Il concetto di trust

Quando si parla del concetto di trust tale definizione viene applicata ai modelli di cooperazione, al ruolo del trust, al modello per la rappresentazione di relazioni di fiducia tra entità , al modello orientato alle risorse, alla responsabilità, alle proprietà formali del modello, alla transitività ed infine ai i concetti di delega e di mansione. Il punto fondamentale nel momento in cui vogliamo trattare il problema della sicurezza è questo: che cosa ci rimane in termini matematici e formali del fatto che un social network modella delle strutture organizzative gerarchiche, non gerarchiche e ibride?. La risposta a tale quesito ci viene data dal concetto di trust usato per modellare una transazione in una virtual organization. Questo diventa uno schema molto efficace per valutare un piano di sicurezza.

In particolare studieremo il concetto di responsabilità applicato al concetto di trust e faremo vedere cos’è il concetto di delega e di mansione, tipica concetto di un organizzazione fortemente gerarchica. Il trust è’ qualcosa che si può catturare parlandone piuttosto che una definizione formale. Perché quando parliamo di VO abbiamo ambienti fortemente strutturati.

Il Trust è una relazione tra un trustor, il soggetto che pone la fiducia, e un trustee, l’entità su cui si pone la fiducia. Su tale concetto sono state elaborate molte definizioni per cui  una sola risulta insufficiente per esprimere esaustivamente il concetto. Secondo Ring e Van de Ven è  “fiducia che un’altra organizzazione si comporti secondo le aspettative, dimostrandosi affidabile”, per Hart e Saunders è “fiducia basata su rapporti di lealt`a e senso di reciprocità”, per Christianson e Harbinson è  “la ferma credenza nella capacità di un’entità di comportarsi in modo affidabile, sicuro e attendibile all’interno di uno specifico contesto” ed infine per Gambetta è una “.probabilità soggettiva con cui un agente compie una determinata azione”. Il trust nei modelli di cooperazione è

un concetto difficile da definire, perchè dipende da molti fattori: ambiente strutturato ed eterogeneo, ambiente dinamico, vincoli, pressioni, requisiti. In letteratura non esiste un consenso unanime su un’unica definizione in quanto la sua importanza `e cresciuta con la diffusione dei sistemi informativi su rete. Si ha un forte interesse in ambito economico a trasferire i modelli di mantenimento del trust in una VO ed un contatto quotidiano, diretto o indiretto, con il concetto di trust che diventa una componente fondamentale in ogni transazione economica su rete. A titolo di esempio un acquisto di un bene presso un negozio nel quale si effettua una manifestazione di fiducia nel prediligere prodotti di marca (preferenza legata all’esperienza avuta precedentemente con prodotti della stessa marca, pubblicità, etc), preferenza nei confronti di un rivenditore (reputazione di competenza e/o onestà), pagamento con carta di credito, fiducia verso il venditore che mantenga la privacy sul numero di carta e sui dettagli dell’acquisto e  fiducia del venditore nei confronti del cliente (e del sistema) che garantisca un regolare pagamento.

Quando parliamo del concetto di trust, ogni sua componente gestisce un ruolo diverso e comporta il fatto che applicare uno stesso parametro è qualcosa di veramente difficile (la fiducia). Ad es. immaginate un criminale che vende droga per cui un soggetto acquisto droga da lui ed effettuato transazione cioè ho fiducia in lui, in quanto lui possiede l’eroina ed è una persona “onesta” in senso lato. D’altro canto la sua importanza è cresciuta con la diffusione dei sistema di sicurezza su rete. Quello che succede il concetto di trust è sempre più importante in ambiti economici nel contesto delle VO. Ad es il modello di e-bay è un esempio tipico nella quale una transazione viene accreditata. Noi interagiamo sempre con questo modello di fiducia basato su dei parametri impliciti che sono la pubblicità, il passaparola, etc. Ad es vado in un negozio e mi aspetto di trovare dei prodotti di qualità. Alle volte io mi fido del venditore quando effettua una transazione con carta di credito in un negozio. Ad es la VISA scopre che un negozio non è affidabile allora gli toglie l’abilitazione ed il POS. Che ruolo vogliamo dare a questo discorso? Tutto questo comporta che io definisco le parti tra di loro sottostanti. Ovviamente in certi casi i media funzionano bene mentre nelle VO le relazioni vengono generate dinamicamente ed è difficile capirle con le tecnologie complesse. Nel modello sociale network a priori due persone non si conoscono e solo dopo inizieranno a cooperare tra di loro. Un relazione di fiducia si basa sull’osservare, prendere nota dell’esistenza di una certa entità. Ciò comporta che l’osservazione non significa condivisone di risorse, non comporta rischi, non comporta fiducia ma non mette gioco le risorse reali nel processo di cooperazione ed attraverso questo approfondimento può crescere la fiducia tra i soggetti. Già questa osservazione che il concetto di osservabilità è un concetto che deve corrispondere a certi requisiti, non richiede un atto di fiducia. Ciò non accade spesso ad esempio nel caso dello spamming della posta elettronica.

