un'analisi tecnica di DP-3T molto spinta
È di Serge Vaudenay, dell'EPFL, un'esperto di crittografia francese https://eprint.iacr.org/2020/399.pdf --- Without questioning how effective it could be against the pandemic, we show that it may introduce severe risks to society. Furthermore, we argue that some privacy protection measurements by DP3T may have the opposite affect of what they were intended to. Specifically, sick and reported people may be de-anonymized, private encounters may be revealed, and people may be coerced to reveal the private data they collect. --- -- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
On Thu, Apr 16, 2020 at 07:14:57PM +0200, Enrico Nardelli wrote:
È di Serge Vaudenay, dell'EPFL, un'esperto di crittografia francese
FWIW, questo studio è sulla versione precedente del protocollo, non su quella attuale. (E con questo non voglio implicare niente di più, ne niente di meno di questa osservazione fattuale. Se non che per protocolli crittografici che cambiano velocemente è necessario avere audit che cambiano altrettanto velocemente.) -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »
Ciao Stefano, certo che l'analisi di Vaudenay è datata 8 aprile, ma per ora a mia conoscenza non è che le sue conclusioni siano state inficiate dall'introduzione del cuckoo filter (che l'ultimo post di Enrico ha abbastanza mazzolato per inciso) In generale, a giudicare dalla cattiva fede e dagli attacchi ad personam di cui sono oramai oggetto da parte di DP3Tini su Twitter e altrove, ho come l'impressione che i giochi siano fatti e che prevalga l'attitudine "mah nessun sistema è perfetto, smettiamo di correre dietro a ogni fesso che ci fa una critica". Il che, vista la posta in gioco, è un'attitudine abbastanza malsana. Spero di sbagliarmi. Cheers, ---a ----- Mail original ----- De: "Stefano Zacchiroli" <zack@upsilon.cc> À: "nexa" <nexa@server-nexa.polito.it> Envoyé: Jeudi 16 Avril 2020 20:48:35 Objet: Re: [nexa] un'analisi tecnica di DP-3T molto spinta On Thu, Apr 16, 2020 at 07:14:57PM +0200, Enrico Nardelli wrote:
È di Serge Vaudenay, dell'EPFL, un'esperto di crittografia francese
FWIW, questo studio è sulla versione precedente del protocollo, non su quella attuale. (E con questo non voglio implicare niente di più, ne niente di meno di questa osservazione fattuale. Se non che per protocolli crittografici che cambiano velocemente è necessario avere audit che cambiano altrettanto velocemente.) -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club » _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Sto solo cercando di separare le analisi tecniche dalle decisioni politiche che su di essere devono essere basate. E mi sembra stia diventando sempre più difficile, anche su questa lista. Nessun esperto di sicurezza prenderebbe un audit della versione precedente di un protocollo (o anche di una sua implementazione) come applicabile alla successiva, at face value, perché ogni modifica anche minima può cambiare tutto, sia nel bene che nel male. Quindi porto all'attenzione della lista che quell'analisi non corrisponde al protocollo attuale, perché il messaggio di Enrico non lo precisava e mi sembra invece un'informazione importante. Sullo stato geopolitico delle cose penso tu abbia ragione, ma è un dibattito diverso, anche se ovviamente collegato. Ciao On Fri, Apr 17, 2020 at 08:10:02AM +0200, Antonio Casilli wrote:
Ciao Stefano, certo che l'analisi di Vaudenay è datata 8 aprile, ma per ora a mia conoscenza non è che le sue conclusioni siano state inficiate dall'introduzione del cuckoo filter (che l'ultimo post di Enrico ha abbastanza mazzolato per inciso)
In generale, a giudicare dalla cattiva fede e dagli attacchi ad personam di cui sono oramai oggetto da parte di DP3Tini su Twitter e altrove, ho come l'impressione che i giochi siano fatti e che prevalga l'attitudine "mah nessun sistema è perfetto, smettiamo di correre dietro a ogni fesso che ci fa una critica". Il che, vista la posta in gioco, è un'attitudine abbastanza malsana. Spero di sbagliarmi. Cheers, ---a
----- Mail original ----- De: "Stefano Zacchiroli" <zack@upsilon.cc> À: "nexa" <nexa@server-nexa.polito.it> Envoyé: Jeudi 16 Avril 2020 20:48:35 Objet: Re: [nexa] un'analisi tecnica di DP-3T molto spinta
On Thu, Apr 16, 2020 at 07:14:57PM +0200, Enrico Nardelli wrote:
È di Serge Vaudenay, dell'EPFL, un'esperto di crittografia francese
FWIW, questo studio è sulla versione precedente del protocollo, non su quella attuale.
