如何隐藏应用程序中的密钥？

Question

我有一个 C++ 客户端/服务器应用程序，其中客户端和服务器是我的可执行文件。每次在客户端和服务器之间建立连接时，我都会为该会话生成一个新的加密密钥，并且我希望传输此会话密钥并使用客户端和服务器中内置的静态密钥加密此会话密钥。

但是，在我的可执行文件上运行字符串会显示静态密钥。

如何隐藏客户端和服务器应用程序中嵌入的静态密钥，以便它们不容易被提取，从而允许某人解码我的会话密钥。

Answer 1

他交换密钥的方法“确保”客户端是有效的而不是冒名顶替者。仅使用 DH 安全地交换密钥并不能做到这一点。为了获得相同的功能，他需要实施 PKI 系统。 SSL/TLS 就是为此目的而构建的，它的底层将满足他的需要。

您需要为您的服务器创建一个 CA 并签署客户端证书，以确保它们的真实身份。

Answer 2

这个问题有一些解决方案，不涉及尝试隐藏密钥（这通常是不可能的）。例如，Diffie-Hellman 密钥交换允许客户端和服务器协商新的秘密会话密钥，而无需通过网络发送它。

Answer 3

因此，您计划使用一种特别难以撤消的方法来隐藏您的秘密（可执行文件中的密钥），只有当您知道该方法的秘密时才能撤消该方法，您还需要使用新的超级秘密方法来隐藏该秘密只有当您知道该方法的秘密时才能撤消该操作，我们需要用另一个秘密方法来隐藏该方法，而另一个秘密方法需要我们需要隐藏的另一个秘密......

这是“问题溢出”。我希望你能看到你不会用这种方式解决问题。为每台计算机生成密钥（ssh/sshd 执行此操作）并保护它们。上面同样的问题实际上也适用，因为如果我得到该密钥，它仍然可以进行，但这样您就不会将其硬编码到您的解决方案中，这意味着修复受损的密钥要容易得多。