[Discussioni]Admin da remoto

Matteo Boccafoli mboccafo a cs.unibo.it
Lun 21 Lug 2003 15:09:02 CEST 

Ciao,
   In questi mesi mi ponevo qualche problema inerente ai danni di
algoritmi crittografia in relazione al software opensource/libero,
sono stato invitato a tal fine a discuterne qui:

 Se algoritmi di criptografia basati su chiave pubblica fossero
``inservibili'', quale danno puo` ricevere il free software? servizi
come savannah?
 Ma se si accede da remoto come root su l'unica macchina che fa` backup e
servizio, come savannah, che problemi puo` andare in contro il free
software? Si prendono precauzioni per questo caso?

 Ho notato che molti amministratori confidano ciecamente su criptografia a
chiave pubblica.
 L'algoritmo asimmetrici (a chiave pubblica) sono basati sul fatto che
``non si sa' se e` possibile risolvere la fattorizzazione in tempi
accettabili''.

 Non so' se vi ricordano qualcosa le seguenti parole: ``non si sa` se ''
a me personalmente ricordano frasi che affemano:
``in un sistema proprietario non si sa' come e` implementato e risulta
essere sicuro'', che in realta` dovrebbe essere ``di un sistema di
cui non si conosce il sorgente, risulta molto difficile capire se ha delle
falle''.
 Da un certo punto di vista una improbabile soluzione accettabile per la
fattorizzazione potrebbe portare a scenari che, agl'occhi di chi non
distingue un server da una workstation, screditano l'opensource
per mezzo di ottime frasi politicamente studiate.

 Rimango allibito nel vedere come spesso si puo` usare un algoritmo
simmetrico (o a chiave segreta) ma cio` non viene fatto. :-(
Pesonalmente mi aspetterei da certe associazioni e istituzioni l'uso di
telnet sicuro basato su ``chiave segreta'' e non comprendo come questo
servizio sia in disuso.

 Sarebbe interessante sapere quali sono le politiche usate da servizi tipo
savannah, pluto,  al fine di valutare la vulnerabilita` degli stessi.

Matteo

--
Un giorno in stazione c'erano tutti i display bloccati e il treno tardava
a partire, in quel momento avrei voluto accedere al sorgente del software
e alle procedure di aggiornamento per capire dove e se c'erano dei
problemi che potevano coinvolgermi in un incidente. Speed 2 docet ;-)

More information about the discussioni mailing list