[Flug] e-privacy 2008 - Call For Paper

[Massimiliano Masi]

Ciao,

Il giorno 15/feb/08, alle ore 19:09, Fabio Nigi ha scritto:
>>

> il concetto di biometria nella sicurezza informatica è diverso,
> biometria come chiave univoca (e unica..cioè non la cambi..ahiahia..)
> di accesso e di identificazione.
> non come applicazione di tecnologie informatiche alle cure mediche.
> quella per quanto ne so io si chiama ingegneria biomedica ;-)
>

Io dicevo questo: una identita' digitale deve essere creata sulla base
di claims evidenti che possono essere una password, un riconoscimento  
a viso
da parte di un portinaio ecc. Quindi biometria intesa come controllo
d'accesso e traduzioni di claims reali in digitali.
>

> quello che manca da capire è che il concetto di drm fritz e chi +ne  
> ha +
> ne metta non è stato inventato perchè mancavano le tecnologie atte a
> rendere sicura e lecita una trasmissione ma solo per decentrare fuori
> dall utente e diametralmente accentrare nell aziende il concetto di
> trasmissione trust.
>

io la penso piu' come non repudiation e streaming. Le alternative oggi
in commercio non sono tante...

Resta sempre lo scambio fisico delle chiavi pubbliche / private.
>

> ora abbiamo un notaio che tiene traccia di tutto e nessuno si può
> accordare direttamente.
>

Chi e' per te il notaio? Non capisco. E' la trusted third party?
Quella ci deve essere per forza, e' la base di questi algoritmi.

>> Questo e' il male, quasi come google.
>>
>
> a google decidiamo ogni giorni se dare o no i nostri dati.
> in una situazione del genere nn scegliamo o diamo tutto o non siamo  
> dentro.
>

Nono. A google io non decido se dare i miei dati, lui se li piglia.
Pensa ad un newsgroup. Se un giorno volessi cancellare le cose che
ho scritto a proposito di Pazzini su it.sport.calcio.fiorentina,
come fo? Dirai: certo, si puo' cancellare un messaggio dai newsgroup,
c'e' il CANCEL apposta. Ma se ho cambiato identita'??? E il mio
newsreader ha perso il riferimento??? :-)

Supponi questi fra 10 anni, quando io avro' formattato il PC.
Come la gestisco io la cache di google del mio sito?

Immagina: se google decide che carlo magno non e' mai esistito,
e sai, non e;' mai esistito. Te cerchi una cosa e ti fidi di quello
che google sceglie per te!

E non e' bello!
>>

> esistono decine di strumenti costruiti appositamente per gestire i
> propri keyring di password (personalmente ho imparato a miei spese
> questo sistema:
>

Ma sono diverse identita'!!! Ed e' questo che non condivido: pensa, se  
un
giorno la GRID sara' mai funzionante, non puoi permetterti di avere piu'
identita'! Perche' solo tu, con la tua identita' potrai accedere ad i  
tuoi
dati, che saranno chissa' dove, nella GRID.

E' come nella vita reale: Fabio Nigi e' nato a XXX ed ha nel suo modello
unico 5 case di proprieta', 8 macchine da corsa e una vespa PK 150
(approposito, ne cerco una davvero!)

Poi ci son le truffe e i prestanome, ma quello e' un altro discorso.

>
>
> è sbagliata perchè ci si fida di un unica fonta, perdipiù non aperta  
> che
> fa da collettore delle nostre informazioni non per le carenze  
> tecnologiche.
>

Ma la Trusted Third Party (TTP) e' un concetto importante! Poi  
passport era
pubblico no? Si sapeva tutti come funzionava (kerberos ecc.) o sbaglio?
Non ne sono sicuro.

>> Sai come sarebbe piu' facile scrivere codice sicuro????
>>
>
> questa me la puoi spiegare meglio?
> anzi partiamo dalla definizione di codice sicuro,
> e poi del perchè una struttura del genere dovrebbe incrementarne la  
> qualità.
>


Scusa, mi son spiegato male. Per codice sicuro intendevo che  
bisognerebbe
smetterla di dare ad ogni codice il proprio modulo di authn e authz! ;-)

Ne esisterebbe uno e voila'! :-)

Un po' come fa SASL e GSSAPI, ma molto, molto piu' in grande.

C'e' il paper dell'IBM/Microsoft "understanding ws-federation") che e'
fatto bene.

>
> ma se questi dubbi li trasferissimo in un flug-beer?
> ;-)
> che ora torno a casa e non ho niente da fare fino a marzo.


Vai !!! Io sono prontissimo piu' o meno quando volete!


Ciao,

       Massimiliano