È altamente dipende dal software che stai utilizzando per gestire le chiavi. Ad esempio, la libreria crittografica proprietaria che usiamo qui divide la chiave su diverse posizioni di memoria, le gira big-endian / little-endian, ecc. E le ricompone solo quando sono necessarie. Qualsiasi buon strumento di gestione della crittografia / chiave avrà il suo bagaglio di trucchi di offuscamento simili. Ciò renderà difficile individuare le chiavi in memoria a meno che tu non sappia come sono state offuscate.
Come dici nella tua domanda, il TPM o la crittografia della memoria completa sono probabilmente gli usi migliori del tuo tempo. A meno che tu non sappia esattamente quali librerie crittografiche / strumenti di gestione delle chiavi sono in esecuzione e sono disposti a decodificarle / aggiungere ganci di distruzione delle chiavi nel loro codice sorgente.
Aggiornamento : come dici nei commenti, la sicurezza attraverso l'offuscamento è disapprovata come l'unica fonte di sicurezza (cioè non ti protegge dagli aggressori altamente motivati), ma ha ancora i suoi utilizza.
Aggiornamento n. 2 : dopo aver chiacchierato con un collega al riguardo, sembra che tu stia tentando di trasformare il tuo server in un HSM , sono dispositivi hardware specificamente progettati per gestire le chiavi private e per cancellarli se viene rilevato un qualsiasi tipo di manomissione. Se la tua organizzazione è preoccupata che gli aggressori abbiano abbastanza accesso fisico per effettuare un attacco con avvio a freddo, allora dovresti davvero utilizzare HSM con certificazione commerciale e non avere alcuna chiave privata in memoria.