Security Blog di Feliciano Intini : 5.1.2-Identity Metasystem & Windows CardSpace

Sul presunto attacco a Windows Cardspace e all'Identity Metasystem: vi prego, prendiamo la sicurezza sul serio...

Feliciano Intini — Fri, 06 Jun 2008 18:20:54 GMT

Riesco a stento a trattenere il mio disappunto: questa notizia di cui sto per raccontarvi sembra l'epilogo perfetto della mia rubrica Anti-FUD , un vero e proprio capolavoro di dinformazione informatica sul tema sicurezza... e come tale non dovete perderla!...(read more)

Microsoft acquisisce la tecnologia U-Prove di Credentica!

Feliciano Intini — Thu, 06 Mar 2008 20:43:09 GMT

Ho assistito poco fa di persona alla sessione che il mitico Kim Cameron ha riservato per noi Microsoft Security Advisor e, per pura combinazione, questo incontro è avvenuto quasi contemporaneamente all'annuncio di Microsoft sull'acquisizione della tecnologia U-Prove di Credentica, acquisizione a cui Kim ha contribuito in modo determinante. E' stato davvero emozionante sentire dalla sua viva voce l'entusiasmo e la passione per quello che implica questa acquisizione per lo sviluppo e la piena realizzazione dell'Identity Metasystem. Come potete leggere dal suo post (una lettura da non perdere!), si parla addirittura di U-Prove come la tecnologia che sta agli aspetti di Privacy come la tecnologia di cifratura RSA sta a quelli di Security!! Messa in questi termini vuol dire che siamo di fronte ad una tecnologia fondamentale, di cui non si potrà fare a meno nel futuro. Se non avete già letto al riguardo, vi starete sicuramente domandando cosa sia questa meraviglia.

In estrema sintesi si tratta di una tecnologia di Minimal Disclosure: permette agli utenti di operare delle transazioni in modo tale da provare la propria identità ma senza fornire informazioni sulla propria identità (o fornendone un numero minimo, tale da garantire gli aspetti di privacy). Detta così sembra un ossimoro, una contraddizione in sé, ma ricorrendo alle "blinded signatures" è possibile realizzare matematicamente questo importante obiettivo (su questo articolo di Wired vi sono dettagli interessanti sugli studi alla base di questa tecnologia, come il Problema del Milionario).

Fino ad ora questa tecnologia non aveva ancora avuto una applicazione direttamente commerciale: l'interesse da parte di Microsoft e questa acquisizione permetteranno di inglobarla nello sviluppo delle nostre tecnologie che operano nell'ambito della gestione delle identità (a partire da Windows CardSpace).

Nei miei post su Windows CardSpace e l'Identity Metasystem non ero arrivato ad un livello di dettaglio tale da farvi apprezzare dove va ora a incastonarsi questa nuova tecnologia: ma se avete letto i miei post, la lettura del post di Kim vi chiarirà in modo semplice il miglioramento che viene acquisito con U-Prove.

Questa è davvero una PET, (Privacy-Enhancing Technology) e sarà interessante vederla all'opera, speriamo il prima possibile.

Share this post :

CardSpace: il libro di Vittorio Bertocci e l'articolo su IlSole24Ore di Kim Cameron

Feliciano Intini — Wed, 23 Jan 2008 09:30:51 GMT

Big news for you about Windows CardSpace! Con imperdonabile ritardo (avrei voluto tanto sincronizzarmi in tempo reale con l'annuncio dato da Vittorio per celebrare questo evento: Vittorio scusami!) vi segnalo quello che credo sarà senza ombra di dubbio un punto di riferimento miliare, un classico per l'approfondimento di CardSpace, il nuovo libro di Vittorio Bertocci dal titolo "Understanding Windows CardSpace", sottotitolo "An Introduction to the Concepts and Challenges of Digital Identities", di cui potete leggere nel post di giustificato orgoglio (che sogno poter scrivere un libro!) per la pubblicazione su Amazon e nel post corredato con foto alla ricezione delle prime copie cartacee.

