Alfabetizzazione digitale: non vedo altra strada ... sbaglio?
(se queste sono le difficoltà di tecnici seri, pensate ai miliardi di persone abbandonate all'accoppiata " digitale & finanza ". La nuova schiavitù è appena cominciata ...)
Duccio (Alessandro Marzocchi)

Il giorno gio 5 mag 2022 alle ore 16:47 <nexa-request@server-nexa.polito.it> ha scritto:

Message: 4
Date: Thu, 05 May 2022 16:47:30 +0200
From: 380° <g380@biscuolo.net>
To: Damiano Verzulli <damiano@verzulli.it>,
        "nexa@server-nexa.polito.it" <nexa@server-nexa.polito.it>
Subject: Re: [nexa] Google lancia "feature" che garantiscono
        "controlli sovrani"... (inclusa la cifratura "client-side")
Message-ID: <87bkwcc9z1.fsf@xelera.eu>
Content-Type: text/plain; charset="utf-8"
Buongiorno Damiano,
Damiano Verzulli <damiano@verzulli.it> writes:
[...]
> Ho anche capito che questa gestione "client-side" della chiave di
> cifratura è, di fatto, possibile _A_CONDIZIONE_ di utilizzare
> determinati servizi
eh già, molti utenti non sono capaci di:
1. creare una coppia di chiavi pubblica/privata in autonomia su un
dispositivo di cui si fidano
2. gestire in autonomia la ditribuzione della tua chiave
pubblica/privata sui propri dispositivi
Io Google (et al) li capisco anche: devono rendere la vita facile a
chiunque, mica possono perdere /consumatori/ solo perché non sono in
grado di fare quanto sopra!?!
> "/enabling Client-side encryption requires you to choose a key access
> service partner: Flowcrypt, Fortanix, Futurex, Thales, or Virtru. Each
> of these partners have built tools in accordance with Google’s
> specifications and provide both key management and access control
> capabilities. /"
Ecco appunto: le chiavi te le /creano/ e gestiscono loro, tu devi
limitarti a superare il controllo di accesso... magari con SPID B-)
> ....ed allora mi si confondono le idee. Come faccio a gestire
> "client-side" la chiave, se questa gestione deve passare per un terzo?
Il trucchetto narrativo è semplice, mi pare: loro mica pretendono che tu
ti gestisca le tue chiavi client-side, ti dicono che i tuoi dati sono
crittografati client-side con chiavi /fornite e gestite da terzi/... e
così ti illudono che i tuoi dati sono al sicuro /client-side/, mentre
/server-side/ magari /qualcuno/ riesce a ottenere le tue chiavi e magari
aggiungerci le proprie... nel caso tu le voglia sostituire
Una volta che capisci bene il giro del fumo la cosa fa ridere :-D
> Ripeto: ho le idee confuse... Forse con il dire: "/With Client-side
> encryption, customer data is indecipherable to Google/" intendono che
> tali dati restano inaccessibili a loro (Google), ma comunque accessibili
> a chi detiene le chiavi (il partner terzo)? ...non capisco.
Io ho l'impressione che tu abbia capito benissimo ;-)
> Il punto che vorrei sollevare in questa sede, pero', è un altro: credo
> occorra fare un po' di chiarezza su questo punto, capendo esattamente
> cosa viene proposto e argomentando la discussione affinche' i
> decision-maker possano (...ammesso che lo vogliano) comparare cio' che
> dice Google rispetto a cio' che interessa veramente (in termini di
> "Sovranita' Digitale").
Forrest Gump dice: «Sovrano è chi sovrano fa»
Chiunque fornisca a terzi la gestione delle proprie chiavi sta fornendo
loro anche la gestione dei propri dati; una cosa del genere va bene solo
in contesti /estrememante/ fidati e ben circoscritti, come nel caso di
un sistemista che si occupa di sicurezza dei dati per la propria
azienda... o per la propria famiglia
[...]
Saluti, 380°
P.S.: tempo fa alla radio sentivo una "striscia" satirica in cui
l'autore si divertiva a descrivere i lavori più strampalati che ci si
poteva inventare, tipo "obliteratore di biglietti conto terzi";  qui
siamo al "gestore di chiavi inutili conto terzi"
--
380° (Giovanni Biscuolo public alter ego)