Passiamo ora ad esaminare il ruolo. Si evidenziano dei problemi  legati a quali entità rendere sicure oppure a quali tecniche adottare e come implementarle. La ricerca in sicurezza informatica `e tradizionalmente orientata verso il posizionamento della sicurezza e il metodo per propagarla. Gli algoritmi crittografici e i protocolli vengono considerati semplicemente il mezzo attraverso il quale trasferire il trust dal punto in cui `e presente a quello in cui `e necessario. I metodi di sicurezza tradizionali (SSL, ACL, ecc) sono efficaci, ma difficili da applicare in contesti complessi e dinamici come le VO.

L’osservazione `e il primo passo verso la formazione di una relazione di fiducia. Per osservazione ci riferiamo sia al grado di rischio che quello di fiducia. Ad esempio al crescere della fiducia, cresce anche la disponibilità nel mostrare i propri dati personali. Spesso non succede, come nel caso del fenomeno dello spamming della posta elettronica (la cosiddetta posta spazzatura). Le tecnologie sono formali per natura per cui quando descriviamo una VO definiamo un modello formale. A tale proposito assume un rilevanza fondamentale il concetto di contesto che è individuato da un insieme delle entità coinvolte nel processo cooperativo, dal tipo di cooperation agreement che le entità sono interessate a stipulare e dal modello di interazione attraverso il quale i soggetti decidono il grado di fiducia da assegnare alle altre entità in base all’obiettivo

Nelle organizzazioni gerarchiche si verificano delle relazioni di fiducia predefinite tra livelli gerarchici differenti (verticale), delle relazioni stabili che non cambiano dinamicamente ed infine delle relazioni non predefinite tra entità dello stesso livello gerarchico (orizzontale): il cosiddetto concetto di delega che vedremo successivamente.

Invece nelle organizzazioni non gerarchiche si hanno delle relazioni di fiducia non definite a priori, la  formazione dei rapporti di fiducia durante l’interazione tra le entità e non c’è distinzione tra livelli orizzontali e verticali

 

In questo modello sono presenti un insieme di entità (persone, aziende, sistemi sw, agenti informatici, ecc) che condividono un obiettivo O che può dar luogo a un processo cooperativo P. Il processo `e l’insieme di attività svolte dall’entità in un determinato contesto. Nel contesto C = (O + P) a un’entità `e possibile associare un insieme di risorse da condividere durante il processo cooperativo. La risorsa non intesa solo come risorsa hardware, ma genericamente come informazioni, database, processi informatici, ecc mentre la condivisione di tali risorse presuppone un grado di fiducia tra le entità. Diamo un primo livello di definizione formale del modello usato per rappresentare le relazioni di fiducia tra entità dove U, `e l’insieme universo delle entità, C, `e il contesto determinato dall’obiettivo O e dal processo cooperativo P,  che potenzialmente `e partecipe al processo cooperativo P con obiettivo O} mentre `e una funzione che esprime il livello di fiducia un’entità ei (il trustor ) ha nei confronti dell’entità ej (il trustee). Le entità vengono rappresentate come nodi di un grafo, la relazione di fiducia come un arco orientato dal trustor verso il trustee e il grado di affidabilità come un intero positivo (assumiamo tra 1 e 10) riportato come etichetta dell’arco. Si veda la seguente figura:

Tale figura mostra un esempio di relazione di fiducia tra entità dove l’etichetta dell’arco indica il grado di tale relazione.

