Caro Stefano è giustissimo separare l'analisi tecnica da quella geo-politica, ma l'intersezione delle due è la "raison d'être" di questa lista... :-) Il tuo richiamo al fatto che si trattasse della precedente versione è giusto, e mi scuso di non averlo segnalato direttamente io. Osservo soltanto che nella parte finale della sua analisi tecnica (sezione 5.2) descrive un "nerd attack" basato sull'uso di "enriched apps" che è lo stesso che ho descritto io con le "app derivate" nella mia analisi della versione del 10 aprile di DP-3T. https://link-and-think.blogspot.com/2020/04/come-funziona-la-nuova-versione-... Condivido pienamente l'osservazione di Antonio sul fatto che questa cosa si vuole fare e si sta tentando di farla a tutti i costi. La posta in gioco è altissima. Ciao, Enrico Il 17/04/2020 08:26, Stefano Zacchiroli ha scritto:
Sto solo cercando di separare le analisi tecniche dalle decisioni politiche che su di essere devono essere basate. E mi sembra stia diventando sempre più difficile, anche su questa lista.
Nessun esperto di sicurezza prenderebbe un audit della versione precedente di un protocollo (o anche di una sua implementazione) come applicabile alla successiva, at face value, perché ogni modifica anche minima può cambiare tutto, sia nel bene che nel male. Quindi porto all'attenzione della lista che quell'analisi non corrisponde al protocollo attuale, perché il messaggio di Enrico non lo precisava e mi sembra invece un'informazione importante.
Sullo stato geopolitico delle cose penso tu abbia ragione, ma è un dibattito diverso, anche se ovviamente collegato.
Ciao
On Fri, Apr 17, 2020 at 08:10:02AM +0200, Antonio Casilli wrote:
Ciao Stefano, certo che l'analisi di Vaudenay è datata 8 aprile, ma per ora a mia conoscenza non è che le sue conclusioni siano state inficiate dall'introduzione del cuckoo filter (che l'ultimo post di Enrico ha abbastanza mazzolato per inciso)
In generale, a giudicare dalla cattiva fede e dagli attacchi ad personam di cui sono oramai oggetto da parte di DP3Tini su Twitter e altrove, ho come l'impressione che i giochi siano fatti e che prevalga l'attitudine "mah nessun sistema è perfetto, smettiamo di correre dietro a ogni fesso che ci fa una critica". Il che, vista la posta in gioco, è un'attitudine abbastanza malsana. Spero di sbagliarmi. Cheers, ---a
----- Mail original ----- De: "Stefano Zacchiroli" <zack@upsilon.cc> À: "nexa" <nexa@server-nexa.polito.it> Envoyé: Jeudi 16 Avril 2020 20:48:35 Objet: Re: [nexa] un'analisi tecnica di DP-3T molto spinta
On Thu, Apr 16, 2020 at 07:14:57PM +0200, Enrico Nardelli wrote:
È di Serge Vaudenay, dell'EPFL, un'esperto di crittografia francese
FWIW, questo studio è sulla versione precedente del protocollo, non su quella attuale.
(E con questo non voglio implicare niente di più, ne niente di meno di questa osservazione fattuale. Se non che per protocolli crittografici che cambiano velocemente è necessario avere audit che cambiano altrettanto velocemente.)
-- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club » _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --