Cloud identità

[Uno]

Non so quanti ameranno seguirmi in questo semivaneggiamento però ritengo che quello di cui vorrei parlare sarà un problema dei prossimi anni, ci vorrà un qualche tipo di forum mondiale per stabilire un protocollo o come spesso accade qualcuno lancerà per primo qualcosa e gli altri vi si adegueranno.

Non piacerà a tutti quello che dirò...
Ritengo personalmente che per risolvere in maniera efficace problemi come lo spam (e non solo mail) e simili occorrà una qualche sorta di identità certa online delle persone e da alcune riflessioni su questo nasce questo post.

Non intendo che questa identità sia associabile all'identità reale del mondo quotidiano, io potrei chiamarmi Mario Rossi e nel web essere Uno@Ermopoli o Uno@HostingTalk.
Direte: ma questo esiste già.... si solo che ora chiunque potrebbe inviare una mail taroccando il mittente e far credere che sia io.
Immaginiamo invece un sistema in cui ogni dominio certifica in maniera sicura i propri utenti (ci hanno provato con OpenID a fare qualcosa di simile, ma è debole come sistema, non è universale etc) e che ne è responsabile. Se per esempio Gigi@Dominio.com spamma o l'admin di Dominio. com lo caccia o viene bannato tutto Dominio.com dal circuito internazionale.
Tecnicamente si dovrebbe introdurre un sistema di verifica nei vari domini, un finger evoluto che abbia il compito di stabilire che io che mi presento come Uno@HostingTalk sono chi dico di essere e non SpammoneGigi.
Ovviamente per fare una cosa fatta bene la prima identità creata di una persona reale dovrebbe essere verificata ne più ne meno come si fa con certificati ssl e simili o tramite responsabilità di chi accetta nel proprio dominio l'utente. Dopo la prima identità uno volendo su questa ne può creare altre su altri domini e le identità dovrebbero essere associate. Se mi brucio Uno@Ermopoli facendo cretinate dovrebbe essere bruciata pure Uno@HostingTalk etc...

Qualcuno si starà chiedendo che c'entra con il cloud tutto ciò. Prima di tutto io lo vedo come utente o meglio identità cloud perchè a quel punto potrei accedere come Uno@HostingTalk (o altra mia identità certificata) ovunque senza registrazioni dei siti (anche se questi comunque dovrebbero mantenere una sorta di anagrafica se per esempio non fossero contenti della mia partecipazione).
Potrei aggiungere alla mia identità risorse di qualsiasi tipo etc...
Ma questo dovrebbe/potrebbe essere trasportato su qualsiasi tipo di identità non solo delle persone, ma anche di servizi, siti, spazi etc....

Mi rendo conto di non essere in grado di illustrare il tutto, soprattutto con poche righe, e rendere un concetto: quella che in apparenza potrebbe sembrare come una limitazione della libertà personale in realtà renderebbe la rete veramente libera dal controllo di chiunque, pur mantenendo la possibilità di lavorarci, fare affari o semplicemente usufruirne.

Se a qualcuno interessa approfondire il discorso ben volentieri mi piacerebbe farlo.

[Valeriano Manassero]

Stai teorizzando un approccio tra due entità in relazione molti-a-molti.
Seppure un lato Dominio -> Utenti sia tecnicamente gestibile con revoche, non lo è il contrario, per cui Utente -> Domini non può avere capacità applicative e decisionali (come una revoca) perchè ogni dominio, di fatto, è un entità singola a sè stante.
Se voglio revocare il diritto di uno user su più domini, devo essere admin di tutti i domini in questione, diversamente è inapplicabile.
Certo, si potrebbe gestire una whitelist/blacklist ad utenza che va un po' sulla falsariga delle RBL, ma, oltre ad essere una selva, non potresti comunque tener conto del "morphing" degli utenti che oggi si chiamano Uno e domani si chiamano Due

Pour parler eh...

