Q&A
静的変数なら処理後にクリアすれば済む話だと思いますが、メモリーを使わずに行いたいという話ですか?
Win32アプリケーション内に管理者パスワード込の簡単な名簿(10人前後で名前とIDが入る)を取り扱うプログラムを作成しています。
そこで、パスワードが静的確保の変数に入っているとメモリ内にデータが残ってしまうことを考慮して、簡単な暗号化処理をして保管しようと思いました。しかし、入力等でどうしても生データがメモリに入ってしまうタイミングがあります。その時どのような処理をすべきなんでしょうか?
恐縮ですが皆様のお力添えをよろしくお願いします。
システムの構成はどうなっているのでしょうか? ネットにつながっていて、外部から、入力する? それともシステムのキーボードから、入力する? のでしょうか。キーボード入力ならば、一文字ずつ処理するしかないと思います。
わかりづらいもので申し訳ないです。怖いのがバッファにパスワードが入ってたとして、それを悪意ある何か(人でもプログラムでも)が読み取ってしまうということを避けたいのです。基本、エディットは処理後クリアするようにはしてます。また、データベースから取得したパスワードは暗号化してるので、ソース読まれない限りはわからないようにはなっています。これ以上何か対策をとることはありますでしょうか?
ごめんなさい、操作ミスでベストアンサーが決まってしまいました。大変申し訳ございません。
まだまだ回答受け付けてます。ご協力よろしくお願いします
回答3件
0
メモリ中にパスワード等の重要データを残したままでヒープやスタックを覗かれ、盗まれるようなリスクを減らす為にはその生データを都度、クリアするのはそうとして、加えてWindows固有の事情として標準のmemsetやZeroMemoryではなく、SecureZeroMemoryを使うべき、というのがあります。memsetがコンパイラの最適化で消えてしまう場合がある、と言う事情によります。
IPA ISECセキュアプログラミング講座 より
第7章 データ漏えい対策 - メモリクリア失敗対策
この辺はSecureZeroMemoryで検索すると関連情報がいくつもヒットしますので、観てみることをお勧めします。
投稿2018/06/20 11:43
総合スコア9183
http://www.usefullcode.net/2006/12/securezeromemory.html
こちらで、アセンブラに展開した内容での解説がありました。
ところで、秘匿したい場合に、変数を経由しないようにすると効果あると思います?
saziさん、情報ありがとうございます。より詳しく状況が分かりました。
> 変数を経由しないようにすると効果あると思います?
この点、私もずっと考えていたものの結論に至らなかったことのひとつです。一瞬でも変数(メモリ)を経由すると生データがメモリ上に展開されてしまうわけで、そうだとすると格納してからクリアするまでの時間の長さが問題になってしまうので、根本的には変数を経由しない方がいいはずと思っているのですが。でも、その点に言及した記述が見当たらなかったので、非現実的な懸念事項として考えなくて良いのか、問題とは少し違うかもですが、TPMのようなハードウェアで代替してよりセキュアな方法でさらにリスクを減らすべきなのか。他の有識者の方の意見も伺いたいところです。
よく分からないのが、セキュアなシステムでそんな危険なアプリ(のぞき見)を動かせるのでしょうか? そっちが疑問。ウィルス仕込んで、入力をトラップしたらアウトじゃないでしょうか?
視点が違うのは分かるのですが、状況が見えません。
変数を経由しない場合、右辺から左辺へ転記される際にワーク的な領域を自動で割り当てるような動作をしていると、明示的にクリアできない領域が逆に増えてしまうのかなと考えていました。
pepperleafさん
> セキュアなシステムでそんな危険なアプリ(のぞき見)を動かせるのでしょうか?
できるかできないかでいったらできるかと。例:sysinternal のProcessExplorer
質問が「入力等でどうしても生データがメモリに入ってしまうタイミングがあります。その時どのような処理をすべきなんでしょうか?」ですので、その状況の話で終わって良いのですが、私の興味もあったので話を拡げてしまったかもしれません。すみません。
saziさん
> 変数を経由しない場合、右辺から左辺へ転記される際にワーク的な領域を自動で割り当てるような動作をしていると、明示的にクリアできない領域が逆に増えてしまうのかなと考えていました。
Win32APIの中でそのような操作がされている場合は脆弱性としてレポートされて直される気もしますから、残りはプログラマー自身が不注意で書いてしまうコードに現れそうですね。
極端な話、C++の’=‘演算子オーバーロードで不注意なコードを書くと、それが起きそうです。ネイティブではない、より高度な.NET Framework やスクリプトのようなケースでも明示的にクリアできないケースが多々ありそうです。
考え出すときりがないですね。
簡単である程度効果があるのはプロセスをSYSTEM権限で起動しておけば、SYSTEM権限で動作するプロセス以外からは覗けません。
きりが無いのは本当ですね。現実的な線での指標があればいいのですが。
> SYSTEM権限で起動しておけば、SYSTEM権限で動作するプロセス以外からは覗けません。
なるほど、より権限の高いプロセスに依賴すると言う方法もありそうです。
かなり深い議論になってて驚いてますが、興味深いものでした。参考にさせていただきます
0
ベストアンサー
- パスワードを使用者が入力して認証するシステム
- 想定する環境が、第3者によって悪意あるプログラムが動作している可能性がある
で、よろしいでしょうか?
この場合、私が攻撃者ならば表示を真似た偽画面をだすプログラムを仕込み使用者にパスワードを入力させます。
またキーロガーも有効でしょう。
まずは、環境を整えるべきです
投稿2018/06/20 15:51
編集2018/06/20 15:52
総合スコア15147
パスワードがないと名簿か編集できない仕組みにしてます。
やはり名簿つまり個人情報が入っていますので、管理者のみ編集できるようにはしたいのですが、そのパスワードを打ち込む隙が狙われたり、管理者でないが技術的に詳しい者が悪意を持ってパスワード認証を突破しないようにしたいと思ってます
ご教授よろしくお願いします
あなたの回答
tips
プレビュー
