<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
<font color="#009900">&lt;&lt; My inline responses to Kevin's comments
&gt;&gt; </font><br>
<br>
Kevin D Butt wrote:
<blockquote cite="mid201602172122.u1HLMHaf032395@d01av03.pok.ibm.com"
 type="cite"><font color="#800080" face="Calibri" size="2"><b>&lt;&lt;comments
inline below&gt;&gt;</b></font><br>
  <font face="sans-serif" size="2"><br>
Kevin D. Butt<br>
SCSI Architect, Tape Firmware, CAMSS<br>
T10 Standards<br>
MS 6TYA, 9000 S. Rita Rd., Tucson, AZ 85744<br>
Tel: 520-799-5280<br>
Fax: 520-799-2723 (T/L:321)<br>
Email address: <a class="moz-txt-link-abbreviated" href="mailto:kdbutt@us.ibm.com">kdbutt@us.ibm.com</a><br>
  </font><a href="http://www-03.ibm.com/servers/storage/"><font
 face="sans-serif" size="2">http://www-03.ibm.com/servers/storage/</font></a><br>
  <br>
  <br>
  <br>
  <font color="#5f5f5f" face="sans-serif" size="1">From: &nbsp; &nbsp; &nbsp;
&nbsp;</font><font face="sans-serif" size="1">Dennis Appleyard
<a class="moz-txt-link-rfc2396E" href="mailto:dennis.appleyard@oracle.com">&lt;dennis.appleyard@oracle.com&gt;</a></font><br>
  <font color="#5f5f5f" face="sans-serif" size="1">To: &nbsp; &nbsp; &nbsp;
&nbsp;</font><font face="sans-serif" size="1"><a class="moz-txt-link-abbreviated" href="mailto:t10@t10.org">t10@t10.org</a></font><br>
  <font color="#5f5f5f" face="sans-serif" size="1">Date: &nbsp; &nbsp; &nbsp;
&nbsp;</font><font face="sans-serif" size="1">02/16/2016 11:54</font><br>
  <font color="#5f5f5f" face="sans-serif" size="1">Subject: &nbsp; &nbsp;
&nbsp; &nbsp;</font><font face="sans-serif" size="1">[T10] Tape Stream
Mirroring - Encryption Security</font><br>
  <font color="#5f5f5f" face="sans-serif" size="1">Sent by: &nbsp; &nbsp;
&nbsp; &nbsp;</font><font face="sans-serif" size="1"><a class="moz-txt-link-abbreviated" href="mailto:t10-bounces@t10.org">t10-bounces@t10.org</a></font><br>
  <hr noshade="noshade"><br>
  <br>
  <br>
  <font size="3">All,<br>
I have posted 16-019r1 (SSC-5, ADC-4 : Tape Stream Mirroring ladder
diagrams)
with three additional sequence diagrams showing how an application
client
can ensure the security of logical block encryption parameters in the
tape
stream mirroring destination device when encryption parameters are
under
the exclusive control of the sequential-access device server.<br>
  <br>
Encryption may also be controlled by an automation/drive interface (see
ADC) or a vendor specific management interface.<br>
  <br>
These new functions use the encryption mode locking and key instance
counters
described in SSC-5.<br>
  <br>
I am proposing the following additional functions: <br>
  <br>
SSC - set TSM lock encryption<br>
SSC - set TSM reference key instance counter<br>
SSC - check TSM lock encryption<br>
SSC - check TSM reference key instance counter<br>
  <br>
The state of lock encryption and the reference key instance counter are
not allowed to be changed while a tape volume is mounted. </font><br>
  <font color="#800080" face="Calibri" size="2"><b>&lt;&lt;kdbutt: I
assume
you mean TSM lock encryption and TSM reference key instance counter?
