On October 7, 2021 4:22:20 PM UTC, "D. Davide Lamanna" wrote: > On 07/10/21 18:10, J.C. DE MARTIN wrote: > > https://cloud.google.com/blog/products/identity-security/new-sovereign-controls-for-gcp-via-assured-workloads > > Mi sa un po' di presa per i fondelli o sbaglio?
No, è politica. In Google possono tranquillamente spendere milioni di dollari per tirar su un'infrastruttura di sicurezza inefficace solo per poter dare qualcosa ai propri lobbisti su cui lavorare a Bruxelles. > Innanzi tutto la cifratura è a riposo, per cui quando una applicazione > usa un dato, esso finisce in chiaro in RAM. Esatto. E chiunque abbia accesso alla macchina che esegue tale applicazione può accedere al dato. > Inoltre ci sono sempre i metadati completamente a disposizione del provider. Oh ma anche i dati: a quanto ho potuto capire dalla documentazione (piuttosto vaga, per gli standard di Google) niente impedisce tecnicamente a Google (o al Governo USA) di salvarsi le chiavi AES ottenute dal keymanager esterno per decifrare comodamente i dati successivamente. Letteralmente niente. In effetti, le KAJ servono a GIUSTIFICARE l'accesso ma non necessariamente a descriverne l'intera finalità. La copia dei dati non lascia tracce. E le chiavi crittografiche SONO dati. > Puro marketing claim... Non possono pensare seriamente che la genta si > beva 'sta roba... Io credo invece che siano piuttosto confidenti: il marketing è il loro pane. D'altro canto l'articolo è firmato da due product manager, non da ingegneri o crittografi che abbiano una credibilità da mantenere. Purtroppo in tanti faranno finta di crederci. Eppure una notizia c'è: Google ammette di temere l'autonomia cibernetica Europea. Giacomo _______________________________________________ nexa mailing list [email protected] https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
