Dwa lata temu Microsoft przejął firmę Credentica założoną przez matematyka Stefana A. Brandsa, autora ciekawego systemu kryptograficznego o nazwie U-Prove. Wczoraj koledzy z MS podesłali link do ogłoszenia o udostępnieniu pierwszej publicznej wersji systemu do testów.

W dużym skrócie U-Prove stanowi ewolucyjnie wyższy poziom obecnych systemów uwierzytelnienia, w których uwierzytelnienie było ściśle połączone z identyfikacją. U-Prove ściśle rozdziela te dwie funkcje bezpieczeństwa i wprowadza jeszcze jedną - anonimowość. Nie ma w tym oczywiście żadnej magii, tylko kawałek solidnej matematyki i częste sięganie do technik takich jak dowody z wiedzą zerową.

U-Prove sprawia wrażenie spójnego i dobrze przemyślanego systemu umożliwiającego precyzyjne określenie jakiej konkretnie informacji potrzebuje od nas dany system - np. czy posiadamy określone uprawnienia - bez identyfikowania się swoją pełną tożsamością. Porównując to do istniejących systemów koncepcja U-Prove znajduje się gdzieś w okolicach certyfikatów atrybutów X.509 i twierdzeń SAML tyle, że z większym naciskiem położonym na prywatność osoby legitymującej się określonymi prawami.

Wśród dotychczasowych technologii Microsoftu U-Prove lokuje się z kolei w okolicach Active Directory Federation Services (ADFS), CardSpace i Windows Identity Foundation. Microsoft publikuje komponenty U-Prove na licencji Open Specification Promise. Udostępnił także wraz z kodem źródłowym dwie implementacje - w C i w Javie.

Szczegółowy opis U-Prove od podstaw do szczegółów można znaleźć w dostępnej w całości on-line książce Brandsa Rethinking Public Key Infrastructures and Digital Certificates; Building in Privacy oraz na stronie Microsoft CTP.

NIST wybiega w przyszłość udostępniając poradnik bezpieczeństwa IPv6.

Choć IPv6 w praktyce jest konsumentom praktycznie nieznane to należy oczekiwać, że w ciągu najbliższych lat ruchu IPv6 będzie coraz więcej. Co gorsza, nadchodząca dekada będzie prawdopodobnie głównie ruchu mieszanego - w tych samych sieciach będzie krążyć zarówno IPv4 jak i IPv6.

Ze względu na radykalnie odmienną od obecnie dominującego modelu RFC 1918 filozofię IPv6 - oraz jeszcze bardziej odmienną filozofią double-stack - warto zapoznać się z opublikowanym przez NIST dokumentem.

O ile IPv6 czyni niektóre typowe dzisiaj techniki w praktyce niewykonalnymi (np. skanowanie całych podsieci) o tyle nie łudziłbym się, że po jego wdrożeniu specjaliści od bezpieczeństwa sieci będą bezrobotni.

Dokument ma status draft, więc można do niego zgłaszać uwagi: