Estas aquiContenido / PGP Corporation se pronuncia sobre "el ataque del frío"
PGP Corporation se pronuncia sobre "el ataque del frío"
Pese a que el trabajo original ni siquiera nombraba producto alguno de PGP Corporation, esta empresa ha considerado conveniente publicar una nota informativa conteniendo algunas consideraciones orientadas a mitigar un posible ataque a su producto para cifrado de disco PGP Whole Disk Encryption (WDE).
Básicamente, PGP Corporation recomienda dos tipos de medidas preventivas. En primer lugar, desmontar las unidades cifradas cuando no se utilicen y configurar PGP WDE para que desmonte las unidades cifradas cuando el portátil entre en suspensión. Además, y en la medida de lo posible, evitar la suspensión en favor de la hibernación, que sí borra las claves en la DRAM.
Etiquetas
Básicamente admiten la vulnerabilidad del producto al ataque y la técnica de desmontar el disco es equivalente a otras medidas de borrado de memoria que ya se comentaron aquí. Es decir, vulnerable si te apagan el PC antes de que puedas utilizarlas.
Es lógico, por otra parte, que quieran poner las cosas en su sitio, ya que que parece que a raiz de este ataque su producto haya perdido toda utilidad cuando no es cierto. De todos es conocido que si el atacante tiene acceso físico a la máquina estás vendido uses lo que uses.
He leido el comunicado de PGP, y comenta detalles interesantes: uno de ellos es que su aplicación _borra_ las claves de la memoria _antes_ de hibernar o apagar el equipo.
No es la panacea, pero sí es un detalle que muestra preocupación por el tema. En cualquier caso, es un punto a favor de la hibernación (SuspendToDisk) frente a la suspensión (SuspendToRAM). Mi experiencia en Linux es que hibernar me funciona sin problemas, pero suspender deja mucho que desear...
Tambien el comunicado indica otra cosa interesante: ante una ataque hardware, sólo valen medidas hardware. PGP sugiere el uso de dispositivos removibles con sistemas de acceso biométricos en los que almacenar la clave ( a ver, alguien que patente un llavero usb con lector de huellas :)
Dentro de poco todos con el llavero usb (en sentido metafórico y real) colgando del cuello... lo cual sugiere el siguiente problema: ¿y si perdemos/nos roban la llave?
Me estoy poniendo excesivamente conspiranoico...