U-Prove wraca do gry

Dwa lata temu Microsoft przejął firmę Credentica założoną przez matematyka Stefana A. Brandsa, autora ciekawego systemu kryptograficznego o nazwie U-Prove. Wczoraj koledzy z MS podesłali link do ogłoszenia o udostępnieniu pierwszej publicznej wersji systemu do testów.

W dużym skrócie U-Prove stanowi ewolucyjnie wyższy poziom obecnych systemów federacji tożsamości i uwierzytelnienia, w których autoryzacja (określenie uprawnień) było ściśle połączone z identyfikacją. U-Prove ściśle rozdziela te dwie funkcje bezpieczeństwa i wprowadza jeszcze jedną - anonimowość. Nie ma w tym oczywiście żadnej magii, tylko kawałek solidnej matematyki i częste sięganie do technik takich jak dowody z wiedzą zerową.

U-Prove sprawia wrażenie spójnego i dobrze przemyślanego systemu umożliwiającego precyzyjne określenie jakiej konkretnie informacji potrzebuje od nas dany system - np. czy posiadamy określone uprawnienia - bez identyfikowania się swoją pełną tożsamością. Porównując to do istniejących systemów koncepcja U-Prove znajduje się gdzieś w okolicach certyfikatów atrybutów X.509 i twierdzeń SAML tyle, że z większym naciskiem położonym na prywatność osoby legitymującej się określonymi prawami.

Wśród dotychczasowych technologii Microsoftu U-Prove lokuje się z kolei w okolicach Active Directory Federation Services (ADFS), CardSpace i Windows Identity Foundation. Microsoft publikuje specyfikację U-Prove na licencji Open Specification Promise. Udostępnił także wraz z kodem źródłowym dwie implementacje - w C# i w Javie (na licencji BSD).

Szczegółowy opis U-Prove od podstaw do szczegółów można znaleźć w dostępnej w całości on-line książce Brandsa Rethinking Public Key Infrastructures and Digital Certificates; Building in Privacy oraz na stronie Microsoft CTP.