Åpen identifikasjon i en fri verden

Hvilke frie og åpne standarder eksisterer i dag for identifikasjon av personer og hvilke løsninger uten bruksbegresninger er tilgjengelig for disse.

Litt om oss

Espen Grøndahl
IT-sikkerhetssjef ved Universitetet i Oslo. Linux og friprogramvare bruker i 15 år. Jobbet med IT-sikkerhet på Unix og Windows siden 1997. Utdannelse og bakgrunn fra Forsvaret.

Petter Reinholdtsen
Fri programvareutvikler (Skolelinux, Debian, KDE, glibc, mfl), leder i NUUG, ansatt på Universitetet i Oslo med utvikling av driftstjenester. Utdannet ved Universitetet i Tromsø samt tidligere robotfotballtrener ved Universitetet i Vestaustralia.

Hva er en åpen standard

Det finnes flere definisjoner om hva en åpen standard er. Fellestrekk er at det er en spesifikasjon som:

• må være offentlig tilgjengelig
• må være komplett - dvs. ikke henvise til utilgjengelig dokumentasjon
• må være uten begrensninger når det gjelder å ta den i bruk - f.eks. uten patentkostnader
• vedlikeholdet må foregå i et offentlig forum åpent for alle som ønsker å delta.

Disse egenskapene gir leverandøruavhengighet og gode vilkår for samvirke på tvers av produkter. (Kilder: DKUUG, EU)

Kjente standardorganisasjoner

• Bureau international des poids et mesures (BIPM)
• Internet Enginering Task Force (IETF)
• World Wide Web Consortium (W3C)
• International Organization for Standardization (ISO)
• Organization for the Advancement of Structured Information Standards (OASIS)
• European Computer Manufacturers Association (ECMA)
• American National Standards Institute (ANSI)
• Standard Norge (SN)

Fordeler med fri programvareløsninger

• Innsyn i hvordan løsninger fungerer
• Unngår bruksbegresninger, kan brukes av alle
• Letter feilsøking, tilgang til interne strukturer
• Valg av populære system gir fagfellevurdert løsning
• slipper lisensadministrasjon (telling og oppfølging)

Hva er fri programvare

• Programvare med fokus på brukernes rettigheter.
• Med lisens som gir brukerne noen ugjenkallelig tillatelser:
  • ingen begrensninger på bruk
  • dele med andre på like vilkår
  • innsyn i oppskriften til programmet (kildekoden)
  • endre programmet og dele endret program
• Definisjonen kommer fra Free Software Foundation og Open Source Initiative

Kerberos

• RFC 1510 fra IETF
• Autentiseringsprotokoll
• Stammer fra "Project Athena" MIT 1983-1991
• Tilbyr gjensidig autentisering
• Primært tiltenkt i en arkitektur med klient og tjener
• Finnes en rekke implementasjoner:
  • MIT, Heimdal, Shishi, Sun Java og MS Active Directory
• MS AD utvidet med noen properitære utvidelser som gjør interoperabilitet meget vanskelig.

LDAP

• RFC 1823, 2247, 2307, 2589, mfl. fra IETF
• Stammer fra dengang OSI og X.500 var "hot"
• Laget som en lettvektsversjon av DAP som ikke krevde OSI, men kunne benytte TCP/IP.
• Benyttes i dag primært for tilgang til en LDAP katalog.
• Hovedfunksjonen er å spørre etter egenskaper til et objekt, f.eks. en bruker.
• Flere implementasjoner av LDAP-tjener: OpenLDAP, Apache Directory Server, Novell eDirectory, MS Active Directory
• Noe greiere å operere i blandede miljøer, men "støtter LDAP" på kommersiell software betyr fortsatt dessverre ofte "støtter MS AD"
• MS AD har LDAP-utvidelser som ikke følger spesifikasjonen (attributt-paging)

Pretty Good Privacy (PGP/GPG)

• Fri programvare-implementasjon av RFC 4880 fra IETF, OpenPGP
• PGP Philip Zimmermann 1991.
• Asymetrisk kryptering
• Primært benyttet til kryptering og signering av e-post.
• Etterhvert benyttes det også i stor grad til signering av programvare.
• Litt annen sikkerhetstankegang enn PKI - "Web of trust"
• Signatursti mellom personer
• Fungerer fint på tvers av Linux, Mac og Windows

OpenID

• Ganske "fersk" - 2005
• Laget av Brad Fitzpatrick - som også startet livejournal
• Primært for å ha en "single sign on" på webapplikasjoner
• Finnes flere fri programvareimplementasjoner
• To-faktorautentiseringsstøtte fra Yubico
• Støttes av mange store:

FEIDE

• Felles Elektronisk Identitet
• Et program hos UNINETT, finansiert fra Kunnskapsdepartementet og utdanningssektoren.
• Vertsorganisasjoner: Læresteder der brukerne hører hjemme
• Tjenester: systemer og applikasjoner for brukerne
• Desentralisert struktur, intet sentral brukerregister
• Tillitsmodell - tjeneste sender innlogings forespørsel til vertsorg.
• Teknologi og platformuavhengig
• http://www.feide.no

Cerebrum

• Cerebrum er et fri programvare-brukeradministrasjonssystem (BAS), utviklet ved USIT.
• Utviklet i samsvar med de krav FEIDE har til et BAS
• Integrert mot en rekke tjenester: NIS, LDAP, RADIUS, AD, e-post, Notes, DNS mm.
• Støtter desentralisert brukeradministrasjon
• Støtter diffrensierte brukerrettigheter
  • F.eks. kun sperre netttilgang for en bruker, men ikke e-post.
• Stor vekt på automatikk
• http://www.cerebrum.usit.uio.no/

Bruk av disse ved Universitetet i Oslo

• Kerberos som en del av AD, vurderes brukt for *NIX
• LDAP mest mot OpenLDAP, noen få systemer mot AD
• GPG endel internt på USIT, samt en pilot hos Rettsmedisinsk institutt
• I gang med planlegging av GPG integrert mot Cerebrum og Thunderbird
• OpenID foreløbig ikke, vurderes brukt for "løst tilknyttede" brukere ( typisk: blogg- og wikikommentarer )
• FEIDE der mulig, integrert med en rekke nettsteder og webapplikasjoner
• Cerebrum hos oss og hos andre universiteter og høyskoler i Norge

Takk for oss

Spørsmål?