Hva' så Stephan, er du glad nu?
http://www.microsoft.com/uprove
[Update 3. Marts 2010. kl 17.00] På opfordring fra redaktionen skriver jeg følgende fodnote: Overskriftens retoriske spørgsmål tilsyneladende rette mod en vis Stephan er skrevet for at give mine åndsfælle Stephan Engberg plads til at uddybe om U-Prove ændrer noget i Stephans verdenbillede vedr. privacy problemstillinger.
*Jeg håber at få en god debat rækkende fra Stephans idealistiske tilgang mod andres mere pratiske adgang til privacy. U-Prove er et praktisk tiltag i den debat, som til tider er præget af meget teoretiske fra Stephan. *
*Så hvad skal U-Prove gøre godt for? Det bedste U-Proves sales pitch jeg har set er *fundet hos Vittorio Bertocci: "Conventional wisdom suggests that if you want to increase security, you need to sacrifice some privacy: if you took a flight in the last decade you know exactly what I mean. We are so used to that tradeoff that you consider it one of the many Heisenberg principles governing computer science. *But what if this status quo could be broken' What if you could have security AND privacy'**"*
Det var mit håb at det korte indlæg ville anspore en debat, hvor andre - mere vidende personer - kunne bidrage med indsigt i U-Prove. Det er delvist lykkedes da både Jakob Illeborg Pagter fra Alexandra Institutet de seneste års sikkerhedsomdrejningspunkt fra Århus Universitet og Mr DanId himself, Peter Lind Damkjær, begge har vist interesse. Tak til jer begge for det.
Jeg erkender at man skal have en forkærlighed for Stephans debatindlæg for at kunne se sammenhængen mellem overskrift og indlæggets link. Derfor denne uddybning.
Kommentarer (32)
Øhh, er det ikke bare et almindeligt digital signatur system i en Microsoft indpakning, eller hvad er det egentlig som er så revolutionerende?
-
0 -
0
Eller gør noget ud af blogposten med (kritisk) gennemgang af produktet/konceptet/{...}.
-
0
-
0
Jeg så annonceringen af Scott Charney her til morgen. Som Jacob ovenfor, var det mig ikke helt klart hvorved det adskiller sig almindelige Information Cards i Cardspace.
Takket være dit link, synes det nye at være en art offline information cards (offline i forhold til IDP'en), hvor det persistente pseudonym (eller PPID'en) er ukendt for IdP.
Er det korrekt forstået?
/Peter Lind Damkjær
-
0
-
0
Øhh, er det ikke bare et almindeligt digital signatur system i en Microsoft indpakning
Ikke lige. I et almindeligt digital signatur-system er du entydigt identificeret med deraf følgende privacyproblematikker. Med U-Prove er ideen at du kan bevise egenskaber, fx din alder, uden at afsløre din fulde identitet.
Hvis du kikker på Fraunhofer-videon som du kan finde her: http://www.identityblog.com/, er eksemplet at du som indskrevet studerende kan læse on-line-bøger uden at der er nogen der kan se hvilke bøger netop du læser. Vha. U-Prove beviser du blot at du er indskrevet, ikke hvem du er.
Med et traditionelt signatur-system, som fx det vi bruger her i landet, vil du uværgerligt skulle afsløre din fulde identitet for at kunne læse e-bøgerne, og man vil dermed kunne lave en profil over hvilke bøger du læser.
-
0
-
0
Der findes en Wired-artikel, som beskriver filosofien bag teknologien, som den så ud i en tidligere iteration:
http://www.wired.com/politics/security/news/2008/02/credentica
-
0
-
0
hvis man ikke kan se at Uprove CTP er et spænende bud på at løse nogle af de problemer som Stephan Engberg gang på gang angriber offentlige myndigheder og private virksomheder for at ignorere.
Rene - en genial blogpost, hvor du sparer den faste Version2 læser for en masse bla. bla. To the point.
Hatten af for MS for at komme med et bud på en åben specifikation med tilhørende OSS på en BSD licens. Det er fandme i orden.
