Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
LidoKey authenticatie
In "<a href="http://home.tiscali.nl/jhvdburg/lidokey-fund.pdf" target="_blank">The LidoKey authentication concept</a>" beschrijf ik een van de technische pilaren van het "<a href="http://home.tiscali.nl/jhvdburg/gcim-proj.pdf" target="_blank">global cooperative identity management</a>" voorstel op het fundamentele niveau.
Het laat zien hoe minimale technische aannames over knooppunten in een netwerk, gecombineerd met real time monitoring van hun interacties de kans bieden om sterke authenticatie op het Internet te implementeren, en daarbij tegelijkertijd de geldigheid van de basis aannames te ondersteunen.
Dit geeft per saldo een betaalbare mogelijkheid om identiteitsdiefstal op het Internet effectief te bestrijden.
Jan-Hein van der Burg.
Het laat zien hoe minimale technische aannames over knooppunten in een netwerk, gecombineerd met real time monitoring van hun interacties de kans bieden om sterke authenticatie op het Internet te implementeren, en daarbij tegelijkertijd de geldigheid van de basis aannames te ondersteunen.
Dit geeft per saldo een betaalbare mogelijkheid om identiteitsdiefstal op het Internet effectief te bestrijden.
Jan-Hein van der Burg.
Reacties (18)
Door AnoniemEn who the f*** is Jan-Hein van der Burg?
Hij is volgens linkedin een "Independent Computer & Network Security Professional" met totaal 0 connecties. Goed bezig!
30-10-2008, 15:52 door
wimbo
Door AnoniemEn who the f*** is Jan-Hein van der Burg?
Iemand die op zoek is naar een klusje zo lijkt het wel.Is er geen V/A subforum hier? :-D
30-10-2008, 16:22 door
[Account Verwijderd]
[Verwijderd]
Door AnoniemOpen Directory alert: http://home.tiscali.nl/jhvdburg/
Tis maar hoe je het bekijkt, misschien wil jhvdburg het wel zo!Als je wil dat mensen het lezen, moeite doen om het te begrijpen en dan eventueel 'terugpraat' (feedback) geven, neem dan zelf de moeite om dat PDF-je hier in het Nederlands neer te zetten.
Door AnoniemOpen Directory alert: http://home.tiscali.nl/jhvdburg/
Lekker belangrijk!In de open directory staat zijn cv met allerlei persoonlijke gegevens.
Dit kan gebruikt worden in 'identity theft'.
Dit kan gebruikt worden in 'identity theft'.
@Jan-Hein van der Burg
Waar zijn referenties?
Vergelijkingen met alternatieven?
Waar zijn referenties?
Vergelijkingen met alternatieven?
Door AnoniemIn de open directory staat zijn cv met allerlei persoonlijke gegevens.
Lekker belangrijk!
31-10-2008, 09:30 door
[Account Verwijderd]
[Verwijderd]
Jan-Hein loopt al ruim een jaar publiekelijk met zijn sleutel te zeulen. Ik moet mijn complimenten geven voor het proberen, en zijn inzicht dat er geen markt voor lijkt te zijn. Hoewel het idee mooi klinkt valt me op dat het op een aantal punten wat schort. Nu valt er natuurlijk wat voor te zeggen dat een bedrijfskundige zonder aantoonbare informatica achtergrond met dit plan komt, laat staan dat expertise rond ict beveiliging aangetoond is. Of de belichting van de kant waarom men met hem in zee zou gaan en zijn werkgebied met woningbouwconcepten wel erg ver van deze praktijk afligt. Minder opvallend is dat hij zichzelf als bedrijfskundige in het project al het baantje van technisch architect heeft gegeven, het is tenslotte zijn idee, maar maakt dat hem ook geschikt om vast te leggen op die positie?
Het belangrijkste vind ik echter het punt van veiligheid zelf: alles valt of staat niet bij het idee, de investeerders of de gewilligheid van een afzetmarkt. Je kan net zo'n mooi bedrijfsplan met organisatie, gewenste investering etc hebben, nog zo'n mooi verwoord idee van veiligheid. Uiteindelijk gaat het om de werkelijke veiligheid van het systeem, omdat dat de grondslag is van het idee. En juist daarover mis is een onderbouwing die ver genoeg gaat om dat te kunnen aantonen. Erger nog, er is nog niet eens aangetoond waarom dit sleutel plan echt beter is op gebied van veiligheid. Investeerders zullen zo'n gok niet willen wagen. Er zijn al genoeg partijen die wel al gerenommeerd zijn maar zelfs nog blunders maken.
