Salve Nexa, cosa succede quando un Governo ha le competenze necessarie per scegliere il software libero? It has been quite some time since my last status report on GnuPG. I have been quite busy working on the project but unfortunately rarely active on the usual channels. So, here is a new report telling what we did over the last two or three years. [...] It turned out that the software used in Germany to protect restricted data at the VS-NfD level, called Chiasmus, showed its age. For example, the block length of 64 bits (like IDEA or 3DES) is not anymore secure for data of more than 150 MiB. Also the secret encryption algorithm has not anymore the confidence people used to have in it and due to lacking hardware support it is quite slow. A new call to bid for a replacement of that software was issued and we also with Intevation were granted the contract. Our solution was to update GnuPG and its frontends Kleopatra and GpgOL. After some thorough evaluation of our software (working title Gpg4VS-NfD) and the usual bureaucratic we received a first approval in January 2019. [...] Since summer 2021 the phones of our sales team didn't stop ringing and we could bring in the fruits of our work. We were not aware how many different governmental agencies exist and how many of them have a need to protect data at the VS-NfD (restricted) level. And with those agencies also comes a huge private and corporate sector who also have to handle such communication. [...] We estimate that a quarter million workplaces will be equipped with GnuPG VS-Desktop and provide the users state of the art file and mail encryption. Our longer term plan is to equip all public agency workplaces with end-to-end encryption software - not only those with an immediate need for an approved VS-NfD solution. This should also fit well into the announced goal of the new German government to foster the development of Open Source. Kudos to all supporters For many years our work was mainly financed by donations and smaller projects. Now we have reached a point where we can benefit from a continuous revenue stream to maintain and extend the software without asking for donations or grants. This is quite a new experience to us and I am actually a bit proud to lead one of the few self-sustaining free software projects who had not to sacrifice the goals of the movement. Those of you with SEPA donations, please cancel them and redirect your funds to other projects which are more in need of financial support. The Paypal and Stripe based recurring donations have already been canceled by us. All you supporters greatly helped us to keep GnuPG alive and to finally setup a sustainable development model. Tratto da https://gnupg.org/blog/20220102-a-new-future-for-gnupg.html Giacomo
Ciao Giacomo, Giacomo Tesio <giacomo@tesio.it> writes:
cosa succede quando un Governo ha le competenze necessarie per scegliere il software libero?
E quale sarebbe questo Governo Illuminato con cotante competenze?!? Quello tedesco che usa GnuPG VS-Desktop /su MS Windows/ per i documenti altamente riservati: ma che DAVERO?!? [...]
Tratto da https://gnupg.org/blog/20220102-a-new-future-for-gnupg.html
Quindi l'unico modo **legale** per poter gestire i documenti altamente riservati NATO e EU, oltre che tedeschi, è usare GnuPG VS-Desktop [1] - che l'unica e sola versione approvata [2] - su MS Windows.... ma che DAVERO?!?! ...ammesso e NON concesso che la versione compilata di GnuPG VS-Desktop non includa qualche backdoor introdotta consapevolmente o per mezzo di un attacco riuscito alla supply chain, che notoriamente sono MOLTO RARI su MS Windows. Sono /semplicemente/ stupefatto, non ho altre parole. Saluti, 380° P.S.: i miei documenti sono più riservati dei TOP-SECRET NATO?!? [1] https://en.wikipedia.org/wiki/Gpg4win#History_of_Gpg4win [2] cosa manca a GnuPG "community edition" per essere approvata così da poter essere usata anche su altri sistemi operativi?!? -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Ciao Giovanni, grazie per quest'ottima obbiezione! :-) On Sat, 08 Jan 2022 15:28:44 +0100 380° wrote:
Giacomo Tesio <giacomo@tesio.it> writes:
cosa succede quando un Governo ha le competenze necessarie per scegliere il software libero?
E quale sarebbe questo Governo Illuminato con cotante competenze?!?
Quello tedesco che usa GnuPG VS-Desktop /su MS Windows/ per i documenti altamente riservati: ma che DAVERO?!?
