Faire Une Sauvegarde De Secret, C'est Une Faille De Sécurité
FleetingQuand on discute de stockage de secret de façon sécurisé, on se pose la question de la sauvegarde.
J’entends parfois émettre des avis qui contredisent la logique (de mon point de vue).
Voici quelque liens logiques à garder en tête.
- si je veux que seul le système ait accès au secret (comme dans le cas de la clé du sgx)
- alors personne d’autre ne peut accéder au secret
- alors si le système casse, personne ne pourra jamais accéder au secret
Par contraposée, on obtient
- si je suis capable de récupérer le secret à partir des sauvegardes du système
- alors je suis une personne extérieure au système qui a eu accès au secret
- cela contredit « seul le système a accès au secret »
Aussi, j’entends parfois l’avis qu’un système n’est pas « bon », car il contient des failles de sécurités. Il est bon alors de rappeler les frontières entre le domaine de confiance et le domaine de non-confiance. Car :
- je veux pouvoir récupérer un secret dans un système
- alors le système doit avoir un moyen d’identifier que je suis qui je prétend être
- alors quiconque fournit les même informations peut récupérer le secret
Je pense que cette vignette de xkcd résume assez bien ce point :
En bref, on devrait considérer la sécurité d’un système par rapport à :
- son domaine de confiance
- le compromis qu’on veut faire avec l’aspect pratique d’un système
Rappelons qu’un système sûr est un système mort.