Microsoft avviser kontant Schneiers Kerberos-kritikk

- Bruce Schneier har misforstått. Vi har ikke endret Kerberos-protokollen når vi tar i bruk et ubenyttet datafelt til kommunikasjon mellom Windows 2000-maskiner. Vi har full interoperabilitet med andre, sier Rune Lystad i Microsoft Norge.

Uttalelsene til Bruce Schneier om hvordan Windows 2000 håndterer Kerberos (se artikkelen Mener Microsoft ødelegger for Kerberos) inneholder ifølge Lystad en alvorlig feiltolkning.

- Schneier bekrefter det Microsoft tidligere har informert om; vi benytter kun et datafelt som tidligere har vært tomt og som ligger i Kerberos standarden. Dette feltet har kun mening mellom to Windows 2000-systemer, alle andre systemer ignorerer rett og slett innholdet i dette feltet. Bruce Schneier har tydeligvis ikke oppfattet at dette feltet kun benyttes når det sendes Kerberos data mellom to Windows 2000 maskiner, og at det ikke benyttes når det sendes Kerberos data mellom Windows 2000 og for eksempel en Unix maskin. Han skriver nemlig at feltet benyttes mellom Kerberos server og klient og det kan virke som om han ikke har satt seg godt nok inn i sakens fakta, skriver Lystad i en kommentar til digi.no.

Lystad avviser at Microsoft har endret Kerberos-protokollen.

- Det er jo nettopp det vi ikke har gjort, Bruce Schneier sier jo selv at dette feltet finnes i Kerberos implementeringen i fra før. Med andre ord kan vi neppe ha endret selve protokollen, vi bare benytter et datafelt som andre har valgt å ikke benytte og som nettopp var satt av for fremtidig utnyttelse. At Bruce Schneier mener at dette er å endre på sikkerhetsprotokollen må stå for hans personlige regning, vi har altså kun benyttet en funksjon som allerede finnes og ikke endret på strukturen på Kerberos pakken. En Kerberos pakke sendes 100 prosent etter Kerberos v5 standarden, at det ligger data i et av feltene bryter med andre ikke med selve pakkestrukturen.

Lystad understreker til slutt at Kerberos på Windows 2000 er fullt ut kompatibelt med andre Kerberos-systemer:

- Nå har diskusjonen tatt en vending som går på personlige meninger og tolkninger, og er ikke lenger fokusert på tekniske fakta. Microsoft har bevist 100 prosent interoperabilitet med andre Kerberos systemer og det kan virke som om Bruce Schneier nekter å ta hensyn til dette.

Bakgrunn om Kerberos er tilgjengelig her:


Kerberos-dokumenter

Les mer om diskusjonen rundt Kerberos-implementasjonen i Windows 2000:


Mener Microsoft ødelegger for Kerberos
Microsoft: - Windows 2000 er kompatibel med Kerberos-protokollen

Til toppen