System Keychain được bảo mật như thế nào trong OS X?

Tôi đang tìm kiếm thứ gì đó giống như sách trắng bảo mật này cho iOS ngoại trừ OS X hoặc thậm chí tốt hơn, một loại báo cáo kiểm toán bảo mật từ một chuyên gia độc lập. Sau khi đọc qua tài liệu như Hướng dẫn lập trình dịch vụ Keychain, tôi càng bối rối hơn về những gì dễ bị tấn công bất lợi đối với bản sao lưu không được mã hóa của Hệ thống OS X.

Lần trước tôi đã kiểm tra, móc khóa đăng nhập của người dùng trong OS X cũng an toàn như mật khẩu. Tôi nhớ lại một số vấn đề làm giảm tính bảo mật thực sự của khóa thành thứ gì đó như 111 bit (bộ nhớ mờ, xin vui lòng sửa cho tôi) do một số vấn đề về cách chuyển đổi mật khẩu thành khóa, nhưng đó là một thời gian dài trước đây và hy vọng điều đó đã được sửa chữa.

Mặt khác, tôi đã được bảo rằng System Keychain vốn đã kém an toàn hơn bởi vì bất kỳ quản trị viên nào cũng có thể truy cập nó và kẻ xâm nhập có nhiều tùy chọn để trở thành quản trị viên bên cạnh việc đoán mật khẩu của một người dùng.

Cụ thể, tôi lo lắng về việc lưu trữ mật khẩu được sử dụng trong các tập lệnh tự động trong System Keychain vì các tệp hệ thống được sao lưu và lưu trữ ngoài trang web mà không cần mã hóa thêm. Tài liệu và dữ liệu người dùng khác được mã hóa trước khi được đưa ra khỏi trang web, nhưng tôi có một nghi ngờ dai dẳng rằng có một con đường tôi đang tìm kiếm để phục hồi các khóa đó một khi System Keychain bị xâm phạm (do thủ tục của chúng tôi, không nhất thiết là bất kỳ sai sót về mật mã nào) . Vì vậy, tôi muốn có một sự hiểu biết thấu đáo về cách Hệ thống Keychain được bảo mật đồng thời nhưng vẫn có thể truy cập được đối với bất kỳ quản trị viên nào.

1. Làm thế nào các khóa được kiến ​​trúc sao cho bất kỳ người dùng quản trị nào cũng có thể mở khóa System Keychain?

2. Có giới hạn mật mã nào giới hạn những gì người dùng quản trị có thể làm với thông tin trong System Keychain theo bất kỳ cách nào không?

3. Với một bản sao lưu hệ thống không được mã hóa mà không có /Users , làm thế nào bạn có thể truy cập vào các khóa trong System Keychain?

Tôi quan tâm đến OS X 10.5 Leopard và các phiên bản mới hơn.

Móc khóa hệ thống được lưu trữ /Library/Keychains/System.keychainvà khóa để mở khóa được lưu trữ /var/db/SystemKey(quyền truy cập tệp mặc định của nó chỉ có thể đọc được bằng root). Vị trí của các tệp này được tham chiếu trong tập lệnh bảo mật-hệ thống kiểm tra (từ nguồn security_systemkeychain ). Thậm chí có thể kiểm tra khóa / mở khóa tự động của móc khóa hệ thống bằng cách sử dụng

systemkeychain -vt

Khung bảo mật móc khóa cho phép các chương trình không có đặc quyền đưa ra yêu cầu cung cấp thông tin với điều kiện chúng nằm trong ACL được lưu trữ trong mục nhập móc khóa. Rõ ràng nếu người dùng đã root họ trên một hệ thống, họ có thể truy cập trực tiếp cả tệp lưu trữ móc khóa hệ thống và khóa để mở khóa, do đó họ không đưa ra yêu cầu thông qua khung bảo mật và không được lưu ý đến ACL được lưu trữ trong móc khóa chinh no.

(Tôi đã không thực sự trả lời các câu hỏi ban đầu vì vậy hãy thử lại lần nữa)

Làm thế nào các khóa được kiến ​​trúc sao cho bất kỳ người dùng quản trị nào cũng có thể mở khóa System Keychain?

Các khuôn khổ libsecurity keychain cho phép quá trình thường xuyên tương tác với hệ thống móc chìa khóa một cách chứng thực sử dụng khuôn khổ truyền thông của Apple XPC interprocess (IPC).

Chương trình A gửi yêu cầu truy cập thông tin móc khóa hệ thống bằng IPC. Một kiểm tra được thực hiện rằng người dùng yêu cầu đã ở trong nhóm bánh xe và cũng biết mật khẩu của người dùng trong nhóm bánh xe. Khi ủy quyền được xác nhận, kcproxydaemon đặc quyền có thể được sử dụng để truy cập tài liệu vào /var/db/SystemKey, mở khóa móc khóa hệ thống và trả về thông tin được yêu cầu.

Có giới hạn mật mã nào giới hạn những gì người dùng quản trị có thể làm với thông tin trong System Keychain theo bất kỳ cách nào không?

