Dwa lata temu Microsoft przejął firmę Credentica założoną przez matematyka Stefana A. Brandsa, autora ciekawego systemu kryptograficznego o nazwie U-Prove. Wczoraj koledzy z MS podesłali link do ogłoszenia o udostępnieniu pierwszej publicznej wersji systemu do testów.

W dużym skrócie U-Prove stanowi ewolucyjnie wyższy poziom obecnych systemów uwierzytelnienia, w których uwierzytelnienie było ściśle połączone z identyfikacją. U-Prove ściśle rozdziela te dwie funkcje bezpieczeństwa i wprowadza jeszcze jedną - anonimowość. Nie ma w tym oczywiście żadnej magii, tylko kawałek solidnej matematyki i częste sięganie do technik takich jak dowody z wiedzą zerową.

U-Prove sprawia wrażenie spójnego i dobrze przemyślanego systemu umożliwiającego precyzyjne określenie jakiej konkretnie informacji potrzebuje od nas dany system - np. czy posiadamy określone uprawnienia - bez identyfikowania się swoją pełną tożsamością. Porównując to do istniejących systemów koncepcja U-Prove znajduje się gdzieś w okolicach certyfikatów atrybutów X.509 i twierdzeń SAML tyle, że z większym naciskiem położonym na prywatność osoby legitymującej się określonymi prawami.

Wśród dotychczasowych technologii Microsoftu U-Prove lokuje się z kolei w okolicach Active Directory Federation Services (ADFS), CardSpace i Windows Identity Foundation. Microsoft publikuje komponenty U-Prove na licencji Open Specification Promise. Udostępnił także wraz z kodem źródłowym dwie implementacje - w C i w Javie.

Szczegółowy opis U-Prove od podstaw do szczegółów można znaleźć w dostępnej w całości on-line książce Brandsa Rethinking Public Key Infrastructures and Digital Certificates; Building in Privacy oraz na stronie Microsoft CTP.

NIST wybiega w przyszłość udostępniając poradnik bezpieczeństwa IPv6.

Choć IPv6 w praktyce jest konsumentom praktycznie nieznane to należy oczekiwać, że w ciągu najbliższych lat ruchu IPv6 będzie coraz więcej. Co gorsza, nadchodząca dekada będzie prawdopodobnie głównie ruchu mieszanego - w tych samych sieciach będzie krążyć zarówno IPv4 jak i IPv6.

Ze względu na radykalnie odmienną od obecnie dominującego modelu RFC 1918 filozofię IPv6 - oraz jeszcze bardziej odmienną filozofią double-stack - warto zapoznać się z opublikowanym przez NIST dokumentem.

O ile IPv6 czyni niektóre typowe dzisiaj techniki w praktyce niewykonalnymi (np. skanowanie całych podsieci) o tyle nie łudziłbym się, że po jego wdrożeniu specjaliści od bezpieczeństwa sieci będą bezrobotni.

Dokument ma status draft, więc można do niego zgłaszać uwagi:

Jak już kiedyś pisałem, DNSSEC cierpi na klasyczną chorobę monumentalizmu i złego planowania. Jest to rozwiązanie stosunkowo prostego problemu, które powstaje od kilkunastu lat i powstać nijak nie może. Pisałem też wtedy,dlaczego.

Duży amerykański operator kablowy Comcast poinformował o testowych wdrożeniu DNSSEC na swoich serwerach. Usługa ma być dostępna domyślnie włączona dla wszystkich klientów pod koniec roku.

Równocześnie jednak tylko jedna piąta z amerykańskich rządowych serwerów włączyło DNS pomimo terminu wyznaczonego na 31 grudnia ubiegłego roku. Z trzynastu światowych serwerów głównych DNSSEC mają włączone tylko dwa (TheRegister).

Z kolei inny duży operator OpenDNS, zniecierpliwiony przekombinowaną technologią DNSSEC, uruchomił własne rozwiązanie pod nazwą DNSCurve. System jest o wiele prostszy i oparty o kryptografię krzywych eliptycznych (draft-dempsky-dnscurve).

Że nowość? No cóż, przecież NSEC3 wcale nie jest wiele dojrzalszy. Warto też przeczytać, co o DNSSEC pisał Andrzej Bartosiewicz z NASK w 2009 roku i co pisał miesiąc temu.