Andrea Glorioso wrote:
Se ne parla da un po' di tempo e dunque vorrei sapere dagli esperti: parliamo di tecnologia che si può mettere in "produzione" oggi, o è un (importante) passo avanti nella ricerca in materia?
ciao Andrea, beh, non è che sono proprio esperto, ma stavo rispondendo sull'argomento: 1) https://en.wikipedia.org/wiki/Homomorphic_encryption è un'importante buzzword degli ultimi anni :) 2) in questo paper, non fa riferimento costante all'HE, perché la ricerca è stata: realizzare un software compatibile con mysql (per dimostrare l'ipotetica aggiunta della sicurezza con il solo cambio di storage) utilizzando una serie di tecniche aggregate. il lavoro di ricerca, piu' che crittografico matematico, è stato di integrazione e implementazione. 3) fa riferimento ad una serie di schemi crittografici di riferimento, in tutti il key management è un elemento essenziale, non trattato. 4) non fa riferimento alle implementazioni client non teoriche. il 3 e 4 sono il mio cruccio sulla possibile rapida implementazione. Supponiamo che un utente voglia migrare i suoi dati su di un cloud protetto, deve necessariamente avere sul suo computer il software in grado di gestire le chiavi, cifrare i dati prima dell'invio, decifrarli alla ricezione. Questo, se lo si applica al web, richiede un'implementazione di cifratura-decifratura nell'unico linguaggio interpretato, standard, esebuile sui broweser: javascript. javascript, negli ultimi anni uno dei vettori piu' frequenti di attacchi client side, un linguaggio che ha obbligato i produttori di browser a deformare lo standard, per dare compatibilità con gli errori piu' frequenti nei siti web. codice eseguito sulle tue pagine web, che puo' manipolare tutto l'I/O web che fai. e codice che ricevi, senza aver strumenti di verifica, autenticazione, certificazione, da parte del sito web al quale ti colleghi. pertanto, chi ci offre lo storage protetto è anche quello che ci da il codice per usarlo. ma se non ti stavi fidando di lui, come puoi fidarti del codice che ti da ? short answer alla tua domanda: è un importante passo, per i back-end.