 

Diamo una definizione formale del modello usato rappresentare le relazioni di fiducia tra entità dove E _ U, E = {e 2 U | e che potenzialmente `e partecipe al processo cooperativo P, R = {r1, r2, . . . , rm}, insieme di risorse, rt : E × R 7! N+, è una funzione parziale che associa ad ogni risorsa di un’entità un intero positivo che indica il livello di trust necessario affinchè tale risorsa possa essere condivisa, r : E 7! Sr , `e una funzione che associa ad ogni entità un insieme di risorse, t : E × E 7! N+, `e una funzione che esprime il livello di fiducia un’entità ei (il trustor ) ha nei confronti dell’entità ej (il trustee).

Nel modello orientato alle risorse il lemma:del teorema cosi viene enunciato: un’entità u può affidare una risorsa r ad un’altra entità v se e solo se alla risorsa r `e associato un livello di fiducia minore o uguale al grado di fiducia riportato sull’arco che unisce u con v risorsa livello di trust

 

 

In questa tabella ad ogni risorsa è associato un livello di fiducia necessario per la sua condivisione

In questa figura viene fatta un’applicazione del modello di trust che prende in considerazione il livello di fiducia affinché ogni risorsa possa essere condivisa. Passiamo ora a descrivere la Figura precedente:

a) u possiede le risorse r1, r2 e r3 che `e disposta a condividere ad un’altra entità a cui dà fiducia, rispettivamente, almeno 2, 3 e 4;

b)  v possiede le risorse r16, r17 e r18 a cui `e associato un livello di fiducia pari a 2, 3 e 8;

z possiede la sola risorsa r21 che `e disposta a condividere con un’altra entità di cui si fida almeno 2.

Nel grafo sono presenti due archi:

il primo unisce l’entità u con v e ha un’etichetta con riportato il valore 5, il che conferma che l’entità u si fida di v con un grado di fiducia pari a 5;

il secondo arco si riferisce al livello di fiducia, pari a 3, che l’entità v ha nei confronti di z.

Potenzialmente l’entità u può condividere ogni sua risorsa a v perchè a tali risorse è associato un livello di fiducia minore o uguale al grado di fiducia riportato sull’arco che unisce le due entità. Facendo lo stesso ragionamento, l’entità v può condividere con z (in quanto esiste l’arco (v, z)) le risorse in suo possesso e quelle ereditate da u.  In particolare, le risorse r3 e r18 non possono essere condivise perchè il loro grado di fiducia è maggiore della fiducia che v ha nei confronti di z (rispettivamente 4 > 3 e 8 > 3)

 

Dopo aver analizzato il modello formale passiamo ad introdurre il concetto di contesto. Il contesto è un insieme di entità che hanno un obiettivo comune, un cooperation agreement (accordo di cooperazione) ed ovviamente un modello di interazione attraverso il quale questi soggetti assegnano un livello di fiducia. Le relazioni sono stabili e non esistono relazioni predefinite. In un organizzazione 1 a N abbiamo un capo con degli impiegati. Il livello di fiducia è questo. Supponiamo che gli impiegati utilizzano dei protocolli di ingresso e di uscita per lo scambio dei documenti perché chi comanda ha un potere e questo potere viene governato in modo corretto. In un organizzazione gerarchica il concetto di trust è soltanto un concetto di tipo verticale. Nelle non gerarchiche io ho le relazioni di fiducia non definite a priori e non c’è un concetto orizzontale e verticale. Le organizzazioni reali sono un mix di tale concetti. Il modello è un insieme di entità che condividono un obiettivo che può dare vita ad modello cooperativo.. La risorsa è tutto ciò che metto in gioco (hardware, software, informazioni). La condivisione di queste risorse presuppone un grado di fiducia. C’è una relazione di trust. Queste entità nascono nell’universo ed a un certo punto queste elementi interagiscono tra di loro ed entrano in contatto per il raggiungimento di un obiettivo cioè ad esempio effettuare un atto di compravendita. Il processo cooperativo è ciò che realizza questa cosa. Dato questo insieme che è classificato in certo contesto, allora un’entità sarà in grado di esprimere un numero, un livello di fiducia verso un certo soggetto. Io per poter esprimere un certo livello di fiducia io ho necessità di sapere chi sei e cosa voglio io da te. Questo lo possiamo esprimere con degli archi e sono in grado di esprimere un livello di fiducia che è rappresentato da un numero. A questo punto possiamo definire in modo più preciso, possiamo dire che nel nostro modello abbiamo un insieme di risorse determinate dal processo cooperativo. Nella realtà questo insieme di risorse è in possesso delle entità di cui stiamo parlando, non l’insieme di tutte le entità. Ogni entità assegna un livello di fiducia a queste risorse. Devo avere un certo livello di trust nei confronti di quella persona. Il livello di fiducia è fortemente soggettivo. Viene effettuata dapprima una verifica sperimentale Il primo passaggio di scelta formale sembra funzionare in quanto il livello di trust è reale. Infatti un soggetto al quale viene assegnato ad un’altra entità anche questo è un numero che io esprimo mediante strumenti matematici. Facciamo un esempio pratico e-bay. A vende, B compra. Allora A è disponibile a condividere per un valore da 1 a 100 euro. Come fa A a capire che l’atto di vendita andrà a buon fine? E- bay funziona proprio cosi. Una conseguenza è cosa vuol dire allora il fatto che io assegno la mia risorsa ad esempio a C? Vuol dire che io mi fido.

