Ciao Giovanni,
grazie per quest'ottima obbiezione! :-)
On Sat, 08 Jan 2022 15:28:44 +0100 380° wrote:
> Giacomo Tesio <giac...@tesio.it> writes:
>
> > cosa succede quando un Governo ha le competenze necessarie per
> > scegliere il software libero?
>
> E quale sarebbe questo Governo Illuminato con cotante competenze?!?
>
> Quello tedesco che usa GnuPG VS-Desktop /su MS Windows/ per i
> documenti altamente riservati: ma che DAVERO?!?
Permettimi di chiarire la mia interpretazione di questa notizia: il
Governo Tedesco ha trovato sostanzialmente un modo per sovvenzionare
una organizzazione tedesca che sviluppa software libero [1] che si è
praticamente costituita come azienda allo scopo.
Poiché io non sono un cantore del libero mercato che premia solo chi si
fa sovvenzionare dal governo americano, trovo questa scelta politica
assolutamente positiva.
Il fatto che un governo europeo trovi il modo di finanziare un'azienda
europea che sviluppa credibilmente software libero, secondo me, è una
bella notizia da diffondere. Nonché un esempio da seguire.
Nell'ordine, le politiche cibernetiche migliori che un governo possa
attuare per garantire la propria autonomia operativa (e di conseguenza
la sovranità dei propri cittadini) sono:
- a livello industriale: finanziare lo sviluppo di software libero sul
proprio territorio (o quanto meno su territorio europeo, perché siamo
tutti sulla stessa barca, che ci piaccia o meno...)
- a livello culturale: formare i propri cittadini su software libero,
non solo a livello di utilizzo, ma a livello di scrittura e debug
- a livello amministrativo: utilizzare esclusivamente software libero,
con una complessità gestibile, con un sorgente effettivamente
ispezionato da esperti (magari pagati un tot al bug individuato), e la
cui compilazione sia riproducibile e riprodotta da personale
ministeriale fidato
Hai assolutamente ragione: usare Windows, quand'anche fosse
economicamente vantaggioso [2], riduce l'autonomia operativa delle
amministrazioni europee, le rende strategicamente vulnerabili (almeno
quanto la supply chain di Windows, che SolarWind ha mostrato come un
colabrodo), mette a rischio i dati dei cittadini ed, alla fine, limita
la loro sovranità politica.
Ed il Governo tedesco fa tutte queste cose.
Tuttavia, a livello industriale questo E' un passo avanti nella
direzione giusta!
> Quindi l'unico modo **legale** per poter gestire i documenti altamente
> riservati NATO e EU, oltre che tedeschi, è usare GnuPG VS-Desktop [1]
> - che l'unica e sola versione approvata [2] - su MS Windows.... ma che
> DAVERO?!?!
Direi piuttosto che, su MS Windows, UNO dei modi approvati per gestire
documenti altamente riservati è usare GnuPG VS-Desktop.
Dubito che questo significhi che si DEBBA usare GnuPG VS-Desktop per
gestire tali documenti (il che implicherebbe che si DEBBA utilizzare
Windows, il che sarebbe oggettivamente ridicolo).
Sul valore tecnico di tale "approvazione" non so dirti: non so se
qualche agenzia tedesca competente abbia ispezionato il codice di GnuPG
e l'abbia trovato valido. Ne dubito, perché in tal caso solo il
software libero potrebbe essere "approvato".
Tuttavia nota che GnuPG gira su Windows, Linux e molti altri sistemi [3]
e la codebase sottostante, soprattutto per quanto riguarda le librerie
crittografiche, è per lo più lo stesso!
Dunque approvando GnuPG VS-Desktop, ha reso sostenibile lo sviluppo ed
il mantenimento di un vasto ecosistema che è PRINCIPALMENTE libero.
> [2] cosa manca a GnuPG "community edition" per essere approvata così
> da poter essere usata anche su altri sistemi operativi?!?
Il supporto:
> We also keep maintaining Gpg4win as the community version. This is
> based on the the same source code as GnuPG VS-Desktop but comes with
> more features due to the use of the latest development branch.
>
> The benefits for the customer to pay for GnuPG VS-Desktop are: a
> commercial support contract, the guarantee of a long term maintained
> and approved version, customization options, community tested new
> features, and the per-approval required vendor for security updates.
Tuttavia non credo che l'approvazione sia specifica per Windows: se
GnuPG.com pubbicasse la versione X di GnuPG VS-Desktop come eseguibile
windows E per gli altri sistemi operativi, si potrà utilizzare tutti.
E devo essere sincero: mi sorprenderei se NON li pubblicassero, anche
se non si trattasse di un hacker come Werner.
> ...ammesso e NON concesso che la versione compilata di GnuPG
> VS-Desktop non includa qualche backdoor introdotta consapevolmente o
> per mezzo di un attacco riuscito alla supply chain, che notoriamente
> sono MOLTO RARI su MS Windows.
Naturalmente.
Ma a questo riguardo ti posso dire che il fatto che un software sia
proprietario, in certi contesti, non significa che sia compilato da chi
lo vende.
Nel mio lavoro quotidiano, sviluppo software (purtroppo) proprietario
per grandi gruppi bancari internazionali, ed i nostri clienti sempre più
spesso pretendono (giustamente) di compilare autonomamente i sorgenti,
che sottopongono a verifiche di sicurezza automatizzate e non.
Non ho idea se questo sarà l'approccio del governo tedesco o se più
semplicemente scaricheranno il binario da GnuPG.com, ma non lo
escluderei del tutto, quanto meno nel medio periodo.
Le banche sono spesso LENTISSIME ad adottare basilari pratiche di buon
senso tecnologico (fino all'anno scorso, dovevano letteralmente ancora
supportare IE9! ho detto tutto?), e se si stanno muovendo loro, forse
anche i governi euroei stanno iniziando ad aprire gli occhi.
Giacomo
[1] scrivo appositamente software libero, invece di open source perché
parliamo di un progetto GNU storico e l'articolo che ho linkato è
scritto dal suo autore iniziale, Werner Koch, decisamente credibile
come autore di software libero (scelta politica sostenuta
indipendentemente dal costo personale)
https://en.wikipedia.org/wiki/Werner_Koch#Life_and_work
https://www.gnu.org/manual/blurbs.html#gnupg
[2] cosa che è possibile solo perché lo stato si fa carico del lock-in
degli utenti a scuola! I lobbisti Microsoft possono parlare dei
"costi nascosti di Linux" solo perché sono stati capaci di
scaricare il "costi nascosti di Windows" sulle scuole che
paghiamo con i nostri soldi!
Togli Windows dalle scuole per un decennio verranno fuori i
costi nascosti di Windows!
[3] https://gnupg.org/download/index.html
>
> [...]
>
> > Tratto da
> > https://gnupg.org/blog/20220102-a-new-future-for-gnupg.html
>
>
>
> Sono /semplicemente/ stupefatto, non ho altre parole.
>
> Saluti, 380°
>
>
> P.S.: i miei documenti sono più riservati dei TOP-SECRET NATO?!?
>
>
>
> [1] https://en.wikipedia.org/wiki/Gpg4win#History_of_Gpg4win
>
>
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