[Antonio]

Ovviamente per fare una cosa fatta bene la prima identità creata di una persona reale dovrebbe essere verificata ne più ne meno come si fa con certificati ssl e simili o tramite responsabilità di chi accetta nel proprio dominio l'utente. Dopo la prima identità uno volendo su questa ne può creare altre su altri domini e le identità dovrebbero essere associate. Se mi brucio Uno@Ermopoli facendo cretinate dovrebbe essere bruciata pure Uno@HostingTalk etc...

Il problema fondamentale è qui; se anche in real life ci sono truffatori con decine di identità diverse (con CI, CF, patente, sim etc etc falsi), come puoi tu (come azienda privata, neanche come ente governativo) avere la certezza che il tizio che si iscrive sia realmente chi dice di essere?

Gli chiedi una scansione della retina? E se il tizio usa una img della retina/alluce/altra_parte_del_corpo_richiesta di un'altra persona? Poi la bannerai a vita dal servizio?

Dovresti avere come minimo dei punti fisici in cui certificare le identità (pregando che il tipo che ti si presenta davanti non abbia falsificato i suoi documenti).

Senza questi accorgimenti non vedo come potresti fare un servizio diverso da OpenID et similia

[Uno]

Stai teorizzando un approccio tra due entità in relazione molti-a-molti.
Seppure un lato Dominio -> Utenti sia tecnicamente gestibile con revoche, non lo è il contrario, per cui Utente -> Domini non può avere capacità applicative e decisionali (come una revoca) perchè ogni dominio, di fatto, è un entità singola a sè stante.
Se voglio revocare il diritto di uno user su più domini, devo essere admin di tutti i domini in questione, diversamente è inapplicabile.

Beh ovviamente deve esserci una convenzione in cui se io admin di dominio X revoco l'identità di Tizio, dandone motivazione tutti i domini che possiedono identità derivate di Tizio dovrebbero sospenderle ed in caso ripristinarle tramite diversa identificazione.

Però volendo si potrebbe spostare da molti a molti a uno a molti se

Il problema fondamentale è qui; se anche in real life ci sono truffatori con decine di identità diverse (con CI, CF, patente, sim etc etc falsi), come puoi tu (come azienda privata, neanche come ente governativo) avere la certezza che il tizio che si iscrive sia realmente chi dice di essere?

Gli chiedi una scansione della retina? E se il tizio usa una img della retina/alluce/altra_parte_del_corpo_richiesta di un'altra persona? Poi la bannerai a vita dal servizio?

Dovresti avere come minimo dei punti fisici in cui certificare le identità (pregando che il tipo che ti si presenta davanti non abbia falsificato i suoi documenti).

Senza questi accorgimenti non vedo come potresti fare un servizio diverso da OpenID et similia

facciamo fare lo sporco lavoro alle anagrafi dei vari comuni dei vari stati.
Io Mario Rossi vengo nel mio comune munito di codice identificativo univoco e con questo mi creo le identità nei domini che voglio e/o che mi permettono.
Nei casi gravi si possono comunque eliminare tutte le identità associate ad un certo codice identificativo.

Ovvio che poi magari un mercato nero salterà fuori, come dici tu Antonio anche dal vivo falsificano i documenti... ma forse l'unico punto debole di un tale sistema potrebbe essere l'anagrafe.
Quindi se Gigi lo Spammone ottiene un identificativo all'anagrafe di Francoforte questa mi deve rispondere.
Dall'altro lato io utente della rete mondiale con un pagina di ricerca dovrei poter verificare quali identità sono associate online al mio identificativo personale e se vedo che con il mio "numeretto" è stata aperta l'identità Spammone@hotmail.ru la posso far bloccare subito. Cosa che con i documenti cartacei è praticamente impossibile perchè io non so se in questo momento girano 3 carte d'identità con i miei dati.

[etr]

Potrebbe essere "fattibile" consegnare all'utente un certificato/un token all'iscrizione all'anagrafe e tramite un protocollo comune gli admin dei vari domini posso verificare se l'utente X che cerca di registrarsi è veramente chi dice di essere tramite il check con il token. In linea teorica sembra fattibile ma limiterebbe moltissimo l'uso delle identià su internet da parte di chi, pur non volendo agire in malafede, non è pratico. Mi immagino la casalinga che vuole registrare un indirizzo email e deve andare all'anagrafe, prendere il token e usarlo....

[Uno]

Potrebbe essere "fattibile" consegnare all'utente un certificato/un token all'iscrizione all'anagrafe e tramite un protocollo comune gli admin dei vari domini posso verificare se l'utente X che cerca di registrarsi è veramente chi dice di essere tramite il check con il token. In linea teorica sembra fattibile ma limiterebbe moltissimo l'uso delle identià su internet da parte di chi, pur non volendo agire in malafede, non è pratico. Mi immagino la casalinga che vuole registrare un indirizzo email e deve andare all'anagrafe, prendere il token e usarlo....

Mi hai fatto venire in mente un'altra cosa, ai tempi dell'analogico (anche adesso ma poi si cerca altrove) chi ti dava la connessione ti dava anche la casella mail. Con lo stesso principio chi da la connessione potrebbe dare la certificazione/token dell'identità.
Una connessione bisogna rimediarla, quindi con la stessa pratica/burocrazia si potrebbero fare entrambe le cose.

I provider di connettività dovrebbero essere favorevoli, meno spam meno traffico a vuoto, sulle caselle che gesticono direttamente meno problemi.
Il problema sarebbe metterli d'accordo a livello mondiale, ma basterebbe che si iniziasse e raggiungesse un buon numero poi gli altri sarebbero costretti per non rimanere fuori.

[etr]

Beh il principio di interconnessione sarebbe al pari di quello per il GSM. E' un sistema che autentica un miliardo di SIM pressochè ovunque e sembra funzionare
Il problema che vedo io è che adesso i player nel settore gsm sono "pochi" e grossi. Nel caso della posta ad esempio, se io tiro su il mio smtp su un VPS, come posso "interconnettermi" con tutti gli altri player? Dovrebbero nascere delle società che fanno da "hub" per cui io faccio peering con loro e in automatico è come se fossi interconnesso a tutti i loro clienti....

[Uno]

Beh il principio di interconnessione sarebbe al pari di quello per il GSM. E' un sistema che autentica un miliardo di SIM pressochè ovunque e sembra funzionare
Il problema che vedo io è che adesso i player nel settore gsm sono "pochi" e grossi. Nel caso della posta ad esempio, se io tiro su il mio smtp su un VPS, come posso "interconnettermi" con tutti gli altri player? Dovrebbero nascere delle società che fanno da "hub" per cui io faccio peering con loro e in automatico è come se fossi interconnesso a tutti i loro clienti....

Non ti seguo più. Io pensavo solo che il provider della connessione certificasse la mia identità e di conseguenza tramite suo certificato io possa crearmi le identità online.
Tutto il resto che dicevi non l'ho capito

[etr]

Ipotizziamo:
ho un'adsl con telecom. All'atto dell'abbonamento lui mi consegna un certificato SSL che sicuramente mi identifica (visto che per fare il contratto ha voluto un mio documento). con quel certificato io posso essere identificato con "certezza".

Per paragonare però il sistema a qualcosa di già esistente, prendevo l'esempio della rete cellulare. La Sim infatti ti identifica in maniera univoca e certa e puoi usufruire dei servizi in tutto il mondo. E' un po' quello che servirebbe per poter "usare" internet avendo un'identità certa.

Tutto ciò per dire che un modello funzionante che fa quello di cui stiamo discutendo esiste già ed è scalabile a livello di utenza (1 mld di sim che si spostano) ma ho paura che a livello di operatori sia poco scalabile in quanto tutto funziona grazie ad un full mesh tra i vari player e con internet sarebbe un suicidio

[Uno]

Ipotizziamo:
ho un'adsl con telecom. All'atto dell'abbonamento lui mi consegna un certificato SSL che sicuramente mi identifica (visto che per fare il contratto ha voluto un mio documento). con quel certificato io posso essere identificato con "certezza".

