早在2月,我就写了一篇关于浏览器密码管理器的文章,并提到在决定如何实现功能及其安全性时,了解攻击模型很重要。如果将解密密钥存储在攻击者可以访问的地方,那是浪费时间和精力。这就是为什么物理本地攻击和感染恶意软件的计算机通常不在浏览器攻击模型范围内的原因之一:如果攻击者可以访问密钥,使用加密密钥将无法保护您的数据。Web浏览器存储各种高度敏感的数据,包括密码和cookie(通常包含在功能上等同于密码的身份验证令牌)。在存储这些特别敏感的数据时,Chromium会使用AES256对其进行加密,并将加密密钥存储在OS存储区中,这就是本地数据加密。并非所有浏览器都对数据存储使用加密,例如浏览器缓存不使用加密。如果您的设备有被盗的风险,您应该使用操作系统的全盘加密功能,例如Windows上的BitLocker。配置文件的加密密钥受OSCrypt保护:在Windows上,“操作系统存储”区域是DPAPI;在Mac上,它是钥匙串;在Linux上,它是GnomeKeyring或KWallet。值得注意的是,所有这些商店都使用AES256密钥加密,该密钥使用以用户身份运行的(部分或全部)进程可访问的密钥。这意味着如果您的PC感染了恶意软件,攻击者可以解密对浏览器存储区域的访问。然而,这并不是说本地数据加密完全没有价值,例如,我最近遇到了一个配置有缺陷的网络服务器,允许任何访问者浏览服务器所有者的个人资料(例如c:\users\sally),包括它的铬个人资料。由于配置文件中的浏览器密钥是使用存储在Chrome配置文件外部的密钥加密的,因此它们最敏感的数据仍然是加密的。同样,如果笔记本电脑没有受到全盘加密的保护,本地数据加密将使攻击者变得更加困难。好的,所以本地数据加密可能会有用。那么缺点是什么?明显的攻击是简单且良性的:加密和解密数据最终会降低性能。但是,AES256在现代硬件上速度非常快(>1GB/秒),并且cookie和凭据的数据量相对较小。但更大的风险是复杂性,如果两个密钥(用于加密数据的浏览器密钥或用于加密浏览器密钥的操作系统密钥)中的任何一个出错,用户的cookie和Credential数据将无法恢复。用户将被迫重新登录每个网站,或者将所有凭据重新存储在他们的密码管理器中,或者使用浏览器的同步功能从云端恢复他们的凭据。在Mac上,研究人员最近在Edge中发现了一个漏洞,浏览器无法从OSkeychain中获取浏览器密钥。由于浏览器会提供删除钥匙串(丢失所有数据),因此忽略错误消息并重新启动通常可以解决问题,尽管最近发布了针对该错误的修复程序。在Windows上,DPAPI攻击通常是秘密进行的。通常受害者的数据会消失并且没有消息框。当我在2018年第一次加入Microsoft时,AAD中的一个错误意味着我的操作系统DPAPI密钥已被泄露,导致基于Chromium的浏览器导致lsass在启动时永远持有CPU内核,并且花了数年时间才修复这个错误。最近,研究人员从Windows10上的一些受害者那里听说Edge和Chrome经常删除他们的数据,并且在其他使用DPAPI的应用程序中也看到了类似的效果。处于此状态的用户在Chrome或Edge中访问过chrome://histograms/OSCrypt时,当他们的敏感数据在浏览器会话中首次丢失时(NTE_BAD_KEY_STATE),将在OSCrypt.Win.KeyDecryptionError中看到-2146893813的值,表示OSAPI无法使用当前登录用户的凭据解密浏览器的加密密钥:如果您发现系统处于这种状态,请尝试在PowerShell中运行以下命令:Get-ScheduledTask|foreach{If(([xml](Export-ScheduledTask-TaskName$_.TaskName-TaskPath$_.TaskPath)).GetElementsByTagName("LogonType").'#text'-eq"S4U"){$_.TaskName}}这将列出所有计划任务怀疑使用可能导致易受攻击的DPAPI凭据的S4U功能:WindowsCrypto团队正在积极研究此问题,希望我们能尽快修复。总结一个进程可以要求操作系统解密浏览器的密钥确实是一个有趣的问题,在WindowsChromium上使用DPAPI的CryptProtectData允许任何以用户身份运行的进程发出请求。没有尝试使用额外的熵来进行更好的加密,主要是因为没有地方可以安全地存储额外的熵。在现代Windows上,还有其他机制提供比原始CryptProtectData更高程度的隔离,但完全信任的恶意软件总能找到获取数据的方法。在Mac上,KeychainProtection会限制对数据的访问,因此作为用户运行的每个进程都无法访问该数据,但这并不意味着它可以免受恶意软件的侵害。恶意软件必须改为使用Chrome作为虚假身份,让它执行所有数据解密任务,并通过可扩展接口或其他机制驱动它。进程隔离的机制和约束使针对本地攻击者的整体攻击模型进一步复杂化:例如,如果有人管理一个进程并转储用户级进程的内存,或者向该进程注入一个线程,恶意软件也可以利用窃取数据。本文翻译自:https://textslashplain.com/2020/09/28/local-data-encryption-in-chromium/
