Jag har i ett par olika inlägg (ett, två) skrivit om den Svenskutvecklade tekniken för kortbetalningar SIPT. Jag har nu fått ett par intressanta kommentarer till de inläggen som jag skulle vilja uppmärksamma.
Signaturen Anders postade en kommentar med intressanta länkar till en artikel om SIPT i NyTeknik som beskriver SIPT mer i detalj. Bland annat finns den här fina figuren som visar stegen i en transaktion:
Den andra länken frÃ¥n Anders är till tidningen SECURE. I den finns det en artikel skriven av en av SIPTs skapare – Chris Sprucefield (artikeln börjar pÃ¥ sidan 22.). Den andra kommentaren är skriven av just Chris Sprucefield!.
Jag börja med att säga att jag tycker att det väldigt roligt att få respons på det jag skriver och vill tacka både Anders och Chris för länkar och kommentarer. Dock håller jag inte med Chris i allt han skriver.
Jag tror exempelvis inte på påståendet att syftet med att patentera SIPT är att skapa en plattform. Chris skriver:
En av anledningarna till patentet, är att det är avsett att fungera som en plattform, och att det därför behöver ett skydd, för att det inte skall drabbas av embrace, extend and extinct-fenomenet, där det blir många olika och med varandra inkompatibla system inom “samma†beskrivning.
Visst det kan vara syftet bakom patentet, men tittar man på det standarder som finns för IT-säkerhet är det iaf min uppfattning att det är de standarder som är öppna och inte patenterade eller hemliga som lyckats bli standarder. Att försöka skydda sin standard genom att patentera den känns därför som en mindre bra idé. Men vi får väl se, som Chris avslutar kanske det trillar ut en öppen standard för SIPT:
SIPT är inte avsett att vara proprietärt i den traditionella bemärkelsen, utan skall öppnas upp för alla på marknaden. Det proprietära, kommer mer att bestå i att se till att det blir en kompatibel lösning mellan samtliga deltagande parter.
Hmmm…
(Ändrat Bruce till Chris.)
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
s/Bruce/Chris/ misstänker jag.
Det är naturligtvis upp till var och en vad vi/ni/du (stryk det som ej passar) 😉 vill tro pÃ¥. I sak förhÃ¥ller det sig pÃ¥ det viset att Chris S liksom jag själv sitter i ledningen för SIPT-gruppen. I sak förhÃ¥ller det sig ocksÃ¥ sÃ¥ att SIPT är patenterat för att i möjligaste mÃ¥n försäkra oss om att metoden kommer att implementeras och användas pÃ¥ rätt sätt (*som ett grundläggande säkerhetslager i en öppen plattform) – utan rättigheter att lÃ¥sa funktion och användning till enskilda och avgränsade proprietära lösningar i publika elektroniska nätverk. Tro vad ni vill, men vore det inte rätt korkat av en företagsledning att publicera luriga uppgifter om en sak som är av en, som vi ser det, sÃ¥ pass stor betydelse för trovärdigheten i systemlösningen? 🙂
Se SIPT (säkerhetslager) som en ny och säkrare slags asfalt pÃ¥ E4:an (internet). VÃ¥r avsikt är inte att användare av uteslutande ett bilmärke (en exklusiv systemleverantör) – med dyra märkesdäck (kortutgivare i oligopolställning) ska fÃ¥ köra pÃ¥ vÃ¥r “asfalt”... utan att alla ska ha rätt att göra det. Som en extra bonus: ger det bensinmackar och vägkrogar (tjänsteleverantörer) nya affärsmöjligheter genom möjligheten att dra nytta av varandras kunder… 😉 Sköt om varandra i trafiken. 🙂
/Tomas Hägg
Aloha!
Tack Tomas för kommentaren. Att ni valt patentvägen för att försäkra er om att SIPT implementeras är ert val av metod, det vi nog kan komma överens om är att det inte är det enda sättet – och att det när det kommer till säkerhetsstandarder inte är det vanligaste sättet.
Har ni på SIPT publicerat någon licens för SIPT? Licensen, tror jag, kommer att bli den springande punkten för intresset för att använda SIPT. Vilka krav kommer ni att ställa på implementatörer och användare av SIPT?
Jag är ingen motståndare till patent generellt, och sitter som uppfinnare på ett antal patent själv. Jag tycker att tekniska lösningar (detaljer i implementationer) som har nyhetsvärde, är icke-triviala och har verkshöjd är både lämpliga och intressanta för företag att patentera.
Men patent som metod att hemlighÃ¥lla och lÃ¥sa in protokoll och vital information för att kunna utvärdera säkerheten gör att iaf jag drar öronen Ã¥t mig. Jämför gärna med standarder som SSL/TLS eller IPsec där protokoll sÃ¥väl som grundläggande algoritmer är öppna – men där det finns ett antal implementationer där företag som Cisco etc har patent pÃ¥ implementationsdetaljer etc.
Helt kort: Hur avser ni att säkerställa/göra det trovärdigt för kunder, användare m.fl. att SIPT är säkert?
Hej Joachim,
Svar (helt kort): Ett systems praktiska säkerhet baseras i normalfallet på utfallet av en tids användning. En utvärdering av en metod, i vårt fall tvåvägskommunikation, multiverifiering och resurslokalisering med SIPT, kan naturligtvis göras. I övrigt bevisas säkerheten av drift som fungerar utan problem där frågan om trovärdighet är dynamisk och bara kan besvaras av marknadens förtroende.
Detta blir sista inlägg i det här forumet då vår arbetsbelastning inte medger vidare debatt.
/Tomas Hägg
Tack Tomas för dina svar.
Det du säger vad gäller huruvida den praktiska säkerheten är knappast något nytt, utan är ett uttryck för den försiktighet som faktiskt behöver finnas runt nya säkerhetsmetoder.
Bekymret jag ser med den väg ni valt med SIPT, att inte göra den öppen utan att patentera den och som du skrev i ett tidigare inlägg “vore det inte rätt korkat av en företagsledning att publicera luriga uppgifter om en sak som är av en, som vi ser det, sÃ¥ pass stor betydelse för trovärdigheten i systemlösningen?”
Att då få till den praktiska säkerhet genom en tids användning av ett antal användare tror jag blir svårare.
Tittar man ex på AES-uttagningen eller den pågående eSTREAM-tävling. Där är den långa processen till för att försöka åstadkomma en fokuserad analys för att ersätta den längre tidens användning, detta för att kunna ge en trovärdighet även åt nyare standarder.
Därför är det, anser jag, intressant att se hur ni avser att försöka göra SIPT trovärdigt – hur fÃ¥r ni dom första användarna att tro pÃ¥ er lösning?
Men jag gissar att jag och alla andra helt enkelt får vänta och se hur det går för er på SIPT Technologies. Lycka till!