Het belangrijkste vind ik echter het punt van veiligheid zelf: alles valt of staat niet bij het idee, de investeerders of de gewilligheid van een afzetmarkt. Je kan net zo'n mooi bedrijfsplan met organisatie, gewenste investering etc hebben, nog zo'n mooi verwoord idee van veiligheid. Uiteindelijk gaat het om de werkelijke veiligheid van het systeem, omdat dat de grondslag is van het idee. En juist daarover mis is een onderbouwing die ver genoeg gaat om dat te kunnen aantonen. Erger nog, er is nog niet eens aangetoond waarom dit sleutel plan echt beter is op gebied van veiligheid. Investeerders zullen zo'n gok niet willen wagen. Er zijn al genoeg partijen die wel al gerenommeerd zijn maar zelfs nog blunders maken.
Het mooie van een forum is dat jezelf ook kunt reageren! Misschien een idee om eens wat uit de doeken te doen? Of jezelf voor te stellen, of je authenticatie mechanisme te verdedigen. Of of of of in ieder geval even te reageren.
03-11-2008, 21:52 door
Jan-Hein
Door AnoniemHet mooie van een forum is dat jezelf ook kunt reageren! Misschien een idee om eens wat uit de doeken te doen? Of jezelf voor te stellen, of je authenticatie mechanisme te verdedigen. Of of of of in ieder geval even te reageren.
Beste Anoniem,
Dank je voor de reacties; ik kan ze niet allemaal met elkaar rijmen, maar voor mij is deze discussie net zo teleurstellend.
Ik had verwacht dat ik met experts van gedachten kon wisselen over mijn ontwerp.
Tot nu toe zie ik daarvoor nog geen opening.
Laten we verder gaan met de volgende fundamentele techniek.
Daar verwacht ik meer controverse, want het introduceert een menselijke component.
In essentie is het een alternatief voor public key encryption in een identity management concept.
Management, samenwerking, regels, kortom alle moeilijke dingen die mensen kunnen bedenken.
Zoals je hierboven ziet werkt dat altijd om het spannender te maken.
Ben je het daarmee eens, of wil je eerst nog verder op de techniek van authenticatie ingaan?
Met vriendelijke groet,
Jan-Hein van der Burg.
Beste Jan-Hein,
Het eerste dat me opviel toen ik het LidoKey document opende was de waslijst aan variabelen zonder de theorie en getallen in de praktijk te brengen met een goed voorbeeld. Dat weerhoudt mij er al van om uit te gaan zoeken wat wat is, welke aannamen worden gemaakt, hoe de shared secrets uitgewisseld worden zonder het gevaar van een man-in-the-middle attack, waarom bepaalde velden gecodeerd worden met MK, wat het nut daarvan is en waarom dat niet met minder velden af kan, hoe de central keyring in dit verhaal past etc. Oftewel, je maakt een artikel van 4.5 pagina, dat minimaal het 2- of 3-voudige dient te beslaan, met daarbij de nodige plaatjes. Je artikel doet me aan drie dingen denken:
(1) De universiteit waar ik heb gestudeerd en waar ik gelukkig alweer een tijdje van af ben.
(2) De stappen zoals die worden uitgevoerd door Kerberos. Als je dat niet in normale mensentaal uitlegt maar in formules zoals jij die aangeeft, dan begrijpt geen hond wat Kerberos doet. Bespreek je Kerberos eerst in Jip en Janneke taal, dan kan iedereen zich een beeld vormen wat Kerberos doet, waar het uit is opgebouwd, welke partijen waar vor verantwoordelijk zijn etc. Dat mis ik volledig in jouw verhaal.
(3) Het voorbeeld van Knuth over een random number generator in zijn The Art Of Computer Programming. Hij gaf daarbij een voorbeeld over een algoritme dat zo moeilijk was dat niemand het kon begrijpen. Helaas had de generator een cyclus van een paar stappen, waarna nummers zich al gingen herhalen. Dat was zijn bewijs dat er toch een andere methode gebruikt moest worden. Zo zie ik jouw artikel ook: heel ingewikkeld om te lezen, en daardoor niet duidelijk of het inderdaad wel zo veilig is als jij claimt.
Ik lees het graag door, maar niet op deze manier. Misschien zijn er mensen die er anders over denken, wie weet.
Het eerste dat me opviel toen ik het LidoKey document opende was de waslijst aan variabelen zonder de theorie en getallen in de praktijk te brengen met een goed voorbeeld. Dat weerhoudt mij er al van om uit te gaan zoeken wat wat is, welke aannamen worden gemaakt, hoe de shared secrets uitgewisseld worden zonder het gevaar van een man-in-the-middle attack, waarom bepaalde velden gecodeerd worden met MK, wat het nut daarvan is en waarom dat niet met minder velden af kan, hoe de central keyring in dit verhaal past etc. Oftewel, je maakt een artikel van 4.5 pagina, dat minimaal het 2- of 3-voudige dient te beslaan, met daarbij de nodige plaatjes. Je artikel doet me aan drie dingen denken:
(1) De universiteit waar ik heb gestudeerd en waar ik gelukkig alweer een tijdje van af ben.
