(Först: Har tyvärr haft fullt upp så bloggandet har tagit stryk. Förhoppningsvis blir det bättre fart under december.) Sprang på en märklig artikel, eller mer exakt ett debattinlägg i NyTeknik.
Inlägget, författat av nÃ¥gon som heter Tomas Hägg, handlar om problemen med elektroniska betalningssystem – kort, transaktioner pÃ¥ nätet etc. I artikeln kritiserar Hägg bankerna för att använda vad han kallar passiv säkerhet och exemplifierar med kryptering.
Lösningen enl inlägget är istället att använda SIPT - Secure Information and Payment Technology, en teknologi som Häggs bolag SIPT Technology enligt egen utsago har metodpatent på. Utan SIPT är vi tydligen på väg mot undergång, men med SIPT kommer allar problem att lösa sig. Eller som Hägg skriver:
Det finns tvÃ¥ vägar att gÃ¥. Antingen Ã¥tergÃ¥r vi till ett bytessamhälle med hederliga handslag eller sÃ¥ säkrar vi möjligheterna att bedriva handel med virtuella betalningsmedel….... Som en extra bonus skulle chattprogram, och forum för sociala kontakter, kunna bekräfta sina användare, genom ett och samma system. Skimming, phishing och grooming skulle vara ett minne blott. Bosse, 52, skulle inte längre kunna spela Cissi, 14. Bara det vore nÃ¥got värt att lämna efter oss till vÃ¥ra barn.
(Jösses.) SIPT verkar helt klart som en fantastisk intressant teknik, dock finns det i inte så mycket information i debattinlägget om vad SIPT faktiskt är. Men Google is your friend så...
Först hittade jag en riktig artikel om SIPT Technologies och SIPT från Securityuser. Enligt den artikeln är SIPT:
en metod för säkra transaktioner med smarta kort kopplade till ett generellt slags bankkonto. Kortet innehåller en speglad och krypterad version av kontot, skyddad med pin-kod, biometri eller liknande och har en egen teknisk identitet och ett certifikat. Om kortet förloras får man ett nytt med exakt samma information av valfri ansluten bank i världen.
Om kortet skulle förloras kort spärras det och görs obrukbart när någon försöker använda det.
Ett smartcard som potentiellt lagrar mycket personlig information, och kan skyddas på olika standardiserade sätt alltså? Vad som tydligen är unikt är att konto och kort lagrar ovanligt mycket information och att dom är synkade:
I Sipt-världen kan bankkontot rymma allt som är av värde för användaren. Förutom pengar även körkort, pass, flygbiljetter. Allt finns samtidigt lagrat i en spegling på kortet.
Jag blir dock inte klok på hur informationen faktiskt skyddas. Lite mer Googling gör att jag hittar SIPT Technologies egen webblats. Där borde det finnas mer information. Tyvärr hittar jag bara några få sidor med information till media och investerare. Ingen närmare information om hur det faktiskt fungerar, eller vad som patenterats. Det pratas mycket om att det är patenterat, proprietärt och väldigt, väldigt säkert. Tydligen är grundarna Tomas Hägg och Chris Sprucefield dock kända säkerhetsexperter, eller som dom själva skriver:
The SIPT system, with its unique patented methodology, guarantees both operation and security.
SIPT started out in Sweden 1999 by the inventors Tomas Hägg and Chris Sprucefield – clearly familiar with the field of information technology in addition to technical as well as human aspects.
Inte helt klart för mig, utan för mig är dessa personer okända. Söker jag på Chris Sprucefield får jag 343 träffar, varav de flesta ser ut att handla om fotografering.
Känslan jag får är i stället att detta är ett Svensk exempel på Bruce Schneiers säkerhetsormolja. Varningar i stora ord om fara och katastrof, löften om att fixa alla problem, patent (tom metodpatent), proprietär lösning och massor med lösa floskler istället för fakta gör att detta känns allt annat än seriöst.
Men jag kan ha helt fel. Hägg och Sprucefield kan vara jätteduktiga och seriösa med lång erfarenhet och meritlista som säkerhetsexperter. (Är det så får ni läsare väldigt gärna rätta mig.) Det kan helt enkelt vara som Hägg själv skriver i sitt inlägg, att jag inte alls begriper det fantastiska med SIPT:
När jag pratade med den ansvariga chefen för avancerade kortbetalningar, för ett av världens största acceptansmärken för betalkort, avfärdades jag med kommentaren: “jag förstÃ¥r inte”, som svar pÃ¥ min systemkritik och information om vÃ¥rt metodpatent Secure information and payment technology.
Vad tror du?
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
Om någon vill sälja en moj med säkerhetsprägel så ska de utan anmodan i publika forum beskriva hur prylen fungerar. Beskrivningen behöver inte vara i form av källkod, protokollnivå räcker. Inga hemliga protokoll, krypteringsalgoritmer eller annat trams.
Om de inte fyller de kraven så betraktar jag deras produkter som ormolja tills motsatsen är bevisad.
