Come conservare la chiave di crittografia in modo sicuro?

2

Dire che ho una chiave simmetrica che voglio conservare in modo sicuro. Un modo è che memorizzerò questa chiave sul file system crittografato usando la password dell'utente.

Quindi l'utente all'avvio di Windows immetterà la password che verrà archiviata nella RAM. La chiave sarà crittografata / decrittografato usando questa password quando necessario. Quindi, sul file system la chiave rimane sempre crittografata utilizzando la password dell'utente.

L'idea è che non dovrebbe essere banale recuperare la password dalla RAM. Quindi in questo modo almeno ho protetto in qualche modo la mia chiave?

Ora il mio problema è che se il computer (Windows) si riavvia, non ce ne saranno per inserire la password.

Che cosa posso fare in questa situazione? Quali opzioni devo memorizzare in modo sicuro in questa situazione? per esempio. in modo che i riavvii del computer siano possibili

    
posta 13.11.2015 - 11:23
fonte

3 risposte

4

Vuoi che la chiave sia recuperabile al riavvio e senza un utente presente, quindi proponendo di crittografarla con una password utente e memorizzarla nella RAM va contro il tuo requisito per una chiave recuperabile. Quindi, crittografarlo con la password utente è un non-starter. Rifiutiamo la proposta.

Invece, dovremo archiviarlo in una forma recuperabile (cioè in testo semplice o crittografato con una chiave che deve quindi essere archiviata in una forma recuperabile). Cioè, abbiamo un problema ricorsivo: uno senza fine. Mi rendo conto che ti piace davvero tanto la tua idea e stai facendo molte domande diverse per risolvere i problemi che hai. Penso che sia fantastico.

Tuttavia, i problemi non andranno via. Vi rimando alla risposta in questo scambio sottotitolato " Problema concettuale " in cui è descritto il concetto: < em> Non possiamo proteggere un computer da solo .

Questa sezione chiarisce che se si desidera che una macchina autonoma recuperi la propria chiave (o credenziale) senza intervento umano , non si può impedire che il suo furto consenta di utilizzarlo altrove.

    
risposta data 14.11.2015 - 22:49
fonte
1

Nessuno. Memorizzare la chiave in un modo in cui è possibile accedervi dopo un riavvio equivale a memorizzare la password dell'utente. E questa è una pessima idea.

    
risposta data 13.11.2015 - 13:30
fonte
0

Come altri hanno notato, la memorizzazione sicura di una chiave non può essere eseguita dal solo software. È necessario un dispositivo di sicurezza hardware in gioco per fornire un'archiviazione sicura e persistente dei dati a riposo.

Se il tuo dispositivo di destinazione ha un TPM, questo è quello che serve. Ci sono API che puoi usare per avvolgere i segreti usando i registri di configurazione della piattaforma del TPM.

(L'archiviazione nella RAM è un problema che potresti non essere in grado di risolvere. Devi avere la chiave nella RAM per fare effettivamente qualsiasi cosa con esso, quindi è necessario che sia eliminabile a un certo punto. Le migliori pratiche dipenderanno da ciò che in realtà viene utilizzata la chiave.)

    
risposta data 15.11.2015 - 03:07
fonte

Leggi altre domande sui tag