по поводу чтения всей памяти спекулятивным исполнением кода

Открой контору, реализуй, сертифицируй ФСБ и впаривай бюджетникам

Нет, феерический бред.

Уязвимости работают на уровне кеша, afaik

И модули памяти с шифрованием вроде выпускаются, если что.

вкорячить пароль ото всего этого в какой-нибудь eToken (USB-девайс для хранения секретов).

Поправьте если не прав, но ведь содержимое токена всё равно хоть как-то осядает в оперативке. Нет?

Он «осядет» ещё во время ввода. А так при любом методе шифрования есть места, которые не должны читаться левыми процессами.

У AMD для шифрования памяти уже есть PSP, он же TrustZone. Но это не поможет.

Некоторые токены не позволяют отчуждать ключи, и делают свою криптографическую работу сами. Шифрование ГОСТ этим гордится, к примеру.

Так а момент когда ОСь запрашивает сертификат с токена? Ведь в этот момент что-то должно утекать с токена в оперативку.

Надо писать на жабе, дам один хрен кроме GC в кеше ничего нет