Til Stephan - Nu bliver jeg sku nysgerrig - er Uprove CTP et skridt i den rigtige retning?
-
0
-
0
[...] er eksemplet at du som indskrevet studerende kan læse on-line-bøger uden at der er nogen der kan se hvilke bøger netop *du* læser. Vha. U-Prove beviser du blot at du er indskrevet, ikke hvem du er.
Der går præcis 7 sekunder fra at NSA- og CIA-folk har erkendt dette, til de stiller spørgsmålet:
"Kan vi så ikke se hvilke Al-Qaeda folk der låner kemibøger og fly-manualer?"
Og så kører møllen igen, og Stephan må til at poste indlæg...
-
0
-
0
Af ren interesse, hvorfor har i ikke lagt SDK'et op på CodePlex?
Det ser ihvertfald interessant ud. Og jeg blev lidt overrasket over et Java SDK, men så meget desto bedre (så kan vi ikke bruge tid på at porte det selv).
-
0
-
0
Hej Peter,
Den korte blogpost er et udtryk for min begrænsede viden om emnet.
Som jeg forstår det er det et nyt token format supporteret af et set af matematiske tiltag (jeg er blank!)
Jeg kan se at der også blev publiceret et deep dive i går: http://channel9.msdn.com/shows/Identity/Deep-Dive-into-U-Prove-Cryptogra...
--René
-
0
-
0
Hej Tine,
Det er Stephan (Engberg) jeg henvender mig til, men håber på en bredere debat end kun med Stephan - pls join.
Hvis du læser lidt fra arkivet på blogs og artikler på Version2 og cw.dk og på DR, vil du kunne iagtage Stephan udtrykke sine betænkligheder vedr privacy problemstillinger ved IT systemer.
Stephan giver stemme til en generel bekymring som mange har - også undertegnede.
Jeg ved at Stephan er interesseret i denne teknologi og at han har udforsket den og jeg vil derfor være interesseret i en debat som måske kan løfte IT systemer ud af mange af de privacy problemstillinger som de fleste af os er konfronteret med professionelt og privat.
--René
-
0
-
0
Jeg ved det ikke, men gætter på at hvis det ligger på microsoft.com/MSDN så signalerer MS at vi tager support og vedligeholdelse, imodsætning til Codeplex hvor det typisk er community som gør det.
--René
-
0
-
0
Der går præcis 7 sekunder fra at NSA- og CIA-folk har erkendt dette, til de stiller spørgsmålet: "Kan vi så ikke se hvilke Al-Qaeda folk der låner kemibøger og fly-manualer?" Og så kører møllen igen, og Stephan må til at poste indlæg...
Dét må Microsoft have 'luret'.
Og netop derfor er det smart (og uventet) at de offentligtgør koden på denne måde.
Nu er katten ude af sækken, og NSA/CIA etc. kan bare se til.
Det er da herligt.
- Med mindre det indeholder elementer som de (NSA/CIA) allerede har designet bagdøre ind i...
K
-
0
-
0
Som jeg forstår det er det et nyt token format supporteret af et set af matematiske tiltag (jeg er blank!)
Der er en ligetil forklaring her:
http://www.proproco.co.uk/million.html
(hvis man ved hvad RSA går ud på, bør man også kunne sætte sig ind i denne).
Mvh,
-
0
-
0
Hej Vijay,
Relaterer linket til U-prove?
Alternativt kan man læse Stefan Brands bog om U-prove her: http://www.credentica.com/the_mit_pressbook.html
BTW - den er gratis.
--René
-
0
-
0
- Der står : "The purpose of the CTP is to gather feedback from the technical community on the technology." Det er altså ikke et "færdigt" produkt men nærmest et proof-of-concept. Dermed kan licensforholdene ændre sig.
- Der står intet om hvilke(n) kryptering man bruger, i betragtning af at der er adskillige velprøvede sikre og åbne standarder for kryptering er det svært at forstå hvorfor man skulle opfinde et helt nyt krypteringssystem.
