1187.  
  1188.    In order to place the mechanisms and approaches discussed in this RFC
  1189.    into context, this section presents an overview of a prototype
  1190.    implementation.  This implementation is a standalone program [10]
  1191.    which is invoked by a user, and lies above the existing UA sublayer.
  1192.    This form of integration offers the advantage that the program can be
  1193.    used in conjunction with a range of UA programs, rather than being
  1194.    compatible only with a particular UA.  When a user wishes to apply
  1195.    privacy enhancements to an outgoing message, the user prepares the
  1196.    message's text and invokes the standalone program (interacting with
  1197.    the program in order to provide address information and other data
  1198.    required to perform privacy enhancement processing), which in turn
  1199.    generates output suitable for transmission via the UA.  When a user
  1200.    receives a privacy-enhanced message, the UA delivers the message in
  1201.    encrypted form, suitable for decryption and associated processing by
  1202.    the standalone program.
  1203.  
  1204.    In this prototype implementation, a cache of IKs is maintained in a
  1205.    local file, with entries managed manually based on pairwise
  1206.    agreements between originators and recipients.  This cache is,
  1207.    effectively, a simple database.  IKs are selected for transmitted
  1208.    messages based on recipient names, and corresponding IK IDs are
  1209.    placed into the message's encapsulated header.  When a message is
  1210.    received, the IK ID is used as a basis for a lookup in the database,
  1211.    yielding the appropriate IK entry.  DEKs and IVs are generated
  1212.    dynamically within the program.
  1213.  
  1214.    Options (e.g., authentication only vs. authentication with
  1215.    confidentiality service) are selected by command line arguments to
  1216.    the standalone program.  Destination addresses are specified in the
  1217.    same fashion.  The function of specifying destination addresses to
  1218.    the privacy enhancement program is logically distinct from the
  1219.    function of specifying the corresponding addresses to the UA for use
  1220.    by the MTS.  This separation results from the fact that, in many
  1221.    cases, the local form of an address as specified to a UA differs from
  1222.    the Internet global form as used for IK ID fields.
  1223.  
  1224. 8  Areas For Further Study
  1225.  
  1226.    The procedures defined in this RFC are sufficient to support pilot
  1227.    implementation of privacy-enhanced electronic mail transmission among
  1228.    cooperating parties in the Internet.  Further effort will be needed,
  1229.    however, to enhance robustness, generality, and interoperability.  In
  1230.    particular, further work is needed in the following areas:
  1231.  
  1232.  
  1233.      1.   User naming techniques, and their relationship to the domain
  1234.           system, name servers, directory services, and key management
  1235.  
  1236.  
  1237.  
  1238. Linn, Privacy Task Force                                       [Page 21]
  1239.  
  1240. RFC 989                                                    February 1987
  1241.  
  1242.  
  1243.           functions
  1244.  
  1245.      2.   Standardization of Issuing Authority functions, including
  1246.           protocols for communications among IAs and between User Agents
  1247.           and IAs
  1248.  
  1249.      3.   Use of public key encryption algorithms to encrypt data
  1250.           encrypting keys
  1251.  
  1252.      4.   Interoperability with X.400 mail
  1253.  
  1254.    We anticipate generation of subsequent RFCs which will address these
  1255.    topics.
  1256.  
  1257.  
  1258. 9 References
  1259.  
  1260.    This section identifies background references which may be useful to
  1261.    those contemplating use of the mechanisms defined in this RFC.
  1262.  
  1263.  
  1264.      ISO 7498/Part 2 - Security Architecture, prepared by ISO.TC97/SC
  1265.           21/WG 1 Ad hoc group on Security, extends the OSI Basic
  1266.           Reference Model to cover security aspects which are general
  1267.           architectural elements of communications protocols, and
  1268.           provides an annex with tutorial and background information.
  1269.  
  1270.      US Federal Information Processing Standards Publication (FIPS PUB)
  1271.           46, Data Encryption Standard, 15 January 1977, defines the
  1272.           encipherment algorithm used for message text encryption and
  1273.           MAC computation.
  1274.  
  1275.      FIPS PUB 81, DES Modes of Operation, 2 December 1980, defines
  1276.           specific modes in which the Data Encryption Standard algorithm
  1277.           is to be used to perform encryption and MAC computation.
  1278.  
  1279. NOTES:
  1280.  
  1281.  
  1282.      [1]  Information Processing Systems: Data Encipherment: Block
  1283.           Cipher Algorithm DEA 1.
  1284.  
  1285.      [2]  Federal Information Processing Standards Publication 46, Data
  1286.           Encryption Standard, 15 January 1977.
  1287.  
  1288.      [3]  Information Processing Systems: Data Encipherment: Modes of
  1289.           Operation of a 64-bit Block Cipher
  1290.  
  1291.      [4]  Federal Information Processing Standards Publication 81, DES
  1292.           Modes of Operation, 2 December 1980.
  1293.  
  1294.  
  1295.  
  1296.  
  1297. Linn, Privacy Task Force                                       [Page 22]
  1298.  
  1299. RFC 989                                                    February 1987
  1300.  
  1301.  
  1302.      [5]  Addendum to the Transport Layer Protocol Definition for
  1303.           Providing Connection Oriented End to End Cryptographic Data
  1304.           Protection Using a 64-Bit Block Cipher, X3T1-85-50.3, draft of
  1305.           19 December 1985, Gaithersburg, MD, p. 15.
  1306.  
  1307.      [6]  This transformation should occur only at an SMTP endpoint, not
  1308.           at an intervening relay, but may take place at a gateway
  1309.           system linking the SMTP realm with other environments.
  1310.  
  1311.      [7]  Crocker, D. Standard for the Format of ARPA Internet Text
  1312.           Messages (RFC822), August 1982.
  1313.  
  1314.      [8]  Rose, M. T., and Stefferud, E. A., Proposed Standard for
  1315.           Message Encapsulation, January 1985.
  1316.  
  1317.      [9]  Key generation for authentication and message text encryption
  1318.           may either be performed by the sending host or by a
  1319.           centralized server.  This RFC does not constrain this design
  1320.           alternative.  Section 5.1.1 identifies possible advantages of
  1321.           a centralized server approach.
  1322.  
  1323.      [10] Note that in the UNIX(tm) system, and possibly in other
  1324.           environments as well, such a program can be invoked as a
  1325.           "filter" within an electronic mail UA or a text editor,
  1326.           simplifying the sequence of operations which must be performed
  1327.           by the user.
  1328.  
  1329.  
  1330.  
  1331.  
  1332.  
  1333.  
  1334.  
  1335.  
  1336.  
  1337.  
  1338.  
  1339.  
  1340.  
  1341.  
  1342.  
  1343.  
  1344.  
  1345.  
  1346.  
  1347.  
  1348.  
  1349.  
  1350.  
  1351.  
  1352.  
  1353.  
  1354.  
  1355.  
  1356. Linn, Privacy Task Force                                       [Page 23]
  1357.  
  1358.