<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Aptos;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        font-size:11.0pt;

        font-family:"Aptos",sans-serif;

        mso-ligatures:standardcontextual;

        mso-fareast-language:EN-US;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Aptos",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:11.0pt;

        mso-fareast-language:EN-US;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:72.0pt 72.0pt 72.0pt 72.0pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-GB" link="#467886" vlink="#96607D" style="word-wrap:break-word">

<div class="WordSection1">

<p class="MsoNormal">Hi everyone,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">As discussed during the joint sec/dtn wg meeting at the last CCSDS spring meeting, here are the findings of Lukas (also in CC) and  the proposed changes to the BPSec tests in the BPSec draft book.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">All issues are in the attached file but for convenience also inline in the email here.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Proposed changes to the CCSDS BUNDLE PROTOCOL SECURITY SPECIFICATION red book draft CCSDS 734.5-R-2<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Changes for the A2.2 REQUIREMENTS LIST<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-----------------------------------------<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Test: #24<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Description: A BIB integrity value MUST NOT be checked if the security target associated with that value is also the security target of a BCB.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Reference: RFC 9172 Section 3.9<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Issue: Test #24 is an implication. The description text should rather be a CAN NOT than a MUST NOT. It is also already covered by Test #50. The description text and reference text of test #50 tell why.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">RFC 9172 Section 5.1.2: A BIB MUST NOT be processed if the security target of the BIB is also the security target of a BCB in the bundle. Given the order of operations mandated by this specification, 

<o:p></o:p></p>

<p class="MsoNormal">when both a BIB and a BCB share a security target, it means that the security target must have been encrypted after it was integrity signed; therefore, the BIB cannot be verified until the security target has been decrypted by processing

 the BCB.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Proposed Action: REMOVE Test 24<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-----------------------------------------<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Test: #25<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Description: A BIB MUST NOT have a BCB as its security target.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Reference: RFC 9172 Section 3.9<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Issue: Test is a subset of test #7. Test #7 description: A security target listed in the Security Targets field of a BIB MUST NOT reference a security block defined in RFC 9172 (e.g., a BIB or a BCB).<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Proposed Action: REMOVE test #25<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-----------------------------------------<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Test: #32<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Description: If processing a security operation fails, the target SHALL be processed according to the security policy.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Reference: RFC 9172 Section 5.1.1<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Issue: Description is ambiguous with test #47. Difference only noticeable through section reference.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Proposed Action: CHANGE description<o:p></o:p></p>

<p class="MsoNormal">From: If processing a security operation fails, the target SHALL be processed according to the security policy.<o:p></o:p></p>

<p class="MsoNormal">To: If processing a BCB security operation fails, the target SHALL be processed according to the security policy.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-----------------------------------------<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Test: #33<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Description: If processing a security operation fails, a bundle status report indicating the failure MAY be generated.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Reference: RFC 9172 Section 5.1.1<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Issue: Description is ambiguous with test #48. Difference only noticeable through section reference.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Proposed Action: CHANGE description<o:p></o:p></p>

<p class="MsoNormal">From: If processing a security operation fails, a bundle status report indicating the failure MAY be generated.<o:p></o:p></p>

<p class="MsoNormal">To: If processing a BCB security operation fails, a bundle status report indicating the failure MAY be generated.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-----------------------------------------<o:p></o:p></p>

<p class="MsoNormal">Test: #47<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Description: If processing a security operation fails, the target SHALL be processed according to the security policy.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Reference: RFC 9172 5.1.2<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Issue: Description text is ambiguous with test #32. Difference only noticeable through section reference.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Proposed Action: CHANGE description<o:p></o:p></p>

<p class="MsoNormal">From: If processing a security operation fails, the target SHALL be processed according to the security policy.<o:p></o:p></p>

<p class="MsoNormal">To: If processing a BIB security operation fails, the target SHALL be processed according to the security policy.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-----------------------------------------<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Test: #48<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Description: If processing a security operation fails, a bundle status report indicating the failure MAY be generated.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Reference: RFC 9172 Section 5.1.2<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Issue: Description text is ambiguous with test #33. Difference only noticeable through section reference.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Proposed Action: CHANGE description<o:p></o:p></p>

<p class="MsoNormal">From: If processing a security operation fails, a bundle status report indicating the failure MAY be generated.<o:p></o:p></p>

<p class="MsoNormal">To: If processing a BIB security operation fails, a bundle status report indicating the failure MAY be generated.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-----------------------------------------<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Test: #53<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Description: If a the security target is the payload or primary block, the bundle MAY be discarded. This action can occur at any node that has the ability to verify an integrity signature, not just the bundle destination.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Reference: RFC 9172 Section 5.1.2<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Issue: Apart from the wrong 'a' in the beginning, There is some descriptive text missing on the cause, saying why the action might be taken. This can only be acquired with the section reference.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Proposed Action: CHANGE description<o:p></o:p></p>

<p class="MsoNormal">From: If a the security target is the payload or primary block, the bundle MAY be discarded. This action can occur at any node that has the ability to verify an integrity signature, not just the bundle destination.<o:p></o:p></p>

<p class="MsoNormal">To: If the security policy of a node specifies that a node should have applied integrity to the payload or primary block, but no such BIB is present in the bundle, the bundle MAY be discarded. This action can occur at any node that has

 the ability to verify an integrity signature, not just the bundle destination.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-----------------------------------------<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Test: #59<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Description: If it is necessary for a node to fragment a bundle payload, and security services have been applied to that bundle, the fragmentation rules described in reference [2] MUST be followed.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Reference: RFC 9172 Section 5.2<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Issue: Applying fragmentation can break existing integrity protection<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Proposed Action: REMOVE test #59<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Kind regards,<o:p></o:p></p>

<p class="MsoNormal">Lars<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-GB">-- <o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-GB">Lars Baumgaertner<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-GB">Internal Research Fellow (OPS-GAE)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-GB">European Space Agency ESA/ESOC<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-GB">Robert-Bosch-Str. 5, D-64293 Darmstadt</span><span style="mso-fareast-language:EN-GB"><o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

This message is intended only for the recipient(s) named above. It may contain proprietary information and/or protected content. Any unauthorised disclosure, use, retention or dissemination is prohibited. If you have received this e-mail in error, please notify

 the sender immediately. ESA applies appropriate organisational measures to protect personal data, in case of data privacy queries, please contact the ESA Data Protection Officer (dpo@esa.int).

</body>

</html>