- Denne formulering: "You must accept the enclosed License Terms in order to use this software. You cannot distribute download packages." lugter overhovedet ikke af OSS!
- I betragtning af visse af Microsofts formuleringer fra tidligere vil de fleste ved sine fulde fem ikke engang kikke på det da de så efterfølgende stort set ikke må arbejde med noget som ligner uden at overtræde aftalen med Microsoft og uden at det de laver er omfattet af Microsofts licens.
Selv om man er paranoid kan man godt være forfulgt... jeg er selv det bedste bevis. ;-)
-
0
-
0
Relaterer linket til U-prove?
Så vidt jeg kunne læse/forstå er basis i deres teknologi Yao's løsning på "millionær problemet".
Mvh,
-
0
-
0
Det er krypteringsformer udviklet til formålet, hele ideen er at Uprove kan bruges til ting som almindelig kryptering ikke kan bruges til, pga den matematik som er anvendt. Jeg er stadigvæk ikke klar over i hvor høj grad Uprove lever op til dette løfte, men fx hvad man ser i denne video er da i hvert fald rent matematisk spændende: http://channel9.msdn.com/shows/Identity/Deep-Dive-into-U-Prove-Cryptogra... (Advarsel - tung matematik)
-
0
-
0
Millionær problemet kan også formuleres på andre måder og løses med andre algoritmer. Selv synes jeg, at formuleringen som Secure Multiparty Computation er fascinerende, se fx http://www.daimi.au.dk/~jbn/smc.pdf eller et open source framework på http://viff.dk/ . Det har naturligvis ikke samme problemdomæne som det nævnte, men der er et vist overlap.
-
0
-
0
Apropos privacy i det offentlige, så vil jeg tillade mig at gøre opmærksom på følgende høring over et sæt "retningslinjer for fortsat fremme af privacy-hensyn i tværoffentlige digitaliseringsprojekter", der er udarbejdet af en arbejdsgruppe med et lige så lidt mundret navn.
https://www.borger.dk/Lovgivning/Hoeringsportalen/Sider/Fakta.aspx?hpid=...
Høringsbrevet nævner ikke, hvad de præcist beder om kommentarer til, men som jeg forstår det, har man mulighed for at kommentere de foreslåede retningslinjer.
Man bemærker, at retningslinjerne slet ikke kommer omkring de problemstillinger, som Stephan Engberg plejer at rejse i debatten her på v2. Så kvalificeret input fra v2-debattører vil sikkert blive modtaget med interesse.
Høringsfristen er 11. marts (torsdag i næste uge).
-
0
-
0
Maciej,
I teorien ja, i praksis har jeg dog aldrig set det ændre sig fra CTP -> produkt.
Som Jakob skriver og som jeg også opfatter det så er det netop ikke muligt at genbruge kryptering da dette baserer sig på andre matematiske tiltag
Hvis der er noget der strider mod den annoncerede BSD licens så sig til så skal jeg nok route klagen ind i organisationen
Hvis du dermed mener at OSP'en er utilstrækkelig el. lign så er min viden uilstrækkelig - jeg må henvise til de citater om OSP som f.eks finde på wikipedia fra traditionelt OSS venligstemte mennesker
-René
-
0
-
0
Millionær problemet kan også formuleres på andre måder og løses med andre algoritmer.
Nu forstod jeg af den Wired artikel, som bliver linket til lidt længere oppe, at de specifikt brugte Yao's algoritme, derfor jeg linkede til den :-) Men, kan nu godt ved en nærlæsning se at de ikke skriver det, bare at det er samme område de bevæger sig indenfor.
Mvh,
-
0
-
0
.. ser man dybere er det måske ikke tilfældet
http://enthusiasm.cozy.org/archives/2010/03/microsoft-using-patents-to-s...
Ingen tvivl om at det er et meget væsentligt skridt at lægge sourcekoden ud i BSD - og endda med en java-implmentering. Stor ros.