Per chi ancora non conoscesse Vittorio, Senior Technical Evangelist di Microsoft Corporation (...un altro caso di grande cervello italiano prestato agli Stati Uniti dopo una significativa esperienza di consulente nella divisione Services di Microsoft Italia...) vi rimando alla lettura dei miei post precedenti della categoria Identity Metasystem & Windows CardSpace.

Sempre Vittorio mi ha battuto sul tempo (approfittando del fuso orario a lui favorevole e della vicinanza fisica al mitico Kim ;-) nel segnalare un articolo su CardSpace uscito ieri su IlSole24Ore a cura di Luca Tremolada, basato sugli spunti di una intervista a Kim Cameron quando è venuto in Italia lo scorso ottobre per partecipare alla conferenza Porvoo 12 (di cui vi ho detto in questo post).

Proprio dal post di Vittorio scopro che sono l'onorato destinatario di una imminente copia autografa del suo libro... e io che pensavo di passare da Redmond apposta per estorcergli la stessa cosa! Looking forward to see you in March, dear Vittorio!

La fine delle password è vicina? Iniziamo ad usare le Information Card con CardSpace su Windows Live ID

Feliciano Intini — Tue, 18 Dec 2007 11:44:18 GMT

Un paio di articoli recenti ha riproposto la validità ed attualità della domanda nel titolo: la fine delle password è vicina? Il primo segnalava l'annuncio stampa della società russa Elcomsoft che dichiarava di essere riuscita a moltiplicare per circa 25 volte la potenza di brute force cracking delle password (ricordo per i non addetti ai lavori che si tratta dell'attacco diretto a scoprire una password provando tutte le possibili combinazioni) grazie all'uso combinato della CPU del PC e del microprocessore presente sulle comuni schede grafiche, con il risultato di poter scoprire una password di 8 caratteri generati a caso in circa 3-5 giorni di calcolo. Il secondo riportava l'annuncio di un ricercatore che dichiarava di aver utilizzato una PS3 per scalare tale potenza di calcolo fino al punto di poter scoprire una password di 8 caratteri in sole poche ore.

Di fronte a questi dati tecnici, la risposta al quesito iniziale è scontata: è tempo (in realtà è già molto tardi...) di abbandonare l'uso delle password laddove possibile! Non che le password siano un male di per sé, ma utilizzate male (leggi: crearle in modo che non siano adeguatamente lunghe e complesse) e nelle situazioni che le espongono al possibile furto da parte di malintenzionati è ormai un rischio troppo elevato (come le numerose segnalazioni che giungono costantemente a questo mio post sul furto di credenziali Windows Live).

Avendo letto il secondo articolo sul blog di Kim Cameron, ho fatto 2+2 e ho pensato utile segnalarvi un primo modo per intraprendere questo cammino virtuoso lontano dall'uso delle password: l'utilizzo delle Information Card per il logon ai servizi Windows Live.

Chi ha Windows Vista ha già tutto l'occorrente necessario e in un minuto (seguento le indicazioni del link precendente) si ha la possibilità di associare alla propria utenza Windows Live ID una delle Information Card presenti in Windows CardSpace (o se ne crea una al volo, anche vuota) sul vostro PC, per poi operare l'accesso ai servizi Windows Live semplicemente selezionando "Information Card" (dal menù a tendina come vi mostro nella figura) e cliccando il tasto "Sign in" senza digitare nessuna password!!!

Incominciate a gustare la semplicità d'uso e l'immediatezza di questo nuovo meccanismo di autenticazione (anche coloro che non avessero Windows Vista possono utilizzarlo: nello stesso post ci sono indicazioni in merito).

