Hey Michael!<br><br>I will give you guys some background info on the project<br><br>The goal of the proyect is to provide some way of communication beteween the children who have an XO and their parents and family. <br><br>
Since most of the parents don't have a computer nor internet access, we determined telephone is the best way to reach them. Some of them don't have cellphones either, but line telephones, most of them do. <br><br>
My partner on this project and I work for a company that does text to speech and SMS2 to Phone Call services, so we are going to use the infrastructure for this project. <br><br>So we are developing a simple client app for Sugar and the xo, in order to let children write a message and send it to their parents. The message will be translated to speech and, and the parents will recieve it in a phone call on their home line or mobile device. <br>
The message will be sent using web services and the transport will be SOAP over HTTP although the goal of the project was to base the authentication system on XMPP and also transport SOAP over xmpp. But for the prototype we aren't going to use XMPP.<br>
<br>We plan to offer this service just for the children and the security and authentication concerns are not to let anybody else use the service. <br><br>The only threat or attacks to the service is someone pretending to be a children with an XO to send messages since it is not free of charge for everyone, that's why we tought of WSS to probe authenticity, integrity and also that the message was originated by the sender. <br>
<br>There is no threat on the XO's end to my knowledge since it is a one way only communication system<br>( Actually we did a reaserch for University and came up with  XMPP using Jabber server to be the best way to achieve bidirectional communication) but this is a far bigger project because we need Jabber servers and authentication schemes to be used globbally here in Uruguay and that is far from happening I think.)<br>
<br>Finnally, this project is only a prototype and it will be very difficult to deploy nation wide since there are commercial issues to settle. <br><br>Anyways, hope I have been clear and thanks everyone for the support. <br>
<br>Marcel Renaud<br><br><div class="gmail_quote">On Wed, Dec 10, 2008 at 4:26 PM, Michael Stone <span dir="ltr"><<a href="mailto:michael@laptop.org">michael@laptop.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">On Wed, Dec 10, 2008 at 09:56:39AM -0200, Marcel Renaud wrote:<br>
</div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2E3d">
Thanks a lot for your answers.<br>
<br>
Yes, I think a shared credentials are the best way.<br>
<br>
Basically we want to offer a service just for the Xos and are working now on<br>
the authentication model.<br>
We are going to use webservices with<br></div>
WSS<<a href="http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss" target="_blank">http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss</a>><div class="Ih2E3d"><br>
and place a signed key on each XO that is going to use the service, to<br>
authenticate with the webservice provider.<br>
</div></blockquote>
<br>
Marcel,<br>
<br>
Is it important to keep the credential(s) secret? If so: <br>
  * why?<br>
  * for how long?<br>
  * against what attack(s)?<br>
  * how?<br>
  * if (when) they leak, what next?<br>
<br>
Also, what are the incentives for keeping the credentials secret? for<br>
publishing them?</blockquote><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
Regards,<br><font color="#888888">
<br>
Michael<br>
</font></blockquote></div><br>