(E con questo non voglio implicare niente di più, ne niente di meno di questa osservazione fattuale. Se non che per protocolli crittografici che cambiano velocemente è necessario avere audit che cambiano altrettanto velocemente.)
-- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club » _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »
PEPP-PT ha rimosso DP3T https://twitter.com/mikarv/status/1250850682904760320?s=12 m.c. In data venerdì 17 aprile 2020 08:26:43 CEST, Stefano Zacchiroli ha scritto:
Sto solo cercando di separare le analisi tecniche dalle decisioni politiche che su di essere devono essere basate. E mi sembra stia diventando sempre più difficile, anche su questa lista.
Nessun esperto di sicurezza prenderebbe un audit della versione precedente di un protocollo (o anche di una sua implementazione) come applicabile alla successiva, at face value, perché ogni modifica anche minima può cambiare tutto, sia nel bene che nel male. Quindi porto all'attenzione della lista che quell'analisi non corrisponde al protocollo attuale, perché il messaggio di Enrico non lo precisava e mi sembra invece un'informazione importante.
Sullo stato geopolitico delle cose penso tu abbia ragione, ma è un dibattito diverso, anche se ovviamente collegato.
Ciao
On Fri, Apr 17, 2020 at 08:10:02AM +0200, Antonio Casilli wrote:
Ciao Stefano, certo che l'analisi di Vaudenay è datata 8 aprile, ma per ora a mia conoscenza non è che le sue conclusioni siano state inficiate dall'introduzione del cuckoo filter (che l'ultimo post di Enrico ha abbastanza mazzolato per inciso)
In generale, a giudicare dalla cattiva fede e dagli attacchi ad personam di cui sono oramai oggetto da parte di DP3Tini su Twitter e altrove, ho come l'impressione che i giochi siano fatti e che prevalga l'attitudine "mah nessun sistema è perfetto, smettiamo di correre dietro a ogni fesso che ci fa una critica". Il che, vista la posta in gioco, è un'attitudine abbastanza malsana. Spero di sbagliarmi. Cheers, ---a
----- Mail original ----- De: "Stefano Zacchiroli" <zack@upsilon.cc> À: "nexa" <nexa@server-nexa.polito.it> Envoyé: Jeudi 16 Avril 2020 20:48:35 Objet: Re: [nexa] un'analisi tecnica di DP-3T molto spinta
On Thu, Apr 16, 2020 at 07:14:57PM +0200, Enrico Nardelli wrote:
È di Serge Vaudenay, dell'EPFL, un'esperto di crittografia francese
FWIW, questo studio è sulla versione precedente del protocollo, non su quella attuale.
(E con questo non voglio implicare niente di più, ne niente di meno di questa osservazione fattuale. Se non che per protocolli crittografici che cambiano velocemente è necessario avere audit che cambiano altrettanto velocemente.)
Ecco. Adesso si che ci "divertiamo". Si stava meglio quando si stava peggio... On April 17, 2020 9:05:33 AM GMT+02:00, Marco Ciurcina <ciurcina@studiolegale.it> wrote:
PEPP-PT ha rimosso DP3T https://twitter.com/mikarv/status/1250850682904760320?s=12 m.c.
