Security 从内存中显式删除敏感数据?
维基解密最近的泄密: 明确删除敏感数据(加密密钥、原始收集) 数据、外壳代码、上传的模块等)在 不再需要纯文本形式的数据 在终止时,不要依赖操作系统来执行此操作 执行 我是*nix世界的开发者;我认为这仅仅是改变变量的值(确保我不通过值传递,而是通过引用传递);如果它是一个100个字符的字符串;正在写入0,即101个字符。真的这么简单吗?如果没有,为什么要这样做,应该做些什么 注:有类似的问题问这个问题;但这是在C#和Windows世界。所以,我不认为这个问题是重复的。Security 从内存中显式删除敏感数据?,security,memory,Security,Memory,维基解密最近的泄密: 明确删除敏感数据(加密密钥、原始收集) 数据、外壳代码、上传的模块等)在 不再需要纯文本形式的数据 在终止时,不要依赖操作系统来执行此操作 执行 我是*nix世界的开发者;我认为这仅仅是改变变量的值(确保我不通过值传递,而是通过引用传递);如果它是一个100个字符的字符串;正在写入0,即101个字符。真的这么简单吗?如果没有,为什么要这样做,应该做些什么 注:有类似的问题问这个问题;但这是在C#和Windows世界。所以,我不认为这个问题是重复的。 在完成这些秘密之后,立即
在完成这些秘密之后,立即清除秘密(密码、密钥等)是相当标准的做法。困难在于如何处理可能妨碍您的语言和平台特性
例如,如果编译器确定写后没有读取数据,C++编译器可以调用<代码> MyStuts<代码>。或者操作系统可能已经分页了,这样可能会留下可用的数据 我是*nix世界的开发者;我认为这仅仅是 更改变量的值(确保不传递值;以及 而是通过引用);如果它是一个100个字符的字符串; 正在写入0,即101个字符。真的这么简单吗?如果没有,, 为什么以及应该做些什么 应该是这么简单。魔鬼在于细节- 内存分配函数(如realloc)不能保证不占用内存(您不应该依赖它们以这种或那种方式完成—另请参见)。如果您分配1K内存,然后将其重新分配到10K,那么您原来的K可能仍在其他地方,包含其敏感负载。然后,它可能会被另一个不敏感的变量或缓冲区分配,也可能不会,通过新变量,它可能会访问部分或全部旧内容,就像某些文件系统上的空闲空间一样
- 手动调零内存(对于大多数编译器,
和bzero
都算作手动循环)可能会被轻松地优化掉,尤其是在对局部变量进行调零时(,有解决方法)memset - 有些函数可能会在本地缓冲区或它们分配和释放的内存中留下“跟踪”
- 在某些语言和框架中,数据的整个部分最终可能会被移动(例如@gene注意到的所谓“垃圾收集”期间)。您可以告诉GC不要处理您的敏感区域,或者以其他方式“固定”敏感区域,如果是这样,则必须这样做。否则,数据可能会以多个部分副本的形式结束
- 信息可能已经通过并留下了您不知道的痕迹(简单的示例:通过网络发送的密码可能会在网络库读取缓冲区中保留)
- 活动内存可能被换出磁盘
realloc a at 19828752 is Hello...world
a at 19828752 is 8????...world, b at 19830832 is Hey!
当然,所有这些都取决于信息的敏感程度以及攻击面可能是什么(强制xkcd参考:)。使用映像重新启动电脑可能是一种可行的选择。设想一台双引导计算机,将memtest86设置为测试内存,并将电脑断电作为默认引导选项。当您想关闭系统时。。。你可以重新启动它。电脑将重新启动,默认情况下输入memtest86,在永久断电之前,它将开始用0和1组成的行进队伍填充所有可用的RAM。幸运的是,我找到了关于特定gcc“bug”(这不是一个bug-优化器按预期工作)的讨论,并找到了解决方法。您忘记了一点:在使用分代垃圾收集等语言的情况下,收集器可以在程序运行时或多或少地将数据复制到新位置,这是它看不见的。拷贝在数据的上一代中被留下。一个能抓拍竞技场的坏蛋可以看到你的程序的一大块前镜头
a at 19828752 is Hello...world
a at 19828752 is 8????...world, b at 19830832 is Hey!