从内存中清除 C# 字符串

Clear C# String from memory

出于安全原因,我正在尝试清除 C# 字符串的内存内容。 我知道 SecureString class,但不幸的是我不能在我的应用程序中使用 SecureString 而不是 String。需要清除的字符串是在运行时动态创建的(例如,我不是要清除字符串文字)。

我发现的大多数搜索结果基本上都是说清除 String 的内容是不可能的(因为字符串是不可变的),应该使用 SecureString

因此,我确实在下面提出了自己的解决方案(使用不安全代码)。测试表明解决方案有效,但我仍然不确定解决方案是否有问题?还有更好的吗?

static unsafe bool clearString(string s, bool clearInternedString=false) 
{
    if (clearInternedString || string.IsInterned(s) == null)
    {
        fixed (char* c = s)
        {
            for (int i = 0; i < s.Length; i++)
                c[i] = '[=10=]';
        }
        return true;
    }
    return false;
}

编辑: 由于 GC 在调用 clearString 之前移动字符串的评论:以下代码段如何?

string s = new string('[=11=]', len);
fixed (char* c = s)
{
    // copy data from secure location to s
    c[0] = ...;
    c[1] = ...;
    ...

    // do stuff with the string

    // clear the string
    for (int i = 0; i < s.Length; i++)
        c[i] = '[=11=]';
}

你的问题是字符串可以移动。如果 GC 运行,它可以将内容移动到新位置,但不会将旧位置清零。如果您确实将有问题的字符串清零,则无法保证它的副本不存在于内存中的其他位置。

这是 .NET 垃圾收集器的 link,它讨论了压缩。

编辑: 这是您的更新问题:

// do stuff with the string

问题在于,一旦它脱离了您的控制,您就失去了确保其安全的能力。如果它完全在您的控制之下,那么您将不会受到仅使用字符串类型的限制。简而言之,这个问题已经存在很长时间了,而且还没有人想出一个安全的方法来处理这个问题。如果您想保证它的安全,最好通过其他方式处理。清除字符串是为了防止有人通过内存转储找到它。如果您不能使用安全字符串,最好的停止方法是限制对代码 运行 所在机器的访问。

除了标准的 "You're stepping into unsafe territory" 答案(我希望它能自我解释)之外,请考虑以下内容:

CLR 不保证在任何给定点只有一个字符串实例,也不保证字符串将被垃圾回收。如果我要执行以下操作:

var input = "somestring";
input += "sensitive info";
//do something with input
clearString(input, false);

这样做的结果是什么? (假设我没有使用字符串文字,而是来自某种环境的输入)

使用 "somestring" 的内容创建了一个字符串。另一个字符串是用 "sensitive info" 的内容创建的,另一个字符串是用 "somestringsensitive info" 的内容创建的。只有后一个字符串被清除: "sensitive info" 不是。它可能会或可能不会立即被垃圾收集。

即使您小心确保始终清除任何包含敏感信息的字符串,CLR 仍然不能保证只存在一个字符串实例。

编辑: 关于您的编辑,只需立即固定字符串可能会产生预期的效果 - 无需将字符串复制到其他位置或任何其他位置。您确实需要在收到所述字符串后立即执行此操作,并且还有其他安全问题需要担心。你不能保证,例如,字符串的来源在它的内存中没有它的副本,没有清楚地理解来源和它究竟是如何做的。

出于明显的原因,您也将无法改变此字符串(除非改变后的字符串与字符串的大小完全相同),并且您需要非常小心,以防您正在做的任何事情都不会受到影响不属于该字符串的内存。

此外,如果您将它传递给其他不是您自己编写的函数,它可能会也可能不会被该函数复制。

无法判断您的字符串在到达您尝试清除它的函数之前经过了多少个 CLR 和非 CLR 函数。这些函数(托管和非托管)可能会出于各种原因(可能是多个副本)创建字符串的副本。

你不可能知道所有这些地方并如此真实地清除它们,你不能保证你的密码从记忆中清除。您 应该 改用 SecureString 但您需要了解以上内容仍然适用:在您的程序中的某个时刻您将收到密码并且您必须将其输入内存(即使只是在您将其移动到安全字符串中时的一小段时间内)。这意味着您的字符串仍将通过您无法控制的函数调用链。

如果你真的无法使用 SecureString,并且你愿意编写不安全的代码,那么你可以编写自己的简单字符串 class,它使用非托管内存并确保所有内存在释放之前被清零。

但是,您永远无法真正确保您的数据安全,因为您永远无法完全控制它。例如,嵌入足够深的病毒可以在程序 运行ning 时读取该内存,这也是进程终止的可能性,在这种情况下,析构函数代码不会 运行,将数据留在未分配的内存中,该内存可以分配给另一个进程,并且它最初仍将包含您的敏感数据;有人可以轻松地使用诸如 visual studio 之类的工具来监视被调试进程的内存,或者编写一个程序来分配内存并在其中搜索敏感数据。

作为 SecureString 的用户,我有时会从常规字符串中获取输入,并且一旦我将其放入 SecureString 中,就会将传入的字符串内存固定为零,就像您正在做的那样。 然后我 运行 遇到了一个奇怪的错误,其中来自第 3 方库 (Redis) 的内存被归零。事实证明,第 3 方库有两个字符串实例,其内容与测试输入的常规字符串 ("password") 完全相同。显然.NET 优化了所有 3 个字符串以指向相同的内存缓冲区。因此,当我固定字符串的 'own' 内存并将其归零时,结果我也将第 3 方库内存归零。然后 Redis 客户端库无法解析连接字符串,错误是 "password" 不是可识别的键。 所以我从惨痛的教训中学到的教训是不要将一个字符串的内存归零,因为它也可能是另一个具有相同内容的字符串的内存。