In data venerdì 17 aprile 2020 08:26:43 CEST, Stefano Zacchiroli ha scritto:
Sto solo cercando di separare le analisi tecniche dalle decisioni politiche che su di essere devono essere basate. E mi sembra stia diventando sempre più difficile, anche su questa lista.
Nessun esperto di sicurezza prenderebbe un audit della versione precedente di un protocollo (o anche di una sua implementazione) come applicabile alla successiva, at face value, perché ogni modifica anche minima può cambiare tutto, sia nel bene che nel male. Quindi porto all'attenzione della lista che quell'analisi non corrisponde al protocollo attuale, perché il messaggio di Enrico non lo precisava e mi sembra invece un'informazione importante.
Sullo stato geopolitico delle cose penso tu abbia ragione, ma è un dibattito diverso, anche se ovviamente collegato.
Ciao
On Fri, Apr 17, 2020 at 08:10:02AM +0200, Antonio Casilli wrote:
Ciao Stefano, certo che l'analisi di Vaudenay è datata 8 aprile, ma per ora a mia conoscenza non è che le sue conclusioni siano state inficiate dall'introduzione del cuckoo filter (che l'ultimo post di Enrico ha abbastanza mazzolato per inciso)
In generale, a giudicare dalla cattiva fede e dagli attacchi ad personam di cui sono oramai oggetto da parte di DP3Tini su Twitter e altrove, ho come l'impressione che i giochi siano fatti e che prevalga l'attitudine "mah nessun sistema è perfetto, smettiamo di correre dietro a ogni fesso che ci fa una critica". Il che, vista la posta in gioco, è un'attitudine abbastanza malsana. Spero di sbagliarmi. Cheers, ---a
----- Mail original ----- De: "Stefano Zacchiroli" <zack@upsilon.cc> À: "nexa" <nexa@server-nexa.polito.it> Envoyé: Jeudi 16 Avril 2020 20:48:35 Objet: Re: [nexa] un'analisi tecnica di DP-3T molto spinta
On Thu, Apr 16, 2020 at 07:14:57PM +0200, Enrico Nardelli wrote:
È di Serge Vaudenay, dell'EPFL, un'esperto di crittografia francese
FWIW, questo studio è sulla versione precedente del protocollo, non su quella attuale.
(E con questo non voglio implicare niente di più, ne niente di meno di questa osservazione fattuale. Se non che per protocolli crittografici che cambiano velocemente è necessario avere audit che cambiano altrettanto velocemente.)
-- Sent from my mobile phone. Please excuse my brevity and top-posting.
Nasce un nuovo consorzio internazionale che include DP3T https://twitter.com/mikarv/status/1251044870367690753?s=21 m.c. In data venerdì 17 aprile 2020 09:05:33 CEST, Marco Ciurcina ha scritto:
PEPP-PT ha rimosso DP3T https://twitter.com/mikarv/status/1250850682904760320?s=12 m.c.
In data venerdì 17 aprile 2020 08:26:43 CEST, Stefano Zacchiroli ha scritto:
Sto solo cercando di separare le analisi tecniche dalle decisioni politiche che su di essere devono essere basate. E mi sembra stia diventando sempre più difficile, anche su questa lista.
Nessun esperto di sicurezza prenderebbe un audit della versione precedente di un protocollo (o anche di una sua implementazione) come applicabile alla successiva, at face value, perché ogni modifica anche minima può cambiare tutto, sia nel bene che nel male. Quindi porto all'attenzione della lista che quell'analisi non corrisponde al protocollo attuale, perché il messaggio di Enrico non lo precisava e mi sembra invece un'informazione importante.
Sullo stato geopolitico delle cose penso tu abbia ragione, ma è un dibattito diverso, anche se ovviamente collegato.
