Link alla notizia: https://www.hwupgrade.it/news/web/signal-respinge-le-accuse-dopo-il-down-aws-l-infrastruttura-e-nelle-mani-di-pochi-non-abbiamo-alternative_145468.html

Il recente blackout di Amazon Web Services ha colpito servizi globali come Signal, Starbucks, Snapchat, Epic Games Store e perfino i letti intelligenti. Meredith Whittaker, presidente di Signal, denuncia la concentrazione del potere nel cloud. La dirigente ha spiegato che AWS, Microsoft Azure e Google Cloud sono gli unici fornitori capaci di garantire prestazioni adeguate

Click sul link per visualizzare la notizia.

E ve ne siete resi conto adesso?
Dai che forse la moda del cloud inizia a regredire.

E ve ne siete resi conto adesso?
Dai che forse la moda del cloud inizia a regredire.

Già, meglio tardi che mai.
Inoltre, Signal potrebbe risolvere il problema supportando la federazione e permettendo di creare una rete decentralizzata di server (https://fsf.org.in/article/better-than-whatsapp/) come il protocollo matrix (in modo da essere indipendenti da singoli fornitori). Tuttavia, l'ex fondatore-CEO ha sempre avuto una visione diversa (https://signal.org/blog/the-ecosystem-is-moving/).
L'altro grosso punto debole è l'utilizzo della tecnologia SVR (https://blog.cryptographyengineering.com/2020/07/10/a-few-thoughts-about-signals-secure-value-recovery/) per memorizzare i dati in cloud AWS che li rende accessibili a causa delle falle del SGX delle CPU intel (https://medium.com/@maniacbolts/signal-increases-their-reliance-on-sgx-f46378f336d3) nonostante la crittografia e2e.

Ma se è una delle poche applicazioni in cui ha senso il cloud un client di messaggistica a livello globale, ma che cavolo state dicendo?

e certo che una società che ha segreti industriali da proteggere usa il cloud di una nazione di riconosciute canaglie.

Ma se è una delle poche applicazioni in cui ha senso il cloud un client di messaggistica a livello globale, ma che cavolo state dicendo?

Se ne vuoi sapere di più, è sufficiente leggere i link del mio messaggio precedente, prima di fare commenti fuori luogo.

Già, meglio tardi che mai.
Inoltre, Signal potrebbe risolvere il problema supportando la federazione e permettendo di creare una rete decentralizzata di server (https://fsf.org.in/article/better-than-whatsapp/) come il protocollo matrix (in modo da essere indipendenti da singoli fornitori). Tuttavia, l'ex fondatore-CEO ha sempre avuto una visione diversa (https://signal.org/blog/the-ecosystem-is-moving/).
L'altro grosso punto debole è l'utilizzo della tecnologia SVR (https://blog.cryptographyengineering.com/2020/07/10/a-few-thoughts-about-signals-secure-value-recovery/) per memorizzare i dati in cloud AWS che li rende accessibili a causa delle falle del SGX delle CPU intel (https://medium.com/@maniacbolts/signal-increases-their-reliance-on-sgx-f46378f336d3) nonostante la crittografia e2e.
Ciò che manca a Matrix è una gestione più diretta e semplice dei DM, invece di trattarli come "stanze" da 1 persona... Ma sembra esserci poco interesse a riguardo.
A quel punto, invece di far diventare Signal decentralizzato e federato, basterebbe direttamente passare a Matrix...;)

Ciò che manca a Matrix è una gestione più diretta e semplice dei DM, invece di trattarli come "stanze" da 1 persona... Ma sembra esserci poco interesse a riguardo.
A quel punto, invece di far diventare Signal decentralizzato e federato, basterebbe direttamente passare a Matrix...;)

I servizi centralizzati non favoriscono mai gli interessi degli utenti, ma quelli del gestore.
Non capisco quale sia il problema, con element funziona in modo analogo a signal, telegram o altro. Matrix ha il problema dei metadati, ma ci stanno lavorando (https://element.io/blog/hiding-room-metadata-from-servers/), mentre element ha il problema dei client, soprattutto web, e stanno lavorando anche su quello (https://element.io/blog/element-x-experience-the-future-of-element/).

I servizi centralizzati non favoriscono mai gli interessi degli utenti, ma quelli del gestore.
Non capisco quale sia il problema, con element funziona in modo analogo a signal, telegram o altro. Matrix ha il problema dei metadati, ma ci stanno lavorando (https://element.io/blog/hiding-room-metadata-from-servers/), mentre element ha il problema dei client, soprattutto web, e stanno lavorando anche su quello (https://element.io/blog/element-x-experience-the-future-of-element/).
Il problema, che dà fastidio ad alcuni, è che non ci sia una netta distinzione tra il concetto di DM e di gruppi: un contatto diretto con un singolo interlocutore dovrebbe rimanere privato tra i due, mentre per come è concepito finora è una semplice stanza con due partecipanti, che può essere allargata in qualsiasi momento a più persone.

