Czy można przechowywać sekrety na stosie w java?

Question

W języku Java starym sposobem przechowywania tajnego klucza, takiego jak hasło, było użycie char[], ponieważ można było nadpisać jego dane po zakończeniu. Jednak od tego czasu okazało się, że jest to niebezpieczne, ponieważ śmieciarz będzie kopiować rzeczy w trakcie reorganizacji sterty. W niektórych architekturach możliwe jest, że strona zostanie zwolniona, a sekret pozostanie, gdy inny program przydzieli tę samą stronę.

To jest okropnie brzydkie, ale co, jeśli sekret był przechowywany na stosie metody run Nici? Trzeba jeszcze uważać, aby zakończyć wątek z wdziękiem, aby mógł wyzerować swoje dane, ale problem ten był obecny również w starym stylu.

Jednym z głównych problemów, które widzę od razu, jest to, że nie mogę wymyślić bezpiecznego sposobu na wejście i wyjście danych z pojemnika. Możesz zminimalizować prawdopodobieństwo wycieku hasła, używając strumieni o bardzo małych wewnętrznych buforach, ale na końcu kończy się ten sam problem co char[]. [Edytuj: Czy będzie działał pojedynczy element private static byte i flaga? Chociaż to ograniczyłoby Cię do jednego sekretu na ClassLoader. To dodaje więcej brzydoty, ale może być łatwo ukryć się za dobrze napisanym interfejsem.]

Mam naprawdę sporo pytań.

Czy stert jest bezpieczniejszy od tego typu ataków niż sterty? Czy istnieją mechanizmy czystego Java do wykonywania stosu między dwiema ramkami stosów w sposób, który byłby przydatny dla tego problemu? Jeśli nie, czy JVM wesprze ten typ operacji w bajtodzie?

[Edytuj: Zanim ludzie martwią się zbytnio, jest to bardziej eksperyment myślowy niż cokolwiek innego. Nie mam absolutnie żadnego zamiaru "testowania w produkcji" ani używania go w żadnym bieżącym projekcie. Zdaję sobie sprawę, że to, o czym mówię, jest naprawdę brzydkie, prawdopodobnie strasznie nieporęczne i działa przeciwko całej strukturze JVM. Interesuje mnie tylko to, czy jest to możliwe, czy faktycznie osiąga moje cele i jakie heroiczne działania wymagałoby, aby tak się stało.]

Answer 1

Użyłbym bezpośredniego ByteBuffera. Pamięć, której używa, nie jest kopiowana i znajduje się tylko w jednym miejscu, przez cały okres istnienia ByteBuffer. BTW nie używaj clear(), ponieważ to tylko resetuje pozycję. Można zastąpić go

bb.clear(); 
while(bb.remaining() >= 8) bb.putLong(0); 
while(bb.remaining() > 0) bb.put((byte) 0); 

Czy stos bardziej bezpieczne od tych typów ataków niż hałdy?

Nie sądzę.

Czy istnieją mechanizmy czystego Java do wykonywania stosu między dwiema ramkami stosów w sposób, który byłby przydatny dla tego problemu?

Możesz przechowywać sekret jako jeden lub dwa long s.

Jeśli nie, to czy JVM wesprze ten typ operacji w bajtodzie?

Kod bajtowy jest przeznaczony do obsługi języka Java i jest niewiele więcej niż to, co można zrobić w Javie.

Jestem zainteresowany, czy jest to możliwe, czy rzeczywiście realizuje swoje cele i jakie rodzaje bohaterstwo zajęłoby aby tak się stało

Użyj bezpośredni ByteBuffer jak sugerowali. ;)