OpenSSH 是 SSH （Secure Shell） 協(xié)議的免費(fèi)開源實(shí)現(xiàn)，它是許多 Linux 發(fā)行版中用于加密到遠(yuǎn)程系統(tǒng)的連接的默認(rèn)解決方案。此前，Google 的 OpenBSD 開發(fā)人員和安全研究員 Damien Miller 對 OpenSSH 進(jìn)行修改，增加了對存儲在 RAM 中的私鑰的保護(hù)，讓攻擊者更難利用硬件漏洞的側(cè)通道攻擊來提取私鑰。

        Damien Miller 解釋說，用于保護(hù)內(nèi)存中私鑰的對稱密鑰來自由隨機(jī)數(shù)據(jù)(目前是 16 KB)組成的一個相對較大的 prekey。而工作方式是，密鑰在加載到內(nèi)存中時被加密，并在需要簽名或必須保存時解密。

        雖然這種預(yù)防措施并不是應(yīng)對硬件攻擊的完整解決方案，但它確實(shí)會使攻擊者更難獲得成功。Damien Miller 分析說，“攻擊者必須以高精度恢復(fù)整個 prekey，然后才能嘗試解密被屏蔽的私鑰，但是目前的攻擊具有比特錯誤率，要想累加到整個prekey，這顯然是不可能的?！?

        這并不是長久之計，Damien 表示，當(dāng)計算機(jī)架構(gòu)變得安全的時候，才可以徹底消除這個問題。

消息來源：

https://www.bleepingcomputer.com/news/security/openssh-to-keep-private-keys-encrypted-at-rest-in-ram