Non un grosso problema finché parliamo di uso tra utenti avanzati, ma per l'uso di massa, tra gente poco esperta, può portare ad una facile fuga di dati...

Il problema, che dà fastidio ad alcuni, è che non ci sia una netta distinzione tra il concetto di DM e di gruppi: un contatto diretto con un singolo interlocutore dovrebbe rimanere privato tra i due, mentre per come è concepito finora è una semplice stanza con due partecipanti, che può essere allargata in qualsiasi momento a più persone.

Non un grosso problema finché parliamo di uso tra utenti avanzati, ma per l'uso di massa, tra gente poco esperta, può portare ad una facile fuga di dati...

Si una chat 1:1 è di fatto un gruppo con 2 membri. Bisogna essere abbastanza ingenui, per non dire peggio, nell'invitare persone in una chat tra 2 persone (operazione che richiede diversi passaggi (https://matrix.org/docs/chat_basics/private-group-chat/#inviting-people)). In ogni caso è possibile limitare la "perdita di dati" con l'opzione di visibilità dello storico della chat (https://element.io/help#rooms6) dal momento dell'ingresso di un nuovo membro che viene chiaramente mostrato. Direi un non problema.

Si una chat 1:1 è di fatto un gruppo con 2 membri. Bisogna essere abbastanza ingenui, per non dire peggio, nell'invitare persone in una chat tra 2 persone (operazione che richiede diversi passaggi (https://matrix.org/docs/chat_basics/private-group-chat/#inviting-people)). In ogni caso è possibile limitare la "perdita di dati" con l'opzione di visibilità dello storico della chat (https://element.io/help#rooms6) dal momento dell'ingresso di un nuovo membro che viene chiaramente mostrato. Direi un non problema.
Sì, tutto corretto.
Ma conoscendo le incredibili capacità di taluni di fare casini...

Uso anch'io Matrix, chiariamolo, ma per le comunicazioni tra famigliari e conoscenti (quasi sempre non tecnologici), preferisco (come anche altre persone) ancora una soluzione più semplice come Signal (da quando hanno implementato gli username...)

Se ne vuoi sapere di più, è sufficiente leggere i link del mio messaggio precedente, prima di fare commenti fuori luogo.
Voi ne fate una questione di sicurezza quando il focus dell'articolo era chiaramente questo
Attualmente, le uniche alternative tecniche per gestire un servizio globale a bassa latenza, capace di supportare milioni di chiamate audio e video simultanee, sono AWS, Microsoft Azure e Google Cloud. Costruire un’infrastruttura autonoma, con rete planetaria di calcolo, archiviazione ed edge network, richiederebbe investimenti di miliardi di dollari e una manutenzione costante.
Ma il commento fuori luogo è il mio.
Inoltre, Signal potrebbe risolvere il problema supportando la federazione e permettendo di creare una rete decentralizzata di server come il protocollo matrix (in modo da essere indipendenti da singoli fornitori). Tuttavia, l'ex fondatore-CEO ha sempre avuto una visione diversa.
Ma può andar bene finché ci parlano in 4 gatti, non dico di arrivare al numero di utenti di whatsapp ma già al numero di utenti di telegram il sistema non sarebbe stabile.
L'altro grosso punto debole è l'utilizzo della tecnologia SVR per memorizzare i dati in cloud AWS che li rende accessibili a causa delle falle del SGX delle CPU intel nonostante la crittografia e2e.
Ma allora non è E2E se il server può mettere il naso nel messaggio.

Voi ne fate una questione di sicurezza quando il focus dell'articolo era chiaramente questo

Non è una questione di sicurezza, la quale è comunque importante ed è una conseguenza. E' una questione di libertà: chi gestisce l'infrastruttura e di conseguenza i dati.


Ma il commento fuori luogo è il mio.


Si, hai risposto senza argomentare come una persona priva di cognizione di causa.


Ma può andar bene finché ci parlano in 4 gatti, non dico di arrivare al numero di utenti di whatsapp ma già al numero di utenti di telegram il sistema non sarebbe stabile.


Qualche fonte per una tale affermazione? I sistemi decentralizzati possono essere più scalabili di quelli centralizzati, se progettati in modo adeguato vedi esempi di torrent.
Inoltre, telegram è più scalabile di whatsapp e signal, sono tutti e tre centralizzati, ma il primo è strutturato in cloud.


