c# - 从内存中清除 C# 字符串

Question

出于安全原因，我正在尝试清除 C# 字符串的内存内容。我知道这个SecureString类，但不幸的是我不能在我的应用程序中SecureString使用String。需要清除的字符串是在运行时动态创建的（例如，我不想清除字符串文字）。

我发现的大多数搜索结果基本上表明清除 a 的内容String是不可能的（因为字符串是不可变的）并且SecureString应该使用。

因此，我确实在下面提出了自己的解决方案（使用不安全的代码）。测试表明解决方案有效，但我仍然不确定解决方案是否有问题？有更好的吗？

static unsafe bool clearString(string s, bool clearInternedString=false) 
{
    if (clearInternedString || string.IsInterned(s) == null)
    {
        fixed (char* c = s)
        {
            for (int i = 0; i < s.Length; i++)
                c[i] = '\0';
        }
        return true;
    }
    return false;
}

编辑：由于 GC 在clearString被调用之前移动字符串的评论：下面的代码片段怎么样？

string s = new string('\0', len);
fixed (char* c = s)
{
    // copy data from secure location to s
    c[0] = ...;
    c[1] = ...;
    ...

    // do stuff with the string

    // clear the string
    for (int i = 0; i < s.Length; i++)
        c[i] = '\0';
}

Answer 1

你的问题是字符串可以移动。如果 GC 运行，它可以将内容移动到新位置，但不会将旧位置归零。如果您确实将有问题的字符串清零，则无法保证它的副本不存在于内存中的其他地方。

这是 .NET 垃圾收集器的链接，它讨论了压缩。

编辑：这是您的更新问题：

// do stuff with the string

问题是一旦它离开你的控制，你就失去了确保它安全的能力。如果它完全在您的控制范围内，那么您将不会受到仅使用字符串类型的限制。简单地说，这个问题已经存在很长时间了，没有人想出一个安全的方法来处理这个问题。如果你想保证它的安全，最好通过其他方式来处理。清除字符串是为了防止有人通过内存转储找到它。如果您不能使用安全字符串，阻止这种情况的最佳方法是限制对运行代码的机器的访问。

Answer 2

除了我希望自己解释的标准“您正在进入不安全的领域”答案之外，请考虑以下几点：

CLR 不保证在任何给定点上只有一个字符串实例，也不保证字符串会被垃圾回收。如果我要执行以下操作：

var input = "somestring";
input += "sensitive info";
//do something with input
clearString(input, false);

这是什么结果？（假设我没有使用字符串文字，而是来自某种环境的输入）

使用“somestring”的内容创建一个字符串。另一个字符串是用“敏感信息”的内容创建的，另一个字符串是用“somestringsensitive info”的内容创建的。只有后一个字符串被清除：“敏感信息”不是。它可能会或可能不会立即被垃圾收集。

即使您小心地确保始终清除任何包含敏感信息的字符串，CLR 仍然不能保证仅存在一个字符串实例。

编辑： 关于您的编辑，简单地立即固定字符串可能会产生预期的效果 - 无需将字符串复制到另一个位置或任何东西。您确实需要在收到所述字符串后立即执行此操作，并且还有其他安全问题需要担心。例如，您不能保证字符串的源在 ITS 内存中没有它的副本，除非清楚地了解源以及它是如何工作的。

由于明显的原因，您也将无法更改此字符串（除非变异的字符串与字符串的大小完全相同），并且您需要非常小心，您所做的任何事情都不会踩到不是该字符串的一部分。

此外，如果您将它传递给您自己没有编写的其他函数，它可能会或可能不会被该函数复制。

Answer 3

在你的字符串到达​​你试图清除它的函数之前，不可能知道你的字符串通过了多少个 CLR 和非 CLR 函数。这些函数（托管和非托管）可能会出于各种原因（可能是多个副本）创建字符串的副本。

您不可能知道所有这些地方并如此真实地清除它们，您无法保证您的密码已从内存中清除。您应该改用SecureString，但您需要了解上述内容仍然适用：在您的程序中的某个时刻，您将收到密码并且您必须将其保存在内存中（即使只是在您移动它时的一小段时间成一个安全的字符串）。这意味着您的字符串仍将通过您无法控制的函数调用链。

Answer 4

作为 SecureString 的用户，我有时会从常规字符串中获取输入，并在将传入的字符串内存放入 SecureString 后将其归零，就像您正在做的那样。然后我遇到了一个奇怪的错误，其中来自 3rd 方库 (Redis) 的内存被归零了。结果是第 3 方库有两个字符串实例，其内容与测试输入的常规字符串（“密码”）完全相同。显然 .NET 优化了所有 3 个字符串以指向相同的内存缓冲区。因此，当我将字符串的“自己”内存固定并归零时，结果发现我也在将第三方库内存归零。然后 Redis 客户端库无法解析连接字符串，错误为“密码”不是可识别的密钥。

Answer 5

如果您真的无法使用SecureString，并且您愿意编写不安全的代码，那么您可以编写自己的简单字符串类，该类使用非托管内存并确保在释放之前将所有内存归零。

但是，您永远无法真正确保您的数据是安全的，因为您永远无法完全控制它。例如，嵌入足够深的病毒可以在程序运行时读取该内存，这也有可能导致进程终止，在这种情况下，析构函数代码将无法运行，从而将数据留在未分配的内存中，这可能被分配给另一个进程，它最初仍会包含您的敏感数据；有人可以轻松地使用 Visual Studio 之类的工具来监视被调试进程的内存，或者编写一个分配内存并在其中搜索敏感数据的程序。