WhatsApp gratis per sempre! Entro poche settimane niente più canone annuo

[matteop3]

Quote:

Originariamente inviato da cdimauro

In questo modo stai semplicemente spostando la questione, cambiandogli il nome, ma lasciando invariato il problema. E il problema è che, nuovamente, non esiste una definizione oggettiva di robustezza, né dunque una metrica oggettiva di robustezza.

Concordo con te che la crittografia e la sua applicazione non siano una scienza esatta vista la fortissima complessità, ma è pur sempre vero che la distinzione tra un protocollo probabilmente sicuro e uno probabilmente insicuro è possibile farla.

Quote:

Originariamente inviato da cdimauro

Mi spiace che ti faccia sorridere la questione dell'accessibilità, che invece è molto seria.

Ma non lo metto minimamente in dubbio, del resto io sono solo un misero laureato triennale senza la minima esperienza, a differenza tua.
Ciò che però mi ha fatto sorridere è stato che per te sia SOLO una questione di accessibilità quando invece non è così, perlomeno non in questo settore dell'informatica.

Quote:

Originariamente inviato da cdimauro

Sempre riguardo a "sicurezza" & open, ci sarebbe da chiedersi per quale motivo non vengano rilasciati gli schemi dei sistemi di allarme per le case, le casseforti, le auto, ecc...

Probabimente utilizzano molti protocolli che una volta rivelati diventano aggirabili. Ma non tutti i protocolli sono così (fortunatamente).

[cdimauro]

Quote:

Originariamente inviato da matteop3

Concordo con te che la crittografia e la sua applicazione non siano una scienza esatta vista la fortissima complessità, ma è pur sempre vero che la distinzione tra un protocollo probabilmente sicuro e uno probabilmente insicuro è possibile farla.

Non vorrei sembrarti pedante, ma:
- la crittografia è una branca della matematica, ed è una scienza esatta;
- anche aggiungendo "probabilmente", non cambia quanto abbia già detto prima.

Quote:

Ma non lo metto minimamente in dubbio, del resto io sono solo un misero laureato triennale senza la minima esperienza, a differenza tua.

La carta lasciala perdere. Anch'io ho la tua stessa laurea, ma non è che quando mi sono laureato ho acquisito immediatamente la scienza infusa.

Studio (non fine a se stesso, per superare un corso) ed esperienza sono ciò che fanno la differenza.

Quote:

Ciò che però mi ha fatto sorridere è stato che per te sia SOLO una questione di accessibilità quando invece non è così, perlomeno non in questo settore dell'informatica.

Se ti riferisci alla sola crittografia, contano due cose: algoritmo e implementazione.

Nel primo caso parliamo di matematica, e dunque gli algoritmi sono funzioni che vengono studiate da esperti per comprendere se esistano delle falle. Una funzione, per forza di cose, dev'essere "open".

Nel secondo caso vale quanto ho detto prima a livello di open o closed. Intanto avere i sorgenti non ti garantisce che l'implementazione sia corretta. Non averli, invece, è un limite soltanto per chi non ha esperienza di reverse engineering, cracking, et similia.

Quote:

Probabimente utilizzano molti protocolli che una volta rivelati diventano aggirabili. Ma non tutti i protocolli sono così (fortunatamente).

Appunto. Ci sono casi in cui nascondere un meccanismo è più conveniente che renderlo pubblico.

Immagina due centrali nucleari che abbiano il software di controllo del nocciolo collegato a internet. Una in cui tutto il codice è open, e l'altra in cui è blindatissimo. Secondo te un gruppo di terroristi intenzionati a far saltare la centrale quale attaccherebbe?

[ziozetti]

Quote:

Originariamente inviato da Pino90

Io lo uso con profitto da anni come client predefinito per le (video)chiamate. Per quello che mi riguarda da questo punto di vista ha sostituito pienamente skype. Come client IM non vale niente per lo stesso motivo di TG: ce l'hanno 4 gatti.

10-12 gatti; da una rapidissima ricerca sembra siano circa 250M di utenti Viber contro i 100M di Telegram.

[matteop3]

Quote:

Originariamente inviato da cdimauro

Non vorrei sembrarti pedante, ma:
- la crittografia è una branca della matematica, ed è una scienza esatta;
- anche aggiungendo "probabilmente", non cambia quanto abbia già detto prima.

Sì, ma sai bene che una volta fatta un'implementazione di qualsiasi cosa che non sia banale è sostanzialmente impossibile predire a priori se poi funzionerà correttamente o no. E' quello che intendevo.

Quel "probabilmente" è dovuto proprio a questo; non è possibile sapere a priori se un software che utilizzi crittografia sarà bucabile o no, anche il modo in cui una buona crittografia viene utilizzata nell'architettura di un software potrebbe introdurre decine di falle, rendendolo di fatto insicuro.
Un po' come quando progetti e costruisci un generico ma complesso software, non puoi sapere a priori (quindi matematicamente) se sarà assolutamente stabile o no e forse non lo potrai mai sapere con certezza assoluta. Il gioco è appunto arrivare ad un buon livello di robustezza (qui inteso come "ragionevolmente stabile"). Implementando la crittografia è un po' la stessa cosa.

