La guía o código que verás en este artículo es la resolución más rápida y efectiva que hallamos a tus dudas o dilema.
Solución:
Sin agregar ningún hardware adicional, ¿es posible el cifrado de RAM?
Seguro.
Puede cifrar lo que quiera en la RAM, al igual que cifra todo lo demás.
La pregunta más interesante es “¿dónde están los keys”. Puedes simplemente dejar el keys también en la RAM o dárselos al sistema operativo, que también los almacenará en la RAM.
Puede aplicar algunas de las técnicas sofisticadas propuestas por Schneier et. Alabama. en Ingeniería Criptográfica, es decir, one-time-pad cifrar el key a sus datos, almacene el pad en RAM y descifre los datos solo cuando sea necesario.
Si es así, ¿hay implementaciones conocidas y utilizadas actualmente para sistemas Linux o Windows?
Windows ofrece la API de protección de datos (DPAPI), lo que le permite cifrar datos utilizando las credenciales de inicio de sesión del usuario. Sé que al menos algunos administradores de contraseñas (como KeePass) usan esto para proteger las contraseñas valiosas en la RAM.
Usando un Modulo de plataforma confiable (TPM; que se vuelven cada vez más populares ya que Windows ahora los requiere) o algún otro hardware dedicado de hecho resolvería mejor el problema descargando el key a un lugar de confianza en caso de que la memoria RAM se vea comprometida.
Sin embargo, hay una solución que se está implementando en este momento: Extensiones de protección de software de Intel (SGX), envío con Skylake y CPU más nuevas. Le permiten cargar un programa en su procesador, verificar que su estado sea correcto, de forma remota, y luego proteger su ejecución. La CPU cifrará automáticamente todo lo que sale del procesador (es decir, todo lo que se descarga en la RAM) y, por lo tanto, garantizará su seguridad. El único problema para la implementación masiva es que SGX requiere que tenga un código firmado que su procesador aceptará, es decir, Intel debe emitirle un certificado para este fin.
Absolutamente, especialmente si está utilizando RAM como almacenamiento no persistente, en cuyo caso puede cifrarlo como cualquier disco, archivo o directorio después de particionarlo y montarlo en el espacio de nombres.
Sin embargo, los datos del programa ejecutable deben existir como “texto sin formato” en la memoria en algún momento, por lo que no es efectivo intentar proteger la memoria del núcleo y del programa de esta manera.
Las herramientas necesarias son simples y ubicuas (openssl, etc).
Reseñas y calificaciones
Recuerda que puedes mostrar esta sección si si solucionó tu problema.