1
我一直在研究如何最好地在代碼中存儲加密密鑰。很多人給出的答案和建議是不要這樣做,因爲它可以從代碼中獲得。例如... http://bit.ly/16wpVU。你有沒有從代碼中提取存儲的加密密鑰
所以我的問題是,你有沒有這樣做?或者至少你是否完成了這項工作,但可能用於其他目的?它究竟做了什麼,以至於如果決定在代碼中隱藏加密密鑰,人們可以更好地爲它做好準備?
感謝 何塞
A
回答
2
我曾經做兼容性測試,我們的套房-B鍵談判VS微軟的所得鍵只是不符合某些密碼套件。使用WinDBG,我能夠逐步完成反彙編,確定其DLL中的關鍵入口點,找出各種關鍵組件的來源,以及確定其代碼與rfc分離的確切位置。 (奇怪的是,事實證明rfc是錯誤的。)
你當然想避免把密碼放在明碼中。我會建議使用一些其他數據的散列作爲您的密鑰。
之後,我的擔心是一個調試人員。我確信還有其他人花時間思考如何使事物不可剝奪,但我個人發現難以調試的是在不同的上下文中發生的行爲:狀態機,每執行一次,每次執行一次進程,中斷處理程序等。當你無法在源代碼中插入調試中斷時,很難在其中獲得調試器。
+0
會通過適合這些行的異常拋出密鑰? – 2012-07-26 18:06:10
+0
......或者只是讓攻擊者可以在異常上設置一個斷點而變得更簡單?你的第一個問題,如何打破,我可以回答。如何保護它會陷入困惑,這是我沒有資格解決的領域。 – tbroberg 2012-07-27 03:29:48
相關問題
- 1. Android的密鑰存儲提供商 - 如何存儲密鑰
- 2. 如何在JSONStore中存儲加密密鑰/密碼
- 3. 存儲加密密碼和salt或僅存儲加密密碼?
- 4. 從密鑰代碼解析密鑰
- 5. 春季啓動 - 密鑰存儲密碼的代碼
- 6. Java:從編碼密鑰獲取密鑰
- 7. git svn:沒有存儲svn的密碼
- 8. 從json中提取密鑰
- 9. 密碼加密和密碼存儲 - Perl
- 10. 從加密鑰匙從內存加密++
- 11. 從密碼導出加密密鑰
- 12. 存儲密鑰
- 13. oracle存儲過程加密密鑰
- 14. AES加密和密鑰存儲?
- 15. 使用Monotouch存儲和讀取密碼鑰匙密碼
- 16. 在加密的cookie中存儲密碼?
- 17. asp.net生成沒有密鑰存儲的RSA公鑰對
- 18. 解密存儲Java密鑰存儲
- 19. 從沒有密鑰的代碼創建XAML資源
- 20. 在加密++中加載PEM編碼的私有RSA密鑰
- 21. 從Java密鑰庫中提取密碼哈希
- 22. 即使我沒有存儲密碼,程序是否可以存儲密碼?
- 23. 從配置源加載和存儲加密密鑰
- 24. 將加密密碼存儲在xml中
- 25. EntityType'IdentityUserLogin'沒有定義密鑰/ EntityType'IdentityUserRole'沒有定義密鑰
- 26. 沒有密鑰存儲可能上傳到Google Play中的phoneGap
- 27. indexeddb從對象存儲獲取所有密鑰
- 28. xamarin ios。沒有有效的iOS代碼簽名密鑰
- 29. 在.NET中存儲加密/解密密鑰
- 30. 添加密碼到沒有鑰匙串的私鑰ACL
我向你保證,如果你把密鑰放在可執行文件的任何地方,它將**被找到。 – 2012-07-26 04:23:27
如果你使用的是Linux或類似的操作系統,那麼'strings'通常已經可以解決問題了......更復雜的技術可以通過調試器來解決。永遠不要硬鍵編碼。 –
emboss
2012-07-26 11:27:27
@emboss,你知道這種情況嗎?我所承認的是,人們往往只是重複他們在互聯網上聽到的內容,而沒有真正的權威來源。你知道一篇好的文章,書籍,任何細節或者例子嗎? – 2012-07-26 14:11:12