浏览器的本地数据加密机制分析

早在2月，我曾写过有关浏览器密码管理器的文章，并提到在决定如何实施功能及其安全保护时了解攻击模型非常重要。

如果你将解密密钥存储在攻击者可以访问的地方，则纯属浪费时间和精力。这就是为什么物理上本地攻击和感染了恶意软件的计算机通常不在浏览器攻击模型范围之内的原因之一：如果攻击者可以访问密钥，则使用加密密钥将无法保护你的数据。

Web浏览器会存储各种高度敏感的数据，包括密码和cookie(通常包含功能上与密码等效的身份验证令牌)。当存储此特别敏感的数据时，Chromium使用AES256对其进行加密，并将加密密钥存储在OS存储区中，以上过程就是本地数据加密。并非所有浏览器的数据存储都使用加密，例如，浏览器缓存不使用加密。如果你的设备有被盗的危险，则应使用操作系统的全盘加密功能，例如Windows上的BitLocker。

配置文件的加密密钥受OSCrypt保护：在Windows上，“操作系统存储”区域为DPAPI;在Mac上是钥匙串;在Linux上，它是Gnome Keyring或KWallet。

值得注意的是，所有这些存储区均使用可作为用户运行的(某些或全部)进程可访问的密钥对AES256密钥进行加密。这意味着，如果你的PC感染了恶意软件，则攻击者可以解密访问浏览器的存储区。

但是，这并不是说本地数据加密完全没有价值，例如，我最近遇到了一个配置漏洞的网络服务器，该网络服务器允许任何访问者浏览服务器所有者的个人资料(例如c：\ users \ sally)，包括其Chrome个人资料夹。由于配置文件中的浏览器密钥是使用存储在Chrome配置文件外部的密钥加密的，因此它们最敏感的数据仍保持加密状态。

同样，如果笔记本电脑未受到全盘加密保护，则本地数据加密将使攻击者的攻击更加艰难。

好的，因此本地数据加密可能很有用。那不利之处是什么?

显而易见的攻击是简单温和的：加密和解密数据最终会降低性能。但是，AES256在现代硬件上非常快(> 1GB /秒)，并且cookie和凭据的数据大小相对较小。但更大的风险是复杂性，如果两个密钥(用于加密数据的浏览器密钥或用于加密浏览器密钥的操作系统密钥)中的任何一个出问题，则用户的Cookie和凭据数据将无法恢复。用户将被迫重新登录每个网站，并将所有凭据重新存储在其密码管理器中或使用浏览器的同步功能从云中恢复其凭据。

在Mac上，研究人员最近在Edge发现了一个漏洞，即浏览器无法从OS钥匙串获取浏览器密钥。由于浏览器将提供删除钥匙串(丢失所有数据)的功能，但是忽略漏洞消息并重新启动通常可以解决问题，不过最近该漏洞的修复程序已经发布了。

在Windows上，DPAPI漏洞通常是隐蔽进行的。通常受害者的数据消失，并且没有消息框。

当我于2018年首次加入Microsoft时，AAD中的一个漏洞意味着我的OS DPAPI密钥已被破坏，导致基于Chromium的浏览器在启动时会导致lsass永远保留CPU内核，解决此漏洞需要花费数月的时间。

最近，研究人员从Windows 10上的一些受害者那里听说Edge和Chrome经常删除他们的数据，在其他使用DPAPI的应用程序中也看到了类似的效果。

处于此状态的用户在浏览器会话中首次发现其敏感数据丢失的情况下，在Chrome或Edge中访问了chrome://histograms/OSCrypt的用户将在OSCrypt.Win.KeyDecryptionError中看到值为-2146893813(NTE_BAD_KEY_STATE)的条目，表明OS API无法使用当前登录用户的凭据来解密浏览器的加密密钥：

如果你发现系统处于这种状态，请尝试在PowerShell中运行以下命令：

Get-ScheduledTask | foreach { If (([xml](Export-ScheduledTask -TaskName $_.TaskName -TaskPath $_.TaskPath)).GetElementsByTagName("LogonType").'#text' -eq "S4U") { $_.TaskName } } 

这将列出怀疑使用S4U功能的所有计划任务，这些任务可能会导致漏洞的DPAPI凭据：

Windows Crypto小组正在积极研究此问题，希望我们会尽快修复。

总结

进程可以要求操作系统解密浏览器的密钥确实是一个很有趣的问题，在Windows上，Chromium使用DPAPI的CryptProtectData允许任何以用户身份运行的进程发出请求。没有尝试使用附加的熵来进行更好的加密，这主要是因为没有地方可以安全地存储该附加的熵。在现代Windows上，还有一些其他机制可以提供比原始CryptProtectData更高的隔离度，但是完全信任的恶意软件总是能够找到获取数据的方法。

在Mac上，钥匙串保护功能会限制对数据的访问，因此，以用户身份运行的每个进程都无法访问该数据，但这并不意味着该数据可以免受恶意软件的攻击。恶意软件必须改为将Chrome用作伪造的身份，使其执行所有数据解密任务，并通过可扩展性接口或其他机制来驱动它。

进程隔离的机制和约束进一步使针对本地攻击者的总体攻击模型更加复杂：例如，如果一个管理进程并转储用户级进程的内存，或者向该进程注入线程，恶意软件也可以在浏览器解密后窃取数据。

本文翻译自：https://textslashplain.com/2020/09/28/local-data-encryption-in-chromium/