home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 930208-01 < prev    next >
Encoding:
Internet Message Format  |  1993-05-21  |  7.4 KB
  1. Date: Mon, 8 Feb 93 16:07:41 EST
  2. From: map@yogi.siemens.com (Michael Platoff)
  3. Message-Id: <9302082107.AA10812@yogi.siemens.com>
  4. To: firewalls@greatcircle.com
  5. Subject: Dynamic password cards
  6.  
  7.  
  8. Many people have contacted me about the results of my query for
  9. vendors who sell dynamic password cards.  I've attached the most
  10. informative message I received about these devices. There were
  11. some other replies about software-only solutions, but I'm looking
  12. for a device that a user can carry around with them to use from a
  13. terminal or arbitrary node on the Internet.
  14.  
  15. Michael Platoff               email: map@scr.siemens.com
  16. Siemens Corporate Research    phone: (609) 734-3354
  17. 755 College Road East
  18. Princeton, NJ 08540-6668
  19.  
  20. ------- Start of forwarded message -------
  21. X-VM-Attributes: [nil nil nil nil nil]
  22. Status: RO
  23. Return-Path: <nestey@csn.org>
  24. Received: from siemens.siemens.com by yogi.siemens.com (4.1/SMI-4.1)
  25.     id AA09080; Fri, 5 Feb 93 16:35:38 EST
  26. Received: from teal.csn.org by siemens.siemens.com with smtp
  27.     (Smail3.1.28.1 #11) id m0nKaiG-00197rC; Fri, 5 Feb 93 16:35 EST
  28. Received: by teal.csn.org id AA02925
  29.   (5.65c/IDA-1.4.4 for map@yogi.siemens.com); Fri, 5 Feb 1993 14:34:08 -0700
  30. Message-Id: <199302052134.AA02925@teal.csn.org>
  31. From: Nathan Estey <nestey@csn.org>
  32. To: map@yogi.siemens.com
  33. Subject: Re:  Dynamic password cards
  34. Date: Fri, 5 Feb 1993 14:34:08 -0700
  35.  
  36. >From csn!magnus.acs.ohio-state.edu!zaphod.mps.ohio-state.edu!malgudi.oar.net!caen!spool.mu.edu!news.nd.edu!mentor.cc.purdue.edu!noose.ecn.purdue.edu!samsung!transfer!ellisun.sw.stratus.com!cme Tue Oct  6 19:02:00 MDT 1992
  37. Article: 5962 of sci.crypt
  38. Path: csn!magnus.acs.ohio-state.edu!zaphod.mps.ohio-state.edu!malgudi.oar.net!caen!spool.mu.edu!news.nd.edu!mentor.cc.purdue.edu!noose.ecn.purdue.edu!samsung!transfer!ellisun.sw.stratus.com!cme
  39. From: cme@ellisun.sw.stratus.com (Carl Ellison)
  40. Newsgroups: sci.crypt
  41. Subject: RESULTS: challenge login devices
  42. Message-ID: <7015@transfer.stratus.com>
  43. Date: 6 Oct 92 16:26:17 GMT
  44. Sender: usenet@transfer.stratus.com
  45. Organization: Stratus Computer, Software Engineering
  46. Lines: 126
  47.  
  48. A while back, I wrote:
  49.  
  50. >I have heard descriptions of small devices (eg., pocket calculator size)
  51. >which apply a secret DES key to a challenge (random) number to produce a
  52. >response for use in login (instead of a password).  Does anyone out there
  53. >know manufacturers for such devices so that I can get technical and
  54. >price information?
  55.  
  56. Thanks to everyone who responded.
  57.  
  58. I have learned that the manufacturers all call these devices "tokens" or
  59. "password tokens".
  60.  
  61. The following manufacturers have been brought to my attention:
  62.  
  63.     Company                Product Name(s)
  64.     -------                ---------------
  65.  
  66.     Racal-Guardata            WatchWord
  67.     480 Spring Park Place
  68.     Herndon, VA 22070
  69.     (703) 471-0892
  70.  
  71.     Enigma Logic, Inc.        SafeWord (4 versions):
  72.     2151 Salvio #301        Gold Card, Silver Card,
  73.     Concord, CA 94520        AccessCard, MultiSync
  74.     (510) 827-5707
  75.  
  76.     Digital Pathways, Inc.        SecureNet
  77.     201 Ravendale Drive
  78.     Mountain View, CA 94043
  79.     (415) 964-0707
  80.  
  81.     Hughes LAN Systems        ??? (they didn't seem to
  82.     Hughes Aircraft Company        know what I was talking
  83.     1225 Charleston Road        about when I called them)
  84.     Mountain View, CA 94043
  85.     (415) 966-7400
  86.  
  87.     Security Dynamics,        SecureID
  88.     2067 Massachusetts Avenue,
  89.     Cambridge, MA 02140
  90.     (617) 547-7820
  91.  
  92. >From what I've been able to learn so far:
  93.  
  94. =====
  95.  
