home *** CD-ROM | disk | FTP | other *** search
/ Danny Amor's Online Library / Danny Amor's Online Library - Volume 1.iso / bbs / society / society.lha / PUB / isoc_news / 1-3 / n-1-3-040.33.3a < prev    next >
Text File  |  1995-07-21  |  4KB  |  84 lines
  1.  
  2.  
  3. N-1-3-040.33, "Protecting Passwords, Part II", by Jeffrey I.
  4. Schiller*, <jis@mit.edu>
  5.  
  6.  
  7. In the last issue of the Internet Society News, we discussed the
  8. importance of protecting passwords from Network Snooping.  We
  9. identified four methods to protect passwords from observation as they
  10. traversed the network.  We covered "one-time" password schemes as well
  11. as hand held authentication devices (sometimes referred to as "Tokens"
  12. or "Smart Cards").
  13.  
  14. In this issue, we will talk about Cryptographic Network Authentication
  15. Protocols.  These protocols permit you to authenticate yourself across
  16. the Internet to foreign hosts or services without ever revealing your
  17. password "in the clear".  Two systems are available today on the
  18. Internet, Kerberos from MIT and SPX from Digital Equipment
  19. Corporation.
  20.  
  21. Kerberos is based on the U.S. Data Encryption Standard (DES)
  22. algorithm.  Kerberos is utilized by having a trusted Key Distribution
  23. Center (KDC).  Each host computer system and every network user have a
  24. secret encryption key which is shared with the KDC system.  Hosts
  25. store their secret in protected files.  User's keys are a function of
  26. their password.
  27.  
  28. When logging in via a Kerberos authenticated login, rather than typing
  29. a password over the network in the clear, you (or more properly, the
  30. software on the local workstations or terminal server) obtain a set of
  31. encrypted "tickets" from the KDC system.  These tickets are encrypted
  32. in your password, so are meaningless to someone who doesn't have your
  33. password.  However, you can decrypt them.  You then present these
  34. tickets to host servers instead of a password when you wish to login
  35. (or use a particular network service, say for example to fetch your
  36. mail from a Post Office server).
  37.  
  38. It is also possible for two (or more) separate Kerberos "realms" to
  39. share a key and then permit their user's to use services in other
  40. realms.  Yet each realm maintains its own administrative control.
  41.  
  42. Digital Equipment Corporation's SPX system works very similarly to
  43. Kerberos.  However, it takes advantage of the RSA Public Key
  44. encryption technology as well as using DES.  RSA Public Key technology
  45. provides some technical advantages over simply using DES alone.  The
  46. most important of these is the ability to build a hierarchy of SPX
  47. domains (realms) that can scale to the size of the entire Internet.
  48. SPX also conforms to the X.509 Directory Authentication specification.
  49.                               
  50.                  How to obtain these systems
  51.  
  52. The current "production" version of Kerberos (version 4) is available
  53. within the U.S. by anonymous FTP to host "athena-dist.mit.edu."  Look
  54. in the /pub/kerberos directory for a README file that explains how to
  55. get the distribution.  All are welcome to peruse /pub/kerberos/doc
  56. which contains documentation and papers written about kerberos that go
  57. into far more detail then space will allow here.
  58.  
  59. Version 5 Kerberos (the version compatible with the OSF DCE) is
  60. available AS BETA TEST SOFTWARE (as of this writing) in
  61. /pub/kerberos5.
  62.  
  63. All software that uses cryptography is subject to COCOM export control
  64. laws.  If you are outside of the U.S., you may wish to consult an
  65. "archie" server for locations that may have versions of Kerberos
  66. written outside of the U.S.
  67.  
  68. SPX is available via anonymous FTP from crl.dec.com, in the
  69. /pub/DEC/SPX directory.  Note: SPX IS BETA TEST SOFTWARE and the
  70. current version will not operate after December of 1992 (as of this
  71. writing it isn't known what plans are being made for using it after
  72. December).  Check the README files there for more information.  SPX
  73. also comes with a documentation kit that explains its design as well
  74. as provides installation information.
  75.  
  76. Next time we'll discuss the activities of the Common Authentication
  77. Technology Working Group of the Internet Engineering Task Force
  78. (IETF).  The CAT group is working on a common programming API which
  79. allows programmers to write applications which will run on top of any
  80. authentication protocol.  Both Kerberos and SPX support the CAT API.
  81.  
  82.  
  83. *MIT Network Manager, Massachusetts Institute of Technology
  84.