clang/gcc是否优化密码变量清除功能

does clang/gcc optimize password variable clearing function

我们担心恶意程序会尝试从 RAM 中读取密码。所以我们写了一个函数来覆盖密码变量,然后释放它。我们担心的是像 clang 或 gcc 这样的智能编译器会优化这个函数中的代码。该函数将字符串中的每个字符更改为空字节,然后释放该变量。

void free_pword(char* pword) {
    char* pword_original = pword;
    char c;

    while ((c = *(pword++))) {
        *pword = '[=11=]';
    }

    free(pword_original);
}

现在是我们的问题。我们需要这样做吗?如果不是,为什么?如果我们确实需要这样做,我们如何确保覆盖不会被优化掉?

########### 编辑 1:(2015 年 2 月 11 日)

亲爱的来自未来的人们:这是我们到目前为止已经弄清楚的...

我查看了原始汇编代码(来自 gcc)以确定代码是否被优化掉了,事实并非如此。我决定添加 volatile 以防优化器在更新中发生变化。

测试的 gcc 版本。

$ gcc -v
Configured with: --prefix=/Applications/Xcode.app/Contents/Developer/usr --with-gxx-include-dir=/Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/MacOSX10.10.sdk/usr/include/c++/4.2.1
Apple LLVM version 6.0 (clang-600.0.56) (based on LLVM 3.5svn)
Target: x86_64-apple-darwin14.1.0
Thread model: posix

我没有做出并接受我自己的回答,因为我不能 100% 确定这对所有编译器都是安全的。编译器方面的高手或许可以肯定的回答。

如果您需要像我们一样在释放之前安全地删除密码,请使用您的编译器测试此功能并查看原始程序集。您不必了解程序集,只需确保调用了 ___bzero 函数 (memset) 和 _free 函数即可。

当前工作版本:

void free_pword(char * pword) {
    //instead of changing the argument to the function, I added a volatile variable
    //this was I don't have to change the calls to this function to remove warnings
    char volatile * volatile_pword = pword;
    memset((char *)volatile_pword, 0, strlen((char *)volatile_pword));
    free((char *)volatile_pword);
}

编译器完全有可能优化对 memset 的调用。这就是为什么有像 memset_s (C11) 和 explicit_bzero (BSD) 这样的函数来安全擦除内存块的原因。

我还认为使用 volatile 函数指针比强制转换为指向 volatile 的指针更可靠:

void *(*volatile forced_memset)(void *, int, size_t) = memset;

可以在此 great thread on the musl mailing list. There you'll also find a pointer to this interesting post on how to portably test whether any of these approaches work 中找到更多技巧,例如插入 asm 语句或内存屏障。