On October 7, 2021 4:22:20 PM UTC, "D. Davide Lamanna" wrote:
On 07/10/21 18:10, J.C. DE MARTIN wrote:
https://cloud.google.com/blog/products/identity-security/new-sovereign-contr...
Mi sa un po' di presa per i fondelli o sbaglio?
No, è politica. In Google possono tranquillamente spendere milioni di dollari per tirar su un'infrastruttura di sicurezza inefficace solo per poter dare qualcosa ai propri lobbisti su cui lavorare a Bruxelles.
Innanzi tutto la cifratura è a riposo, per cui quando una applicazione usa un dato, esso finisce in chiaro in RAM.
Esatto. E chiunque abbia accesso alla macchina che esegue tale applicazione può accedere al dato.
Inoltre ci sono sempre i metadati completamente a disposizione del provider.
Oh ma anche i dati: a quanto ho potuto capire dalla documentazione (piuttosto vaga, per gli standard di Google) niente impedisce tecnicamente a Google (o al Governo USA) di salvarsi le chiavi AES ottenute dal keymanager esterno per decifrare comodamente i dati successivamente. Letteralmente niente. In effetti, le KAJ servono a GIUSTIFICARE l'accesso ma non necessariamente a descriverne l'intera finalità. La copia dei dati non lascia tracce. E le chiavi crittografiche SONO dati.
Puro marketing claim... Non possono pensare seriamente che la genta si beva 'sta roba...
Io credo invece che siano piuttosto confidenti: il marketing è il loro pane. D'altro canto l'articolo è firmato da due product manager, non da ingegneri o crittografi che abbiano una credibilità da mantenere. Purtroppo in tanti faranno finta di crederci. Eppure una notizia c'è: Google ammette di temere l'autonomia cibernetica Europea. Giacomo