<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body>
<div dir="auto">Hi Fernando,</div>
<div dir="auto" style="color: rgb(33, 33, 33); background-color: rgb(255, 255, 255);">
<br>
</div>
<div dir="auto" style="color: rgb(33, 33, 33); background-color: rgb(255, 255, 255);">
I'm speechless ðŸ™ˆðŸ¤£.........</div>
<div dir="auto" style="color: rgb(33, 33, 33); background-color: rgb(255, 255, 255);">
<br>
</div>
<div dir="auto" style="color: rgb(33, 33, 33); background-color: rgb(255, 255, 255);">
Thanks for this !</div>
<div dir="auto" style="color: rgb(33, 33, 33); background-color: rgb(255, 255, 255);">
<br>
</div>
<div dir="auto" style="color: rgb(33, 33, 33); background-color: rgb(255, 255, 255);">
Cheers</div>
<div dir="auto" style="color: rgb(33, 33, 33); background-color: rgb(255, 255, 255);">
<br>
</div>
<div dir="auto" style="color: rgb(33, 33, 33); background-color: rgb(255, 255, 255);">
Ray</div>
<div><br>
</div>
<div id="ms-outlook-mobile-signature" dir="auto">Hanki <a href="https://aka.ms/AAb9ysg">
Outlook for Android</a></div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> ipv6-wg <ipv6-wg-bounces@ripe.net> on behalf of Fernando Gont <fgont@si6networks.com><br>
<b>Sent:</b> Tuesday, December 13, 2022 8:24:19 AM<br>
<b>To:</b> ipv6-wg@ripe.net <ipv6-wg@ripe.net><br>
<b>Subject:</b> [ipv6-wg] Windows 11 now implements RFC 7217 (stable privacy addresses)!</font>
<div> </div>
</div>
<div class="BodyFragment"><font size="2"><span style="font-size:11pt;">
<div class="PlainText">Folks,<br>
<br>
After over 10 (yes, *ten*) years, we have finally addressed <br>
security/privacy issues in the generation of IPv6 stable addresses in <br>
most popular operating systems.<br>
<br>
The traditional scheme/algorithm to generate stable IPv6 addresses with <br>
SLAAC required that the underlying MAC address be employed to generate <br>
the Interface Identifier. That is, the underlying MAC address would be <br>
embedded in the lower bits of an IPv6 address.<br>
<br>
This scheme allowed for host-tracking (since MAC addresses are usually <br>
globally-unique), address scanning (since addresses will follow specific <br>
patterns) and a number of other issues.<br>
<br>
In 2011, I submitted an IETF Internet-Draft proposing a scheme for <br>
generating stable addresses with SLAAC, meant to replace the traditional <br>
scheme. The scheme could be summarized and simplified as: Interface_ID = <br>
Hash(Prefix, Secret). Thus, interface identifiers would be stable within <br>
the same subnet, but vary across subnets.<br>
<br>
[Replacing the traditional scheme with this new scheme was anything but <br>
easy -- if you're curious, please check the "IPv6 Addressing" section in <br>
<<a href="https://www.si6networks.com/2020/08/06/a-brief-history-of-recent-advances-in-ipv6-security-part-i/">https://www.si6networks.com/2020/08/06/a-brief-history-of-recent-advances-in-ipv6-security-part-i/</a>>
<br>
]<br>
<br>
Over time, popular operating systems and packages adopted the proposed <br>
algorithm: the Linux kernel, NetworkManager, OpenBSD's slaacd, MacOS, <br>
etc. Eventually, virtually every popular OS had adopted the scheme.... <br>
except Windows.<br>
<br>
Based on a recent note by Brian Carpenter, I ended up testing Windows <br>
11, and I can confirm that it does implement RFC 7217 / RFC 8064!<br>
<br>
Therefore, e.g. if multiple prefixes are employed on a subnet, the <br>
stable addresses for each of such prefixes will employ a different <br>
Interface Identifier, thus avoiding the security/privacy issues <br>
discussed above -- this is really good news!<br>
<br>
Unfortunately, Windows still generates temporary addresses with the <br>
algorithm specified in RFC 4941, thus resulting in all temporary <br>
addresses for a given interface employing the same Interface Identifier <br>
(!). This problem has been addressed in RFC 8981... but it's <br>
implementation is not yet widespread, yet (it has been incorporated in <br>
e.g. the Linux kernel, though).<br>
<br>
I just hope it doesn't take Windows and others yet another 10+ years to <br>
implement RFC 8981, to finally address the remaining security/privacy <br>
issues in IPv6 address generation!<br>
<br>
[Original article with screenshots: <br>
<a href="https://www.linkedin.com/posts/fernandogont_after-over-10-yes-ten-years-we-have-activity-7008316664207290368-Wcto">https://www.linkedin.com/posts/fernandogont_after-over-10-yes-ten-years-we-have-activity-7008316664207290368-Wcto</a>
<br>
]<br>
<br>
Thanks!<br>
<br>
Regards,<br>
-- <br>
Fernando Gont<br>
SI6 Networks<br>
e-mail: fgont@si6networks.com<br>
PGP Fingerprint: F242 FF0E A804 AF81 EB10 2F07 7CA1 321D 663B B494<br>
<br>
-- <br>
<br>
To unsubscribe from this mailing list, get a password reminder, or change your subscription options, please visit:
<a href="https://lists.ripe.net/mailman/listinfo/ipv6-wg">https://lists.ripe.net/mailman/listinfo/ipv6-wg</a><br>
</div>
</span></font></div>
<br>
<p style="font-family:Calibri;font-size:10pt;color:#000000;margin:15pt;" align="Left">
For Internal Use Only<br>
</p>
</body>
</html>