Caro Giovanni, ti suggerisco di leggere con maggiore attenzione quella conversazione. Martin Schanzenbach purtroppo non ha letto i paper che gli ho proposto, tant'è che la sua prima risposta prende fischi per fiaschi riguardo al protocollo in questione (non aveva letto che il paper fa proprio riferimento al RFC 9000). Nonostante la mia reiterata richiesta di spiegarmi come GNUnet possa mitigare una vulnerabilità che si verifica (semplifico) durante l'handshake iniziale QUIC, prima che il payload GNUnet possa essere trattato, non ha risposto, limitandosi a dire che GNUnet tratta i transport come non sicuri. Mi sta bene: una volta che la connessione GNUnet over QUIC è stabilita, forse GNUnet può mitigare il problema. Ma gli attacchi in questione possono essere attuati PRIMA che questo avvenga e, se Schanzenbach avesse provato a leggere il paper l'avrebbe capito. Quanto poi al fatto che QUIC sia un protocollo "perfectly sound"... BAH! Io vedo solo che qualsiasi critica gli venga posta viene cancellata. https://en.wikipedia.org/wiki/Talk:QUIC#Criticism_getting_reverted Ma evidentemente a GNUnet non interessa. Il che, purtroppo, fa perdere a me qualsiasi interesse in GNUnet. Esattamente come l'abbandono del progetto GNU mi ha fatto perdere ogni interesse in GCC e l'attacco a Stallman mi ha fatto perdere ogni interesse in GUIX. Il software libero non è un progetto software, ma un progetto politico. E collaborare con Google diffondendo uno dei suoi strumenti è miope ed autolesionista, sia da un punto di vista tecnico che politico. Nel caso di GNUnet poi, è in diretto contrasto con la "political mission" di cui blatera la documentazione del progetto (e che tu avevi giustamente riportato nella tua mail precedente). Apri gli occhi, Giovanni: il software libero sta morendo, ucciso dai suoi stessi campioni di un tempo. E lo scrivo con la morte nel cuore. Giacomo Il giorno Tue, 26 Sep 2023 16:43:39 380° ha scritto:
Considerata la tua competenza, perché non contribuire almeno aprendo un bug report: https://bugs.gnunet.org/view_all_bug_page.php?filter=65112f8820b17 ?
Grazie Giacomo!
Abbiamo così la possibilità di poter verificare cosa rispondono alle tue osservazioni di merito.
Vedo che il bug report è già stato chiuso e da quello che leggo mi pare di capire che:
1. dal punto di vista tecnico insisti su alcuni aspetti solo per il fatto di non aver compreso l'architettura di GNUnet: «There is nothing to fingerprint. There is no application layer protocol running directly on top of the transport layer in gnunet.» [...] «GNUnet runs on top of transports that are expected to be insecure channels. Period. It does not matter what kind of privacy and security issues quic has because we DO NOT CONSIDER IT A SECURE CHANNEL.»
2. dal punto di vista politico, trovo condivisibile questa risposta, NEL CONTESTO dello scopo di GNUnet: «if we exclude all transport channel provides that somebody politically deems questionable, but are technically perfectly sound transports, then I have to strongly disagree that this is getting us anywhere and we basically have to start with launching our own satellites into space.»
In merito a 1. ti dico che può darsi che a tutti gli sviluppatori di GNUnet stia sfuggendo qualcosa di fondamentale nella loro architettura: in questo caso non resta che /smentirli/, producendo un'analisi tecnica che evidenzi la backdoor o la falla architetturale, magari producendo un paper che falsifichi l'intero lavoro di ricerca di GNUnet degli ultimi vent'anni.
In merito a 2. ti dico che quello che ti ha risposto schanzen (Martin Schanzenbach, co-maintainer) non è una iperbole o una risposta sarcastica: è la "banale" realtà dei fatti, perché rifare da zero Internet dal Layer 1 al Layer 4 **compreso** è impossibile, spero che tu comprenda bene il perché, agli altri dico: perché ogni singolo apparecchio che costituisce l'infrastruttura _fisica_ di Internet funziona con software che capisce /determinati/ protocolli di trasporto, ogni router, ogni switch, ogni scheda di rete funziona con quelli (ah i bei tempi del Token Ring!).
Naturalmente potremmo sempre sostituirli tutti... ma ci vorrebbero svariati decenni ed equivarrebbe a lanciare dei satelliti propri.
Detto in altre parole, la sola cosa ragionevole da fare è lavorare dal Layer 5 **in su**, cosa che GNUnet fa nel suo sottosistema CORE: https://docs.gnunet.org/latest/developers/core/core.html
--8<---------------cut here---------------start------------->8---
The CORE subsystem in GNUnet is responsible for securing link-layer communications between nodes in the GNUnet overlay network. CORE builds on the TRANSPORT subsystem which provides for the actual, insecure, unreliable link-layer communication (for example, via UDP or WLAN), and then adds fundamental security to the connections:
[...]
--8<---------------cut here---------------end--------------->8---
...e scusa se è poco.
Però oh, ripeto: «noi (io e schanzen), incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché»
[...]
Un caro saluto, 380°
P.S.: sull'altro aspetto politico, cioè quello del ethics-washing, i soldi sporchi e compagnia cantante non ho nessuna intenzione di commentare tranne evidenziare che ovviamente niente esclude che chiunque in GNU, GNUnet e compagnia cantante possano essere un infiltrato per conto di qualche BigTech o governo.