Men ser man nærmere så
a) Er OSD stærkt begrænsende, dvs. IPR er ikke frigivet til andet end det som er specificeret.
b) Det specificerede er låst til en central gatekeeper, IdP, som klart ikke er en acceptabel konstruktion. I praksis en slags SSO.
b.1) Hvis borgeren selv har nøgler som kan authentikere overfor IdP, så har man ikke behov for en IdP.
b.2) Hvis borgeren ikke selv har kontrol over sådanne nøgler så er hele strukturen pivåben for alle de tunge problemer.
IdP kan udgive nøgler i borgerens navn (overholder ikke PKI-transparanskravet) og dermed stjælde identiteten, IdP er designet til at akkumulere viden om borgeren (ellers kan data ikke certificeres), systemet er sårbart overfor misbrug af de klient-nøgler som borgeren netop ikke kontrollerer.
c) Strukturen gør intet for at sikre infrastrukturen. Problemet er at hvis processerne kan kobles via en identificerende infrastruktur, så er U-Prove ikke meget bedre end PKI-certificerede data - som netop ikke kan løse problemet.
d) den manglende frigivelse kan karakteriseres ved at den forhindrer løsninger på ovenstående. Revokation er afgørende i tilfælde af tyveri af id-devices og det frigivne har ikke medtaget de kritiske elementer til at sikre revokation.
e) SOm det fremstår pt. er det en teknologi-monolitisk konstruktion - enten alt U-prove eller intet U-prove - og eftersom modellen er låst til IdP kan man ikke bruge modellen.
f) Ser man rigtigt dybt i modellen vil man konstatere at ikke blot forudsætter modellen at kontrollen ligger hos en IdP - i praksis taler vi stort set kun Live.com fordi kun MS selv har adgang så dybt i sourcekoden at de kan låse til hardware. Og sker så er vi stadig ude i noget "treacherous computing" som nogen kalder det og (un)Trusted Computing som jeg kalder det.
g) Modellen er ikke interoperabel - den semantiske standard til at forstå credentials mangler. Måske forståeligt - men man skal huske at eftersom OSD ikke frigiver IPR og intentionen er at kontrolelre teknologien i et "industry consortium" tagner der sig billedet af den sædvanlige patent pool - som i praksis betyder at de store banker de små på plads omkring en eller anden form for gatekeeper kartel struktur.
f) Hvis man ikke har semantisk beskrevet credentials og ikke kan kontrollere nøgler klient-side, ender man i hardkodede antagelser som bliver til legacy - i praksis stort set hvad vi har i dag hvor man bare bruger U-Prove i stedet for Nemid - men reelt ikke vinder særligt meget.
Forbehold for yderligere.
Så - selvom jeg har al grund til at tro at titlaget var i den bedste mening - så er strukturen alligevel indrettet så den er stort set ubrugelig. Og samtidig skaber den en pseudo-legitimerende historie - teknologien er flot, så må applikationsdesignet også være det - men nej.
Kort sagt - på trods af ihærdige forsøg på at lokalisere blot en enkelt case som kan implementeres i sin helhed med det frigivne, så er det ikke lykkedes.
Og det skal ses i forhold til at jeg reelt ikke er stødt på cases som ikke kan håndteres win-win hvis blot man designer hele vejen rundt om casen.
-
0
-
0
Rene
En betragtning som jeg tror man har overset i Seattle er, at hele setuppet antager at ALLE credentials tilknyttet en identitet er U-prove baseret.
Dvs. det er alt eller intet.
Eftersom U-Prove langtfra kan dække alle sikkerhedsaspekter for en identitet, bliver selve arkitekturen altså ødelæggende for sig selv - den er ikke-interoperabel.
No mistake - selektive disclosure er en meget vigtig teknologi og byggeklods i ethvert security design - men vi har behov for mere grundliggende arbejde omkring interoeprabilitet og specielt borgerkort, dvs. din mulighed for at styre dine mange forskellige typer af nøgler og beviser.
-
0
-
0
Hej Stephan,
Jeg skylder dig svar ...here goes:
a)Jeg ved at man er gået så langt så muligt og at man har konsulteret alle førende IT jurister for at få OSP til at blive så spiselig for alle så muligt.