&gt;&gt; <font color="#009900">&lt;&lt;&nbsp; Yes &gt;&gt; </font></b></font><font
 size="3"><font color="#009900"><br>
  </font><br>
Setting lock encryption instructs the copy manager to set the </font><font
 size="2">LOCK</font><font size="3"> bit in the SPOUT command Set Data
Encryption page when setting the the
scope to PUBLIC in the copy destination. <br>
  <br>
The application client sets up the encryption parameters in the copy
source
and copy destination. The application client reads the key instance
counter
from the copy destination. This becomes the reference key instance
counter.
  </font><font color="#800080" face="Calibri" size="2"><b>&lt;&lt;kdbutt:
Is
there are potential for the copy destination to be changed unnoticed
here,
between the set and the read of the instance counter?&gt;&gt;</b></font><font
 size="3"> <font color="#009900"><b><small>&lt;&lt;&nbsp; Yes, that is why
the application client does a SPIN command to read the Data Encryption
Status page and checks that the I_T_NEXUS SCOPE</small> field is still
set to ALL I_T_NEXUS. If some other application had changed the
encryption parameters on the copy destination using a <small>SCOPE</small>
of ALL I_T_NEXUS then the <small>I_T_NEXUS SCOPE</small> reported by
the SPIN command would have changed to PUBLIC. &gt;&gt; </b>&nbsp; </font>The
application client passes the reference key instance counter and lock
encryption
to the copy source (copy manager). The tape is mounted.&nbsp; After the
tape is mounted the reference key instance counter and state of lock
encryption
can not be changed. The application client then checks that the
reference
key instance counter and lock encryption were not changed just before
the
tape was mounted. The copy manager then reads the key instance counter
from the copy destination and checks that it equals the reference key
instance
counter. The copy manger then uses a SPOUT command to set a </font><font
 size="2">SCOPE </font><font size="3">of PUBLIC and </font><font
 size="2">LOCK</font><font size="3"> bit set to one <b><font
 color="#009900">&lt;&lt; in the copy desetination &gt;&gt;</font></b>.
If an unauthorized application client changes the public encryption
parameters
being used by the copy destination then write commands will fail
because
the key instance counter has changed. </font><font color="#800080"
 face="Calibri" size="2"><b>&lt;&lt;kdbutt:
By unauthorized, I think you mean any ac other than the copy manager.
There
is no intent to bring in "Authorization" as defined in the security
world?&gt;&gt;<big> <font color="#009900">&lt;&lt; </font></big></b></font><font
 color="#800080" face="Calibri"><b><font color="#009900">That is correct</font></b></font><font
 color="#800080" face="Calibri" size="2"><b><big><font color="#009900">
&gt;&gt;</font></big></b></font><font size="3"><br>
  <br>
The diagrams show how a change of the encryption parameters in the TSM
copy destination by an unauthorized application client is detected by
the
application client, detected by the copy manager or causes write errors
on the destination device. <br>
  <br>
The new diagrams are;<br>
Application Control of Tape Stream Mirroring (TSM) with Encryption -
Rogue
SPOUT Before TSM<br>
Application Control of Tape Stream Mirroring (TSM) with Encryption -
Rogue
SPOUT Start TSM<br>
Application Control of Tape Stream Mirroring (TSM) with Encryption -
Rogue
SPOUT During TSM<br>
  <br>
I plan to discuss these diagrams on the Telecon Thursday February 18 &nbsp;
9:00a - 11:00a PST.<br>
  <br>
Thanks,<br>
Dennis Appleyard<br>
Oracle<br>
  <br>
  <br>
  <br>
  <br>
&nbsp;</font><tt><font size="2">_______________________________________________<br>
T10 mailing list<br>
<a class="moz-txt-link-abbreviated" href="mailto:T10@t10.org">T10@t10.org</a><br>
  </font></tt><a href="http://www.t10.org/mailman/listinfo/t10"><tt><font
 size="2">http://www.t10.org/mailman/listinfo/t10</font></tt></a><tt><font
 size="2"><br>
  </font></tt><br>
  <br>
  <br>
</blockquote>
</body>
</html>