如何使用libcurl在客户端应用程序中缓存SSL客户端证书密码

Question

我们有一个（多操作系统）应用程序，它使用libcurl与https服务器进行通信并使用SSL客户端认证。当客户端认证受密码保护时，应用程序必须要求用户输入密码。应用程序向服务器发送数百个不同的https请求，因此每次创建新连接时我们都不会要求用户输入密码。现在我们只需提示用户在应用程序启动时输入一次密码，然后通过“CURLOPT_KEYPASSWD”选项将密码设置为curllib。但是我担心恶意用户很容易侵入正在运行的进程并读取客户端认证密码。无论如何，我可以缓存客户端认证密码，并防止从内存中轻松读取密码？

Answer 1

在现实生活中，你不应该担心太多。如果您担心这种攻击，可以查看智能卡中基于硬件的密钥和证书。

一些建议，以争取交换和冷启动攻击：

• 锁定持有密码的记忆，不要让它被换出（m锁+的mprotect和POSIX，Windows还具有类似功能）
• 可能会加密保存密码的内存，并且只能在使用密码时对其解密。

在现实生活中，如果您的机器是拥有的，以至于有人可能侵入他/她不应该访问的进程 - 您已经妥协了，并不想让它变得模糊。

如果您认为您控制了缓存 - 再想一想 - 在某些情况下，您永远无法知道卷曲例如是否使用密码复制并泄漏内存。

如果您认真对待SSL和安全性，请使用硬件令牌或智能卡。否则，希望一旦主机遭到入侵，您的软件和通过该主机运行的任何访问代码都会受到威胁。