L’ultima novità di Mountain View in salsa cloud si chiama Cloud Key Management Service (CKMS), un servizio completo per la gestione di chiavi crittografiche simmetriche da usare sui vari componenti della Google Cloud Platform. Un modo per semplificare il compito ai clienti, ma anche una possibilità di violazione della sicurezza delle comunicazioni che apre scenari orwelliani anche dopo tutto quello che è emerso dallo scandalo Datagate.
Cloud KMS offre una “root of trust” che è possibile monitorare e gestire in autonomia, ha spiegato la corporation sul post di presentazione del servizio , un’alternativa ai sistemi personalizzati o ad-hoc per la gestione delle chiavi crittografiche dove il mantenimento e l’adattamento alle dimensioni crescenti del business potrebbero non essere altrettanto “semplificati”.
CKMS migliora l’offerta di cifratura personalizzata delle chiavi fornite direttamente dall’utente (CSEK), un meccanismo di messa in sicurezza delle comunicazioni telematiche che la piattaforma di Google già include dal giugno 2015 in ritardo sulla concorrenza di Amazon AWS (2014) e Microsoft Azure (2015). Con CKMS è possibile generare, usare, rotare e distruggere un paio di chiavi AES-256 da usare per siti Web e servizi telematici, mentre per l’utilizzo concreto Google fornisce una REST API utilizzabile dai clienti per la codifica e la decodifica dei dati o delle comunicazioni di utenti e visitatori.
Mountain View garantisce sulla sicurezza dell’implementazione dell’algoritmo AES (tramite la libreria BoringSSL ) e la velocità delle operazioni di codifica/decodifica, ma quel che Google non può garantire in nessuno modo è la riservatezza assoluta delle chiavi propriamente dette: un ordine dell’FBI o del governo statunitense e la corporation si vedrebbe costretta a consegnare le chiavi alle autorità .
Alfonso Maruccia