Μαθήματα εξ αποστάσεως...

[Landau]

Προσθέτωντας στα επιχειρήματα του gf, να πω και το εξής: όταν πρόκειται για επίσημη διαδικασία εντός του δημόσιου συστήματος εκπαίδευσης, οι πλατφόρμες, οι διαδικασίες κλπ πρέπει να είναι ενιαίες και κεντρικές. Δεν μπορεί ο καθένας να κάνει το δικό του.. πρέπει να υπάρχει κεντρική διαχείριση όλων αυτών. Φυσικά, θα πρέπει το υπουργείο να εξασφαλίσει και την ασφάλεια των δεδομένων, αλλά αυτό δεν αναιρεί τα προηγούμενα.

[PDE ads]

[angarato_surion]

ασε που αν γινει κατι μετα δεδομενα μπροει να τρεχεις στα δικαστηρια ...

[erisec]

ασε που αν γινει κατι μετα δεδομενα μπροει να τρεχεις στα δικαστηρια ...

Και τι θα σου κάνουν τα δικαστήρια;
Αν τα δεδομένα είναι καλά κρυπτογραφημένα, ούτε καν να τα δουν δεν θα μπορούν, για να είναι σε θέση να σε κατηγορήσουν μετά.

[erisec]

όταν πρόκειται για επίσημη διαδικασία εντός του δημόσιου συστήματος εκπαίδευσης, οι πλατφόρμες, οι διαδικασίες κλπ πρέπει να είναι ενιαίες και κεντρικές. Δεν μπορεί ο καθένας να κάνει το δικό του.. πρέπει να υπάρχει κεντρική διαχείριση όλων αυτών.

Κεντρικές θα πρέπει να είναι οι προτεινόμενες λύσεις, δηλαδή τα προτεινόμενα προγράμματα και λειτουργικά υπολογιστών που μπορούν να χρησιμοποιηθούν και παρέχουν ασφάλεια και ικανοποιητικές υπηρεσίες/επιδόσεις.

Η υλοποίηση της λύσης όμως πρέπει να είναι αποκεντρωμένη, τόσο για λόγους ασφάλειας όσο και για λόγους αποσυμφόρησης των πόρων του δικτύου.

[PDE ads]

[gf]

Και τι θα σου κάνουν τα δικαστήρια;
Αν τα δεδομένα είναι καλά κρυπτογραφημένα, ούτε καν να τα δουν δεν θα μπορούν, για να είναι σε θέση να σε κατηγορήσουν μετά.

Εκτός αν ο εισβολέας αποκτήσει πρόσβαση διαχειριστή και τα βλέπει χωρίς την κρυπτογράφηση.
Μετά αν αρχίσουν να έρχονται στα mail των παιδιών διαφημίσεις viagra πχ, ποιος θα τρέχει;

[pa.liatsos]

να ρωτήσω κάτι:
 τα τηλεμαθήματα στο webex είναι υποχρεωτικά;
υπάρχει εγκύκλιος;
αν δλδ κάποιος κάνει e class e me δεν πιάνεται;
 

[erisec]

Εκτός αν ο εισβολέας αποκτήσει πρόσβαση διαχειριστή και τα βλέπει χωρίς την κρυπτογράφηση.
Μετά αν αρχίσουν να έρχονται στα mail των παιδιών διαφημίσεις viagra πχ, ποιος θα τρέχει;

Αυτό σου εξηγώ.
Αν υπάρχει end2end κρυπτογράφηση, ο εισβολέας , ακόμα και πρόσβαση διαχειριστή να έχει, δεν μπορεί να δει τίποτα και δεν μπορεί να κάνει τίποτα παραπάνω εκτός από το να διακόψει την υπηρεσία.

[erisec]

να ρωτήσω κάτι:
 τα τηλεμαθήματα στο webex είναι υποχρεωτικά;
υπάρχει εγκύκλιος;

Όχι δεν υπάρχει εγκύκλιος. Κάποιοι από το υπουργείο ψελλίζουν ότι είναι υποχρεωτικά, αλλά θάρρος να δώσουν μια τέτοια εντολή και να βάλουν την υπογραφή τους από κάτω δεν έχουν.

[gf]

Αυτό σου εξηγώ.
Αν υπάρχει end2end κρυπτογράφηση, ο εισβολέας , ακόμα και πρόσβαση διαχειριστή να έχει, δεν μπορεί να δει τίποτα και δεν μπορεί να κάνει τίποτα παραπάνω εκτός από το να διακόψει την υπηρεσία.

Εννοώ ότι ο εισβολέας θα μπορεί να κάνει χρήση της πλατφόρμας ως να ήταν ο εκπαιδευτικός. (για πρόσβαση διαχειριστή της πλατφόρμας εννοώ, όχι του server).
Από εκεί βλέπει τα πάντα.

[erisec]

Εννοώ ότι ο εισβολέας θα μπορεί να κάνει χρήση της πλατφόρμας ως να ήταν ο εκπαιδευτικός. (για πρόσβαση διαχειριστή της πλατφόρμας εννοώ, όχι του server).
Από εκεί βλέπει τα πάντα.

