¿Cómo almacenar la clave de cifrado de forma segura?

2

Diga que tengo una clave simétrica que quiero almacenar de forma segura. Una forma es que almacenaré esta clave en el sistema de archivos cifrado con la contraseña del usuario.

Luego, el usuario en el inicio de Windows ingresará la contraseña que se almacenará en la RAM. La clave será encriptada / descifrado utilizando esta contraseña cuando sea necesario. Por lo tanto, en el sistema de archivos, la clave siempre permanece cifrada utilizando la contraseña del usuario.

La idea es que no debería ser trivial recuperar la contraseña de la RAM. Así que de esta manera al menos he protegido de alguna forma mi clave, ¿no?

Ahora mi problema es si la computadora (Windows) se reinicia, no habrá ninguna para ingresar la contraseña.

¿Qué puedo hacer en tal situación? ¿Qué opciones tengo para almacenar la clave en tal situación de forma segura? p.ej. para que los reinicios de la computadora sean posibles

    
pregunta 13.11.2015 - 11:23
fuente

3 respuestas

4

Desea que la clave sea recuperable al reiniciarse y sin un usuario presente, por lo que la propuesta de cifrarla con una contraseña de usuario y almacenarla en la RAM va en contra de su requisito de una clave recuperable. Por lo tanto, cifrarlo con una contraseña de usuario no es un arranque. Rechacemos esa propuesta.

En su lugar, deberemos almacenarlo en una forma recuperable (es decir, en texto plano o encriptado con una clave que luego debe almacenarse en una forma recuperable). Es decir, tenemos un problema recursivo, uno sin fin. Me doy cuenta de que realmente te gusta tu idea y estás haciendo muchas preguntas diferentes para resolver los problemas que tienes. Creo que eso es fantástico.

Sin embargo, los problemas no desaparecerán. Le remito a la respuesta en este subtítulo de intercambio " Problema conceptual " en el que se describe el concepto: < em> No podemos proteger una computadora de sí misma .

Esta sección deja claro que si desea que una máquina independiente recupere su propia clave (o credencial) sin intervención humana , no puede evitar que su robo permita que se use en otros lugares.

    
respondido por el Andrew Philips 14.11.2015 - 22:49
fuente
1

Ninguna. Almacenar la clave de forma que pueda acceder a ella después de un reinicio es lo mismo que almacenar la contraseña del usuario. Y esa es una muy mala idea.

    
respondido por el marstato 13.11.2015 - 13:30
fuente
0

Como han señalado otros, el almacenamiento de una clave de forma segura no se puede realizar solo con el software. Necesita un dispositivo de seguridad de hardware en juego para proporcionar un almacenamiento seguro y persistente de datos en reposo.

Si su dispositivo de destino tiene un TPM, es para esto. Hay API que puede usar para envolver secretos usando los registros de configuración de la plataforma de TPM.

(El almacenamiento en la RAM es un problema que no puede resolver. Debe tener la clave en la RAM para hacer cualquier cosa con él, por lo que debe ser descartable en algún momento. Las mejores prácticas dependerán de lo que la clave se usa realmente para.)

    
respondido por el Reid Rankin 15.11.2015 - 03:07
fuente

Lea otras preguntas en las etiquetas