Ciao
On Fri, Apr 17, 2020 at 08:10:02AM +0200, Antonio Casilli wrote:
Ciao Stefano, certo che l'analisi di Vaudenay è datata 8 aprile, ma per ora a mia conoscenza non è che le sue conclusioni siano state inficiate dall'introduzione del cuckoo filter (che l'ultimo post di Enrico ha abbastanza mazzolato per inciso)
In generale, a giudicare dalla cattiva fede e dagli attacchi ad personam di cui sono oramai oggetto da parte di DP3Tini su Twitter e altrove, ho come l'impressione che i giochi siano fatti e che prevalga l'attitudine "mah nessun sistema è perfetto, smettiamo di correre dietro a ogni fesso che ci fa una critica". Il che, vista la posta in gioco, è un'attitudine abbastanza malsana. Spero di sbagliarmi. Cheers, ---a
----- Mail original ----- De: "Stefano Zacchiroli" <zack@upsilon.cc> À: "nexa" <nexa@server-nexa.polito.it> Envoyé: Jeudi 16 Avril 2020 20:48:35 Objet: Re: [nexa] un'analisi tecnica di DP-3T molto spinta
On Thu, Apr 16, 2020 at 07:14:57PM +0200, Enrico Nardelli wrote:
È di Serge Vaudenay, dell'EPFL, un'esperto di crittografia francese
FWIW, questo studio è sulla versione precedente del protocollo, non su quella attuale.
(E con questo non voglio implicare niente di più, ne niente di meno di questa osservazione fattuale. Se non che per protocolli crittografici che cambiano velocemente è necessario avere audit che cambiano altrettanto velocemente.)
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Marco Ciurcina <ciurcina@studiolegale.it> writes:
Nasce un nuovo consorzio internazionale che include DP3T https://twitter.com/mikarv/status/1251044870367690753?s=21 m.c.
--8<---------------cut here---------------start------------->8--- More #DP3T open-source code for truly privacy-preserving, decentralised Bluetooth contact tracing. Today, our i'national consortium releases alpha Android/iOS apps on GitHub for the world to test & improve. Please do! Android: https://github.com/DP-3T/dp3t-app-android … iOS: https://github.com/DP-3T/dp3t-app-ios …pic.twitter.com/jR6TcUZ6ko 08:08 - 17 Apr 2020 --8<---------------cut here---------------end--------------->8--- [...] -- Giovanni Biscuolo
Marco Ciurcina <ciurcina@studiolegale.it> writes:
PEPP-PT ha rimosso DP3T https://twitter.com/mikarv/status/1250850682904760320?s=12
a favore di archivio e per i pigri come me, aggiungo il testo --8<---------------cut here---------------start------------->8--- Michael Veale ha ritwittato Michael Veale Remember this? PEPP-PT has (without notice) removed #DP3T's decentralised, privacy-preserving approach from its site. PEPP-PT stands now ONLY for an intransparent, unpublished centralised database of Bluetooth social graph data, prone to leakage and function creep. https://twitter.com/mikarv/status/1246901232737845250 … Michael Veale ha aggiunto, Michael Veale @mikarv Important on COVID BT proximity tracing The 'PEPP-PT' protocol is not settled. Our decentralised privacy design (DP-3T) prevents co-optation, function creep. Centralised alternatives do not. Do not support PEPP-PT w/o making support explicitly CONDITIONAL on decentralisation. Mostra questa discussione 11:16 - 16 apr 2020 --8<---------------cut here---------------end--------------->8--- [...] -- Giovanni Biscuolo
Caro Stefano è giustissimo separare l'analisi tecnica da quella geo-politica, ma l'intersezione delle due è la "raison d'être" di questa lista... :-) Il tuo richiamo al fatto che si trattasse della precedente versione è giusto, e mi scuso di non averlo segnalato direttamente io. Osservo soltanto che nella parte finale della sua analisi tecnica (sezione 5.2) descrive un "nerd attack" basato sull'uso di "enriched apps" che è lo stesso che ho descritto io con le "app derivate" nella mia analisi della versione del 10 aprile di DP-3T. https://link-and-think.blogspot.com/2020/04/come-funziona-la-nuova-versione-... Condivido pienamente l'osservazione di Antonio sul fatto che questa cosa si vuole fare e si sta tentando di farla a tutti i costi. La posta in gioco è altissima. Ciao, Enrico Il 17/04/2020 08:26, Stefano Zacchiroli ha scritto:
Sto solo cercando di separare le analisi tecniche dalle decisioni politiche che su di essere devono essere basate. E mi sembra stia diventando sempre più difficile, anche su questa lista.
