Generated.

[homepage.git] / mypapers / 20080610-fri-id / 20080610-friid.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
  <head>
  <title>ITAKT-innlegg 2008: Åpen identifikasjon i en fri verden</title>
    <link rel="stylesheet" href="slides.css" type="text/css">
    <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
    <meta name="Language" content="en">
    <meta name="Author" content="Petter Reinholdtsen, Espen Grøndahl">
  </head>
  <body>

<h1>Åpen identifikasjon i en fri verden</h1>

<p>Hvilke frie og åpne standarder eksisterer i dag for identifikasjon
  av personer og hvilke løsninger uten bruksbegresninger er
  tilgjengelig for disse.</p>

<br>
<br>
<br>
<br>
<div class="presenter">Petter Reinholdtsen / Espen Grøndahl
  <br>pere@hungry.com / espen.grondahl@usit.uio.no
  <br>ITAKT 2008, 2008-06-10</div>

<!--

30 minutter 14:00 - 14:30

-->

<h2>Litt om oss</h2>

<p>Espen Grøndahl<br>
IT-sikkerhetssjef ved Universitetet i Oslo. Linux og friprogramvare bruker i 15 år.
Jobbet med IT-sikkerhet på Unix og Windows siden 1997.
Utdannelse og bakgrunn fra Forsvaret. 


<p>Petter Reinholdtsen<br>
  Fri programvareutvikler (Skolelinux, Debian, KDE, glibc, mfl), leder
  i NUUG, ansatt på Universitetet i Oslo med utvikling av
  driftstjenester.  Utdannet ved Universitetet i Tromsø samt tidligere
  robotfotballtrener ved Universitetet i Vestaustralia.</p>

<h2>Hva er en åpen standard</h2>

<p>Det finnes flere definisjoner om hva en åpen standard er.
Fellestrekk er at det er en spesifikasjon som:</p>
<ul>
  <li>må være offentlig tilgjengelig</li>
  <li>må være komplett - dvs. ikke henvise til
    utilgjengelig dokumentasjon<li>
  <li>må være uten begrensninger når det gjelder å ta den i bruk
    - f.eks. uten patentkostnader</li>
  <li>vedlikeholdet må foregå i et offentlig forum
    åpent for alle som ønsker å delta.</li>
    
</ul>

<p>Disse egenskapene gir leverandøruavhengighet og gode vilkår for
samvirke på tvers av produkter. (Kilder: DKUUG, EU)</p>

<h2>Kjente standardorganisasjoner</h2>

<ul>

  <li>Bureau international des poids et mesures (BIPM)</li>

  <li>Internet Enginering Task Force (IETF)</li>

  <li>World Wide Web Consortium (W3C)</il>

  <li>International Organization for Standardization (ISO)</li>

  <li>Organization for the Advancement of Structured Information
  Standards (OASIS)</li>

  <li>European Computer Manufacturers Association (ECMA)</li>

  <li>American National Standards Institute (ANSI)</li>

  <li>Standard Norge (SN)</li>
  
</ul>

<h2>Fordeler med fri programvareløsninger</h2>
<ul>
  <li>Innsyn i hvordan løsninger fungerer</li>
  <li>Unngår bruksbegresninger, kan brukes av alle</li>
  <li>Letter feilsøking, tilgang til interne strukturer</li>
  <li>Valg av populære system gir fagfellevurdert løsning</li>
  <li>slipper lisensadministrasjon (telling og oppfølging)</li>
</ul>

<h2>Hva er fri programvare</h2>

<ul>
  <li>Programvare med fokus på brukernes rettigheter.</li>
  <li>Med lisens som gir brukerne noen ugjenkallelig tillatelser:
  <ul>
    <li>ingen begrensninger på bruk
    <li>dele med andre på like vilkår
    <li>innsyn i oppskriften til programmet (kildekoden)
    <li>endre programmet og dele endret program
  </ul></li>
  <li>Definisjonen kommer fra Free Software Foundation og Open Source
    Initiative</li>
</ul>

<h2>Kerberos</h2>
<ul>
  <li>RFC 1510 fra IETF</li>
        <li>Autentiseringsprotokoll</li>
        <li>Stammer fra "Project Athena" MIT 1983-1991</li>
        <li>Tilbyr gjensidig autentisering</li>
        <li>Primært tiltenkt i en arkitektur med klient og tjener</li>
        <li>Finnes en rekke implementasjoner:<ul><li>
                MIT, Heimdal, Shishi, Sun Java og MS Active Directory</li></ul></li>
        <li>MS AD utvidet med noen properitære utvidelser som gjør interoperabilitet meget vanskelig.</li>