Identity Metasystem per l'interoperabilità delle soluzioni eID nazionali

Feliciano Intini — Mon, 22 Oct 2007 15:07:00 GMT

(Ancora un altro post per darvi prova della mia esistenza in vita... anche se latitante sul blog: ho una lista di cose da dirvi che non fa che allungarsi ...:-((.. ma abbiate fede!) Giovedì e venerdì ho partecipato alla 12a conferenza del Porvoo Group, gruppo di lavoro internazionale sui temi dell'interoperabilità delle carte di identità elettroniche (eID) in Europa. Questa edizione è stata ospitata in Italia a Grosseto e per l'occasione siamo riusciti a coinvolgere nientedimeno che Mr. Identity, lui, Kim Cameron. Kim ha esposto le linee principali dell' Identity Metasystem (IDMS) come proposta utile per risolvere proprio i problemi di interoperabilità delle diverse soluzioni eID presenti nei vari stati europei. Giusto per darvi visibilità di questi aspetti che toccheranno presto la nostra esperienza di online citizens vi dico che la situazione attuale è la seguente: ogni nazione europea ha avviato (o conta di avviare) programmi per la realizzazione di carte di identità elettroniche, ognuna lo sta perseguendo usando la propria tecnologia preferita per l'autenticazione (è preponderante l'uso delle smart card e certificati X.509, ma esistono anche soluzioni che usano username/password ...), gli aspetti di estrema tutela della privacy del cittadino non sono ben recepiti da tutte le soluzioni, e per finire vi sono solo pochi esempi di servizi di e-government già fruibili online. In questo scenario abbastanza vicino ad una babele, vi è una direttiva dell'unione europea che auspica il raggiungimento dell'interoperabilità tra questi diverse soluzioni entro il 2010: fantascienza! In realtà la proposizione dell'IDMS presentata da Kim e di cui ho già avuto modo di raccontarvi in questi post (1a puntata, 2a, 3a e 4a) sembra sortire la magia di risolvere questo apparente rompicapo, proprio in virtù del livello superiore di astrazione in cui si opera: l'IDMS non tocca le singole soluzioni nazionali, che rimangono validissime, ma fa da collante creando un meccanismo per farle interoperare. Se ogni nazione realizzasse un Identity Provider nazionale (uno o più, come nel caso dell'Italia che potrebbe avere più realtà regionali in grado di essere autoritative per le informazioni sui cittadini del proprio territorio), e se la Carta di Identità Elettronica (CIE) o la Carta Nazionale dei Servizi (CNS) fosse usata per autenticare (in modo forte) l'utente verso questo/i Identity Provider, si riuscirebbe ad ottenere l'agognata interoperabilità sia a livello nazionale che europeo, senza perdere l'intuitiva e consistente esperienza del cittadino (che avrebbe solo bisogno di imparare a gestire la banale interfaccia del selettore di identità - leggi CardSpace su Windows), senza ledere gli aspetti di privacy e con una soluzione sensibilmente più robusta rispetto agli attacchi di phishing e furto di identità. Vi assicuro che la presentazione di Kim, seppur breve, e la disponibilità di Microsoft ad avere una parte attiva in questo tavolo di lavoro sull'interoperabilità ha riscosso un incredibile interesse da parte di tutti i rappresentanti di enti governativi presenti alla conferenza e ha generato la mozione a includere in modo stabile nelle prossime conferenze i rappresentanti dei fornitori di computing assieme a quelli storici di dispositivi di autenticazione. Ho pensato che fosse simpatico documentare con una foto questo incontro mio e di Francesca Di Massimo (Security Lead di Microsoft Italia) con un "big" dei temi di Identity, giusto per dimostrarvi che non sono solo io che sono piccolino ma è lui che è un gigante !

Identity Metasystem & Windows CardSpace: 4a puntata

Feliciano Intini — Fri, 05 Oct 2007 14:24:39 GMT

... continua dalla 3a puntata:

L’utente al centro: l’Identity Selector

E’ proprio l’ultimo aspetto funzionale dell’IDMS che differenzia in modo univoco questa architettura dalle altre che già provano a risolvere il problema della federazione di identità. Diversamente da tali modelli (ad esempio quello proposto da Liberty Alliance), l’IDMS è un modello che pone l’utente al centro della dinamica di scambio delle informazioni pertinenti alle proprie identità digitali, lasciando a lui la piena autonomia di valutare le informazioni che gli vengono richieste dal sito che chiede di identificarlo, autenticarlo e autorizzarlo, e di consentire il relativo rilascio delle stesse informazioni.

