.NET安全系列之五:数据保护API
从Windows 2000开始,Windows操作系统提供了一套密码学方面的API,称为DPAPI(Data Protection API,数据保护API)。系统中的这套API由crypt32.dll实现,它使用当前用户的登录用户名/密码对来管理密钥。它可以用于标识一个进程、Windows会话或目前使用的机器,从而在用户、进程、会话或机器级别上加密数据从而确保其机密性。同时使用DPAPI可以使我们不用再负责密钥的管理。
深入一些,这套API还可以管理对用户密码的修改。例如,如果为某个特定用户将数据加密保存后,即使该用户的密钥发生了变化,仍然可以使用那些数据。这项功能依靠保存过期密钥这一机制实现的。
使用System.Security.Cryptography.ProtectedData类
下面的例子演示了使用System.Security.Cryptography.ProtectedData类在用户级别保护数据。
using System.Security.Cryptography;
class Program{
static void Main() {
string sMsg = "The message to encrypt!";
string sEnc, sDec;
System.Text.Encoding utf = new System.Text.UTF8Encoding();
byte[] entropy = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8 };
{
byte[] bMsg = utf.GetBytes(sMsg);
byte[] bEnc = ProtectedData.Protect(bMsg , entropy , DataProtectionScope.CurrentUser);
sEnc = System.Convert.ToBase64String(bEnc);
}
{
byte[] bEnc = System.Convert.FromBase64String(sEnc);
byte[] bDec = ProtectedData.Unprotect(bEnc, entropy, DataProtectionScope.CurrentUser);
sDec = utf.GetString(bDec);
}
System.Console.WriteLine("Message : " + sMsg);
System.Console.WriteLine("Encrypted: " + sEnc);
System.Console.WriteLine("Decrypted: " + sDec);
}
}
可以通过设置DataProtectionScope.LocalMachine值来实现在机器级别保护该数据。本例中为加密添加熵,这意味着,即使进程执行的上下文环境符合要求(即处在正确的用户或机器下),如果不知道加密使用的熵也是无法解密数据。即可以把熵值看成某种形式的辅助密钥。
使用System.Security.Cryptography.ProtectedMemory类
使用System.Security.Cryptography.ProtectedMemory类可以获得比ProtectedData类更加精确的保护数据的程度。枚举量MemoryProtectionScope提供了以下选项:
SameProcess: 表示只有处在同一进程中的代码才能将进过加密的数据解密。
SameLogon: 表示只有处在同一用户上下文的代码才能将经过加密的数据解密。
CrossProcess: 表示只要在加密完成后操作系统没有重启,那么在任何进程中执行的任何代码都能将经过加密的数据解密。
下面的示例演示了此类的使用。注意:被加密的数据的字节数必须是16的倍数。
using System.Security.Cryptography;
class Program {
static void Main() {
string sMsg = "01234567890123456789012345678901";
System.Text.Encoding utf = new System.Text.UTF8Encoding();
System.Console.WriteLine("Message : " + sMsg);
byte[] bMsg = utf.GetBytes(sMsg);
ProtectedMemory.Protect( bMsg, MemoryProtectionScope.SameProcess );
System.Console.WriteLine("Encrypted: " + utf.GetString(bMsg));
ProtectedMemory.Unprotect( bMsg, MemoryProtectionScope.SameProcess );
System.Console.WriteLine("Decrypted: " + utf.GetString(bMsg));
}
}
使用System.Security.SecureString类
字符串在内存中的存储是不加密的,而且由于垃圾回收机制,字符串这种引用类型在销毁之前有一段不受控制的时间。如果某些恶意的人能够访问到Windows进程的页面,将这些字符串暴露在外面是很危险的。
为了解决如上问题,.NET Framework提供了SecureString类,其采用DPAPI服务并且允许字符串以加密的形式保存在内存中。
可以通过一个字符数组(使用过后将其设为零)初始化一个SecureString类的实例,或者通过一个字符一个字符的将其构造出来。Marshal类提供了多个方法以供解密一个保存在SecureString类实例中的加密字符串。
下面示例展示了SecureString类的使用:
using System;
using System.Security;
using System.Runtime.InteropServices;
class Program {
static void Main() {
SecureString pwd = new SecureString();
ConsoleKeyInfo nextKey = Console.ReadKey( true );
while(nextKey.Key != ConsoleKey.Enter) {
pwd.AppendChar( nextKey.KeyChar );
Console.Write( "*" );
nextKey = Console.ReadKey( true );
}
Console.WriteLine();
pwd.MakeReadOnly();
IntPtr bstr = Marshal.SecureStringToBSTR(pwd);
// Get an instance of the Sring class
// only for the example needs.
try{ Console.WriteLine( Marshal.PtrToStringAuto(bstr) ); }
finally{ Marshal.ZeroFreeBSTR(bstr); }
}
}
使用中往往很难避免将一个SecureString在内存中解密,甚至存放在一个字符串。一定要注意需要在特定的内容区域执行此操作,而写使用完后要尽快销毁,以免出现前文提到的安全问题。
保护特殊文件中的数据
在应用程序的配置文件中常常包含需要加密的设置。.NET中这通过System.Configuration.Configuration类来实现。下面示例演示了在一个名为TagPassword的配置参数中保存经过加密的MyPassword字符串。
using System.Configuration;
class Program {
static void Main() {
SavePwd("MyPassword");
System.Console.WriteLine(LoadPwd());
}
static void SavePwd(string pwd) {
Configuration cfg = ConfigurationManager.OpenExeConfiguration(ConfigurationUserLevel.None );
cfg.AppSettings.Settings.Add("TagPassword", pwd );
cfg.AppSettings.SectionInformation.ProtectSection("RsaProtectedConfigurationProvider" );
cfg.Save();
}
static string LoadPwd() {
Configuration cfg = ConfigurationManager.OpenExeConfiguration(ConfigurationUserLevel.None );
return cfg.AppSettings.Settings["TagPassword"].Value;
}
}
如上,在保存操作的时候需要进行处理,以指定我们希望保存一个加密的版本,而在配置文件被读取的时候加密信息会自动被解密。
