09×2024:Podcast: Europee: Mosca e l’operazione Overload https://blog.quintarelli.it/2024/06/09x2024podcast-europee-mosca-e-loperazione-overload/
il confidential computing non protegge dal fornitore o da chi può imporgli di accedere al dato durante l'elaborazione (in chiaro) da parte della cpu.
E se può essere costruita, può essere emulata da qualsiasu UTM.
Quindi fino alla crittografia omomorfica ol confidential computing non mitiga in alcun modo i problemi di protezione dei dati elaborati negli USA.
se hai accesso all'hardware che elabora un dato in chiaro (come il fornitore) le uniche cose che ti impediscono di leggerlo sono la tua volontà e le tue competenze.
Ma se non hai le competenze per accedere ad un dato cui il tuo hardware accede in chiaro, non hai nemmeno le competenze per proteggerlo.
Se hai tali competenze rimane la tua volontà di non accedervi.
Quindi il #ConfidentialComputing è tutto e solo questione di fiducia nel fornitore: che farà quando Giudice gli ingiunge di accedervi? Si farà arrestare per rispettare il contratto?
Temo di no.
Quindi la "mitigazione" è tale solo nei confronti di chi non vuole comunque accedere ai tuoi dati e fintanto che non vi vuole accedere.
Il threat model in cui è rilevante è l'accesso **accidentale** di un dipendente del fornitore di cui riduce effettivamente il rischio.
@Shamar non sono d'accordo
non lo esclude ma lo mitiga, e molto.