Hvis der er noget der mangler skal laves om så bringer jeg det gerne videre. Som du kan se i det link du medsender så har Christian Paquin svaret - håber det dækker, dine behov.
b)Der står ikke noget om hvor IdP er placeret - medgivet for det meste er det en central CA lignende funktion.
b.1)Rigtigt, men jeg er uenig med dig i din meget sympatiske, men i min erfaring stærkt urealistiske tro på at brugerne er de bedste til selv at varetage, beskytte og vedligeholde egne identitetsoplysninger.
b.2)...eller også er det netop det pratisk mulige
c)Det forstår jeg ikke - U-Prove understøtter jo netop unlinkability
d)Der er revocation i U-Prove, hvad er det for "kritiske elementer"?
e)U-Prove kan leve parallelt med andre teknologier og indgå en en token transformation arkitektur. Hvis du savner andet så er der stadig mulighed for at du kan påvirke initiativerne (det er jo kun et CTP) og dine ideer er velkomne og jeg forventer jo også at du allerede er i kontakt med produktgruppen?...ellers lad mig vide det jeg.
f)Det forstår jeg ikke. Hvis du taler om applied U-Prove f.eks i Identity Metasystem så ja, det er tilknyttet IdP, men dit system bestemmer du hvem IdP er. IdP kan være 3 subjekter: bruger, serviceprovider eller betroet 3.part.
For mig at se siger U-prove ikke hvem der er IdP ... det er vel op til os der bygger IT-systemer og vore kunder at finde ud af hvem IdP er, ikk?
g-h)Enig, men er det teknologi leverandørens opgave at sikre semantisk interop? Ikke i min optik, det må være op til de aktører som indegår i de forretningstransaktioner som U-Prove bruges til at sikre. Det mener jeg i øvrigt ikke kun gælder for U-Prove, men også for de fleste andre teknologoer feks SAML.
...og til sidst angående applikationsdesign så er dette CTP netop udgivet for at få feedback på hvad der er det rigtige at gøre og hvordan teknologien skal implementeres og hvordan den kan benyttes.
--René
-
0
-
0
Rene
OSP betyder no-can-touch fordi man eksplicit kun har frigivet det som er specificeret. Den invaliderer valget af BSD. Vi kan og tør ikke røre koden uden at risikere et sagsanlæng førend patenterne udløber og vi kan ikke løse et eneste problem med det nuværende setup.
Det triste er at jeg ikke tror det er bevidst - det er blot corporate legal affairs når de er værst.
b)Der står ikke noget om hvor IdP er placeret - medgivet for det meste er det en central CA lignende funktion. .. f)Det forstår jeg ikke. Hvis du taler om applied U-Prove f.eks i Identity Metasystem så ja, det er tilknyttet IdP, men dit system bestemmer du hvem IdP er. IdP kan være 3 subjekter: bruger, serviceprovider eller betroet 3.part. For mig at se siger U-prove ikke hvem der er IdP ... det er vel op til os der bygger IT-systemer og vore kunder at finde ud af hvem IdP er, ikk?
Vi skal slet ikke have en Idp - ud med dem. HELT VÆK.
Transacitonsrelateret Identifikation og accountability skal IKKE være noget som styres server-side og skaber flaskehalse.
Vi skal have en passiv CA - om de bruger PKi eller U-Prove er ligegyldigt.
Dernæst skal din IdP være dit eget borgerkort og SP agerer IdP på attributter så SP ikke behøver at blive en koblende part.
c)Det forstår jeg ikke - U-Prove understøtter jo netop unlinkability
I teorien ja, men det hele invalideres igen af valget af standard, setuppet med IdP og kobling i infrastrukturen. Desuden er den kommercielle kobleing farlig at undervurdere som vi f.eks. så allerede med TDC som ville koble af bagdøren via sharingen af revocation lists. Kombineret med netværkseffekten bliver IdP-en en rigtig grim konstruktion.
