3 NETWORK WORKING GROUP                                             L. Zhu
4 Internet-Draft                                                  P. Leach
5 Expires: June 4, 2005                                      K. Jaganathan
6                                                    Microsoft Corporation
7                                                            December 2004
10               Kerberos Cryptosystem Negotiation Extension
11                      draft-zhu-kerb-enctype-nego-00
44 Abstract
46    This document specifies an extension by Kerberos to negotiate new
47    encryption types between the client-server peers.
115 1.  Introduction
117    Under the current mechanism [CLAR], the KDC must limit the ticket
118    session key enctype chosen for a given service to one it believes is
119    supported by both the client and the server.  If both the client and
120    server understand a stronger enctype than is selected by the KDC,
121    they can not negotiate it.  As the result, the protection of
122    application traffic is often weaker than necessary when different
123    application software that support different set of enctypes can be
124    used by the same server principal.
126    This document specifies an extension to Kerberos to allow clients and
127    servers to negotiate a different and possible stronger cryptosystem
128    to be used in subsequent communication.
130    This extension utilizes an authorization data element in the
131    authenticator of the KRB_AP_REQ message [CLAR].  The client sends the
132    list of enctypes that it supports to the server, the server then
133    informs the client its choice.  The negotiated subkey is sent in the
134    KRB_AP_REP.
171 2.  Conventions Used in This Document
173    The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
174    "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
175    document are to be interpreted as described in [RFC2119].
227 3.  Negotiation Protocol
229    If the client prefers an enctype over that of the service ticket
230    session key, then it MUST send the list of enctypes it supports
231    (including the one selected by the KDC), in decreasing preference
232    order.
234    The client sends the enctype list via the authorization-data of the
235    authenticator in the KRB_AP_REQ [CLAR].  A new authorization data
236    element type AD-ETYPE-NEGOTIATION (129) is defined.  This
237    authorization data element itself is enclosed in the AD-IF-RELEVANT
238    container, thus a correctly implemented server that does not
239    understand this element should ignore it [CLAR].  The value of this
240    authorization element contains the DER [X60] encoding of the
241    following ASN.1 type:
243            EtypeList ::= SEQUENCE OF Int32
244               -- the client's proposed enctype list in decreasing
245               -- preference order, favorite choice first
247    If the EtypeList is present and the server prefers an enctype from
248    the client's enctype list over that of the KRB_AP_REQ authenticator
249    subkey (if that is present) or the service ticket session key, the
250    server MUST create a subkey using that enctype.  This negotiated
251    subkey is sent in the subkey field of KRB_AP_REP message and it MUST
252    be used for subsequent communication.
254    Note that to preserve the quality of randomness provided by the KDC,
255    implementations of this protocol SHOULD consider using the service
256    ticket session key value as a source of additional entropy when
257    generating the negotiated subkey.  If the KRB_AP_REQ authenticator
258    subkey is present, it MAY also be used as a source of entropy.
260    The policy by which the client or the server chooses an enctype
261    (i.e., how the preference order for the supported enctypes is
262    selected) is an implementation-specific local matter.
283 4.  Security Considerations
285    The client's enctype list and the server's reply enctype are part of
286    encrypted data, thus the security considerations are the same as
287    those of the Kerberos encrypted data.
289    In all cases, the communicating peers are exposed to the denial of
290    service threat.
339 5.  IANA Considerations
341    No IANA actions are required for this document.
343 6.  Normative References
345    [CLAR]     Neuman, B., Yu, Y., Hartman, S. and K. Raeburn, "The
346               Kerberos Network Authentication Service (V5)", August
347               2004.
349    [GSS-CFX]  Zhu, L., Jaganathan, K. and S. Hartman, "The Kerberos
350               Version 5 GSS-API Mechanism: Version 2", November 2004.
352    [RFC2119]  Bradner, S., "Key words for use in RFCs to Indicate
353               Requirement Levels", BCP 14, RFC 2119, March 1997.
355    [RFC2743]  Linn, J., "Generic Security Service Application Program
356               Interface Version 2, Update 1", RFC 2743, January 2000.
358    [SPNEGOBIS]
359               Zhu, L., Leach, P., Jaganathan, K., Hartman, S. and W.
360               Ingersoll, "The Simple and Protected GSS-API Negotiation
361               Mechanism", November 2004.
451 Appendix A.  Leveraging this Enctype Negotiation in Windows SPNEGO
452             Implementations
454    The SPNEGO implementations in Windows 2000, Windows XP and Windows
455    2003 do not generate or verify the mechlistMIC field when it is
456    required [SPNEGOBIS].
458    When the SPNEGO implementations that are updated according to
459    [SPNEGOBIS], an SSPI initiator or acceptor needs to determine if the
460    peer is updated, so that it can generate the mechlistMIC token when
461    the peer can process it.  With the bidirectional negotiation, the
462    updated SPNEGO implementation can achieve the following two goals:
464    o  It can remain backward compatible with legacy implementations, if
465       local policy allows unsafe and unprotected negotiation with
466       downlevel implementations when the mechlistMIC token exchange
467       would otherwise be required by [SPNEGOBIS].
468    o  The mechanism negotiation is protected according to [SPNEGOBIS]
469       when both peers are updated.
471    However, the updated SPNEGO implementation itself can not securely
472    inform the peer whether the local implementation is updated, thus it
473    has to obtain such information from the negotiated mechanism.
475    For Windows SPNEGO implementations, both the initiator and the
476    acceptor are assumed to have been updated if a "newer" [CLAR] or
477    different enctype is negotiated for use by the Kerberos GSS-API
478    mechanism.