Sen lever jag inte som jag lär… använder exempelvis en internetbank….
Vad jag tror om SIPT? Samma som du förmodligen.
mvh /Janne
http://prv.se/svp/jsp/details.jsp?ansnr=00009118&kap=-5&tidnr=200507
http://v3.espacenet.com/textdoc?DB=EPODOC&IDX=SE525418&F=0
Googlade SIPT och hamnade här! 🙂 Seriös artikel om SIPT: http://nyteknik.se/art/43437 … Men var fÃ¥r ni att syftet med SIPT skulle vara proprietärt ifrÃ¥n? Det verkar ju vara precis tvärtom… kolla den här artikeln frÃ¥n Secure Magazine, skriven av Chris Sprucefield: http://www.silicon-trust.com/html-data/pdf/secure_9/00_secure_complete.pdf
Ormolja?? Nej tack! =)
Kika lite mer på patentet..
Det är inte en specfik kryptometod som specificeras, utan hur transaktionerna går till, hur man säkerställer att de ingående delarna i ett transaktionssystem inte manipuleras, och om detta sker, hur det kan upptäckas och hanteras, och att obehöriga individer och/eller utrustning inte får delta. Kryptot som används, är inte specificerat, för att detta kan komma att ändra på sig framgent, allteftersom nya möjligheter till attacker etc kommer fram, och då kan det vara t.ex vara lämpligt att byta nyckellängder, eller till och med kryptometoder, något som systemet i sig tillåter.
Krypto, vilket är ett kärt barn (med viss rätt =) idag, är bara ett sätt att dölja informationen så att den (som vanligt med krypto) inte är läsbar för vem som helst.
Ett certifikat, kan till viss del lösa problemet med identifiering, men räcker oftast inte hela vägen.
Problemet med att förlita sig blint pÃ¥ krypton, sÃ¥ som bankerna till mycket stor del gör idag, är att det i sig inte löser det verklliga problemet – identifiering och säkerställande av transaktionen i sig, och att de parter som deltar, verkligen är de som de utger sig för att vara. Exempel; Banken vet med hyggligt god säkerhet vem du är, men vet du verkligen att banken är den den utger sig för att vara när du sitter bakom skärmen hemmavid?
Det är just precis detta, tillsammans med mänsklig okunskap eller oförstånd, som gör att t.ex. phishing till det problem det trots allt är idag.
Även om du t.ex. skyddar en kreditkortstransaktion med krypto idag, kan du, om du får tag på informationen, upprepa transaktionen, eller använda informationen för att genomföra andra transaktioner. Detta är en av de saker som SIPT sätter stopp för, utöver att tillföra möjligheter, som inte finns i dagens modell av banksystem.
Hur många av er har t.ex. svurit över att det inte gått att betala i kassan, eller att inte kunna få ut pengar ur bankomaten då de varit nere eller slut på pengar?
SIPT’s system innebär en lösning till detta problem, som gör att samhället inte stannar, bara för att ett bankomatsystem eller en bank gör det.
Mikrobetalningar? Det finns med i systemet som en naturlig del av det.
Anledningen till att vi inte diskuterar tekniken i sig i debattartiklar etc, är att det inte är intressant i det forumet. Det finns en annan artikel i Ny teknik, som beskriver lite mer.
http://nyteknik.se/art/43437
Just smarta kort eller liknande, är inte en av de primära objekten i systemet.
De är bara en databärare bland alla andra, och har tagits som exempel, för att folk i gemen är bekanta med detta, och förstår det på ett helt annat sätt än många andra möjliga implementationer.
Systemet som sådant, omfattar långt mer än bara användande inom bankvärlden, och är ett system för allmänt bruk, där det är avsett att parterna på marknaden skall kunna bifoga sin del, och sina smarta lösningar, men kanske inte behöva ta fram allting.
Det är kanske mer korrekt att beskriva det som ett system för att säkerställa identifiering och transaktioner oavsett typ, där traditionella banktransaktioner bara är en av alla möjliga sådana.
Till sist. Säkerhet… Det finns inga absolut säkra system. All säkerhet, handlar bara om att göra kostnaden för stor i förhÃ¥llande till den möjliga vinsten, att en angripare väljer en annan och mer lönsam metod.
Tyvärr, har vi alldeles för mycket att göra för att föra någon vidare debatt, men jag hoppas att detta förklarar något för er.
Med vänliga hälsningar,
C. Sprucefield, SIPT.
Ps.. En av anledningarna till patentet, är att det är avsett att fungera som en plattform, och att det därför behöver ett skydd, för att det inte skall drabbas av embrace, extend and extinct-fenomenet, där det blir mÃ¥nga olika och med varandra inkompatibla system inom “samma” beskrivning.
SIPT är inte avsett att vara proprietärt i den traditionella bemärkelsen, utan skall öppnas upp för alla på marknaden. Det proprietära, kommer mer att bestå i att se till att det blir en kompatibel lösning mellan samtliga deltagande parter.