OpenSSH 是 SSH （Secure Shell） 協(xié)議的免費(fèi)開源實(shí)現(xiàn)，它是許多 Linux 發(fā)行版中用于加密到遠(yuǎn)程系統(tǒng)的連接的默認(rèn)解決方案。此前，Google 的 OpenBSD 開發(fā)人員和安全研究員 Damien Miller 對(duì) OpenSSH 進(jìn)行修改，增加了對(duì)存儲(chǔ)在 RAM 中的私鑰的保護(hù)，讓攻擊者更難利用硬件漏洞的側(cè)通道攻擊來提取私鑰。

        Damien Miller 解釋說，用于保護(hù)內(nèi)存中私鑰的對(duì)稱密鑰來自由隨機(jī)數(shù)據(jù)(目前是 16 KB)組成的一個(gè)相對(duì)較大的 prekey。而工作方式是，密鑰在加載到內(nèi)存中時(shí)被加密，并在需要簽名或必須保存時(shí)解密。

        雖然這種預(yù)防措施并不是應(yīng)對(duì)硬件攻擊的完整解決方案，但它確實(shí)會(huì)使攻擊者更難獲得成功。Damien Miller 分析說，“攻擊者必須以高精度恢復(fù)整個(gè) prekey，然后才能嘗試解密被屏蔽的私鑰，但是目前的攻擊具有比特錯(cuò)誤率，要想累加到整個(gè)prekey，這顯然是不可能的?！?

        這并不是長久之計(jì)，Damien 表示，當(dāng)計(jì)算機(jī)架構(gòu)變得安全的時(shí)候，才可以徹底消除這個(gè)問題。

消息來源：

https://www.bleepingcomputer.com/news/security/openssh-to-keep-private-keys-encrypted-at-rest-in-ram