在 Go 中覆盖私钥

Question

在服务器端 Go 代码中，我获取私钥并使用它们来签署断言，但我不想将它们留在内存中。以下是正常的吗？

    var private ed25519.PrivateKey

    // acquire and use the private key

    // now I want to overwrite it so it's not lurking in memory
    privKeyBytes := []byte(private)
    _, _ = rand.Read(privKeyBytes)

Answer 1

是的，在大多数情况下应该覆盖关键字节。

请注意，目前 Go CMS 垃圾收集器是非移动分代 GC，这意味着如果你不复制对象，则 GC 不会制作副本。这是实施细节，但将来可能会发生变化。

此外，// acquire and use the private key 部分，根据它的作用，也可能将密钥泄漏到堆上。例如，读取 PEM 格式的文件可能会泄漏 PEM 编码的字符串。

要真正确定，请在覆盖密钥后立即进入 gdb 并将整个堆转储到文件中。然后在其中搜索关键字节。

$ go build -gcflags "-N -l"
$ gdb ./test
(gdb) source /usr/go/src/runtime/runtime-gdb.py
Loading Go Runtime support.
(gdb) b test.go:16
(gdb) r
Thread 1 "test" hit Breakpoint 1, main.main () at test/test.go:16
(gdb) info i
  Num  Description       Executable
* 1    process 14176     test/test
(gdb) (Ctrl-Z)
[1]+  Stopped                 gdb ./test
$ cat /proc/14176/maps|grep '\[heap\]'|(read a; x=(${a//-/ }); dd if=/proc/14176/mem bs=4096 iflag=skip_bytes,count_bytes skip=$((0x${x[0]})) count=$((0x${x[1]}-0x${x[0]})) of=heap.bin)
$ grep -obUaP "\x01\x02\x03..." heap.bin
$ fg
(gdb) q

在 Go 中覆盖私钥

Overwrite private key in Go

go

public-key

private-key