Il modello appena proposto offre lo spunto per evidenziare un concetto molto importante: la responsabilità. Quando un’entità condivide una risorsa con un’altra, le affida intrinsecamente la responsabilità che la risorsa venga utilizzata propriamente. Riprendendo l’esempio precedente, se v volesse condividere con z la risorsa r2 ereditata da u, v dovrebbe avere la responsabilità di condividere a sua volta la risorsa con un’entità di cui si fida, rispettando il livello di fiducia richiesto dalla risorsa ed infine avere fiducia nella gestione responsabile della risorsa. Un esempio di responsabilità ci viene dato dal subappalto.

L’osservazione permette la formazione del grafo di contesto. Il grafo di contesto rappresenta tutte le potenziali interazioni tra entità. Infatti un processo cooperativo `e rappresentato solo da una parte del grafo di contesto. Una VO `e l’inviluppo dei grafi di contesto, dove nel caso di VO gerarchiche l’osservazione `e in qualche modo “prefissata” e nel caso di VO non gerarchiche l’osservazione ha un ruolo fondamentale nella definizione del grafo di contesto (e quindi delle relazioni di fiducia).

In letteratura la questione `e ampiamente trattata, ma non c’è una linea di pensiero ben marcata. Nella figura seguente viene posto il seguente quesito: esiste un’implicazione transitiva per il trust?

 

Un esempio ci viene fornito dalla presentazione di una persona attraverso un amico nella quale si verifica una relazione di amicizia che è congruente da un punto di vista matematico ad un relazione di fiducia. Inoltre il momento in cui B presenta C ad A è l’istante in cui A viene a conoscenza dell’esistenza di C attraverso un’osservazione reciproca per cui si verifica una predisposizione per una (eventuale) relazione di amicizia, ma non fiducia immediata ed una conoscenza intesa come amicizia (fiducia). Altro esempio ci viene fornito dal motore di ricerca Google definito come hub per la conoscenza di informazioni nel quale si genera una relazione di affidabilità che coincide con una relazione di fiducia. Infatti nel cercare qualcosa su Google si stabilisce inconsciamente una relazione di fiducia col motore di ricerca data dalla popolarità e dalle esperienze precedenti (A si fida di B): si verifica il cosiddetto ordine d’osservazione. Inoltre Google, fornendo i risultati della ricerca, ci permette di conoscere le fonti in cui trovare (secondo Google) le informazioni richieste (B si fida di C1, C2, . . . , Cn). Infine la fiducia che nutriamo nei confronti di Google non si trasmette transitivamente verso le informazioni contenute nei risultati per cui si genera  conoscenza intesa come fiducia.

