What happens if a secret key is leaked from Intel CPU? You can't stop it. Which is the most powerful security?

What happens if a secret key is leaked from Intel CPU?

You can't stop it. What is the most powerful security option?

You believe that you are probably safe enough because you use the security of a large company. But there is no security in the world that is strong enough, and it is very dangerous to believe that your privacy and security are dependable because they are published in certain standards, NDA, protocols, papers and policies.

People who develop these security issues generally think that "wouldn't it be everybody's problem if it happened"? Everyone's problem are not my responsibility, so they take it boldly. It is not my responsibility if others have also adopted this security system. As we know, it's not my fault if the security system that everyone adopts has a problem.

When there is a problem, they say, "I'm very sorry." But that's the end of them. Regretful expressions are theirs and it is us who are damaged. I don't remember a big company compensating me for leaking information.

We didn't pay for the security system they sold. We can't sue because we used their security system for free. Even if you paid for it, they've already made an excuse to escape. It's impossible for you to sue a big company.

Your security must be on your own. The most powerful security I know is End 2 End Security. E2E security does not conflict with existing security. In other words, add your E2E security to the place where the Plain Text will be located, while using existing security. It's like a double lock. It is like the principle that the front door is protected even if the gate is opened.

In fact, the strongest security is HSM. A well-designed HSM cannot actually be hacked within the scope of a security threat model. Common sense is that it is almost impossible to bring in HSM semiconductors directly from a hacking target and physically pierce the chip to take data. Indeed, strong security is the use of multiple layers of encryption by using semiconductors and then using software to encrypt again.

Isn't it a simple logic not to trust anyone when it comes to security?

http://blog.ptsecurity.com/2018/10/intel-me-manufacturing-mode-macbook.html

----------------------------------------------

인텔 CPU 에서 비밀키가 유출된다면 어떻게 될까? 당신은 막을 수도 없다. 어떤것이 가장 강력한 보안인가?

당신은 큰 회사의 보안을 사용하기 때문에 아마도 충분히 강하다고 당신은 믿는다. 그런데 충분하게 강한 보안이란 것은 세상에 없다. 그리고 당신의 개인정보와 보안을 믿는 이유가 어떤 규격, NDA, 프로토콜, 논문, 정책에 발표되었기 때문에 안전하다고 믿는것은 매우 위험하다. 

이런 보안문제를 개발하는 사람의 일반적인 공통점은 "문제가 생기면 모두의 문제가 될수 있는가" 를 가장 우선 순위로 생각한다. 모두의 문제는 내 책임이 아니므로 그들은 과감하게 도입한다. 남들도 이 보안시스템을 도입했다면 내 책임은 아닌것이다. 우리가 알고 있듯이 모두가 채택하는 보안 시스템이 문제가 되었다면 내 잘못만도 아닌것이다. 

문제가 생기면 "매우 유감입니다" 라고 표현을 하고는 한다. 그런데 그것으로 그들은 끝이다. 유감표현은 그들의 몫이고 우리는 피해를 당한다. 대기업이 정보유출로 보상을 해준 기억이 없다. 

우리는 그들이 판매하는 보안시스템을 돈주고 사지 않았다. 우리는 그들의 보안 시스템을 공짜로 사용했기 때문에 뭐라고 소송할 수도 없다. 설사 당신이 비용을 지불했다고 하더라도 그들은 이미 빠져나갈 구실을 만들어 놓았다. 당신이 대기업과 소송을 하는 것은 불가능 하다.

당신의 보안은 스스로 지켜야 한다. 내가 알기로 가장 강력한 보안은 End 2 End 보안이다. E2E 보안은 기존의 보안과 충돌하지 않는다. 즉 기존의 보안을 사용하면서 그 Plain Text 가 들어갈 자리에 당신의 E2E 보안을 추가하는 것이다. 즉 이중 자물쇠 같은 것이다. 대문이 뚫려도 현관문이 지키고 있는 원리와 같다.

사실 가장 강력한 보안은 HSM 이다. 잘 설계된 HSM 은 실제로 보안위협모델 범위 안에서 해킹할 수 없다. 상식적으로 해킹대상의 HSM 반도체를 직접 가져와서 그 칩을 물리적으로 뚫어서 데이터를 가져가는 일은 거의 불가능 하다. 정말 강한 보안은 반도체를 사용한 물리적보안으로 암호하고 소프트웨어를 사용해서 다시 암호하여 여러겹으로 중복해서 사용하는 것이다.

아무도 믿지 마라는 것은 보안의 ABC 아닌가?