Apple requires clients to be authorized before using #PrivateRelay, but doesn't want to link that authorization to the client's relay activity. That's great! This is what #PrivacyPass enables you to do! More people should do this!

I'm sad that part of that authorization is baked-in geoblocking restrictions, but I'm guessing that was a necessary restriction in order for websites to not block the egress relay IPs (which does occur to #Tor exit nodes).

#RealWorldCrypto

Apple requires clients to be authorized before using #PrivateRelay, but doesn't want to link that authorization to the client's relay activity. That's great! This is what #PrivacyPass enables you to do! More people should do this!

I'm sad that part of that authorization is baked-in geoblocking restrictions, but I'm guessing that was a necessary restriction in order for websites to not block the egress relay IPs (which does occur to #Tor exit nodes).

#RealWorldCrypto

@Mediapart @blast_info @LaQuadrature #France #Porno #PrivacyPass #CNIL

Un chercheur indépendant, déjà impliqué dans l'analyse de sécurité du passe sanitaire, a publié une analyse du protocole proposé par les laboratoires de la CNIL. Cette analyse révèle de multiples risques pour la vie privée des citoyens français, dont la fuite d'information des sites consultés, la fuite d'information de santé auprès de certains tiers certificateurs (banque, service des impôts, etc.) et plusieurs croisements de données permettant d'associer l'identité d'une personne à son activité sur un site pornographique, révélatrice de ses préférences sexuelles.

L'auteur de cette analyse précise que les risques ne sont pas limités aux utilisateurs de sites pornographiques, car les protocoles employés sont extensibles à tout type de critères pour le contrôle d'accès, que ce soit l'âge, le genre, le niveau de revenu, l'état de santé, etc. Les laboratoires de la CNIL mentionnent cette extensibilité sur leur site documentant le protocole.

Cette analyse repose sur la comparaison des propriétés de sécurité du protocole des laboratoires de la CNIL avec celles d'un standard Internet en cours d'élaboration par l'IETF (avec le concours de Google, Apple, Cloudflare, Fastly, LIC, Brave Software, The Tor Project, et Mozilla) et déjà expérimentée par Cloudflare depuis 2017.

https://broken-by-design.fr/posts/proto-authz-porn/

"Des problèmes de vie privée significatifs dans le protocole proposé par les laboratoires de la CNIL pour le contrôle d'accès des sites pornographiques"

#France #Porno #Sécurité #PrivacyPass #CNIL

(cc @Mediapart @blast_info
@LaQuadrature)

Qqn sait où on peut trouver plus d'info sur le protocole en "double anonymat" que le gouv veut déployer en mars pour restreindre l'accès à certains sites, dont les sites porno ?
J'ai vu un schéma et moralement, ça ressemble a du "sous-privacy pass", mais je voudrais bien étudier la spec ou le code.

#cryptography #france #pornography #privacypass #sécurité #security #authz #authn

TIL: there is a IETF WG for privacy pass: https://datatracker.ietf.org/wg/privacypass/documents/

🎉

(I don't necessarily like the Cloudflare usage of Privacy Pass, but it could allow people to distribute "invites" to a fediverse instance without being able to link a code to an individual, for instance! And that would be amazing!)

#PrivacyPass #Security #fediverse