如何使用 libcurl 在客户端应用程序中缓存 SSL 客户端证书密码

Question

我们有一个（多操作系统）应用程序，它使用 libcurl 与 https 服务器进行通信，并使用 SSL 客户端认证。当客户端认证受密码保护时，应用程序必须要求用户输入密码。应用程序向服务器发送数百个不同的 https 请求，因此我们不能在每次创建新连接时都要求用户输入密码。现在我们只需在应用程序启动时提示用户输入一次密码，然后通过“CURLOPT_KEYPASSWD”选项将密码设置为curlib。但我担心恶意用户可以轻松侵入正在运行的进程并读取客户端认证密码。无论如何，我可以缓存客户端认证密码并防止它被轻易地从内存中读取吗？

Answer 1

在现实生活中，你不应该太担心它。如果您担心此类攻击，也许可以研究一下智能卡中基于硬件的密钥和证书。

对抗交换和冷启动攻击的一些建议：

• 锁定保存密码的内存，不允许其被换出（mlock+mprotect 在 posix 上，Windows 也有类似的功能）
• 可能对保存密码的内存进行加密，并且仅使用密码对其进行解密。

在现实生活中，如果您的机器被拥有，以便某人可以侵入他/她不应该访问的进程 - 您已经受到损害，不知道试图使其变得模糊。

如果您认为您控制了缓存 - 再想一想 - 您永远无法知道在某些情况下，例如curl是否会使用密码复制和泄漏内存。

如果您认真对待 SSL 和安全性，请使用硬件令牌或智能卡。否则，一旦主机受到损害，您的软件和通过该主机运行的任何访问代码都会受到损害。