从SecureString创建byte array(unicode编码)的最佳方法是什么?
我想将解密的DEK密钥存储在内存中,解密过程由Azure.KeyVault(api)完成,它会生成字节数组。
var keyBytes = client.DecryptAsync(url, keyName, keyVersion, algorithm, encryptedKeyBytes).GetAwaiter().GetResult().Result;
我已经创造了类似的东西,但我并不为这种实施感到骄傲。
var secureKey = new SecureString();
var secureKeyCharArray = Encoding.Unicode.GetChars(keyBytes);
for (int i = 0; i < keyBytes.Length; i++)
{
keyBytes[i] = 0;
}
for (int i = 0; i < secureKeyCharArray.Length; i++)
{
secureKey.AppendChar(secureKeyCharArray[i]);
secureKeyCharArray[i] = (char)0;
}
secureKey.MakeReadOnly();
将DEK密钥重写为SecureString变量后,我清理了两个数组:secureKeyCharArray和keyBytes,但我不知道这已经足够了。
你知道一些更好的解决方案吗?也许一些nuget包?或者也许我的想法是错的?
感谢您的任何建议。
===已编辑=========================================== ====================
但是,如果我们专注于在存储器中存储安全数据,您是否知道比SecureString更好的解决方案?使用这种类型有点困难,例如从那个vartiable中读取密钥我正在使用类似的东西:
IntPtr unmanagedString = IntPtr.Zero;
try
{
unmanagedString = Marshal.SecureStringToGlobalAllocUnicode(securePassword);
return Marshal.PtrToStringUni(unmanagedString);
}
finally
{
Marshal.ZeroFreeGlobalAllocUnicode(unmanagedString);
}
我不知道生产目的可以使用Marshal类。
答案 0 :(得分:1)
最明显的问题是:
.GetAwaiter().GetResult().Result;
你应该几乎从不这样做; await会更好:
var keyBytes = await client.DecryptAsync(url, keyName, keyVersion,
algorithm, encryptedKeyBytes);
在不完整的等待操作上使用.GetAwaiter().GetResult().Result;会导致硬死锁。更一般地说,如果您知道(通过检查IsCompleted,或者因为您已等待)已完成,您应该只尝试访问结果。
至于其余部分:这取决于你的目标是什么;并注意是 SecureString 比string 更安全,但它在强烈意义上实际上并不安全 - 恶意用户仍然可以逆转它。这主要是不便,这使得内存扫描程序难以查找数据。除此之外,你看起来还不错?请注意,如果您想避开AppendChar循环,可以在fixed块中使用unsafe,并使用带有char*和int的构造函数,但这仅仅是一次性能调整。当然,您仍然需要手动擦除源阵列。如果你正在走这条路线,并且密码不是很大,那么你实际上可以stackalloc一个块来解码,而不是将secureKeyCharArray作为一个数组。您完成后仍需要手动擦除stackalloc区域。