Quanto sarebbe difficile scramble le chiavi di crittografia in memoria su comando?

0

Sto cercando un modo per localizzare un set di chiavi in memoria su comando.

Il caso d'uso sarebbe la prevenzione degli attacchi da avvio a freddo: un trigger su rack aperto, rimescola le chiavi in memoria seguite dall'arresto nel sistema di crittografia dell'intero disco. Supponiamo che l'arresto sporco (dato che abbiamo perso le chiavi di crittografia) sia preferibile all'accesso fisico all'hardware mentre i tasti sono in memoria.

Apprezzo che la minaccia di è teorica se anche quella. Inoltre, so che il TPM o la crittografia della memoria completa potrebbero essere migliori per mitigare questa minaccia.

Quindi è possibile individuare dove sono caricati i tasti?

EDIT per chiarezza.

    
posta WhimsicalWombat 21.05.2015 - 14:20
fonte

2 risposte

3

È altamente dipende dal software che stai utilizzando per gestire le chiavi. Ad esempio, la libreria crittografica proprietaria che usiamo qui divide la chiave su diverse posizioni di memoria, le gira big-endian / little-endian, ecc. E le ricompone solo quando sono necessarie. Qualsiasi buon strumento di gestione della crittografia / chiave avrà il suo bagaglio di trucchi di offuscamento simili. Ciò renderà difficile individuare le chiavi in memoria a meno che tu non sappia come sono state offuscate.

Come dici nella tua domanda, il TPM o la crittografia della memoria completa sono probabilmente gli usi migliori del tuo tempo. A meno che tu non sappia esattamente quali librerie crittografiche / strumenti di gestione delle chiavi sono in esecuzione e sono disposti a decodificarle / aggiungere ganci di distruzione delle chiavi nel loro codice sorgente.

Aggiornamento : come dici nei commenti, la sicurezza attraverso l'offuscamento è disapprovata come l'unica fonte di sicurezza (cioè non ti protegge dagli aggressori altamente motivati), ma ha ancora i suoi utilizza.

Aggiornamento n. 2 : dopo aver chiacchierato con un collega al riguardo, sembra che tu stia tentando di trasformare il tuo server in un HSM , sono dispositivi hardware specificamente progettati per gestire le chiavi private e per cancellarli se viene rilevato un qualsiasi tipo di manomissione. Se la tua organizzazione è preoccupata che gli aggressori abbiano abbastanza accesso fisico per effettuare un attacco con avvio a freddo, allora dovresti davvero utilizzare HSM con certificazione commerciale e non avere alcuna chiave privata in memoria.

    
risposta data 21.05.2015 - 15:10
fonte
2

Consiglierei di leggere il documento originale sull'attacco Cold Boot. La sezione 6 spiega "Identificazione delle chiavi in memoria". Hanno scritto un'app chiamata "Keyfind" che potresti essere in grado di cercare.

    
risposta data 21.05.2015 - 17:28
fonte

Leggi altre domande sui tag