Damien Miller (djm@) il y a une amélioration dans OpenSSH qui devrait aider à se protéger contre diverses attaques par canal secondaire telles que , и . La protection supplémentaire est conçue pour empêcher la récupération d'une clé privée située dans la RAM à l'aide de fuites de données via des canaux tiers.
L'essence de la protection réside dans le fait que les clés privées, lorsqu'elles ne sont pas utilisées, sont cryptées à l'aide d'une clé symétrique, dérivée d'une « pré-clé » relativement volumineuse composée de données aléatoires (actuellement sa taille est de 16 Ko) .
Du point de vue de la mise en œuvre, les clés privées sont cryptées lorsqu'elles sont chargées en mémoire, puis déchiffrées automatiquement et de manière transparente lorsqu'elles sont utilisées pour des signatures ou lorsqu'elles sont stockées/sérialisées.
Pour réussir une attaque, les attaquants doivent récupérer l’intégralité de la pré-clé avec une grande précision avant de pouvoir tenter de déchiffrer la clé privée protégée. Cependant, la génération actuelle d'attaques présente un tel taux d'erreurs de récupération de bits que la somme de ces erreurs rend improbable une récupération correcte de la clé pré-partagée.
Source: opennet.ru