Không - người dùng quản trị được phép truy cập / thay đổi bất cứ thứ gì trong móc khóa hệ thống. Ngay cả khi họ không thể, họ có thể sao chép các tệp bên dưới sang một máy khác mà họ có toàn quyền kiểm soát và chỉ cần mở khóa / truy cập vào đó.

Đưa ra một bản sao lưu hệ thống không được mã hóa mà không có / Người dùng, làm thế nào bạn có thể truy cập vào các khóa trong System Keychain?

Nếu bản sao lưu chứa các bản sao /Library/Keychains/System.keychainvà /var/db/SystemKeysau đó tôi sẽ sao chép chúng vào các vị trí tương ứng của chúng trên hệ thống OS X mới và sử dụng systemkeychainđể mở khóa sau và hủy cơ sở dữ liệu móc khóa bằng cách sử dụng security dump-keychain.

Móc khóa hệ thống

System Keychain có một số khả năng độc đáo. Chúng được ghi lại bởi trang hướng dẫn systemkeychain . Các đề cập đến mật khẩu chủ có thể là trọng tâm của bạn. Các hệ thống móc chìa khóa mã nguồn cụ thể là nhỏ và có sẵn.

System Keychain, /System/Library/Keychains/System.keychainlà một Keychain đặc biệt để Apple và daemon sử dụng. Bạn thường nên tránh sử dụng nó cho các kịch bản cấp người dùng.

Đánh giá mã: Keychain

Apple đã xuất bản mã nguồn cho Keychain và khung bảo mật cho Mac OS X 10.5; bạn có thể xem lại mã này để khám phá cách nó hoạt động.

Phương pháp thay thế: Keychain riêng

Bạn có thể tạo một Keychain riêng để lưu thông tin đăng nhập của tập lệnh. Chúng tôi đề nghị thực hành này cho khách hàng của chúng tôi. Bạn có thể sử dụng bảo mật công cụ dòng lệnh để truy cập, trích xuất và quản lý Keychains của mình mà không cần dùng đến giao diện đồ họa.

Cân nhắc lưu trữ mật khẩu cho các tập lệnh tự động của bạn trong một Keychain riêng - và loại trừ Keychain này khỏi bản sao lưu ngoài trang web của bạn.

Tôi đánh giá cao việc loại bỏ Keychain khỏi bản sao lưu của bạn là không lý tưởng nhưng nó sẽ giải quyết mối quan tâm của bạn. Khi khôi phục máy Mac, bạn cần lấy lại Keychain từ một nguồn khác; có thể là nguồn đáng tin cậy hơn hoặc kênh bên.

Bạn luôn có thể lưu trữ mật khẩu của Keychain riêng biệt trong System Keychain. Sau đó, bạn có thể mở khóa Keychain riêng biệt từ một tập lệnh. Nếu sao lưu bị tấn công, bạn sẽ chỉ hiển thị mật khẩu cho Keychain riêng biệt chứ không phải chính Keychain vì tệp này không có bản sao lưu ngoài trang web.

Apple gần đây đã xuất bản một tài liệu phác thảo các thực tiễn bảo mật của nó , bạn có thể tìm thấy một số câu trả lời ở đó. Tài liệu dành riêng cho iOS nhưng rất nhiều tính năng bảo mật có nhiều điểm tương đồng với OS X.

Tôi không có kiến ​​thức cụ thể về Keychain * nhưng đây là cách thực hành khá chuẩn.

1. Bạn muốn bảo vệ tập tin văn bản đơn giản "foo". Foo có thể có kích thước tùy ý.
2. Tạo một khóa đối xứng để mã hóa foo.
3. Mã hóa khóa đối xứng bằng một khóa được gieo từ cụm mật khẩu.

Khi đã xong, bạn có thể thay đổi "mật khẩu" bằng cách nhập cụm mật khẩu hiện tại, giải mã khóa đối xứng và sau đó mã hóa nó bằng cụm mật khẩu mới. Điều này tránh quá trình giải mã / mã hóa kéo dài trong trường hợp "foo" rất lớn.

Vậy làm thế nào để nó hoạt động cho nhiều người dùng cần truy cập vào bản rõ của foo? Thực sự khá dễ dàng, bạn chỉ cần tạo một bản sao được mã hóa của khóa đối xứng một lần cho mỗi người dùng. Nói cách khác, làm bước ba cho mỗi người dùng.

Trong thực tế, tất cả những điều này được trừu tượng hóa khỏi tầm nhìn và người dùng cuối chỉ cần xử lý mật khẩu của riêng họ.

Đối với phần 3 của câu hỏi của bạn, khóa của người dùng không được lưu trữ trong nhà của họ. Họ rất có thể sẽ được lưu trữ ở /private/varmột nơi nào đó. Vì vậy, ngay cả khi không có /Usersai đó trước đây có quyền truy cập sẽ có thể mở khóa hệ thống.

* Có thể là Keychain hoạt động khác nhau.