保护Qt应用程序中的私钥
[英]Protect private key in Qt application
问题描述
我有一个用C ++编写的Qt应用程序,它使用SSL连接(QSslSocket)和另一个应用程序来提高安全性。 但是,应用程序中嵌入了一个私钥。
使用Process Explorer之类的应用程序,可以很容易地删除私钥。 (文件属性 - >字符串)
安全性对我的应用程序来说并不是很重要,但是从我的应用程序中获取私钥会更加困难。 有什么办法吗?
4 个解决方案
解决方案1
4 2009-08-29 22:25:08
“strings”只查找实际的Ascii / UTF8 / Unicode字符串。 如果将密钥作为二进制缓冲区保留,则没有任何东西可以将它与字符串通常忽略的随机二进制数据区分开来。
除此之外,还有更多聪明的程序,如IDA和OllyDebug,它们使用户能够完全反汇编甚至反编译您的程序,无论您尝试什么,都可以获得密钥。
解决方案2
1 2009-08-29 22:44:50
用一些简单的对称算法加密它。 例如,定义数组cryptedData和cryptedDataKey以便通过cryptedData[cryptedDataKey[n]]获取私钥的第n个字节。 它将使您免于使用文本编辑器查看二进制可执行文件但无法帮助更多或更少经验的人的人。
此外,如果您与QSslSocket持续连接运行时,则私钥很可能按原样存储在内存中。 因此,仅修改QT库是一种在内存中修改关键表示的方法。
解决方案3
1 已采纳 2009-08-30 03:27:02
您可能需要从不同角度解决问题。
我同意Shoosh的回答,无论你做什么,拥有合适工具和知识的人都能够破解你的密码并找出你的私钥。
您需要做的是外部化数据或在发现私钥时降低风险。
外部化任何私有数据的最佳方法是使用用户提供的密码对其进行加密,该密码必须由用户输入才能使用。 不幸的是,这对大多数应用来说并不合理。
为了降低风险,我通常会尝试确保在安全性被破坏时只有一个“安装”受到威胁。
例如,在安装时随机生成私钥数据。
对于客户端/服务器应用程序,您可以遵循https模型并使用公钥/私钥通信来交换随机生成的加密密钥。
如果每个客户端安装都有自己的公钥/私钥集,那么服务器可以告诉客户端连接的是什么,如果有问题,他们可以取消客户端。
希望有所帮助。
解决方案4
0 2009-08-29 23:19:10
另一种常见技术是将秘密数据放入二进制资源,例如图标图像。
Qt5自定义LineEdit小部件(QLineEdit子类)私有变量使应用程序崩溃
[英]Qt5 custom LineEdit widget (QLineEdit subclass) private variable crashes application
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.