Permettimi di chiarire la mia interpretazione di questa notizia: il Governo Tedesco ha trovato sostanzialmente un modo per sovvenzionare una organizzazione tedesca che sviluppa software libero [1] che si è praticamente costituita come azienda allo scopo. Poiché io non sono un cantore del libero mercato che premia solo chi si fa sovvenzionare dal governo americano, trovo questa scelta politica assolutamente positiva. Il fatto che un governo europeo trovi il modo di finanziare un'azienda europea che sviluppa credibilmente software libero, secondo me, è una bella notizia da diffondere. Nonché un esempio da seguire. Nell'ordine, le politiche cibernetiche migliori che un governo possa attuare per garantire la propria autonomia operativa (e di conseguenza la sovranità dei propri cittadini) sono: - a livello industriale: finanziare lo sviluppo di software libero sul proprio territorio (o quanto meno su territorio europeo, perché siamo tutti sulla stessa barca, che ci piaccia o meno...) - a livello culturale: formare i propri cittadini su software libero, non solo a livello di utilizzo, ma a livello di scrittura e debug - a livello amministrativo: utilizzare esclusivamente software libero, con una complessità gestibile, con un sorgente effettivamente ispezionato da esperti (magari pagati un tot al bug individuato), e la cui compilazione sia riproducibile e riprodotta da personale ministeriale fidato Hai assolutamente ragione: usare Windows, quand'anche fosse economicamente vantaggioso [2], riduce l'autonomia operativa delle amministrazioni europee, le rende strategicamente vulnerabili (almeno quanto la supply chain di Windows, che SolarWind ha mostrato come un colabrodo), mette a rischio i dati dei cittadini ed, alla fine, limita la loro sovranità politica. Ed il Governo tedesco fa tutte queste cose. Tuttavia, a livello industriale questo E' un passo avanti nella direzione giusta!
Quindi l'unico modo **legale** per poter gestire i documenti altamente riservati NATO e EU, oltre che tedeschi, è usare GnuPG VS-Desktop [1] - che l'unica e sola versione approvata [2] - su MS Windows.... ma che DAVERO?!?!
Direi piuttosto che, su MS Windows, UNO dei modi approvati per gestire documenti altamente riservati è usare GnuPG VS-Desktop. Dubito che questo significhi che si DEBBA usare GnuPG VS-Desktop per gestire tali documenti (il che implicherebbe che si DEBBA utilizzare Windows, il che sarebbe oggettivamente ridicolo). Sul valore tecnico di tale "approvazione" non so dirti: non so se qualche agenzia tedesca competente abbia ispezionato il codice di GnuPG e l'abbia trovato valido. Ne dubito, perché in tal caso solo il software libero potrebbe essere "approvato". Tuttavia nota che GnuPG gira su Windows, Linux e molti altri sistemi [3] e la codebase sottostante, soprattutto per quanto riguarda le librerie crittografiche, è per lo più lo stesso! Dunque approvando GnuPG VS-Desktop, ha reso sostenibile lo sviluppo ed il mantenimento di un vasto ecosistema che è PRINCIPALMENTE libero.
[2] cosa manca a GnuPG "community edition" per essere approvata così da poter essere usata anche su altri sistemi operativi?!?
Il supporto:
We also keep maintaining Gpg4win as the community version. This is based on the the same source code as GnuPG VS-Desktop but comes with more features due to the use of the latest development branch.
The benefits for the customer to pay for GnuPG VS-Desktop are: a commercial support contract, the guarantee of a long term maintained and approved version, customization options, community tested new features, and the per-approval required vendor for security updates.
Tuttavia non credo che l'approvazione sia specifica per Windows: se GnuPG.com pubbicasse la versione X di GnuPG VS-Desktop come eseguibile windows E per gli altri sistemi operativi, si potrà utilizzare tutti. E devo essere sincero: mi sorprenderei se NON li pubblicassero, anche se non si trattasse di un hacker come Werner.
...ammesso e NON concesso che la versione compilata di GnuPG VS-Desktop non includa qualche backdoor introdotta consapevolmente o per mezzo di un attacco riuscito alla supply chain, che notoriamente sono MOLTO RARI su MS Windows.
