In che modo il portachiavi di sistema è protetto in OS X?

Sto cercando qualcosa come questo white paper sulla sicurezza per iOS tranne OS X o, meglio ancora, una sorta di rapporto di audit di sicurezza da un esperto indipendente. Dopo aver letto documentazione come la Guida alla programmazione dei servizi portachiavi, sono ancora più confuso su ciò che è vulnerabile a un attacco contraddittorio su un backup non crittografato di un sistema OS X.

L'ultima volta che ho controllato, il portachiavi di accesso dell'utente in OS X era sicuro quanto la password. Ricordo qualche problema che ha ridotto l'effettiva segretezza della chiave a qualcosa come 111 bit (memoria nebbiosa, non esitate a correggermi) a causa di un problema con il modo in cui la password viene convertita in chiave, ma molto tempo fa e speriamo che sia stato corretto.

D'altra parte, mi è stato detto che il portachiavi di sistema è intrinsecamente meno sicuro perché qualsiasi amministratore può accedervi e un intruso ha molte opzioni per diventare un amministratore oltre a indovinare la password di un singolo utente.

In particolare, sono preoccupato per l'archiviazione delle password utilizzate negli script automatizzati nel Portachiavi di sistema poiché i file di sistema vengono sottoposti a backup e archiviati fuori sede senza ulteriore crittografia. I documenti e altri dati dell'utente vengono crittografati prima di essere portati fuori sede, ma ho il sospetto fastidioso che ci sia un percorso che sto trascurando che recupera quelle chiavi una volta che il Portachiavi di sistema è stato compromesso (a causa delle nostre procedure, non necessariamente di eventuali difetti crittografici) . Quindi voglio avere una conoscenza approfondita di come il portachiavi di sistema è contemporaneamente protetto ma accessibile a qualsiasi amministratore.

1. In che modo le chiavi sono progettate in modo tale che qualsiasi utente amministrativo possa sbloccare il portachiavi di sistema?

2. Esistono restrizioni crittografiche che limitano in qualche modo ciò che un utente amministrativo può fare con le informazioni nel portachiavi di sistema?

3. Dato un backup di sistema non crittografato senza /Users , come otterresti l'accesso alle chiavi nel portachiavi di sistema?

Sono interessato a OS X 10.5 Leopard e versioni successive.

Il portachiavi di sistema è archiviato /Library/Keychains/System.keychaine la chiave per sbloccarlo è archiviata /var/db/SystemKey(le autorizzazioni per i file predefiniti sono leggibili solo da root). Il percorso di questi file viene indicato nello script security-checksystem (dall'origine security_systemkeychain ). È anche possibile testare il blocco / sblocco automatico del portachiavi di sistema utilizzando

systemkeychain -vt

Il framework di sicurezza del portachiavi consente ai programmi non privilegiati di effettuare richieste di informazioni a condizione che si trovino nella LCA archiviata all'interno della voce del portachiavi. Ovviamente se un utente ha il root su un sistema, può accedere direttamente sia al file che memorizza il portachiavi di sistema sia alla chiave per sbloccarlo, quindi non ha fatto richieste tramite il framework di sicurezza e non è legato agli ACL memorizzati nel portachiavi si.

(In realtà non ho risposto alle domande originali, quindi proviamoci un'altra volta)

In che modo le chiavi sono progettate in modo tale che qualsiasi utente amministrativo possa sbloccare il portachiavi di sistema?

Il framework portachiavi libsecurity consente ai processi regolari di interagire con il portachiavi di sistema in modo autenticato utilizzando il framework di comunicazione interprocesso (IPC) di Apple.

Il programma A invia una richiesta per accedere alle informazioni del portachiavi di sistema tramite IPC. Viene verificato che l'utente richiedente sia già nel gruppo ruote e sia a conoscenza della password di un utente nel gruppo ruote. Una volta confermata l'autorizzazione, il kcproxydemone privilegiato può essere utilizzato per accedere al materiale /var/db/SystemKey, sbloccare il portachiavi di sistema e restituire le informazioni richieste.

Esistono restrizioni crittografiche che limitano in qualche modo ciò che un utente amministrativo può fare con le informazioni nel portachiavi di sistema?