Il concetto di transitività è un concetto dinamico ed ha senso solo in questo modello, cioè A si fida di C e C si fida di B, qui il concetto di trust è molto stretto. Qui è chiaro e che so se A affida a B una sua risorsa in modo corretto, B correttamente si fiderà correttamente ad assegnare un a sua risorsa ad un soggetto terzo. Così facendo abbiamo modellato una VO in senso lato perché un VO in un certo contesto C1 è un insieme di entità che condividono le risorse che hanno dei livelli di trust con differenti tipologie. Questa è una VO determinata da un grafo di contesto, nel quale esistono degli archi e questo grafo di contesto sarà gerarchico, non gerarchico, ibrido. Notare che un’istanza del processo cooperativo che porta a realizzare un obiettivo è un percorso e basta, è un sottoinsieme dei grafi che appartengono ad un sottoinsieme di entità. Questo modello ci contestualizza una situazione reale (ad esempio un lan o rete locale ). Un esempio di trust transitivo ci viene dato dalle PKI e dall’utilizzo di un pc in quanto il pc è un luogo di conflitti del modello di trust perchè il software che si installa può generare dei contrasti. Tali contrasti si verificano perchè in realtà ci siamo fidati di Microsoft come produttore di software di base. Oggi il mondo funziona attraverso google che è un applicazione pratica di questo modello. Prima osservo e poi decido. Questo è il modello che noi seguiamo.

 

Se volessimo ora fare un riepilogo della proprietà potremmo dire:

a) il trust non `e una proprietà oggettiva, ma soggettiva;

b) “non `e una proprietà di sistema, ma il risultato di una valutazione nei confronti di un’organizzazione”, (secondo Denning);

c) il trust dipende dal contesto;

d) esistono differenti livelli di trust;

e) il trust non `e simmetrico;

f) il trust non `e transitivo;

g) il trust non `e una relazione assoluta (contesto);

h) il trust `e dinamico e non monotono;

i) le risorse possono essere trasmesse transitivamente.

 

Analizziamo il concetto di delega. Spesso si dice che la delega è un esempio di transitività (esempio del notaio). Ciò è falso, le persone delegano al notaio solo l’esercizio delle funzioni. Tale concetto è molto trattato in letteratura, ma spesso confuso con la transitività del trust che viene inteso come figura garante tra le parti Un esempio ci viene fornito dalla figura del notaio. Le parti che si rivolgono ad esso non hanno un legame di trust tra loro, ma “delegano” la propria fiducia nel notaio in quanto istituzione. In tal modo, il notaio si assume la responsabilità, certificando in prima persona di fronte all’autorità ogni eventuale disaccordo o truffa fra le parti.

In tale figura i soggetti A e B si fidano del notaio (gli archi orientati verso il notaio) a cui delegano il compito di garante per le operazioni che le due entità stanno per compiere. L’arco tratteggiato che unisce A e B sta a significare che le due entità si fidano della terza parte e che quindi grazie alla fiducia che hanno verso il notaio, sono propensi a concludere la trattativa tra loro. Un esempio ci viene dato da PayPal, lo strumento di pagamento tramite il quale `e possibile effettuare transazioni su eBay, `e un esempio di delega come garante tra le parti. Le parti coinvolte nella transazione economica si fidano del sistema PayPal e la fiducia del compratore verso PayPal si traduce nella fiducia di inserire i dati della carta di credito in un sistema “sicuro”, senza intercettazioni o altro. Inoltre la fiducia del venditore nei confronti di PayPal è la garanzia che il bene venga pagato regolarmente. Non si ha nessuna garanzia, ma una forma di assicurazione mentre le truffe possono comunque verificarsi.

Passiamo ora infine a definire il concetto di mansione. Un esempio ci viene fornito da un generale di un esercito che affida la mansione di dirigere una missione al capitano di un plotone di soldati. Il capitano incarica a sua volta i soldati di portare a termine la mansione. Nella seguente figura: che definisce l’assegnazione di una mansione che  non comporta un passaggio di fiducia, si verifica il passaggio di compiti tra un superiore e un suo sottoposto, non si hanno delega di responsabilità, ma passaggio di incarichi, di mansioni, si verifica l’assegnazione di mansione ; passaggio di fiducia ed infine si ha conferma della non transitività del trust. Altro esempio ci viene fornito dal subappalto, il quale esprime un legame di fiducia tra committente e appaltatore e tra appaltatore e la terza parte, ma non esiste un legame diretto tra committente e terza parte.