<font size=2 color=#800080 face="Calibri"><b>&lt;&lt;comments inline below&gt;&gt;</b></font><br><font size=2 face="sans-serif"><br>Kevin D. Butt<br>SCSI Architect, Tape Firmware, CAMSS<br>T10 Standards<br>MS 6TYA, 9000 S. Rita Rd., Tucson, AZ 85744<br>Tel: 520-799-5280<br>Fax: 520-799-2723 (T/L:321)<br>Email address: kdbutt@us.ibm.com<br></font><a href="http://www-03.ibm.com/servers/storage/"><font size=2 face="sans-serif">http://www-03.ibm.com/servers/storage/</font></a><font size=2 face="sans-serif"></font><br><br><br><br><font size=1 color=#5f5f5f face="sans-serif">From: &nbsp; &nbsp; &nbsp;
&nbsp;</font><font size=1 face="sans-serif">Dennis Appleyard &lt;dennis.appleyard@oracle.com&gt;</font><br><font size=1 color=#5f5f5f face="sans-serif">To: &nbsp; &nbsp; &nbsp;
&nbsp;</font><font size=1 face="sans-serif">t10@t10.org</font><br><font size=1 color=#5f5f5f face="sans-serif">Date: &nbsp; &nbsp; &nbsp;
&nbsp;</font><font size=1 face="sans-serif">02/16/2016 11:54</font><br><font size=1 color=#5f5f5f face="sans-serif">Subject: &nbsp; &nbsp;
&nbsp; &nbsp;</font><font size=1 face="sans-serif">[T10] Tape Stream
Mirroring - Encryption Security</font><br><font size=1 color=#5f5f5f face="sans-serif">Sent by: &nbsp; &nbsp;
&nbsp; &nbsp;</font><font size=1 face="sans-serif">t10-bounces@t10.org</font><br><hr noshade><br><br><br><font size=3>All,<br>I have posted 16-019r1 (SSC-5, ADC-4 : Tape Stream Mirroring ladder diagrams)
with three additional sequence diagrams showing how an application client
can ensure the security of logical block encryption parameters in the tape
stream mirroring destination device when encryption parameters are under
the exclusive control of the sequential-access device server.<br><br>Encryption may also be controlled by an automation/drive interface (see
ADC) or a vendor specific management interface.<br><br>These new functions use the encryption mode locking and key instance counters
described in SSC-5.<br><br>I am proposing the following additional functions: <br><br>SSC - set TSM lock encryption<br>SSC - set TSM reference key instance counter<br>SSC - check TSM lock encryption<br>SSC - check TSM reference key instance counter<br><br>The state of lock encryption and the reference key instance counter are
not allowed to be changed while a tape volume is mounted. </font><br><font size=2 color=#800080 face="Calibri"><b>&lt;&lt;kdbutt: I assume
you mean TSM lock encryption and TSM reference key instance counter? &gt;&gt;</b></font><font size=3><br><br>Setting lock encryption instructs the copy manager to set the </font><font size=2>LOCK</font><font size=3>bit in the SPOUT command Set Data Encryption page when setting the the
scope to PUBLIC in the copy destination. <br><br>The application client sets up the encryption parameters in the copy source
and copy destination. The application client reads the key instance counter
from the copy destination. This becomes the reference key instance counter.
</font><font size=2 color=#800080 face="Calibri"><b>&lt;&lt;kdbutt: Is
there are potential for the copy destination to be changed unnoticed here,
between the set and the read of the instance counter?&gt;&gt;</b></font><font size=3>The
application client passes the reference key instance counter and lock encryption
to the copy source (copy manager). The tape is mounted.&nbsp; After the
tape is mounted the reference key instance counter and state of lock encryption
can not be changed. The application client then checks that the reference
key instance counter and lock encryption were not changed just before the
tape was mounted. The copy manager then reads the key instance counter
from the copy destination and checks that it equals the reference key instance
counter. The copy manger then uses a SPOUT command to set a </font><font size=2>SCOPE</font><font size=3>of PUBLIC and </font><font size=2>LOCK</font><font size=3> bit set to one.
If an unauthorized application client changes the public encryption parameters
being used by the copy destination then write commands will fail because
the key instance counter has changed. </font><font size=2 color=#800080 face="Calibri"><b>&lt;&lt;kdbutt:
By unauthorized, I think you mean any ac other than the copy manager. There
is no intent to bring in &quot;Authorization&quot; as defined in the security
world?&gt;&gt;</b></font><font size=3><br><br>The diagrams show how a change of the encryption parameters in the TSM
copy destination by an unauthorized application client is detected by the
application client, detected by the copy manager or causes write errors
on the destination device. <br><br>The new diagrams are;<br>Application Control of Tape Stream Mirroring (TSM) with Encryption - Rogue
SPOUT Before TSM<br>Application Control of Tape Stream Mirroring (TSM) with Encryption - Rogue
SPOUT Start TSM<br>Application Control of Tape Stream Mirroring (TSM) with Encryption - Rogue
SPOUT During TSM<br><br>I plan to discuss these diagrams on the Telecon Thursday February 18 &nbsp;
9:00a - 11:00a PST.<br><br>Thanks,<br>Dennis Appleyard<br>Oracle<br><br><br><br><br>&nbsp;</font><tt><font size=2>_______________________________________________<br>T10 mailing list<br>T10@t10.org<br></font></tt><a href=http://www.t10.org/mailman/listinfo/t10><tt><font size=2>http://www.t10.org/mailman/listinfo/t10</font></tt></a><tt><font size=2><br></font></tt><br><br><BR>