Buongiorno Damiano, Damiano Verzulli <damiano@verzulli.it> writes: [...]
Ho anche capito che questa gestione "client-side" della chiave di cifratura è, di fatto, possibile _A_CONDIZIONE_ di utilizzare determinati servizi
eh già, molti utenti non sono capaci di: 1. creare una coppia di chiavi pubblica/privata in autonomia su un dispositivo di cui si fidano 2. gestire in autonomia la ditribuzione della tua chiave pubblica/privata sui propri dispositivi Io Google (et al) li capisco anche: devono rendere la vita facile a chiunque, mica possono perdere /consumatori/ solo perché non sono in grado di fare quanto sopra!?!
"/enabling Client-side encryption requires you to choose a key access service partner: Flowcrypt, Fortanix, Futurex, Thales, or Virtru. Each of these partners have built tools in accordance with Google’s specifications and provide both key management and access control capabilities. /"
Ecco appunto: le chiavi te le /creano/ e gestiscono loro, tu devi limitarti a superare il controllo di accesso... magari con SPID B-)
....ed allora mi si confondono le idee. Come faccio a gestire "client-side" la chiave, se questa gestione deve passare per un terzo?
Il trucchetto narrativo è semplice, mi pare: loro mica pretendono che tu ti gestisca le tue chiavi client-side, ti dicono che i tuoi dati sono crittografati client-side con chiavi /fornite e gestite da terzi/... e così ti illudono che i tuoi dati sono al sicuro /client-side/, mentre /server-side/ magari /qualcuno/ riesce a ottenere le tue chiavi e magari aggiungerci le proprie... nel caso tu le voglia sostituire Una volta che capisci bene il giro del fumo la cosa fa ridere :-D
Ripeto: ho le idee confuse... Forse con il dire: "/With Client-side encryption, customer data is indecipherable to Google/" intendono che tali dati restano inaccessibili a loro (Google), ma comunque accessibili a chi detiene le chiavi (il partner terzo)? ...non capisco.
Io ho l'impressione che tu abbia capito benissimo ;-)
Il punto che vorrei sollevare in questa sede, pero', è un altro: credo occorra fare un po' di chiarezza su questo punto, capendo esattamente cosa viene proposto e argomentando la discussione affinche' i decision-maker possano (...ammesso che lo vogliano) comparare cio' che dice Google rispetto a cio' che interessa veramente (in termini di "Sovranita' Digitale").
Forrest Gump dice: «Sovrano è chi sovrano fa» Chiunque fornisca a terzi la gestione delle proprie chiavi sta fornendo loro anche la gestione dei propri dati; una cosa del genere va bene solo in contesti /estrememante/ fidati e ben circoscritti, come nel caso di un sistemista che si occupa di sicurezza dei dati per la propria azienda... o per la propria famiglia [...] Saluti, 380° P.S.: tempo fa alla radio sentivo una "striscia" satirica in cui l'autore si divertiva a descrivere i lavori più strampalati che ci si poteva inventare, tipo "obliteratore di biglietti conto terzi"; qui siamo al "gestore di chiavi inutili conto terzi" -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.