L’esperienza tipica dell’utente in uno scenario basato su parti in grado di comunicare tramite l’IDMS è fatta dai seguenti passi:

1. L’utente naviga sul sito (Relying Party) che gli chiede di autenticarsi. Il sito propone, accanto alla tradizionale richiesta di credenziali deboli (username & password), anche un bottone di “Logon tramite Information Cards”.

2. La selezione di questo bottone scatena l’apertura, sul computer dell’utente, di una finestra (“Identity Selector”) che propone un set di immagini, del tutto simili a carte di credito (le “information cards”) che di fatto rappresentano le identità digitali memorizzate presso gli Identity Provider.

3. Mettendo in relazione i claims richiesti dal Relying Party con quelle in grado di essere fornite dalle Information Cards, il selettore di identità è in grado di proporre solo quelle che sono in grado di soddisfare questa transazione.

4. L’utente sceglie l’Information Card che desidera usare

5. Dietro le quinte questa scelta dell’utente produce una richiesta (autenticata) di un Security Token che contenga i claims richiesti dal Relaying Party verso l’identity Provider selezionato.

6. L’Identity Provider provvede a comporre un Security Token con i claims richiesti e a restituirlo al computer dell’utente che ora è in grado, su richiesta, di mostrare in dettaglio le diverse informazioni che si stanno per fornire al Relying Party.

7. Se l’utente acconsente, tali informazioni sono fornite al Relying Party che provvede a identificare, autenticare e autorizzare sulla base dei claims ricevuti.

Il futuro già realizzato: Windows CardSpace

La piattaforma Microsoft ha già inserito nativamente l’Identity Selector nel suo più recente sistema operativo: il .NET Framework 3.0 già incluso in Windows Vista infatti aggiunge il componente Windows CardSpace che realizza l’interfaccia utente per interagire con l’IDMS. Le piattaforme diverse da quella Microsoft possono liberamente realizzare il proprio Identity Selector, e vi sono esempi pratici già realizzati in tal senso (il blog di Kim Cameron rappresenta una fonte indispensabile per aggiornamenti su questo tema). Identity Provider e Relying Party sono realizzabili su qualsiasi piattaforma. Anche l’interoperabilità con Liberty Alliance e altri modelli è parte di un processo di convergenza definito sotto il nome di “Progetto Concordia”. Quindi emerge che la tecnologia e le condizioni necessarie per la realizzazione dell’IDMS ci sono già tutti e non resta altro che raggiungere il più ampio consenso possibile per incentivare una estesa adozione di questo modello di interoperabilità delle identità digitali, per dare finalmente ad Internet quel livello di identità di cui finora era sprovvista.

Ulteriori informazioni sono disponibili al sito Microsoft http://msdn2.microsoft.com/en-us/netframework/aa663320.aspx , a cui va doverosamente aggiunto l'indispensabile blog Vibro. NET del mio amico Vittorio Bertocci, Senior Technical Evangelist di Microsoft Corporation.

Identity Metasystem & Windows CardSpace: 3a puntata

Feliciano Intini — Thu, 04 Oct 2007 16:54:13 GMT

Breve nota di servizio: sono sommerso dalle attività, aiutooo! Tornato sabato dalla settimana a Redmond sono ancora in perenne rincorsa dei "task" in sospeso. Il livello di questo sovraccarico è testimoniato efficacemente dal numero di mail da smaltire presenti nella mia inbox (in questo istante sono 455, tra lette, parzialmente lette e non lette ...): non so se succede anche a voi, ma se non riesco a mettere ordine nelle email mi sembra di non avere il controllo esatto della mia pianificazione di lavoro. E' incredibile come le email siano diventate così importanti! Smettendo di lamentarmi (visto che sicuramente non sarò l'unico in questa situazione), volevo scusarmi con coloro che mi hanno scritto (siete sempre di più, grazie!) e non hanno ricevuto risposta... come vedete anche nel bloggare sono latitante!

Per riprendere velocità, (e tenendo conto del poco tempo a disposizione ... vi sto scrivendo dall'area WiFi di Fiumicino, vicino al gate A1 ;-)...) ho pensato di condividervi una parte dell'articolo che ho appena redatto per il numero di novembre/dicembre per la rivista ICT Security, sul tema Identity Metasystem (IDMS) & Windows CardSpace. E' passato davvero troppo tempo da quando ho iniziato a raccontarvi questa affascinante (la credo davvero tale!) proposizione tecnologica, ed è giusto completare la panoramica dei concetti di base prima di darvi nuovi interessanti aggiornamenti. Quindi se non l'avete già fatto, vi invito a leggete i miei due primi post al riguardo, "I have a dream ..." e "... come nasce l'IDMS" e poi tuffatevi nel seguito del post, direttamente e liberamente estratto dall'articolo di cui detto.

Avevo terminato il post dicendo che l'Identity Metasystem ambisce ad avere per Internet lo stesso ruolo per le identità che ha avuto il TCP/IP per i protocolli di rete: un modello per l’interoperabilità tra i sistemi eterogenei di identità, in grado di fornire alle applicazioni una rappresentazione delle identità digitali indipendente dalla tecnologia e di fornire all’utente una esperienza d’uso semplice, consistente e sicura.

Le “Laws of Identity”

L’ingegnerizzazione di tale architettura è avvenuta a seguito di un ampio dialogo pubblico realizzato da Kim Cameron (attualmente Identity Architect di Microsoft Corporation) sul suo sito http://www.identityblog.com . Questo confronto aperto con la comunità di esperti in ambito Identity Management ha prima esaminato i motivi dei fallimenti degli scorsi tentativi di raggiungere tale obiettivo, per poi focalizzarsi sulle caratteristiche che tale sistema ideale di identificazione deve possedere per poter ricevere il maggior consenso possibile da parte di tutte le parti in gioco (utenti, fornitori di servizi e di identità, industrie). Il risultato di tale dialogo multilaterale è stato sintetizzato in 7 requisiti, sinteticamente codificati in quelle che ora sono note come le “Laws of Identity” e consultabili sul sito di Kim.

I ruoli dell’IDMS

Gli attori in gioco in questa architettura sono i seguenti:

Identity Providers: gli enti che posseggono le informazioni relative alle identità digitali degli utenti viste come collezione di un insieme di attributi (claims). Un esempio può essere rappresentato dall’Ufficio Anagrafe comunale in grado di poter rappresentare le nostre identità di cittadini attraverso una serie di attributi (nome, cognome, sesso, stato civile, data di nascita, indirizzo di residenza, etc.).
Relying parties: sono tipicamente i siti web che richiedono le identità digitali per identificare, autenticare e autorizzare gli utenti prima di concedere l’accesso a beni e servizi online.
Subjects: sono gli individui e le entità rappresentate online tramite un’identità digitale: utenti, aziende ed enti.

I componenti funzionali dell’IDMS

Per realizzare questa architettura di interoperabilità multi-piattaforma sono necessari i seguenti componenti funzionali:

