Buongiorno nexiani, ho letto con piacere e sottoscrivo la lettera aperta https://nexa.polito.it/lettera-aperta-app-COVID19 Grazie per l'iniziativa! Mi permetto tuttavia di evidenziare quelli che a mio modesto avviso sono alcuni punti deboli - prettamente tecnici ma per nulla secondari - nel punto 4 della sezione «LE COSE PER NOI IMPORTANTI», che riporto per poterla commentare qui: --8<---------------cut here---------------start------------->8--- 4) ADOTTARE TECNOLOGIE E APPROCCI DECENTRALIZZATI - La memorizzazione dei dati deve essere completamente decentralizzata. I dati, opportunamente protetti con sistemi di anonimizzazione o di pseudonimizzazione, devono essere conservati localmente sui dispositivi, dove deve avvenire anche il calcolo del rischio di infezione. Se sarà necessario l’utilizzo di server centrali, dovranno essere trasmesse a tali server soltanto chiavi anonime e temporanee corrispondenti agli utenti infetti, in mondo che non sia consentito di risalire all’identità delle persone. [...] --8<---------------cut here---------------end--------------->8--- I punti deboli a cui mi riferisco sono: a. pseudonimizzazione b. centralizzazione vs decentralizzazione [1] c. de-anonimizzazione della trasmissione Per capire se si tratta davvero di punti deboli, avrei alcune domande (se volete retoriche) in merito: 1. la pseudonimizzazione sarebbe sufficiente a garantire la “security by design” richiesta nel punto 2? 2. se venisse adottato un sistema di pseudonimizzazione, come sarebbe possibile che l'eventuale invio al server contenga soltanto chiavi anonime e temporanee come richiesto in questo punto 4? 3. nel caso di utilizzo di un server centrale per memorizzare parte dei metadati, la soluzione può ancora essere definita «completamente centralizzata» come richiesto nel primo paragrafo di questo punto 4? 4. nel caso di utilizzo di un server centrale, come può essere garantito «by design» che assieme ai metadati anonimi (o pseudo anonimi) il server centrale non memorizzi anche altri metadati utili a de-anonimizzare la persona che ha trasmesso i dati, a partire dall'indirizzo IP del dispositivo connesso via Internet (ma anche altri, tipo fingerprinting del dispositivo o simili, in funzione del metodo di trasmissione scelto)? (è di Internet che stiamo parlando, vero?) 5. nel caso di utilizzo di un server centrale, come può essere garantita «by design» la riservatezza della trasmissione, ovvero il fatto che nessuna terza parte, nemmeno quelle con notevole potere di controllo e manipolazione di Internet, sia in grado di intercettare il contenuto della trasmissione, compresi i metadati de-anonimizzanti quali IP o altri elementi identificativi (fingerprinting e simili)? (è di HTTPS e dei certificati X.509 [2] che stiamo parlando, vero?) Spero che qualcuno abbia la pazienza di rispondere, spiegandomi che mi sto sbagliando e che quei punti non sono affatto deboli. Mi scuso se ad alcuni queste domande possano apparire "pignolerie" ma quando si parla di «security by design» non si può prescindere dal «design» dello specifico strumento _e_ del mezzo di trasmissione. Grazie! Giovanni [1] quindi di sistemi di memorizzazione e trattamento di parte dei dati, _non_ di sistemi di trasmissione e routing in rete agli altri peers decentralizzati [2] https://en.wikipedia.org/wiki/X.509#Security in particolare https://en.wikipedia.org/wiki/X.509#Problems_with_certificate_authorities -- Giovanni Biscuolo