Ma allora non è E2E se il server può mettere il naso nel messaggio.

Ci può mettere il naso a causa delle falle si cui si basa la crittografia e2e.
Whatsapp è un servizio e2e (in teoria), ma client-server ovvero il server permette di recapitare i messaggi quando i client sono offline e di gestire i contatti. Lo stesso Signal con maggiori protezioni. Telegram è un servizio in cloud eccetto le chat segrete. Alcuni servizi p2p sono jami, briar e simpleX chat.

Voi ne fate una questione di sicurezza quando il focus dell'articolo era chiaramente questo

Non è una questione di sicurezza, la quale è comunque importante ed è una conseguenza. E' una questione di libertà: chi gestisce l'infrastruttura e di conseguenza i dati.


Ma il commento fuori luogo è il mio.


Si, hai risposto senza argomentare come una persona priva di cognizione di causa.


Ma può andar bene finché ci parlano in 4 gatti, non dico di arrivare al numero di utenti di whatsapp ma già al numero di utenti di telegram il sistema non sarebbe stabile.


Qualche fonte per una tale affermazione? I sistemi decentralizzati possono essere più scalabili di quelli centralizzati, se progettati in modo adeguato, vedi esempio di torrent.
Inoltre, telegram è più scalabile di whatsapp e signal, sono tutti e tre centralizzati, ma il primo è strutturato in cloud.


Ma allora non è E2E se il server può mettere il naso nel messaggio.

Ci può mettere il naso a causa delle falle si cui si basa la crittografia e2e (per fortuna niente messaggi, solo contatti, il grafo sociale e username).
Whatsapp è un servizio e2e (in teoria), ma client-server ovvero il server permette di recapitare i messaggi quando i client sono offline e di gestire i contatti. Lo stesso Signal con maggiori protezioni. Telegram è un servizio in cloud eccetto le chat segrete. Alcuni servizi p2p sono jami, briar e simpleX chat.

Se quello che tu dici fosse vero, saremmo di fronte ad una falla enorme delle chiavi asimettriche di cui nessuno parla.

Se quello che tu dici fosse vero, saremmo di fronte ad una falla enorme delle chiavi asimettriche di cui nessuno parla.

Purtroppo sono veri e non lo dico io, ma esperti crittografi. Per piacere, prima di commentare senza cognizione, leggi questi due articoli, già riportati sopra.

2020 Why is Signal asking users to set a PIN, or “A few thoughts on Secure Value Recovery” (https://blog.cryptographyengineering.com/2020/07/10/a-few-thoughts-about-signals-secure-value-recovery/) di Matthew Green (https://engineering.jhu.edu/faculty/matthew-green/) noto crittografo.

2020 Signal Increases Their Reliance on SGX (https://medium.com/@maniacbolts/signal-increases-their-reliance-on-sgx-f46378f336d3)

Infatti si parla di decriptare i backup, non le conversazioni che rimangono protette da chiavi pubbliche/private.
Per la cronaca su whatsapp è possibile criptare E2E anche i backup dal 2021; e visto che la chiave e il backup sono generati dal client non vedo come falle in SGX sul server possano mettere a rischio la confidenzialità del dato.

Infatti si parla di decriptare i backup, non le conversazioni che rimangono protette da chiavi pubbliche/private.
Per la cronaca su whatsapp è possibile criptare E2E anche i backup dal 2021; e visto che la chiave e il backup sono generati dal client non vedo come falle in SGX sul server possano mettere a rischio la confidenzialità del dato.

Non i backup delle conversazioni, per fortuna solo i contatti, il grafo sociale e l'username. La tecnologia rimane comunque fallata (ti conviene leggere gli articoli).
Stavamo parlando di signal che ha introdotto i backup recentemente (https://signal.org/blog/introducing-secure-backups/) e solo in beta.
Per quanto riguarda whatsapp, che è il peggiore dal punto di vista della privacy e della sicurezza, di default (90-95% degli utenti (https://www.theguardian.com/technology/2013/dec/01/default-settings-change-phones-computers)) i backup su google e apple sono parzialmente in chiaro (sono cifrati i messaggi, ma non i media). Inoltre, in caso di smarrimento del dispositivo, meta è in grado di rigenerare la chiave di cifratura. Whatsapp non si basa su SGX e la cifratura e2e dei backup è solo opzionale. Per questo è sufficiente che un solo membro di un gruppo abbia tale funzionalità non attiva, per invalidarla per tutti gli altri.