Sobre la seguridad del Nano

Un registro de vuelo solo vale algo si puedes confiar en que no ha sido alterado, lo cual es aún más importante para los registros y competiciones. El Nano está construido de modo que los datos que produce pueden probarse como auténticos, y la forma en que funciona no puede ser alterada silenciosamente. Dos piezas de criptografía bien establecida hacen el trabajo pesado: el cifrado AES-256 protege el firmware, y una firma digital Ed25519 protege cada registro de vuelo.

El programa que ejecuta el Nano, su firmware, se almacena en el chip cifrado con AES-256, el mismo estándar que los gobiernos y bancos utilizan para proteger información sensible. El Nano solo ejecutará firmware cifrado correctamente, por lo que no es posible cargar un programa modificado u oficial en él, ni leer el firmware de vuelta del chip de ninguna forma utilizable.

Esto importa por dos razones. Protege nuestro trabajo de ser copiado, pero más importante aún para ti protege la clave privada de firma que respalda tus registros de vuelo, que se describe a continuación. Esa clave vive dentro del firmware cifrado, por lo que no puede ser extraída del dispositivo y utilizada para falsificar registros.

AES-256 no es algo que pueda ser forzado por fuerza bruta. Una clave de 256 bits tiene aproximadamente 1,2 seguido de 77 ceros valores posibles, e intentarlos todos está tan lejos de cualquier poder computacional actual o previsible que se trata como imposible. Incluso si cada ordenador del planeta trabajara junto probando miles de millones de claves cada segundo, todavía tomaría vastamente más tiempo que la edad del universo para atravesar una fracción significativa de ellos, y no hay ningún atajo conocido que cambie esto.

Cada registro de vuelo que guarda el Nano está sellado con una firma digital usando Ed25519, un esquema de firma moderno utilizado para asegurar tráfico web, acceso a shell seguro (SSH) y aplicaciones de mensajería como Signal. Funciona en dos pasos.

Primero, una huella digital. SHA-256 lee el registro completo y lo reduce a un único valor de 256 bits. Cambia incluso un carácter en cualquier lugar del archivo y esa huella digital sale completamente diferente. Cualquiera puede calcular esta huella digital; por sí sola simplemente resume los datos.

Segundo, una firma. El Nano firma esa huella digital con una clave privada contenida dentro de su firmware cifrado. Una firma válida solo puede crearse con la clave privada, pero puede ser verificada por cualquiera que tenga la clave pública coincidente. Las dos claves están vinculadas matemáticamente, pero la clave privada no puede deducirse de la pública. Esto es lo que convierte la huella digital en una verdadera firma en lugar de una simple suma de verificación.

En la práctica eso significa:

• Si un registro es editado de alguna manera después de que el Nano lo escribe, su huella digital cambia, la firma ya no coincide, y el registro es rechazado.
• Solo un Nano genuino puede producir una firma válida, porque solo él tiene la clave privada, por lo que un registro alterado o inventado no puede ser firmado para pasar como real.
• Nuestros servidores de Altimeter Cloud solo tienen la clave pública, nunca la privada. Incluso si nuestros servidores fuera comprometidos alguna vez, no habría nada allí que pudiera ser utilizado para falsificar un registro.
• Porque verificar un registro necesita solo la clave pública, un registro puede ser verificado independientemente — un oficial de competición puede confirmar que es genuino sin depender de nosotros.

Los datos firmados son el archivo completo, incluido el número de serie de tu dispositivo y tus etiquetas de competidor y dispositivo, por lo que ninguno de ellos puede ser intercambiado o alterado después del vuelo tampoco. Cuando cargas un registro en Altimeter Cloud, nuestro servidor recalcula la huella digital y verifica la firma contra la clave pública. Una firma válida confirma que el registro es genuino e inalterado; cualquier cosa más es rechazada.

La fortaleza de la firma del registro descansa en la clave privada permaneciendo en el dispositivo, y eso es exactamente lo que garantiza el cifrado del firmware. La clave está sellada dentro del firmware cifrado. Nunca aparece en la unidad USB o en el registro, y debido a que el Nano se niega a ejecutar firmware sin cifrar no hay forma de cargar un programa modificado que pudiera filtrarla o firmar datos falsos. Las dos protecciones se refuerzan mutuamente: el cifrado mantiene la clave privada fuera del alcance, y la firma usa esa clave para respaldar cada registro — mientras que la mitad pública, que es todo lo que cualquiera necesita para verificar, puede ser compartida libremente.

Tanto AES-256 como Ed25519 son estándares abiertos, publicados que han sido estudiados intensamente y son confiables para asegurar cosas como banca en línea, tráfico web seguro y acceso a shell seguro. No hay forma práctica conocida de romper ninguno de ellos. Emparejado con una clave privada que no puede ser alcanzada, eso hace un registro de vuelo del Nano algo en lo que puedas genuinamente apoyarte, ya sea que estés persiguiendo tu mejor marca personal o presentando un resultado oficial de competición.