I praksis bliver Live-Id en Nem-Id klon eller rettere Nem-Id var en klon af Microsoft Passport - blot værre.
b.1)Rigtigt, men jeg er uenig med dig i din meget sympatiske, men i min erfaring stærkt urealistiske tro på at brugerne er de bedste til selv at varetage, beskytte og vedligeholde egne identitetsoplysninger.
Det er interessen som taler - ikke behovet.
Fremtiden er noget du skaber - hvis du definerer brugeren som dum, så gør du hende dum.
b.2)...eller også er det netop det pratisk mulige
Jeg har intet problem med overgangsløsninger. Jeg har et problem med modeller som forhindrer løsninger fordi de netop ikke er designet til at være overgangsløsniger.
Problemet er den interesse som du netop beskriver ovenfor. Alle elsker at eje kunden - ingen vil sætte kunden fri.
d)Der er revocation i U-Prove, hvad er det for "kritiske elementer"?
Masser - sikring af kanalen, interoperabilitet, betinget identifikation UDEN IdP er involveret.
U-Prove har nogle former for revocation, men vi har behov for mange flere og meget mere forskellige.
g-h)Enig, men er det teknologi leverandørens opgave at sikre semantisk interop? Ikke i min optik, det må være op til de aktører som indegår i de forretningstransaktioner som U-Prove bruges til at sikre. Det mener jeg i øvrigt ikke kun gælder for U-Prove, men også for de fleste andre teknologoer feks SAML.
Ikke på det niveau. Applikationsspecfikt - ja - såsom f.eks. IDC10 koderne i sundhedsektoren. Men på Identitet skal vi have ryddet op i det makværk som teknologileverandørerne har lavet - startende med SAML men navnlig med dem som misbruger SAML ved at koble Identifikation i interfacet.
...og til sidst angående applikationsdesign så er dette CTP netop udgivet for at få feedback på hvad der er det rigtige at gøre og hvordan teknologien skal implementeres og hvordan den kan benyttes.
Min tilbagemelding er at U-Prove er en god teknologi - men i dette setup kan vi ikke lave en eneste forretningsapplikation.
Blandt de mange cases og løsningsmodeller vi arbejder med er der ikke en som kan etableres indenfor det frigivne setup - ikke en. Jeg kan ikke bruge U-Prove til noget i noget setup fordi setuppet er ekslusivt. Der kan ikke indgå en IdP og sikkerhedskæden kan ikke opretholdes indenfor setuppet.
I praksis bliver vi alle reduceret til fødekæder for live.com
-
0
-
0
Fint - og rosen er bestemt fortjent.
Men man skal passe på disse awards. Borger.dk og en stribe destruktive statslige tiltag har også fået awards. Det drejer sig jo kun om at få en tilstrækkelig indspist gruppe så kan alt få awards. Ser man på de øvrige prisvindere, så er det slående at der ellers ikke indgår EN ENESTE Privacy Enhancing Technology eller model på en uddeling af årsawards fra "privacy professionals". Endnu mere slående at den såkaldte PMM-model end ikke nævnter ord som Privayc Enhancing Technologies, Enduser control, pseudonym eller anonym. Det fremstår som jurister som leger databeskyttelse og primært fokuserer på branding og bureaurati.
Jeg mener - man skal passe på at markedsføre "godkendelser" som noget positivt, hvis alle andre kan få noget igennem som ikke engang matcher de mest basale krav. Når NemId påstår at Datatilsynet har "godkednt" NemId så begår de 2 fejl samtidig - dels siger det ingenting fordi det danske Datatilsynet godkender hvad somhelst, dels lyver de fordi selv det danske Datatilsynet sagde fra overfor at blåstemple Nemid.
Det ville have talt en del mere, hvis awarden f.eks. var faldet på PET2010, hvor deltagerne kan se forskel på PITs og PETs.
http://petsymposium.org/award/
Men igen - jeg mener at MS fortjener stor ros for at føre U-Prove frem til det nuværende stade og lancere det som BSD. Vi mangler stadig en del førend det kan bruges til løsninger, men det er et stort modningsskridt.
-
0
-
0
