¿Cómo deben almacenarse de forma segura las contraseñas de WiFi en los dispositivos IOT (integrados)?

Para Windows 7 y versiones posteriores, Microsoft habilitó Procesos protegidos a través del cambio de registro RunAsPPL = 1. Esto protege a la LSA de ser botada incluso por la cuenta del SISTEMA. El LSA (proceso lsass.exe) contiene secretos que incluyen las claves de WiFi y las credenciales de la máquina. Para volver a acceder a estos secretos, el usuario que ha iniciado sesión actualmente debe tener su pantalla bloqueada y desbloqueada, cerrar sesión y volver a iniciarla, o reiniciar la máquina, seguido de un inicio de sesión exitoso. He probado y verificado que las herramientas como WirelessKeyView no funcionarán cuando lsass esté protegido de esta manera.

Este tipo de protección aún se proporciona en el software (y se puede omitir a través de la tecnología del kernel o del espacio de los controladores, que incluso se ha visto en la naturaleza con malware como Uroburos ), pero es suficiente para muchos entornos y, ciertamente, mucho mejor que ninguna protección. Para un equivalente de hardware, muchos están mirando Intel SGX para proporcionar un enclave seguro . Si los fabricantes de IoT pueden aprovechar Intel SGX, o una tecnología similar, entonces esa sería la mejor ubicación para almacenar secretos compartidos, como contraseñas de WiFi, credenciales y material de claves criptográficas.

NB, parte de esta discusión se tomó de una charla de Thomas Dullien de Google - enlace - enlace

Como se ha mencionado como un comentario a tu pregunta, todo lo que puedes hacer es hacerlo más difícil.

Los protocolos actuales de WiFi requieren que el cliente y AP conozcan el PSK. Esto es inevitable en su forma actual, y no estoy seguro de ningún plan para cambiar esto.

Puedes emplear varias técnicas diferentes para hacer que los secretos sean más difíciles de obtener. Sin embargo, debe tener en cuenta su modelo de amenaza: qué está protegiendo, de quién lo está protegiendo y por cuánto tiempo quiere que esté protegido.

La tarea no es diferente a proteger las claves en un módulo de seguridad de hardware. Estos a menudo utilizan técnicas avanzadas para evitar que alguien, incluso con acceso físico extendido, obtenga claves secretas.

Específicamente, para la mayoría de los dispositivos IoT, ya están almacenados en un área protegida, es decir, dentro de la casa. El timbre de la puerta y algunas cámaras de CCTV IP rompen esta barrera y se encuentran en áreas donde un atacante puede acceder a ellas más fácilmente, por lo que se debe tener en cuenta. Dicho esto, no debe confiar en que todas las personas en esa área protegida sean benignas; por ejemplo, si su hijo adolescente solo puede usar un SSID de tiempo limitado, podrían intentar recuperar otro PSK para un SSID normal de otro dispositivo.

Obviamente, debe proteger la clave que se lee en la red, como encontramos en el Timbre de la puerta (revelación completa, soy un empleado de Pen Test Partners que encontró el problema). Una serie de SoC / tableros WiFi comunes vienen con SDK que tienen agujeros como estos, sin embargo.

Algunas tarjetas / SoCs WiFi permiten configurar el PSK una vez y luego dificultan la recuperación de la clave. Como mínimo, estos requieren la conexión de JTAG o SPI para leer algo de memoria. En el peor de los casos, es posible que necesite desarrollar nuevos ataques para recuperar el contenido de la EEPROM integrada.

Los tableros de macetas físicos hacen que el acceso a los autobuses y las fichas sea más difícil, y disuadirá a los atacantes.

Esto podría extenderse aún más para agregar una funcionalidad anti-manipulación, como la que se encuentra en los mecanismos de seguridad de hardware o Chip & Terminales de pines.

Encriptar la clave con una clave simétrica no tiene sentido en la mayoría de los sistemas integrados pequeños que pueden ser atacados físicamente.

si es posible, la clave podría almacenarse en una tarjeta inteligente / HSM / TPM (simplemente los llamo Dispositivos de almacenamiento seguro a continuación), que no permiten que la clave salga, sino que maneja las operaciones (firmar, cifrar, etc.) con la clave.

especialmente para WPA WLAN, la clave en sí misma se usa para derivar algo que podríamos llamar una clave de sesión y después de eso ya no se necesita la contraseña para el punto de acceso de WLAN, por lo que podría ser fácilmente mediante un dispositivo de almacenamiento seguro.

uno de los problemas es que, probablemente, incluso con el runasppl mencionado por @atdre the windows Network and Sharing Center ofrece a las cuentas administrativas la clave en una tableta plateada directamente en la GUI para Vista y superior, por lo que si usa Windows no podrá haga mucho a menos que cree un software WLAN que pueda manejar dispositivos de almacenamiento seguro para claves WLAN.

Si bien diría que un HSM es un exceso excesivo, un TPM se está volviendo cada vez más común e incluso es necesario para obtener una computadora con la etiqueta Win10.

La pregunta más interesante es crear un software que pueda funcionar con el almacenamiento seguro para crear el protocolo de enlace WLAN.