Java 堆转储中的敏感数据

Question

我编写的软件可以处理各种敏感信息，例如电子邮件地址、密码和信用卡号。

当我们遇到内存问题时，最好让应用程序写入堆转储。问题是，如果线程恰好在该区域中工作，则堆转储可能包含纯文本的敏感信息......当我们在其他地方煞费苦心地对其进行加密时，我们并不真正希望将其写入磁盘。

有没有办法解决这个问题，例如让 JVM 写入加密转储？

Answer 1

我一直在考虑在虚拟机之外处理这个问题。一种简单的方法可能是让 jvm 将转储写入加密的环回设备。当然，这并不完全安全，因为任何具有 root 访问权限的人都可以到达挂载点，但这是我期待的解决方案。我可能会看看是否可以设置一个由 jvm 最终写入的 FIFO。我知道虚拟机将使用的文件名，因此这可能会起作用，具体取决于虚拟机如何处理该文件名（稍后：这不起作用。JVM 抱怨“文件存在”）

使用 char 数组只能缓解问题，但是数组在转储时仍然可能包含一些纯文本。

Answer 2

简短的回答并不完全。在某些时候，您必须拥有清晰的数据才能使用它，而在垃圾收集的虚拟机中，您无法控制对象何时从内存中物理删除。最大限度降低风险的唯一真正策略是尽快删除对未加密机密数据的所有引用。它不能保证不会将机密数据写入内存转储中，但如果有人可以做到这一点，那么他们已经可以获得关键信息。

Answer 3

Paypal 最近发布了一个工具，用于从堆转储中删除敏感数据：

https://github.com /paypal/堆转储工具