No: a un utente amministratore è consentito accedere / modificare qualsiasi cosa nel portachiavi di sistema. Anche se non potevano, potevano copiare i file sottostanti su un altro computer su cui hanno il controllo completo e semplicemente sbloccarli / accedervi lì.

Dato un backup di sistema non crittografato senza / Users, come otterresti l'accesso alle chiavi nel portachiavi di sistema?

Se il backup contenesse copie di /Library/Keychains/System.keychaine /var/db/SystemKeypoi le copierei nelle rispettive posizioni su un nuovo sistema OS X e lo utilizzerei systemkeychainper sbloccare in seguito il primo e scaricare il database dei portachiavi usando security dump-keychain.

Portachiavi di sistema

Il portachiavi di sistema ha alcune capacità uniche. Questi sono documentati dalla pagina del manuale di systemkeychain . Le menzioni della password principale sono probabilmente al centro dell'attenzione. Il codice sorgente specifico del portachiavi di sistema è piccolo e disponibile.

Il portachiavi di sistema /System/Library/Keychains/System.keychain, è un portachiavi speciale per Apple e demoni da utilizzare. Dovresti generalmente evitare di usarlo per gli script a livello di utente.

Revisione del codice: portachiavi

Apple ha pubblicato il codice sorgente per Keychain e framework di sicurezza per Mac OS X 10.5; puoi rivedere questo codice per scoprire come funziona.

Approccio alternativo: portachiavi separato

Puoi creare un portachiavi separato per memorizzare le credenziali del tuo script. Raccomandiamo questa pratica ai nostri clienti. Puoi utilizzare la sicurezza dello strumento da riga di comando per accedere, estrarre e gestire i tuoi portachiavi senza ricorrere a un'interfaccia grafica.

Prendi in considerazione la possibilità di archiviare le password per i tuoi script automatizzati in un portachiavi separato - ed escludi questo portachiavi dal tuo backup fuori sede.

Apprezzo che rimuovere il portachiavi dal tuo backup non sia l'ideale ma risponderebbe alle tue preoccupazioni. Al ripristino del Mac, dovrai recuperare il portachiavi da una fonte diversa; potrebbe essere una fonte più affidabile o un canale laterale.

Puoi sempre memorizzare la password del Portachiavi separata nel Portachiavi di sistema. È quindi possibile sbloccare il portachiavi separato da uno script. Se il backup viene attaccato, esporresti la password solo al Portachiavi separato e non al Portachiavi stesso poiché questo file non è con il backup fuori sede.

Apple ha recentemente pubblicato un documento che delinea le sue pratiche di sicurezza , potresti trovare alcune risposte lì. Il documento è specifico di iOS ma molte funzionalità di sicurezza hanno molto in comune con OS X.

Non ho una conoscenza specifica di Keychain * ma questa è una pratica abbastanza standardizzata.

1. Si desidera proteggere il file di testo semplice "pippo". Foo può avere dimensioni arbitrarie.
2. Crea una chiave simmetrica per crittografare foo.
3. Crittografa la chiave simmetrica con una chiave seminata da una passphrase.

Una volta fatto, puoi cambiare la "password" inserendo la passphrase corrente, decodificando la chiave simmetrica e quindi crittografandola con la nuova passphrase. Questo evita i lunghi processi di decodifica / crittografia nel caso in cui "pippo" sia molto grande.

Quindi, come funziona per più utenti che devono accedere al testo in chiaro di pippo? Abbastanza facile davvero, basta creare una copia crittografata della chiave simmetrica una volta per ogni utente. In altre parole, eseguire il passaggio tre per ciascun utente.

In pratica, tutto ciò viene sottratto alla vista e l'utente finale deve solo gestire la propria password.

Per quanto riguarda la parte 3 delle tue domande, le chiavi degli utenti non vengono archiviate nella loro casa. Molto probabilmente verrebbero conservati in /private/varqualche luogo. Quindi, anche senza /Usersqualcuno che in precedenza aveva accesso sarebbe in grado di sbloccare il sistema.

* È possibile che Keychain funzioni in modo diverso.