</ul>
<h2>LDAP</h2>
        <ul>
        <li>RFC 1823, 2247, 2307, 2589, mfl. fra IETF</li>
        <li>Stammer fra dengang OSI og X.500 var "hot"</li>
        <li>Laget som en lettvektsversjon av DAP som ikke krevde OSI, men kunne benytte TCP/IP.</li>
        <li>Benyttes i dag primært for tilgang til en LDAP katalog.</li>
        <li>Hovedfunksjonen er å spørre etter egenskaper til et objekt, f.eks. en bruker.</li>
        <li>Flere implementasjoner av LDAP-tjener: OpenLDAP, Apache Directory Server, Novell eDirectory, MS Active Directory</li>
        <li>Noe greiere å operere i blandede miljøer, men "støtter LDAP" på kommersiell software betyr fortsatt dessverre ofte "støtter MS AD"</li>
        <li>MS AD har LDAP-utvidelser som ikke følger
          spesifikasjonen (attributt-paging)</li>

        </ul>
<h2>Pretty Good Privacy (PGP/GPG)</h2>
        <ul>
        <li>Fri programvare-implementasjon av RFC 4880 fra IETF, OpenPGP</li>
        <li>PGP Philip Zimmermann 1991.</li>
        <li>Asymetrisk kryptering</li>
        <li>Primært benyttet til kryptering og signering av e-post.</li>
        <li>Etterhvert benyttes det også i stor grad til signering av programvare.</li>
        <li>Litt annen sikkerhetstankegang enn PKI - "Web of trust"</li>
        <li><a href="signatursti.html">Signatursti mellom personer</a></li>
        <li>Fungerer fint på tvers av Linux, Mac og Windows</li>
        </ul>


<h2>OpenID</h2>
<img align="right" src="openidnet.gif">
        <ul>
        <li>Ganske "fersk" - 2005<li>
        <li>Laget av Brad Fitzpatrick - som også startet livejournal<li>
        <li>Primært for å ha en "single sign on" på webapplikasjoner<li>
        <li>Finnes flere fri programvareimplementasjoner</li>
        <li>To-faktorautentiseringsstøtte fra Yubico</li>
        <li>Støttes av mange store:
        </li>
        </ul>
        <p><img align="right" width="20%" src="wp.gif">
        <img align="right" width="20%" src="yahoo.gif">
        <img align="right" width="20%" src="aol.gif"></p>
        
<h2>FEIDE</h2>
<img align="right" src="feide.jpeg">
<ul>
        <li>Felles Elektronisk Identitet</li>
        <li>Et program hos UNINETT, finansiert fra Kunnskapsdepartementet og utdanningssektoren.</li>
        <li>Vertsorganisasjoner: Læresteder der brukerne hører hjemme</li>
        <li>Tjenester: systemer og applikasjoner for brukerne</li>
        <li>Desentralisert struktur, intet sentral brukerregister</li>
        <li>Tillitsmodell - tjeneste sender innlogings forespørsel til vertsorg.</li>
        <li>Teknologi og platformuavhengig</li>
        <li>http://www.feide.no</li>
</ul>


<h2>Cerebrum</h2>
<ul>

  <li>Cerebrum er et fri programvare-brukeradministrasjonssystem
  (BAS), utviklet ved USIT.</li>
  <li>Utviklet i samsvar med de krav FEIDE har til et BAS</li>
  <li>Integrert mot en rekke tjenester:
                NIS, LDAP, RADIUS, AD, e-post, Notes, DNS mm.</li>
  <li>Støtter desentralisert brukeradministrasjon</li>
  <li>Støtter diffrensierte brukerrettigheter
  <ul>
    <li>F.eks. kun sperre netttilgang for en bruker, men ikke e-post.
  </ul>
  <li>Stor vekt på automatikk
  <li>http://www.cerebrum.usit.uio.no/
</ul>


<h2>Bruk av disse ved Universitetet i Oslo</h2>
<ul>

  <li>Kerberos som en del av AD, vurderes brukt for *NIX</li>

  <li>LDAP mest mot OpenLDAP, noen få systemer mot AD</li>

  <li>GPG endel internt på USIT, samt en pilot hos Rettsmedisinsk
    institutt</li>

  <li>I gang med planlegging av GPG integrert mot Cerebrum og
    Thunderbird</li>

  <li>OpenID foreløbig ikke, vurderes brukt for "løst tilknyttede"
    brukere ( typisk: blogg- og wikikommentarer )</li>

  <li>FEIDE der mulig, integrert med en rekke nettsteder og
    webapplikasjoner<li>

  <li>Cerebrum hos oss og hos andre universiteter og høyskoler i
    Norge</li>

</ul>

<h2>Takk for oss</h2>

<br>
<br>
<br>
<br>
<h3>Spørsmål?</h3>

<br>
<br>
<br>
<div class="presenter">Petter Reinholdtsen / Espen Grøndahl
  <br>pere@hungry.com / espen.grondahl@usit.uio.no
  <br>ITAKT 2008, 2008-06-10</div>

  </body>
</html>