Ciao Giovanni, On Fri, 08 Oct 2021 12:33:37 +0200 380° wrote:
quindi le chiavi private sono fornite alle macchine remote e la decrittazione avviene su quelle (perché i processi che consumano i dati girano lì)?
No, a quanto posso capire leggendo varie fonti [1][2][3][4][5] la decrittazione avviene sulle macchine di Google. Sulle macchine di "terze parti europee fidate" vengono solo mantenute le chiavi di cifratura (credo di aver letto AES 256) e Google fa giurin giuretto che non se le copia su una USB fra un utilizzo e l'altro. E che non le lascia copiare (quasi) a nessun altro senza dirtelo. Dal "white paper" [4]:
we will never use it for any purpose other than those necessary to fulfill our contractual/legal obligations. [...]
Access Approval (Beta) requires Google administrators to seek explicit customer approval before Google can access data or configurations, except in rare legal and outage use cases ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Infatti, se rileggi attentamente l'articolo condiviso da Juan Carlos, noterai un linguaggio molto attento a lasciare intendere che le chiavi non sono accessibili a Google senza mentire spudoratamente.
Using Key Access Justifications together with Cloud External Key Manager, customers receive: - [...illusioni...] - [...fantasie...] - A commitment from Google Cloud to protect the integrity of our controls and the justifications.
Il fondamento del meccanismo di sicurezza non è la locazione delle chiavi, ma la fiducia nelle promesse di Google. Infatti quelle chiavi, storate presso "terze parti fidate in Europa" e richieste ogni volta che esiste una giustificazione accettabile, possono essere comunque copiate da chiunque vi abbia accesso. Ma ogni volta che servono per decifrare qualcosa, i server e gli amministratori di Google li richiedono alla terza parte, le prendono, le usano e poi le cancellano. Non gli danno nemmeno una sbirciatina! Promesso! :-D Perché mai dovrebbero farlo? [0] Giacomo [0] https://www.forbes.com/sites/thomasbrewster/2021/10/04/google-keyword-warran... https://off-guardian.org/2021/07/08/meet-jigsaw-googles-intelligence-agency/ https://www.theguardian.com/technology/2019/nov/12/google-medical-data-proje... [1] https://cloud.google.com/blog/products/identity-security/new-security-tools-... [2] https://cloud.google.com/blog/products/containers-kubernetes/exploring-conta... [3] https://www.fortanix.com/blog/2019/11/keeping-the-keys-to-your-kingdom-googl... [4] https://cloud.google.com/files/gcp-trust-whitepaper.pdf [5] https://cloud.google.com/blog/products/identity-security/how-google-cloud-is...