Per paragonare però il sistema a qualcosa di già esistente, prendevo l'esempio della rete cellulare. La Sim infatti ti identifica in maniera univoca e certa e puoi usufruire dei servizi in tutto il mondo. E' un po' quello che servirebbe per poter "usare" internet avendo un'identità certa.

Tutto ciò per dire che un modello funzionante che fa quello di cui stiamo discutendo esiste già ed è scalabile a livello di utenza (1 mld di sim che si spostano) ma ho paura che a livello di operatori sia poco scalabile in quanto tutto funziona grazie ad un full mesh tra i vari player e con internet sarebbe un suicidio

Ah, adesso ho capito che intendevi.
In ogni caso la certificazione dell'operatore servirebbe solo per creare le identità online, insomma per poter essere ammessi come utenti dei vari domini. Ogni operatore di connettività dovrebbe avere a disposizione una specie di whois per verificare che un certa identità sia valida e allo stesso tempo ogni dominio che accoglie l'utente dovrebbe inviare un segnale a quella specie di whois del provider di origine dell'identità.

In questo modo l'utente potrebbe anche controllare periodicamente dove è iscritto come utente di dominio e vedere se c'è qualche furto di identità.

A studiarla bene anche solo per l'Italia sarebbe una bella cosa, se si potesse anche certificare l'utenza in maniera indipendente e poi creare una specie di consorzio che associ gli intestatari dei domini... sarebbe interessante per me.
Il problema è certificare l'utenza se non hai una sorta di contatto fisico, anche solo per la linea adsl c'è un indirizzo almeno anche se fai tutto via fax o simili.

[etr]

Usare l'adsl però è limitativo.....la famiglia di 4 persone ? Devo mandare al provider i documenti di tutti....

[Uno]

Usare l'adsl però è limitativo.....la famiglia di 4 persone ? Devo mandare al provider i documenti di tutti....

Ma no, con lo stesso ID ti crei quanti utenti di dominio vuoi.
Poi sta al proprietario dell'adsl tenere sotto controllo che un figlio (per esempio) non faccia cretinate.

Certo se fosse possibile creare una cosa indipendente... ma non mi viene in mente nulla. L'sms potrebbe garantire fino ad un certo punto (e bisognerebbe farlo pagare o recuperarlo con pubblicità e sponsor) basta usare una scheda non registrata (non che si trovi agli angoli delle strade, ma si trovano da quel che dicono).
La posta uguale non identifica con certezza... almeno non mi viene in mente un modo.

Ceccus dove sta? Lo so che a lui piacciono queste cose

[etr]

Avere un certificato ad abbonamento non è molto fattibile...sto pensando banalmente alla casa condivisa da 3 studenti universitari che si smezzano l'adsl....chi dei 3 si prende la responsabilità per gli altri ?

[Antonio]

Per me vi state facendo troppi film lontani dalla realtà

La cosa IMHO sarà effettivamente fattibile e semplice da applicare quando ci sarà la carta d'identità internazionale: una card elettronica con token univoco per ogni persona rilasciato ogni 5/10 anni dal comune ed architettura simile a quella attualmente usata per i dns.

Fine dei problemi di autenticazione

[Uno]

Per me vi state facendo troppi film lontani dalla realtà

La cosa IMHO sarà effettivamente fattibile e semplice da applicare quando ci sarà la carta d'identità internazionale: una card elettronica con token univoco per ogni persona rilasciato ogni 5/10 anni dal comune ed architettura simile a quella attualmente usata per i dns.

Fine dei problemi di autenticazione

Con te non ci parlo più



Io sto ancora con la carta d'identità a libretto, chissà quando la faranno, però effettivamente se la fanno....