Naturalmente. Ma a questo riguardo ti posso dire che il fatto che un software sia proprietario, in certi contesti, non significa che sia compilato da chi lo vende. Nel mio lavoro quotidiano, sviluppo software (purtroppo) proprietario per grandi gruppi bancari internazionali, ed i nostri clienti sempre più spesso pretendono (giustamente) di compilare autonomamente i sorgenti, che sottopongono a verifiche di sicurezza automatizzate e non. Non ho idea se questo sarà l'approccio del governo tedesco o se più semplicemente scaricheranno il binario da GnuPG.com, ma non lo escluderei del tutto, quanto meno nel medio periodo. Le banche sono spesso LENTISSIME ad adottare basilari pratiche di buon senso tecnologico (fino all'anno scorso, dovevano letteralmente ancora supportare IE9! ho detto tutto?), e se si stanno muovendo loro, forse anche i governi euroei stanno iniziando ad aprire gli occhi. Giacomo [1] scrivo appositamente software libero, invece di open source perché parliamo di un progetto GNU storico e l'articolo che ho linkato è scritto dal suo autore iniziale, Werner Koch, decisamente credibile come autore di software libero (scelta politica sostenuta indipendentemente dal costo personale) https://en.wikipedia.org/wiki/Werner_Koch#Life_and_work https://www.gnu.org/manual/blurbs.html#gnupg [2] cosa che è possibile solo perché lo stato si fa carico del lock-in degli utenti a scuola! I lobbisti Microsoft possono parlare dei "costi nascosti di Linux" solo perché sono stati capaci di scaricare il "costi nascosti di Windows" sulle scuole che paghiamo con i nostri soldi! Togli Windows dalle scuole per un decennio verranno fuori i costi nascosti di Windows! [3] https://gnupg.org/download/index.html
[...]
Tratto da https://gnupg.org/blog/20220102-a-new-future-for-gnupg.html
Sono /semplicemente/ stupefatto, non ho altre parole.
Saluti, 380°
P.S.: i miei documenti sono più riservati dei TOP-SECRET NATO?!?
[1] https://en.wikipedia.org/wiki/Gpg4win#History_of_Gpg4win
Vado un pochino off-topic dall'inizio della conversazione On Sun, Jan 9, 2022 at 9:01 PM Giacomo Tesio <giacomo@tesio.it> wrote:
Permettimi di chiarire la mia interpretazione di questa notizia: il Governo Tedesco ha trovato sostanzialmente un modo per sovvenzionare una organizzazione tedesca che sviluppa software libero [1] che si è praticamente costituita come azienda allo scopo.
E sembra succederà in modo molto più strutturato negli anni che verranno, con un fondo che elargisce da 50k a 500k per progetti FLOSS fondamentali al funzionamento delle infrastrutture https://sovereigntechfund.de/SovereignTechFund_Machbarkeitsstudie_en.pdf Mozilla aveva fatto questo con il fondo MOSS (dopo la tragedia di heartbleed), ma vedere che sia un'istituzione (equivalente del ministero sviluppo economico) + una fondazione (openknowledge foundation) organizzarsi per farlo, sembra un gran bel segnale positivo. -- Claudio Agosti — https://tracking.exposed <https://facebook.tracking.exposed> twitter - https://twitter.com/@_vecna
Ciao Claudio, personalmente credo tu sia assolutamente in argomento! On Sun, 9 Jan 2022 22:52:09 +0100 Claudio Agosti wrote:
https://sovereigntechfund.de/SovereignTechFund_Machbarkeitsstudie_en.pdf
Caspita, uno studio veramente interessante! Grazie della segnalazione.
On Sun, Jan 9, 2022 at 9:01 PM Giacomo Tesio <giacomo@tesio.it> wrote:
Permettimi di chiarire la mia interpretazione di questa notizia: il Governo Tedesco ha trovato sostanzialmente un modo per sovvenzionare una organizzazione tedesca che sviluppa software libero [1] che si è praticamente costituita come azienda allo scopo.
