3

我在一个类中有一个解密变量并返回它的方法。使用后我用“del”删除返回的变量。

访问这些垃圾值有什么危险......我怎样才能最好地保护自己免受它们的伤害?

这是代码:

import decrypter
import gc

# mangled variable names used
def decrypt(__var):
    __cleartext = decrypter.removeencryption(__var)
    return __cleartext

__p_var = "<512 encrypted password text>"
__p_cleartext = decrypt(__p_var)
<....do login with __p_cleartext...>
del  __p_var, __p_cleartext
gc.collect()

此时是否可以利用任何变量,包括 __var 和 __cleartext?

谢谢!

我做了更多的谷歌搜索。在我花几个小时走错路之前……我听到的是:

  1. 将密码作为盐渍哈希存储在系统上(现在正在这样做)。
  2. 用户应在套件启动时输入哈希的盐(现在已完成)
  3. 但是,盐应该保存在 C 进程而不是 python 中。
  4. python 脚本应该将哈希传递给 C 进程进行解密。

python脚本正在处理mysql数据库的登录,打开数据库连接需要密码。

如果代码类似于...

# MySQLdb.connect(host, user, password, database)
mysql_host = 'localhost'
mysql_db = 'myFunDatabase'
hashed_user = '\xghjd\xhjiw\xhjiw\x783\xjkgd6\xcdw8'
hashed_password = 'ghjkde\xhu78\x8y9tyk\x89g\x5de56x\xhyu8'
db = MySQLdb.connect(mysql_host, <call_c(hashed_user)>, <call_c(hashed_password)>, mysql_db])

这会(至少)解决python留下垃圾的问题吗?

Ps 我还发现了关于 memset 的帖子(在 python 中将数据标记为敏感),但我假设如果我使用 C 来解密哈希,这没有帮助。

PPS dycrypter 目前是一个 python 脚本。如果我将 memset 添加到脚本中,然后使用 py2exe 或 pyinstaller “编译”它……这实际上有助于保护密码吗?我的直觉说不,因为 pyinstaller 所做的只是将普通解释器和本地解释器创建的相同字节码打包......但我对此知之甚少......?

所以...按照 Aya 建议在 C 中制作加密模块,以下设置会留下多少可识别的内存占用。部分大问题是;解密密码的能力必须在整个程序运行期间保持可用,因为它将被重复调用......这不是一次性的事情。

创建一个在用户登录时启动的 C 对象。它包含解密例程并保存用户在登录时输入的盐的副本。存储的盐在运行对象(在内存中)中被隐藏,因为它自己的加密例程使用随机生成的盐进行了散列。

随机生成的盐仍然必须保存在对象的变量中。这并不是为了保护盐,而只是为了尝试混淆内存足迹,如果有人应该偷看它(使盐难以识别)。即c-obj

mlock() /*to keep the code memory resident (no swap)*/

char encrypt(data, salt){ 
    (...) 
    return encrypted_data
}

char decrypt(data, salt){ 
    (...) 
    return decrypted_data
}

stream_callback(stream_data){
    return decrypt(stream_data, decrypt(s-gdhen, jhgtdyuwj))
}

void main{ 
    char jhgtdyuwj=rand();
    s-gdhen = encrypt(<raw_user_input>, jhgtdyuwj);
}

然后,python 脚本直接调用 C 对象,它将未加密的结果直接传递给 MySQLdb 调用,而不将任何返回值存储在任何变量中。IE

#!/usr/bin/python
encrypted_username = 'feh9876\xhu378\x&457(oy\x'
encrypted_password = 'dee\x\xhuie\xhjfirihy\x^\xhjfkekl'
# MySQLdb.connect(host, username, password, database)
db = MySQLdb.connect(self.mysql_host,
                     c-obj.stream_callabck(encrypted_username),
                     c-obj.stream_callback(encrypted_password),
                     self.mysql_database)

这会留下什么样的内存足迹,可以窥探?

4

3 回答 3

3

如果不存在对该值的其他引用,则您的gc.collect通常会破坏该对象。

但是,像字符串实习或缓存这样简单的事情可能会保留意外的引用,从而使值在内存中仍然存在。Python 有许多在内部做不同事情的实现(PyPy、Jython、PyPy)。语言本身很少保证该值是否或何时会真正从内存中删除。

在您的示例中,您还使用名称修饰。因为修改很容易手工复制,所以这根本不会增加任何安全性。

进一步的想法:不清楚您的安全模型是什么。如果攻击者可以调用您的解密函数并在同一进程中运行任意代码,那么什么会阻止他们包装解密以保留输入和输出的代码。

于 2013-05-27T16:47:29.740 回答
3

即使您调用 gc.collect 并且这些字符串被释放,它们可能仍保留在内存中。此外,字符串是不可变的,这意味着您没有(标准)方法来覆盖它们。另请注意,如果您对这些字符串执行了操作,它们的一些副本可能会散落。

所以尽可能不要使用字符串。

您需要覆盖内存(即使那样,内存也可能被转储到某个地方,例如页面文件中)。完成后使用字节数组并覆盖内存。

于 2013-05-27T16:54:37.677 回答
2

任何安全系统的强大程度取决于其最薄弱的环节。

很难说出当前系统中最薄弱的环节是什么,因为您还没有真正提供有关整体架构的任何详细信息,但是如果您实际上使用的是问题中发布的 Python 代码(我们称之为myscript.py)。 .

#!/usr/bin/python
encrypted_username = 'feh9876\xhu378\x&457(oy\x'
encrypted_password = 'dee\x\xhuie\xhjfirihy\x^\xhjfkekl'
# MySQLdb.connect(host, username, password, database)
db = MySQLdb.connect(self.mysql_host,
                     c-obj.stream_callabck(encrypted_username),
                     c-obj.stream_callback(encrypted_password),
                     self.mysql_database)

...然后无论您如何或在何处解密密码,任何用户都可以出现并运行这样的脚本...

import MySQLdb

def my_connect(*args, **kwargs):
    print args, kwargs
    return MySQLdb.real_connect(*args, **kwargs)

MySQLdb.real_connect = MySQLdb.connect
MySQLdb.connect = my_connect
execfile('/path/to/myscript.py')

...这将打印出明文密码,因此在 C 中实现解密就像在前门上放十个死锁,但让窗户大开。

如果您想获得有关如何保护系统安全的好答案,则必须提供有关整体架构的更多信息,以及您试图阻止的攻击媒介。

如果有人设法破解了 root,那么你就完蛋了,但这是向非 root 用户隐藏密码的更好方法。

但是,如果您对运行此代码的机器的安全性感到满意(即任何“未经授权”的用户都无法访问它),那么这些密码混淆内容都不是必需的 - 您可以也只需将明文密码直接放入 Python 源代码中。

更新

关于架构,我的意思是,你运行了多少个独立的服务器,它们有什么职责,它们如何相互通信,和/或与外部世界通信?

假设主要目标是防止对 MySQL 服务器的未经授权的访问,并假设 MySQL 在与 Python 脚本不同的服务器上运行,那么您为什么更担心有人获得对运行 Python 脚本的服务器的访问权,并获取密码MySQL 服务器,而不是直接访问 MySQL 服务器?

如果您使用“salt”作为加密 MySQL 密码的解密密钥,那么授权用户如何将该值传递给系统?他们是否必须通过 ssh 登录到服务器,然后从命令行运行脚本,或者通过网络服务器可以访问这个脚本?

无论哪种方式,如果有人确实破坏了运行 Python 脚本的系统,他们只需要等到下一个授权用户出现,然后“嗅”他们输入的“盐”。

于 2013-05-28T17:09:01.117 回答