Nessun esperto di sicurezza prenderebbe un audit della versione precedente di un protocollo (o anche di una sua implementazione) come applicabile alla successiva, at face value, perché ogni modifica anche minima può cambiare tutto, sia nel bene che nel male. Quindi porto all'attenzione della lista che quell'analisi non corrisponde al protocollo attuale, perché il messaggio di Enrico non lo precisava e mi sembra invece un'informazione importante.
Sullo stato geopolitico delle cose penso tu abbia ragione, ma è un dibattito diverso, anche se ovviamente collegato.
Ciao
On Fri, Apr 17, 2020 at 08:10:02AM +0200, Antonio Casilli wrote:
Ciao Stefano, certo che l'analisi di Vaudenay è datata 8 aprile, ma per ora a mia conoscenza non è che le sue conclusioni siano state inficiate dall'introduzione del cuckoo filter (che l'ultimo post di Enrico ha abbastanza mazzolato per inciso)
In generale, a giudicare dalla cattiva fede e dagli attacchi ad personam di cui sono oramai oggetto da parte di DP3Tini su Twitter e altrove, ho come l'impressione che i giochi siano fatti e che prevalga l'attitudine "mah nessun sistema è perfetto, smettiamo di correre dietro a ogni fesso che ci fa una critica". Il che, vista la posta in gioco, è un'attitudine abbastanza malsana. Spero di sbagliarmi. Cheers, ---a
----- Mail original ----- De: "Stefano Zacchiroli" <zack@upsilon.cc> À: "nexa" <nexa@server-nexa.polito.it> Envoyé: Jeudi 16 Avril 2020 20:48:35 Objet: Re: [nexa] un'analisi tecnica di DP-3T molto spinta
On Thu, Apr 16, 2020 at 07:14:57PM +0200, Enrico Nardelli wrote:
È di Serge Vaudenay, dell'EPFL, un'esperto di crittografia francese
FWIW, questo studio è sulla versione precedente del protocollo, non su quella attuale.
(E con questo non voglio implicare niente di più, ne niente di meno di questa osservazione fattuale. Se non che per protocolli crittografici che cambiano velocemente è necessario avere audit che cambiano altrettanto velocemente.)
-- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club » _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
On 17/04/2020, Enrico Nardelli <nardelli@mat.uniroma2.it> wrote:
Condivido pienamente l'osservazione di Antonio sul fatto che questa cosa si vuole fare e si sta tentando di farla a tutti i costi.
Ed in fretta! è urgente! Perché altrimenti la sua inutilità sarà palese anche a chi purtroppo non dispone di basilari competenze informatiche.
La posta in gioco è altissima.
Ed il rischio è minimo. Ad emergenza finita, NESSUNO sarà in grado di dimostrare la sua utilità o la sua inutilità. Ma intanto l'infrastruttura sarà in piedi, installata in milioni di dispositivi. Giacomo
On 17/04/2020, Giacomo Tesio <giacomo@tesio.it> wrote:
On 17/04/2020, Enrico Nardelli <nardelli@mat.uniroma2.it> wrote:
La posta in gioco è altissima.
Ed il rischio è minimo.
Scusate... qualora non fosse chiaro, parlavo di rischio di impresa. Anche se non servirà a nulla, anche se sarà controproducente per la lotta all'epidemia, NESSUNO potrà provarlo. Come non potrà provare che sia stata utile. Invece per la società, per la democrazia, non so se sia appropriato parlare di "rischio" di fronte ad una probabilità di "gravi effetti collaterali" così elevata. Giacomo
participants (6)
-
Antonio Casilli -
Enrico Nardelli -
Giacomo Tesio -
Giovanni Biscuolo -
Marco Ciurcina -
Stefano Zacchiroli