Os chips de criptografia de uma empresa chinesa duvidosa entraram na Marinha dos EUA, na OTAN e na NASA

Por Xerife Tech, 15.06.2023 às 9:30 209

Deeg diz que o Initio corrigiu essas vulnerabilidades. Mas o mais preocupante, diz ele, foi a dificuldade de fazer essa análise do firmware dos dispositivos. O código não tinha documentação pública e Hualan não respondeu aos seus pedidos de mais informações. Deeg diz que a falta de transparência aponta para o quão difícil seria encontrar um backdoor baseado em hardware nos chips, como um componente minúsculo escondido em seu design físico para permitir a descriptografia sub-reptícia.

Ele observa, também, que não há como saber se as vulnerabilidades que encontrou foram acidentais. “É melhor ter um backdoor oculto”, pergunta Deeg, “ou um que seja mais visível, mas que possa ser atribuído à negligência do desenvolvedor?”

Quando a WIRED procurou fabricantes de dispositivos que usam chips Initio, a iStorage, fabricante de discos rígidos criptografados com sede no Reino Unido, disse à WIRED que a arquitetura de seus dispositivos de armazenamento significa que os usuários não precisam confiar na Hualan ou em sua subsidiária Initio porque as chaves privadas usadas para criptografar e descriptografar os dados armazenados neles são gerados e armazenados por um chip separado que vem de um fabricante francês diferente, e o chip Initio nunca armazena essa chave. “Aprecio as preocupações com o uso da tecnologia chinesa, mas estamos muito confiantes de que, embora estejamos usando esses chips, nossos produtos não podem ser hackeados, mesmo por Initio ou Hualan”, disse o CEO da iStorage, John Michael. (Michael também observou que alguns dos produtos iStorage usam um chip vendido pela empresa taiwanesa Phison em vez de Hualan ou Initio, mas não especificou quais produtos.)

Mesmo que um chip controlador de ponte não crie uma chave secreta e não tenha a intenção de armazená-la, ele ainda tem acesso suficiente a ela para permitir um backdoor, diz Matthew Green, professor de ciência da computação com foco em criptografia na Johns Hopkins. Universidade. Afinal, um controlador de ponte executa a criptografia e descriptografia usando essa chave secreta e, portanto, pode extraí-la e armazená-la secretamente ou criptografar furtivamente os dados com sua própria chave diferente. “Se o chip tiver a chave e fizer a criptografia, existe a possibilidade de prevaricação”, diz Green.

A iStorage também transmitiu uma declaração da Initio apontando que a Initio não é especificamente nomeada na lista de entidades do Commerce e argumentando que a inclusão de Hualan na lista não se aplica à Initio. Mas Cary, do Atlantic Council, argumenta – ecoando o comentário de “bandeira vermelha” do porta-voz do Comércio à WIRED – que as subsidiárias integrais de empresas na lista são geralmente consideradas como efetivamente na lista também. “Eu não compro essa linha de argumentação”, diz Cary sobre a alegação de Initio de não ser afetado pela Lista de Entidades, apontando que, caso contrário, as restrições da lista poderiam ser facilmente contornadas por meio do uso de empresas subsidiárias. “Se a empresa que possui você estiver na Lista de Entidades, você está incluído.”

Continua após a publicidade..

A WIRED também entrou em contato com clientes da Hualan e da Initio, incluindo a OTAN, a NASA, a Marinha e o Exército dos EUA, a DEA e a FAA. Dos que responderam, nenhum quis comentar sobre o hardware que compram. Mas as declarações da OTAN, da Marinha dos EUA e do Ministério da Defesa do Reino Unido repetiram que examinam cuidadosamente a segurança da tecnologia que usam. “Temos políticas em vigor para abordar o gerenciamento de riscos da cadeia de suprimentos, bem como padrões de segurança estabelecidos para garantir que todos os produtos e serviços comerciais adquiridos sejam inspecionados quanto a vulnerabilidades de segurança”, dizia um comunicado da Marinha dos EUA, por exemplo. Um porta-voz da FAA disse que a agência cumpre os regulamentos do governo, como a Lei de Autorização de Defesa Nacional, relacionada à compra de hardware, mas não respondeu a perguntas sobre a compra de componentes de empresas na Lista de Entidades do Comércio.

[ad_2]

Comentários 0

    Os mais lidos

    KODI FLIX OMEGA
    Windows 10 Ghost Spectre
    Ads Blocker Image Powered by Code Help Pro

    Adblock Detectado!!!

    Por favor desativar o AdBlock para prosseguir para a página de destino.

    Powered By
    Best Wordpress Adblock Detecting Plugin | CHP Adblock