(min. 6:00) “In year 2007 we had a fiscal credit bubble in the USA that rode on credit derivatives: an instrument widely used, but little understood and even less analyzed. This was, and is, a recipe for disaster. This piloted credit debt eventually imploded, leading to today’s long lasting recession. Today we have a trust bubble, riding on trust in electronic certificate’s digital signatures, cryptography and protocols. They constitute the foundations of modern information security. These functions are responsible for enrolling users and systems as trusted.” Il resto ve lo lascio immaginare, ma il video è comunque interessante. Non che dica cose che non siano state ripetute fino alla nausea, ma è interessante sentirle dire da qualcuno che non è il solito “geek”. Ma la parte che ho citato è un ottimo modo per descrivere la nostra attuale dipendenza dalle infrastrutture di certificazione, che recentemente hanno mostrato i limiti della propria affidabilità. Alcune delle “soluzioni” che ho sentito proporre recentemente le sento nominare da quindici anni, ma nel frattempo mi sono convinto della loro inefficacia. Il problema di fondo è che le terze parti “fidate” non solo sono scelte da tutti tranne che da chi si deve fidare, ma sono poco stimolate a comportarsi correttamente. Con l’attuale uso dei certificati, ad esempio per i server Web, la scelta del certificatore è fatta da chi si deve autenticare, il che non ha senso: è chi deve autenticare a dover scegliere di chi fidarsi, altrimenti si arriva necessariamente allo stato attuale. Ma lo speech mette anche in evidenza con quanta facilità dei dati che sarebbero riservati diventano accessibili “per motivi tecnici” a decine o centinaia di persone. Sono tutte cose su cui c’è molto da ragionare per trovare alternative che tengano realmente conto delle esigenze di tutti. Alla base delle CA c’è un modello fallato, che ipotizza che in qualche modo miracoloso le parti trovino un accordo basato sulla fiducia sulla terza parte fidata… l’accordo, se così si può chiamare, è fra altri soggetti e basato su criteri economici e non sulla fiducia.
-
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