Claims-based Identities: identità digitali rappresentate da un insieme di attributi (claims) che qualificano il soggetto dell’identità. Tali “claims” sono singole informazioni in merito al soggetto che l’Identity Provider asserisce come vere. Nel caso in cui il soggetto e l’Identity Provider coincidano si parla di Self-issued identities, in cui è lo stesso soggetto che asserisce la validità delle informazioni a lui pertinenti.
Negotiation: gli attori dell’IDMS ricorrono a questo meccanismo per concordare le caratteristiche della comunicazione in grado di connetterli tra di loro. Se una parte fosse in grado di fornire claims di tipo SAML e X.509, e l’altra solo Kerberos e X.509, ragionevolmente le parti negozieranno l’uso dei claims X.509 come metodo comune di dialogo.
Encapsulating Protocol: per permettere alle parti di scambiarsi claims e requisiti in modo trasparente relativamente alle rispettive tecnologie è necessario l’uso di un protocollo di incapsulamento. In questo modo, per esempio, un’applicazione può ricevere claims di tipo SAML senza la necessità di capire e implementare il protocollo SAML.
Claims Trasformers: sono i componenti che gestiscono l’interoperabilità tra i diversi sistemi di identità in quanto provvedono a tradurre i claims compresi da uno specifico sistema in claims in grado di essere compresi da un altro sistema. Questi componenti possono anche trasformare o rifinire la semantica dei claims (per esempio dall’informazione “nato il 1° gennaio 1968” produrre l’informazione “maggiorenne”), o semplicemente trasformare il loro formato.
Consistent User Experience: l’obiettivo dell’IDMS è di abilitare l’utente a poter fare delle decisioni informate e ragionate relativamente al rilascio di informazioni pertinenti alle sue identità, tramite la realizzazione di una interfaccia utente che sia facile, intuitiva e consistente a prescindere dal sistema di identità in uso.

I protocolli dell’IDMS: WS-* Web Services

I requisiti dell’IDMS sono adeguatamente supportati dalle specifiche dell’architettura dei WS-* Web Services: sono specifiche pubblicate e liberamente disponibili, in parte già sottomesse o in procinto di esserlo agli organismi open standards per la certificazione, e tali da permettere l’implementazione esente da royalty. Alcuni di questi protocolli realizzano la vera e propria ossatura di base dell’IDMS:

WS-Trust rappresenta il protocollo di incapsulamento
Le negoziazioni sono fatte tramite WS-MetadataExchange e WS-SecurityPolicy

Per oggi credo possa bastare! Siete pronti per la 4a puntata ?

Super news: Interoperabilità nei fatti per Identity Metasystem

Feliciano Intini — Mon, 28 May 2007 11:45:00 GMT

E' proprio vero l'adagio che dice: "fa più rumore un albero che cade, piuttosto che una foresta che cresce". La blogosfera fa tanto clamore su informazioni di finte "nuove" vulnerabilità Microsoft (come spiegato nel mio post precedente) e invece ignora notizie, a mio parere, di enorme importanza per l'evoluzione dell'interoperabilità nella gestione delle identità digitali online, a tutto vantaggio del miglioramento della sicurezza su Internet. Mi riferisco all'annuncio dato da Microsoft allo scorso Interop, in cui sono state condivise tre iniziative direttamente connesse all'Identity Metasystem, il framework aperto proposto al mercato che ho iniziato a raccontarvi nel post che illustra la vision e nel post che ne descrive i requisiti di partenza...(read more)

Uno sguardo al futuro già attuale nella gestione delle identità digitali: come nasce l'Identity Metasystem

Feliciano Intini — Thu, 22 Mar 2007 14:02:00 GMT

... spero che il racconto del sogno reale che ho fatto nel mio post precedente sia stato efficace nel stimolare la vostra curiosità sul tema. Ora è giusto dimostrarvi come gli ossimori che sto usando (sogno reale e futuro già attuale) non siano davvero una esagerazione: da un lato questa tecnologia è proiettata nel futuro con obiettivi ambiziosi (dare un livello di identità e di reputazione a Internet vi sembra da poco ?), dall'altro è già live, funzionante e implementabile!...(read more)

I have a dream: le mie identità digitali gestite in sicurezza su Internet

Feliciano Intini — Thu, 22 Mar 2007 09:28:00 GMT

Sarà per la giornata da incubo trascorsa avantieri in un paio di importanti attività che mi hanno portato a Roma (voli rinviati e cancellati, traffico, vento forte a Fiumicino, pioggia e grandine... ), mi è successo di fare un sogno incredibile all'alba di ieri. Sentite un pò. Mi ritrovavo tutto intento a navigare in Internet...(read more)