Quote:

Originariamente inviato da cdimauro

La carta lasciala perdere. Anch'io ho la tua stessa laurea, ma non è che quando mi sono laureato ho acquisito immediatamente la scienza infusa.

Studio (non fine a se stesso, per superare un corso) ed esperienza sono ciò che fanno la differenza.

Beh, qui concordo. Anzi, potremmo anche iniziare un discorso a parte in cui ti spiego perché l'università mi abbia grandemente deluso, dove il tutto viene posto solamente se a fine formativo e non per la passione e per il puro piacere di studiare quelle cose, tutto doveva essere funzionale alla carriera e al lavoro, che delusione; per questo mi fermo alla triennale.
Ma sto andando OT.

Quote:

Originariamente inviato da cdimauro

Se ti riferisci alla sola crittografia, contano due cose: algoritmo e implementazione.

Nel primo caso parliamo di matematica, e dunque gli algoritmi sono funzioni che vengono studiate da esperti per comprendere se esistano delle falle. Una funzione, per forza di cose, dev'essere "open".

Nel secondo caso vale quanto ho detto prima a livello di open o closed. Intanto avere i sorgenti non ti garantisce che l'implementazione sia corretta. Non averli, invece, è un limite soltanto per chi non ha esperienza di reverse engineering, cracking, et similia.

Io parlo di implementazione. Lo ripeto ancora, averli non ti dà automaticamente sicurezza, ma può velocizzare il processo di aumento della robustezza (trovata vulnerabilità -> bug fix), proprio perché gli occhi puntati sono di più. Ciò significa indirettamente potenziale maggior sicurezza. In un software closed questo processo è più lento.

Quote:

Originariamente inviato da cdimauro

Appunto. Ci sono casi in cui nascondere un meccanismo è più conveniente che renderlo pubblico.

Immagina due centrali nucleari che abbiano il software di controllo del nocciolo collegato a internet. Una in cui tutto il codice è open, e l'altra in cui è blindatissimo. Secondo te un gruppo di terroristi intenzionati a far saltare la centrale quale attaccherebbe?

Quello più debole, che non per forza deve coincidere con quello open.
Il fatto che un protocollo di sicurezza sia aperto non significa automaticamente che sia più vulnerabile (perlomeno non in informatica), questo è importante.

[Epoc_MDM]

http://www.hwupgrade.it/forum/showthread.php?t=2753533

La risposta al motivo per cui l'abbiano messo gratis, potrebbe essere questa. E sinceramente c'era da aspettarselo...

[cdimauro]

Quote:

Originariamente inviato da matteop3

Sì, ma sai bene che una volta fatta un'implementazione di qualsiasi cosa che non sia banale è sostanzialmente impossibile predire a priori se poi funzionerà correttamente o no. E' quello che intendevo.

OK. Diciamo che una verifica formale della correttezza di un ben preciso software richiederebbe tempi "biblici" per gli esseri umani che se ne dovessero occupare. Fattibile, ma estremamente costosa.

Quote:

Io parlo di implementazione. Lo ripeto ancora, averli non ti dà automaticamente sicurezza, ma può velocizzare il processo di aumento della robustezza (trovata vulnerabilità -> bug fix), proprio perché gli occhi puntati sono di più. Ciò significa indirettamente potenziale maggior sicurezza. In un software closed questo processo è più lento.

Non lo puoi dimostrare. Stai anche supponendo che gli "occhi" abbiano le stesse capacità. La cosiddetta "legge di Linus", infatti, è soltanto un assunto.

Ti faccio anche notare che il disassemblato di un codice potrebbe farti comprendere l'esistenza di certe falle che potrebbero sfuggire alla lettura del codice originale, che sarà scritto in un altro linguaggio di molto più alto livello.

Quote:

Quello più debole, che non per forza deve coincidere con quello open.

Se il codice usato da entrambe le centrali fosse esattamente lo stesso, ma nel primo caso caso è completamente nascosto (e con le scritte visualizzate all'esterno che sono state cambiate, in modo da mostrarsi come se fosse un software completamente diverso dall'altro), e nel secondo fosse tutto aperto, l'unica variabile in gioco sarebbe closed vs open.

Se fossi un terrorista non avrei alcun dubbio su quale centrale attaccare...

Quote:

Il fatto che un protocollo di sicurezza sia aperto non significa automaticamente che sia più vulnerabile (perlomeno non in informatica), questo è importante.

Un protocollo per forza di cose dev'essere aperto: le specifiche devono essere a disposizione di tutti, che lo si voglia implementare con codice open o closed.

Altrimenti non si potrebbe comunicare.