¿Cuál es el uso de proteger la clave ssh con una contraseña cuando el notebook tiene cifrado completo del disco? Si alguien puede obtener el id_rsa, puede hacerlo sin esfuerzo (?) Para obtener la contraseña de id_rsa de la memoria, porque está almacenada en la memoria en un formato de texto simple. (usando ej .: ssh-agent)
P: con FDE, ¿vale la pena usar pwd en id_rsa?
Preguntó si ssh-agent almacena las contraseñas clave en texto sin cifrar. Creo que al observar el código, es probable que encontremos que no almacena la contraseña utilizada para descifrarla, pero sí almacena la clave descifrada que luego se usa para establecer una conexión SSH.
Pero hay un tema más importante en este punto. Si un atacante tiene acceso a la memoria de su sistema (RAM), la instalación, por ejemplo, de un keylogger o algún otro malware RAT sería trivial .
Ha aclarado su pregunta para preguntar si es necesario proteger con contraseña su clave privada cuando tenga cifrado de disco completo. Yo diría que sí lo es, porque el cifrado de disco completo es una protección contra los ataques sin conexión . Una vez que haya iniciado sesión en su sistema, cualquier ataque que comprometa su sistema en ejecución (lo más probable es que con sus credenciales de usuario a través de una vulnerabilidad del navegador web) podrá leer su archivo de clave privada. Si el archivo clave está cifrado, entonces ha evitado esta amenaza.
Si ha cifrado su clave privada, y el atacante obtiene acceso a su sistema en vivo mientras la clave privada está en la memoria, ahora tendrían que usar ataques de escalada de privilegios para obtener la capacidad de leer esas claves en la memoria. Estas técnicas se complican cuando considera que necesitarían averiguar exactamente dónde existía la clave en la memoria; de lo contrario, haga que su conexión a Internet cargue todo su conjunto de memoria, algo que probablemente notará.
Si alguien puede obtener el id_rsa, puede hacerlo sin esfuerzo (?) para obtener la contraseña del id_rsa de la memoria, porque está almacenada en la memoria en un formato de texto simple?
No es trivial obtener acceso al contenido completo de la RAM de una máquina. Pero si alguien tiene acceso al contenido de su máquina, entonces esa máquina ha sido total y completamente de su propiedad, incluido todo lo que contiene.
P: con FDE, ¿vale la pena usar pwd en id_rsa?
El almacenamiento de información privada (por ejemplo, claves SSH) encriptada incluso en máquinas con FDE es justificable. Cualquier proceso que se ejecute en esa máquina en cualquier contexto (incluido el código que no es de confianza) no se ve obstaculizado por el cifrado completo del disco, ya que el SO descifra el disco de forma transparente sobre la marcha.
En cambio, el cifrado de disco completo evita que el disco se lea "en reposo", fuera del contexto de su sistema en ejecución.
En cuanto a si las credenciales se almacenan en la memoria no incrustadas, ese sería un detalle de implementación específico para un producto determinado. Pero ya que realmente no hay otra forma de usar la clave, excepto para descifrarla, lo más probable es que sí.
Lea otras preguntas en las etiquetas ssh