(2) De stappen zoals die worden uitgevoerd door Kerberos. Als je dat niet in normale mensentaal uitlegt maar in formules zoals jij die aangeeft, dan begrijpt geen hond wat Kerberos doet. Bespreek je Kerberos eerst in Jip en Janneke taal, dan kan iedereen zich een beeld vormen wat Kerberos doet, waar het uit is opgebouwd, welke partijen waar vor verantwoordelijk zijn etc. Dat mis ik volledig in jouw verhaal.
(3) Het voorbeeld van Knuth over een random number generator in zijn The Art Of Computer Programming. Hij gaf daarbij een voorbeeld over een algoritme dat zo moeilijk was dat niemand het kon begrijpen. Helaas had de generator een cyclus van een paar stappen, waarna nummers zich al gingen herhalen. Dat was zijn bewijs dat er toch een andere methode gebruikt moest worden. Zo zie ik jouw artikel ook: heel ingewikkeld om te lezen, en daardoor niet duidelijk of het inderdaad wel zo veilig is als jij claimt.
Ik lees het graag door, maar niet op deze manier. Misschien zijn er mensen die er anders over denken, wie weet.
03-11-2008, 23:02 door
cryptomannetje
Ik ben het met bovenstaande schrijver eens dat de wijze waarop het concept wordt uitgelegd voor verbetering vatbaar is. Het is daarom voor mij erg lastig om een gefundeerd commentaar te leveren. Een meer grafische aanpak in het pdf document zou welkom zijn Jan-Hein. Verder vind ik het zeker de moeite waard om me er verder in te verdiepen. Uitrol van een volledig PKI-systeem als alternatief is zeer kostbaar en complex in beheer (dus ook kostbaar). Elk alternatief hierop is welkom, alleen zijn er wellicht meerdere mensen met dit idee gekomen. Heb je dit onderzocht? Rusten een geen patenten op je voorstel (IPR)?
04-11-2008, 15:24 door
Jan-Hein
De beschrijving van het LidoKey concept is bewust compact gehouden.
In het projectplan van GCIM wordt het uitgebreider besproken, en ook in samenhang met de andere fundamenten.
Het "kale" document bewijst dat het technisch mogelijk is, en is alleen interessant voor de mensen die het ook zo kunnen lezen en interpreteren.
In een volgende versie van het projectplan zal het als achtergrond informatie worden geintegreerd.
Hetzelfde geldt voor de presentatie van de tweede basis techniek.
De rol van de central keyring in de beschrijving is de illustratie van de delegatie mogelijkheden voor de moeder keyring.
Achteraf bekeken zou ik dat deel misschien nog kunnen afsplitsen; ik zal er naar kijken, bedankt.
Over patenten:
Ik ben niet op de hoogte van beschrijvingen van het concept, anders dan van mij.
Gegeven de technische en economische voordelen, en de teleurstellende resultaten van de huidige alternatieven, zou het mij verbazen als die blijken te bestaan, maar ik sluit het uiteraard niet 100% uit.
Het goede nieuws is dat het nu niet langer mogelijk is om het concept alsnog te monopoliseren, dus met een beetje geluk is het nog steeds bruikbaar.
In het projectplan van GCIM wordt het uitgebreider besproken, en ook in samenhang met de andere fundamenten.
Het "kale" document bewijst dat het technisch mogelijk is, en is alleen interessant voor de mensen die het ook zo kunnen lezen en interpreteren.
In een volgende versie van het projectplan zal het als achtergrond informatie worden geintegreerd.
Hetzelfde geldt voor de presentatie van de tweede basis techniek.
De rol van de central keyring in de beschrijving is de illustratie van de delegatie mogelijkheden voor de moeder keyring.
Achteraf bekeken zou ik dat deel misschien nog kunnen afsplitsen; ik zal er naar kijken, bedankt.
Over patenten:
Ik ben niet op de hoogte van beschrijvingen van het concept, anders dan van mij.
Gegeven de technische en economische voordelen, en de teleurstellende resultaten van de huidige alternatieven, zou het mij verbazen als die blijken te bestaan, maar ik sluit het uiteraard niet 100% uit.
Het goede nieuws is dat het nu niet langer mogelijk is om het concept alsnog te monopoliseren, dus met een beetje geluk is het nog steeds bruikbaar.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.