从 byte array 创建 SecureString(unicode 编码)的最佳方法是什么?
我想将解密的 DEK key 存储在内存中,解密过程由 Azure.KeyVault(api) 进行,结果生成字节数组。
var keyBytes = client.DecryptAsync(url, keyName, keyVersion, algorithm, encryptedKeyBytes).GetAwaiter().GetResult().Result;
我已经创建了类似的东西,但我对这些实现并不感到自豪。
var secureKey = new SecureString();
var secureKeyCharArray = Encoding.Unicode.GetChars(keyBytes);
for (int i = 0; i < keyBytes.Length; i++)
{
keyBytes[i] = 0;
}
for (int i = 0; i < secureKeyCharArray.Length; i++)
{
secureKey.AppendChar(secureKeyCharArray[i]);
secureKeyCharArray[i] = (char)0;
}
secureKey.MakeReadOnly();
将 DEK key 重写为 SecureString 变量后,我正在清理两个数组:secureKeyCharArray 和 keyBytes 但我不知道这是否足够。
对于这种情况,您知道更好的解决方案吗?也许一些nuget包?或者也许我的整个想法是错误的?
感谢任何建议。
=== 已编辑 =========================================== ====================
但是如果我们专注于在内存中存储安全数据,您是否知道比 SecureString 更好的解决方案?使用这种类型有点困难,例如从我正在使用的变量中读取 key :
IntPtr unmanagedString = IntPtr.Zero;
try
{
unmanagedString = Marshal.SecureStringToGlobalAllocUnicode(securePassword);
return Marshal.PtrToStringUni(unmanagedString);
}
finally
{
Marshal.ZeroFreeGlobalAllocUnicode(unmanagedString);
}
我不知道出于生产目的是否可以使用编码(marshal)类。
最佳答案
最明显的问题是:
.GetAwaiter().GetResult().Result;
你应该几乎永远不要那样做; await 会更可取:
var keyBytes = await client.DecryptAsync(url, keyName, keyVersion,
algorithm, encryptedKeyBytes);
在未完成的可等待操作上使用 .GetAwaiter().GetResult().Result; 会导致硬死锁。更一般地说,只有当您知道(通过检查IsCompleted,或者因为您已经等待)它是完整的时,您才应该尝试访问结果。
至于其他:这真的取决于你的目标是什么;并注意 yes SecureString 比 string 更安全,但从强意义上说它实际上并不安全- 恶意用户仍然可以逆转它。这主要是一种不便,并且使内存扫描器难以找到数据。除此之外,你有什么看起来还好吗?请注意,如果您想避免 AppendChar 循环,您可以在 unsafe block 中使用 fixed 并使用采用 的构造函数>char* 和 int,但这只是性能调整。当然,您仍然需要手动删除源阵列。如果你走那条路,并且密码不大,你实际上可以 stackalloc 一个 block 来解码,而不是将 secureKeyCharArray 作为数组。完成后,您仍然需要手动删除 stackalloc 区域。
关于c# - 将字节数组转换为 SecureString,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48339486/