Όχι, αν έχουμε end2end κρυπτογράφηση δεν μπορεί ο εισβολέας να κάνει χρήση της πλατφόρμας ως εκπαιδευτικός, σε περίπτωση που καταφέρει να πάρει πρόσβαση στον σερβερ ή καταφέρει να γίνει διαχειριστής της πλατφόρμας.
Πρέπει να πάρει πρόσβαση στον προσωπικό υπολογιστή του εκπαιδευτικού.  Ο οποίος υπολογιστής φυσικά δεν είναι ούτε άμεσα ορατός στο ίντερνετ, ούτε ανοιχτός και διαθέσιμος 24/7.
Τέλος αν ο εκπαιδευτικός έχει φροντίσει να χρησιμοποιεί token όταν συνδέεται στον προσωπικό υπολογιστή του, ακόμα και πρόσβαση να πάρει ο εισβολέας στον προσωπικό υπολογιστή του εκπαιδευτικού, ούτε να εμφανιστεί στο ίντερνετ ως εκπαιδευτικός μπορεί , ούτε μπορεί να δει όσα ο εκπαιδευτικός έχει φροντίσει να κρυπτογραφήσει.

Για ψηφιακές υπογραφές έχεις ακούσει;
Να τονίσουμε σε αυτό το σημείο ότι ψηφιακές υπογραφές δεν μοιράζει μόνο το υπουργείο. Μπορούν να μοιράζoυν ψηφιακές υπογραφές μεταξύ τους και διάφορες κοινότητες που αποτελούνται από άτομα που εμπιστεύονται ο ένας τον άλλο. Είναι τα λεγόμενα cryptoparties. Θα μπορούσε για παράδειγμα ένας εκπαιδευτικός να κάνει ένα cryptoparty με τους μαθητές του.

[gf]

Το τι έχει ακούσει ο καθένας, δεν είναι το θέμα της συζήτησης, το θέμα είναι αν είναι πρόσφορη λύση για το μέσο εκπαιδευτικό αυτή που προτάθηκε.
Να πω μόνο ακόμη ότι δεν αναφέρομαι σε σύγχρονη πλατφόρμα τύπου instant messaging/ conference, αλλά σε ασύγχρονες. Ποιες συγκεκριμένες έχεις υπόψη σου που να υποστηρίζουν end2end;

Θα με ενδιέφερε γενικότερα η υλοποίηση που τρέχεις στους servers σου αν και νομίζω ότι βγαίνουμε off topic.

[erisec]

Να πω μόνο ακόμη ότι δεν αναφέρομαι σε σύγχρονη πλατφόρμα τύπου instant messaging/ conference, αλλά σε ασύγχρονες. Ποιες συγκεκριμένες έχεις υπόψη σου που να υποστηρίζουν end2end;

https://about.riot.im/

Tο χρησιμοποιεί ο γαλλικός δημόσιος τομέας.

https://youtu.be/C2eE7rCUKlE?t=2626

Όπως κάθε αξιόλογο opensource πρόγραμμα, το riot.im είναι σχετικά αργό αυτή την στιγμή, γιατί πολύς κόσμος το χρησιμοποιεί αλλά λίγοι στήνουν τους δικούς τους δημόσιας χρήσης riot και matrix servers.

Σαν το eclass ένα πράγμα, από το οποίο όλοι παθητικά περιμένουμε να εξυπηρετηθούμε μέσω των κεντρικών κρατικών eclass σέρβερς, αλλά ελάχιστοι από εμάς στήνουν έναν δικό τους ιδιωτικής χρήσης eclass σερβερ και ακόμα ελαχιστότεροι στήνουν έναν δημόσιας χρήσης eclass και τον προσφέρουν ώστε να εξυπηρετήσει την εκπαιδευτική κοινότητα. Σε αυτή ακριβώς την αδράνεια -τεμπελιά μας βασίζονται οι ιδιωτικές εταιρίες και καταφέρνουν να αποσπούν το (δημόσιο ή ιδιωτικό) χρήμα μας, καθώς και τα προσωπικά δεδομένα μας.

[gf]

Ευχαριστώ, αν δεν έκανα λάθος σε μια γρήγορη ματιά προσδιορίζεται σαν messaging/colaboration εφαρμογή. Κάτι σαν το eclass ή το moodle υπάρχει με end2end encryption;
Αλλιώς το επιχείρημα αυτό δεν καλύπτει την ασύγχρονη.

[erisec]

Ευχαριστώ, αν δεν έκανα λάθος σε μια γρήγορη ματιά προσδιορίζεται σαν messaging/colaboration εφαρμογή. Κάτι σαν το eclass ή το moodle υπάρχει με end2end encryption;
Αλλιώς το επιχείρημα αυτό δεν καλύπτει την ασύγχρονη.

Το riot.im είναι σαν το eclass ή το moodle. Απλά πρέπει να το παραμετροποιήσεις. Προσφέρει και δυνατότητες να συνδεθεί με άλλα προγράμματα. Μπορείς π.χ. να συνδέσεις το ασύγχρονο riot.im και με σύγχρονη τηλεκπαίδευση π.x. με το Jitsi (μέσω του jitsi-videobridge που υποστηρίζει XMPP).

https://youtu.be/C2eE7rCUKlE?t=295