  96. Racal-Guardata makes a full line of H/W -- modems, key management boxes,
  97. ... -- and supports not just the WatchWord but also smartcards.  For
  98. example, they have a product which is a modem into which you plug your
  99. smartcard, enter a PIN (using keys and an LCD on the modem itself) and from
  100. then on, you are not only authenticated but your line is continuously
  101. encrypted.
  102.  
  103. WatchWord is used by the NCSC's dockmaster system and at least one user out
  104. there thinks it's the best of the lot.  I was impressed with their
  105. provision for multiple (2) keys and PINs -- the use of the PIN directly to
  106. the token (never transmitted).  The WatchWord costs about $90 (quantity 1)
  107. - -- but is a 4 function calculator as well, with memory (yup -- probably a
  108. $5 value :-).
  109.  
  110. WatchWord operates by being challenged with a 7 digit (decimal) number (in
  111. phone number format).  You enter your PIN and that number, then the
  112. calculator gives you a 7-digit response which you type in response to the
  113. login.  It's about 4.125" x 2.25" x 0.375".
  114.  
  115. ====
  116.  
  117. Enigma Logic makes S/W to do the login authentication using almost all the
  118. other tokens, not just their own.  The impression I got was that they
  119. really wanted to sell S/W -- and sold H/W just because it was necessary.
  120.  
  121. SafeWord DES Gold: synchronous -- you enter your PIN and a host number, it
  122. gives you the next password in your sequence.  There's no challenge -- you
  123. have to keep in sync.  [as one person pointed out, you have to make sure
  124. there's no kid in the house to fiddle with it and start generating
  125. passwords you don't use.]  There are up to 8 different hosts provided for.
  126.  
  127. SafeWord DES Silver: synchronous -- press "on" and get the next password.
  128. (no PIN, no multiple hosts)
  129.  
  130. SafeWord AccessCard: public key (allegedly), 7-digit challenge and
  131. response.  Details on the algorithm aren't given in the data sheet I
  132. received from them, so I don't know anything about their algorithm or how
  133. they do key negotiation -- and I especially don't know how secure it is.
  134. The brief sketch of how to initialize it doesn't say anything about having
  135. to type hundreds of digits to and from the host to do key management -- so
  136. it doesn't sound like DH exponential key exchange.
  137.  
  138. SafeWord MultiSync: up to four hosts, any of 4 modes: async (chal/resp);
  139. 1-button synchronous; PIN-async (PIN and challenge); PIN-sync (PIN => next
  140. password).
  141.  
  142. All of these cards are bulky credit card size (3.4" x 2.2" x 0.2")
  143.  
  144. =====
  145.  
  146. SecureNet: two modes: async (chal/resp); sync (enter PIN and digit
  147. selecting 1 of 6 hosts -- get next password in sequence).  Size: 52 x 89 x
  148. 9.8 mm (info from Enigma Logic data sheet).
  149.  
  150. Price about $60, (quantity 2).
  151.  
  152. =====
  153.  
  154. SecureID: time-synchronous: displays a new password continuously, changed
  155. every minute or so.  The host keeps not only your key (for generating the
  156. same sequence) but a synchronized clock.  My detailed info from them is
  157. about to arrive.  This info is from sci.crypt readers.
  158.  
  159. SecureID does not use DES but rather a proprietary PRNG algorithm which was
  160. reviewed and blessed by Ron Rivest.  This card is used by Cray users
  161. worldwide (or so it seems from the responses I got).  It is credit-card
  162. sized and if I remember correctly, in the $60 range (but that's not a real
  163. price quote -- just (possibly flaky) memory).
  164.  
  165. =====
  166.  
  167. stachour@sctc.com sent mail describing some S/W solution their company
  168. sells, but that's not what I was asking for so I didn't follow up.
  169.  
  170. =====
  171.  
  172.  
  173. - --Carl
  174.  
  175.  
  176. >From csn!magnus.acs.ohio-state.edu!zaphod.mps.ohio-state.edu!darwin.sura.net!haven.umd.edu!uunet!dove!csrc.ncsl.nist.gov!clancy Tue Oct  6 19:02:31 MDT 1992
  177. Article: 5966 of sci.crypt
  178. Path: csn!magnus.acs.ohio-state.edu!zaphod.mps.ohio-state.edu!darwin.sura.net!haven.umd.edu!uunet!dove!csrc.ncsl.nist.gov!clancy
  179. From: clancy@csrc.ncsl.nist.gov (Kim Clancy)
  180. Newsgroups: sci.crypt
  181. Subject: Re: RESULTS: challenge login devices
  182. Message-ID: <5975@dove.nist.gov>
  183. Date: 6 Oct 92 18:38:09 GMT
  184. References: <7015@transfer.stratus.com>
  185. Sender: news@dove.nist.gov
  186. Organization: National Institute of Standards & Technology
  187. Lines: 4
  188.  
  189.  
  190.  
  191.  
  192. I use Enigma Logics Multisycn card.  NIST sent it to me since I dial into
  193.  
  194.  
  195. ------- End of forwarded message -------
  196.  
  197.  
  198.