الرئيسية / أخبار تقنية / تطبيق OpenSSH يعمل الآن على تشفير المفاتيح السرية في الذاكرة

تطبيق OpenSSH يعمل الآن على تشفير المفاتيح السرية في الذاكرة

يضيف الالتزام بمشروع OpenSSH الحماية للمفاتيح الخاصة في الذاكرة عندما لا تكون قيد الاستخدام مما يجعل من الصعب على الخصم استخلاصها من خلال هجمات القنوات الجانبية التي تستفيد من ثغرات الأجهزة.

 OpenSSH هو التطبيق الأكثر شعبية لبروتوكول SSH (Secure Shell) كونه الحل الافتراضي في العديد من توزيعات Linux لتشفير الاتصالات إلى نظام بعيد.

ويأتي التعديل من داميان ميلر مطور OpenBSD وباحث الأمن في جوجل والحماية المقدمة من خلال تغييره تتمثل في تطبيق تشفير متماثل على مفاتيح OpenSSH الخاصة المخزنة في ذاكرة الوصول العشوائي.

ويقول ميلر إن ارتكابه يجعل هجمات مثل Specter و Meltdown و Rowhammer و RAMBleed الأكثر حداثة والتي أظهرها الباحثون بسرقة مفتاح OpenSSH من ذاكرة الوصول العشوائي.

ويوضح Miller في مذكرة الالتزام أن المفتاح المتماثل الذي يحمي المفاتيح الخاصة في الذاكرة “مشتق من” مفتاح رئيسي “كبير نسبيًا يتكون من بيانات عشوائية (حاليًا 16 كيلو بايت)”.

وطريقة عمل ذلك هي أن المفاتيح يتم تشفيرها عند تحميلها في الذاكرة وفك تشفيرها كلما دعت الحاجة إلى التوقيع أو يجب حفظها.

على الرغم من أن هذا الاحتياط ليس حلاً كاملاً ضد هجمات الأجهزة إلا أنه يجعل من الصعب على المهاجم تحقيق النجاح.

“ويجب على المهاجمين استرداد المفتاح المسبق بالكامل بدقة عالية قبل أن يتمكنوا من محاولة فك تشفير المفتاح الخاص المحمي لكن الجيل الحالي من الهجمات يحتوي على معدلات خطأ في البتات والتي عند تطبيقها بشكل تراكمي على المفتاح المسبق بأكمله تجعل هذا الأمر غير مرجح.”

قد تظهر تطورات جديدة في الهجمات الحالية والتي قد تعمل على حل هذه الحماية.

وهذا التغيير في OpenSSH مصمم على المدى الطويل ولكن الهدف ليس أن يصبح دائمًا ؛ ويأمل ميلر في أن يتم سحب التزامه عندما يصبح الجهاز أكثر أمانًا.

واخيرًا كتب المطور “نأمل أن نتمكن من إزالة هذا في غضون سنوات قليلة عندما تصبح بنية الكمبيوتر أقل أمانًا”

عن فدوى

شاهد أيضاً

ثغرة أمنية في نظام تشغيل لينكس تتيح للمهاجمين اختطاف اتصالات VPN المشفرة

‫كشف فريق من الباحثين في مجال الأمن السيبراني عن وجود ثغرة أمنية جديدة تؤثر على …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *