在 exe 和 Service 之间交换安全数据

Question

我有一个 Windows exe，它必须将一些安全数据写入 HKEY_LOCAL_MACHINE (HKLM)。我还有一个作为 NetworkService 帐户运行的服务，它必须读取该安全数据。请注意，exe 和服务以不同的用户身份运行。

这里的问题是保护数据。我尝试使用 CryptProtectData，但是问题是服务无法解密，因为数据未使用 NetworkService 帐户加密。我不想在调用 CryptProtectData 时使用 CRYPTPROTECT_LOCAL_MACHINE 标志，因为任何用户都可以解密它，从而本质上使其不安全。

我猜测这是一个常见的用例，但无法找到任何解决方案。有什么想法吗？

仅供参考，我正在使用 Visual C++ 编写 exe 和服务。

Answer 1

您尝试使用注册表作为进程间通信 (IPC) 机制，但您发现它不是很优雅。

对于您正在寻找的更好的架构是完全在服务内处理加密/解密，并使用真正 IPC 机制（TCP 套接字、邮槽等）从 EXE 传输数据到服务进行加密。

编辑：

除了加密之外，注册表听起来不像是存放这些数据的正确位置。戴上我的“系统管理员帽子”，我宁愿将您的数据放在文件系统中，而不是放在注册表中。使用注册表作为存储转发队列机制让我很兴奋。

就加密架构而言，我认为使用非对称加密最适合您。让 EXE 使用服务的公钥加密数据。该服务可以使用其私钥解密数据。