将敏感数据从 C 传递到 Java

Question

我正在开发一个 C 程序，它必须通过 popen() 调用 Java main() 并将一些数据作为命令行参数发送给它。但是，还有一些数据需要从C 发送到Java，这在本质上有些敏感（但不是密码类型）。

我正在尝试查看除了加密之外是否还有其他选项可以将这些额外数据从 C 发送到 Java。我试图避免开销，因为数据并不像加密那样敏感，但我愿意接受这方面的任何建议。

我无法通过 popen() 发送这些额外数据，因为它可以通过 ps -f 看到。

同样，使用套接字似乎也不可行，因为tcpdump 也可以泄露这些信息。

我考虑使用共享mem (/dev/shm)，但也可以查看或使用隐藏文件。因为，这也带来了为每次调用创建文件的开销，我并不完全赞成。

我查看了ANON 文件映射，但我想，我不能在 Java 端使用它。 同样，通过 Java 似乎无法使用 fmemopen() 引用。 FIFO 管道会是更好的选择吗？或者它们也可以轻松阅读？

如果我只是诉诸普通的 mmap() 并向其写入数据（不在磁盘上创建它 - 在公开调用中没有 O_CREAT），并且不执行 msynch 它将完全保留在内存中?然后我可以从中读取 Java 吗？

加密是我唯一的选择还是我缺少一些基本的东西？

link 讨论从 C 向 Java 发送纯数据。

Answer 1

如果用户可以使用 tcpdump，则该用户具有 root 访问权限。该用户还可以在您的 Java 程序上安装一个调试器，并在数据加密之前查看它的确切功能。实现您想要的唯一方法是采用全面的混淆技术和加密技术，就像 Skype 客户端所做的那样¹。

但既然你同时说，数据不是那么敏感，这似乎有点矫枉过正。也许一个简单的混淆技术，这样的输出对不经意的观察者是不可见的就足够了？ （就像Rocker 建议的那样。）要么，要么确保“不受信任”的用户在您的系统（Java + C 程序）运行的服务器上没有 root 访问权限。

一个不错的²混淆和可能是一个很好的权衡，将使用 mmap()（或 System V shared mem）进行通信。

如果您使用MAP_LOCKED 选项和MAP_ANONYMOUS，内存区域将不会在磁盘上结束。 MAP_LOCKED 阻止它进行交换，MAP_ANONYMOUS 告诉操作系统不要使用备份文件。

另外，您是否考虑过使用 JNI 来访问您的 C 代码？这样，您的 C 代码将成为 Java 进程的一部分，而不受信任的用户将需要一个调试器来监视正在发生的事情。

---

^{1 Skype 客户端并非不可能被窥探，但非常困难。虽然这是有代价的，但在保持混淆技术完好无损的同时维护代码必须付出额外的代价。这也是 Skype 编码人员和研究人员之间的军备竞赛，他们试图弄清楚它是如何工作的。}

^{2 这会让我停止很长时间，我会在弄清楚到底发生了什么之前，我必须阅读大量有关调试技​​术的内容，然后进行大量工作以弄清楚两个程序之间“谈论”了什么。一个更有才华的人可能最多在一个下午就能破译一切。}

Answer 2

避免用户过度使用数据的最佳方法是 encr。如果您仍然想要其他机制而不是一种方式是 -
如果您的数据包含多种数据类型的混合，即 int float char* 等，则将数据转换为二进制格式。用户不能直接读取二进制数据。但是如果他愿意，强烈的用户可以转换回原始格式。它的那种 encr 只有用户可以根据需要对其进行解密。

但不建议这样做。使用一些标准编码。