E sembra succederà in modo molto più strutturato negli anni che verranno, con un fondo che elargisce da 50k a 500k per progetti FLOSS fondamentali al funzionamento delle infrastrutture
Infatti. E questa può sicuramente essere una ottima notizia. Naturalmente vi sono due tipi di rischi in questo tipo di progetti: - un controllo governativo che mini l'autonomia della fondazione - l'utilizzo dei fondi per finanziare progetti già adeguatamente finanziati. Il primo rischio potrebbe essere mitigato imponendo per legge un finanziamento privato, similmente a quanto avvenne, decenni fa, con la legge quadro del volontariato 266/1991. E' comunque un rischio abbastanza ridotto rispetto ad un danno potenziale relativamente basso: sprecare soldi pubblici finanziando progetti di bassa qualità è comunque meglio che spenderli per prodotti di bassa qualità ma ottimo marketing come Windows. Il secondo, più concreto, è che la fondazione potrebbe finire per sovvenzionare la R&D dei BigTech! Ad esempio, Google potrebbe sostenere che Chromium è un pezzo di infrastruttura fondamentale, ottenendo soldi statali ma mantenendo il controllo assoluto sullo sviluppo. Giacomo
On Sun, Jan 09, 2022 at 10:52:09PM +0100, Claudio Agosti wrote:
Mozilla aveva fatto questo con il fondo MOSS (dopo la tragedia di heartbleed), ma vedere che sia un'istituzione (equivalente del ministero sviluppo economico) + una fondazione (openknowledge foundation) organizzarsi per farlo, sembra un gran bel segnale positivo.
Concordo sul fatto che i fondi istituzionali pubblici siano molto meglio. Tanto più che sia il caso di MOSS, che casi analoghi anche più recenti (tipo Essential Open Source Software for Science della Chen Zuckerberg Initiative), anche se sono fondi cospicui *in aggregato*, diventano poi pochi spiccioli per ogni progetto, che raramente finanziano più di 1 anno di FTE, e lo fanno solo per 1 anno. Il caso tedesco con GnuPG qui è finanziamento strutturale nel lungo termine per un progetto critico (anche se ormai sulla via del tramonto) per la crittografia mondiale. Tutta un'altra storia, come lascia intendere Werner Koch nel suo post. Ciao -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack _. ^ ._ Full professor of Computer Science o o o \/|V|\/ Télécom Paris, Polytechnic Institute of Paris o o o </> <\> Co-founder & CTO Software Heritage o o o o /\|^|/\ Former Debian Project Leader & OSI Board Director '" V "'
Ciao Stefano! On January 10, 2022 6:55:02 AM UTC, Stefano Zacchiroli wrote:
Concordo sul fatto che i fondi istituzionali pubblici siano molto meglio. Tanto più che sia il caso di MOSS, che casi analoghi anche più recenti (tipo Essential Open Source Software for Science della Chen Zuckerberg Initiative...
In effetti questo è un aspetto su cui non si riflette mai abbastanza in queste analisi sulla sostenibilità (ecologica, economica o cibernetica, cambia poco, da questa prospettiva). Chi parla della sostenibilità di X all'epoca del capitalismo, spesso persegue in realtà la sostenibilità del capitalismo che necessita di X. In altri termini, queste fondazioni private puntellano il capitalismo che cade a pezzi, cosicché chi le finanzia possa continuare a sottrarre valore alla società ancora per un po'.
GnuPG [...] un progetto critico (anche se ormai sulla via del tramonto)
ROTFL! :-D E questo, signori e signore, lo dice Filippo Valsorda [1] che sviluppa una serie di tool alternativi a GnuPG in Go per Google. E' un po' come se Travis Geiselbrech, sviluppatore di FuchsiaOS [2] in Google, sostenesse che Linux è sulla via del tramonto perché... Google. Certo, non dubito che entrambi lo auspichino. E non dubito che `age` disponga dei canali giusti, dei ganci giusti, dei soldi giusti etc... necessari per apparire più cool di GnuPG. Ma diciamoci la verità: devono ancora mangiarne di pagnotte! :-D Sconsiglierei dunque di dar seguito a tali fantasie (pur legittime). Sia mai che lettori meno preparati le prendano sul serio! Giacomo [1] https://blog.filippo.io/hi/ [2] https://en.wikipedia.org/wiki/Fuchsia_(operating_system)
participants (4)
-
380° -
Claudio Agosti -
Giacomo Tesio -
Stefano Zacchiroli