Dietro le quinte
AnoniCloud vuole fornire ai propri utenti un approccio diverso dagli altri cloud. Ma quali sono i parametri che hanno guidato le nostre scelte? Cosa c’è dall’altro capo del filo? Questo post rappresenta le nostre prime “porte aperte” per conoscere meglio AnoniCloud.
I servizi cloud come Google Drive, Microsoft OneDrive e Dropbox si preoccupano della privacy dell’utente.
Sì, certo.
Google è il principale motore di ricerca del pianeta: Il 70% delle ricerche sul Web sono svolte tramite Google Search; molti di noi (non io) usano google.com come home page del loro browser. (quasi) Tutto è gratuito. In che modo Google fa soldi? Vendendo i tuoi dati. I tuoi dati vengono raccolti studiando il tuo comportamento in rete, controllando la tua e-mail e i tuoi documenti su Google Drive. Questo è quanto.
Microsoft OneDrive esegue la scansione di ogni documento ed ogni immagine memorizzata nel tuo spazio con PhotoDNA. PhotoDNA è una tecnologia che controlla se l’immagine memorizzata è conforme ai Termini di servizio di Microsoft: vengono rimossi tutti i documenti che non sono conformi senza ulteriori avvisi e Microsoft può revocare il servizio in qualsiasi momento in caso di violazione. Questo significa: I tuoi documenti sono definitivamente persi.
Microsoft dichiara che PhotoDNA viene utilizzato per combattere la pornografia infantile ed il terrorismo.
Sfortunatamente PhotoDNA fornisce falsi positivi che possono metterti nei guai. E i dati raccolti con PhotoDNA possono essere aggregati per “scopi statistici”.
Dropbox è uno dei primi servizi cloud; nella la sua storia ha raccolto tante critiche da riempire una pagina di Wikipedia, a partire dalle violazioni della privacy dell’utente fino al malfunzionamento del servizio. Buona lettura.
Dropbox è il posto giusto per archiviare i tuoi documenti riservati? Decidi tu. Considera che tutto ciò che memorizzi su questi tre servizi può essere letto dagli impiegati del servizio.
Tutti questi servizi mancano di una caratteristica che si chiama “zero-knowledge encryption” (crittografia senza conoscenza).
Che cosa significa “zero-knowledge encryption”?
Di solito quando si invia un “messaggio” (che può essere un documento) a un servizio cloud, il messaggio viene crittografato con una chiave condivisa, condivisa tra te e il fornitore del cloud, che consente a entrambe le parti (tu e il fornitore del cloud) di leggere il contenuto del messaggio: questo presuppone una “fiducia” tra te e il fornitore del cloud.
Con la zero-knowledge encryption viene creata una chiave che solo l’utente (tu) conosce e non è accessibile dal cloud provider. La chiave è memorizzata dal provider cloud ma è crittografata con un “segreto” (una password) che solo l’utente conosce, chiave solitamente crittografata con un algoritmo di crittografia forte (esempio AES-256 o ChaCha20 – Entrambi gli algoritmi sono sicuri contro attacchi con computer quantici).
Questo significa: Nessuno, tranne te può leggere i tuoi dati.
Noi di AnoniCloud utilizziamo la zero-knowledge encryption: quando si apre un account, l’applicazione client produce una chiave casuale a 256 bit che viene utilizzata per crittografare i file prima di lasciare il dispositivo; questa chiave viene quindi memorizzata sui nostri server crittografata con la tua password.
Che aspetto ha una chiave casuale a 256 bit?
Ecco qui…
111110100111011101111101 001010010101110110011110 000101000101010110001100 101110101100101111011000 011001111001100110000101 101111101001101010101001 000000011000110001101111 110001111100011000000001 110100111111000100101110 111000000011111100111000 0111111101111000
Una chiave di 256 bit casuali – Carina, vero? 🙂
Beh, non è così semplice … quando un utente crea il suo profilo, vengono generate diverse chiavi: Una chiave master dell’utente (User’s Master Key), una chiave di condivisione privata (Private Sharing Key) – utilizzata per negoziare una chiave condivisa con un peer di condivisione (un altro utente che desideri condividere il tuo file ) e una chiave di condivisione pubblica (Public Sharing Key) una chiave che un altro utente utilizza per condividere file con te … sembra complicato? Forse, ma tutto è trasparente per l’utente: Non devi preoccuparti di questi dettagli tecnici … Inoltre, c’è anche una chiave per i file (File Key): Ogni volta che carichi un nuovo documento, l’applicazione client che viene eseguita sul tuo telefono o sul tuo computer, produce una chiave diversa che viene utilizzata per crittografare ogni file; questa chiave viene quindi crittografata con la chiave master dell’utente o con la chiave pubblica-privata negoziata nel caso in cui si condivida il file con altri …
Come hai immaginato, molte cose accadono con un semplice tocco del tasto “Invia” sul tuo telefonino, cose che devono essere gestite correttamente da un’applicazione lato server: Raccogliere i tuoi dati e tenere traccia degli utenti, dei diritti di accesso, delle condivisioni, dello spazio disponibile per l’utente, deve eseguire l’anonimizzazione dei dati, ripristinare il trasferimento dei dati in caso di errore di comunicazione.
Ok, fermati un attimo e pensa alla frustrazione di inviare un file da 4 Gb e vedere la tua rete che si ferma a 3,5 Gb! Con Dropbox e altre piattaforme come NextCloud devi ricominciare da zero! Questo non succede con AnoniCloud!
Abbiamo studiato tutte le piattaforme esistenti sul mercato e abbiamo trovato: nulla. Niente in grado di soddisfare i nostri requisiti, quindi abbiamo deciso di creare una nuova piattaforma da zero.
Una piattaforma software che può essere eseguita su sistemi operativi open source, senza codice morto, una piattaforma che possiamo gestire in autonomia.
Ovviamente, quando AnoniCloud sarà ben stabile e validato, rilasceremo i codici sorgente lato client e server come open source: le persone che non si fidano possono toccare con mano.
Perché la Svizzera?
Se pensi al paese più sicuro al mondo dove conservare i tuoi soldi, quale ti viene in mente? 🙂
Giusto, la Svizzera.
Ciò non è più vero a causa delle modifiche alle leggi valutarie dell’ultimo decennio ma le leggi sulla protezione dei dati personali sono ancora intatte.
Se vuoi approfondire le leggi svizzere sulla protezione dei dati, puoi studiare la Legge federale sulla protezione dei dati (FADP) e l’Ordinanza relativa alla legge federale sulla protezione dei dati.
Divertiti.
One more thing: Purtroppo non tutti vivono in paesi liberi. Se vuoi avere un’idea della libertà dei popoli in alcuni paesi, guarda il “World Press Freedom Index” di Reporter senza frontiere: Solo pochi paesi al mondo possono essere considerati veramente liberi.
Per le persone che vivono in paesi che vanno dall’arancione al nero, stiamo implementando un hidden service; che cos’è?
Le persone che vivono in paesi con una forte censura e una forte politica di sorveglianza delle comunicazioni possono accedere ai servizi AnoniCloud da un indirizzo .onion, reindirizzando il traffico su tre livelli di server di comunicazione che non possono essere offuscati.
Infine, per saperne di più su .onion e TOR, Wikipedia è un buon punto di partenza.