A me non è chiaro il passo 1 Each PEPP-PT phone broadcasts over a short distance a temporarily valid, authenticated and anonymous identifier (ID) that cannot be connected to a user. Ovvero: per essere anonimo l'ID dovrebbe essere generato da un processo casuale interno al telefono PEPP-PT che lo renda univoco con probabilità quasi pari ad 1, ma allora non capisco il senso di "authenticated", che (mi sembra di capire) vorrebbe dire che qualcuno lo ha autenticato. E poi: l'ID è sempre quello o cambia? Perché se è sempre quello come si fa ad impedire che qualcuno lo usi per mascherare il suo telefono? Senza maggiori dettagli su questi aspetti è difficile capire la sicurezza di tutta la baracca... Ciao, Enrico Il 02/04/2020 18:25, Giovanni Biscuolo ha scritto:
Buongiorno Stefano e nexiani,
Stefano Zacchiroli <zack@upsilon.cc> writes:
On Wed, Apr 01, 2020 at 07:12:13PM +0200, J.C. DE MARTIN wrote:
Iniziativa di molti attori, tra cui Politecnici di Zurigo e Losanna, INRIA, KU Lovanio e varie università tedesche.
Non ho ancora analizzato nel dettaglio la proposta, ma mi sembra molto promettente.
Tutto quello che ho potuto analizzare (un po' di corsa ma credo di aver capito) è "Overview: How We Preserve Privacy and Maintain Security" (https://www.pepp-pt.org/content), che riassume principi condivisibili ma è privo di dettagli essenziali; dice:
--8<---------------cut here---------------start------------->8---
Please get in touch with our partner managers to receive a full documentation package on privacy and security.
--8<---------------cut here---------------end--------------->8---
Rimane tutta la mia perplessità di poter davvero garantire il rispetto dell'anonimato e della privacy con software che gira su una delle macchine più bacate al mondo: "il telefonino". Però appunto mi mancano dettagli importanti, potrebbero addirittura stupirmi :-)
Non si capisce poi bene quando (se?) verrà pubblicato il codice, prima sarebbe meglio che poi :-)... mi viene pure il dubbio che venga mai pubblicato, visto che la sezione "Access" (che riporto sotto saltando le cose che non mi interessano) dice che bisogna essere partner per:
--8<---------------cut here---------------start------------->8--- … have access to our services and mechanisms.
… have access to our documentation and the source code of a reference implementation.
… provide feedback on the technical design.
… obtain certification for your implementation through PEPP-PT and thus inherit our privacy and security certifications and credentials.
--8<---------------cut here---------------end--------------->8---
Certificazione dell'implementazione (del sorgente?)? Quando sento queste parole associate al software mi si chiude la vena e vado in buffer overflow.
E pensare che io mi illudevo di poter compilare il codice per conto mio per potermi almeno fidare che il binario faccia quello che dichiara il sorgente :-)
Provo a richiedere di diventare partner da semplice cittadino curioso di mettere il naso in quello che stanno facendo, vediamo se mi accolgono?
...però una delle prime cose che chiederei loro è di rendere pubblico _tutto_ (chiavi segrete a parte, ovviamente), a partire dal "full documentation package".
Magari se tu Stefano o qualche altra persona più autorevole del sottoscritto lo chiedessero, certe istanze verrebbero accolte più facilmente :-)
[...]
Saluti, Giovanni.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --