Podle mě je nejlepším řešením mít nejcitlivější data ve virtuálním stroji na šifrovaném diskovém image. Virtuální stroj by se při shutdownu postaral o smazání alokované paměti (třeba přepsat jedničkami a pak nulami). Hostitelský systém už by nemusel řešit nic a scan jeho paměti by byl bezpředmětný.
V diskusi na Slashdotu někdo odkazuje na zařízení zvané Hotplug, které umožňuje udržet počítač pod šťávou i při převozu z jeho původního místa - to je ještě podstatně nebezpečnější, protože útočník by měl podstatně více času a prostředků pro zkoumání obsahu RAM. Virtuální stroj zabezpečený timeoutem nebo jinou ochranou by se automaticky vypnul (a smazal paměť), takže virtualizace řeší i tohle nebezpečí.
Bezpečnostní riziko představují data ve swapu - optimální by samozřejmě z hlediska bezpečnosti bylo mít swap vypnutý. Zajímal by mě názor ostatních, jak se dá swap zabezpečit. I pokud jej zašifruji dm-cryptem nebo něčím podobným, díky "cold boot attacku" apod. se systém se zapnutým swapem ocitá v podobné situaci.
Tak se začnou vyrábět RAMky jiným způsobem. Tvůrci BIOSu přidají vlastnost vynulování obsahu paměti. Hardwarový obechcávky se musí ošéfovat hardwarovou ochranou, jinak to spolehlivě nepůjde.
S nicim to nezahybe, protoze nejde o novy princip.
Je samozrejme znamo, ze pokud ma clovek pristup k RAMce, ma majitel zarizeni problem. Resit se to musi nakupem stroju, ktere pri rebootu pamet cisti a samozrejme, ze fyzickou bezpecnostsi musi majitel poresit sam...