Estas aquiContenido / Polémica funcionalidad "no bien documentada" en PGP WDE
Polémica funcionalidad "no bien documentada" en PGP WDE
Slashdot se hace eco de una interesante nota en Securology, a propósito de una funcionalidad polémica y prácticamente desconocida que incorpora el software PGP Whole Disk Encryption, una utilidad para el cifrado completo de discos.
Se trata de una opción que, en caso de ser establecida (y no lo está por defecto), permite arrancar desde un disco cifrado saltándose la habitual petición de contraseña y permitiendo acceder al disco en claro. Al parecer, esta opción ha sido implementada a petición de "ciertos clientes" y existe "algo similar" en todos los productos de la competencia, en palabras de Jon Callas, director técnico de PGP Corporation...
Algunas han querido ver en esta funcionalidad una auténtica puerta trasera. Si bien no parece ser ése el caso (puesto que para activarla se ha de utilizar la propia contraseña), tampoco tranquiliza demasiado la poca transparencia con que el fabricante ha tratado el tema, que hace inevitable considerar la posibilidad de que aún puedan existir quién sabe qué otras funcionalidades más o menos dudosas, introducidas a petición de quién sabe quién.
Además, esta funcionalidad sin duda podría introducir un riesgo de seguridad adicional frente a un posible troyano pensado para explotarla.
- PGP Whole Disk Encryption - Barely Acknowledged Intentional Backdoor [Artículo original en Securology].
- Explicación de Jon Callas, CTO de PGP Corp. [Securology].
- Undocumented Bypass in PGP Whole Disk Encryption [Slashdot].
Si los clientes tienen dudas sobre la profesionalidad de los desarrolladores, no tienen más que revisar el codigo fuente :)
Porque... me imagino que nadie en su sano juicio basaría su seguridad en un programa que no puede auditar ¿no?
Saludos!
Siguendo ese razonamiento se puede demostrar que en realidad PGP es un software alienigena para espiar a los humanos
Cifrado de confianza y código propietario son términos opuestos.