Kryptoblog

Svenska Yubico som utvecklar den fräcka OpenID-nyckeln Yubikey har valt att öppnat upp sin källkod.

På Yubicos sida för utvecklare finns information och länkar till bland annat hur man sätter upp OpenID-server som använder Yubico samt API:er i .Net, Ruby, Java, PHP samt en PAM-modul för att bygga webbtjänster som kan använda Yubico för autenticiering. Slutligen finns det ett grundbibliotek i Java och C för att dekryptera och tolka de OTP-lösenord som Yubico genererar.

En kul detalj är att Yubico valt att lägga upp koden på Google Code. Vidare har Yubico valt att inte försöka vara smarta och klura till en egen, förvirrande och avskräckande licens, utan det är BSD-licens rätt av.

Yubico har även publicerat en säkerhetsanalys av Yubico utförd av Simon Josefsson, av en av Sveriges duktigaste säkerhetstekniker som arbetat mycket med design och implementation av exempelvis DNSSEC, Kerberos, OpenPGP. Väl värd att läsa.

Jag är generellt tveksam till hembyggda säkerhetsalgoritmer. Men Yubico gör nog så bra man som ett företag kan göra. Publicera inte bara resultat utan hela analyser. Inte försöka låsa in teknologin utan öppna upp API:er, kod och använda licenser som ger stor frihet. Då blir andra intresserade att titta närmare på, analysera och använda teknologin.

Jag gillar YubiKey för att den för mig som användare är så enkel att använda. Och nu är det enkelt även för utvecklare och säkerhetsanalytiker att integrera och bedöma YubiKey-teknologin. Att döma av Yubicos webbplats är deras affärsmodell att sälja YubiKey-nycklar och tjänster kring dessa, att då öppna upp teknologin borde borde vara i samklang med affärsmodellen.

Smart, bra och kul att se ett företag som grokkat hur Internet, säkerhet och öppen kod-världen fungerar.

Enligt en artikel på Metro.se har IKEA slarvat med hur dom hanterar sina kunders personliga information.

Artikeln berättar att för de kunder som använt IKEAs egna kreditkort IKEA Handa har IKEA tydligen skrivit ut både kreditkortsnummer och personnummer på kvittona. Enligt artikeln kan upp mot hundra tusen personer vara påverkade. Datainspektionens jurist Mats Björklund tror gör bedömningen att IKEA brutit mot lagen.

Att så flagrant feppla med kunders information är inte vanligt. Däremot stör jag mig närmast dagligen på hur kortnummer skrivs ut på kvitton. Standarden som finns specificerar att minst fyra siffror skall ersättas med en asterisk. Men standarden specar inte vilka fyra siffror. Det är inte ovanligt att två kvitton tillsammans gör att man får fram hela numret.

Bloggaren Albert Veli har skrivit ihop en fin analys av hur bank med en så kallad säkerhetsdosa fungerar. Albert skriver:

De senaste dagarna har jag funderat och läst på lite om säkerheten hos bankernas säkerhetsdosor (eng. digipass). Den första banken jag kollade var Swedbank och säkerheten hos deras dosa var inte tillfredsställande.

Albert fortsätter sedan med en genomgång hur säkerhetsdosan arbetar för att utifrån bankens utmaningar den kundspecifika dosan genererar autenticieringskoder

Alberts analys bygger på den öppna information som finns att tillgå. Jag vet faktiskt inte om det stämmer att Swedbanks säkerhetsdosor använder gammal (obsolet) DES. Det jag vet är att de dosor från Vasco som SEB kör med använder 3DES, och det gör att den typ av attack som Albert tänker sig blir praktiskt sett omöjlig.

Dock pekar Albert på ett generellt problem: Om den privata nyckeln kommer ut är alla koder som den specifika dosan kan generera oanvändbara. Samtidigt är det svårt att se hur man enkelt skall kunna byta ut kundernas privata nycklar. Att helt enkelt spärra bort den specifika dosan och skicka kunden en ny är nog det enklaste.

Bruce Schneier har bloggat om företagsnamn i IT-säkerhetsbranchen och nämner bland annat svenska Protegrity som ett av de namn han inte gillar. Mer exakt skriver han:

Random Observation from the RSA Conference

Protegrity? Counterstorm? Authentify?

I officially declare that the industry has run out of good names for security companies.

Vad han anser om Protegritys produkter framgår inte.

Enligt en artikel på EE Times kommer Cisco att köpa säkerhetsföretaget Ironport. Köpet av Ironport innebär att Cisco får in ett stort antal produkter för antivirus, spamskydd i sitt sortiment.