C＃-2つのSecureStringを比較して同等かどうか

Question

2つのPasswordBoxを備えたWPFアプリケーションがあります。1つはパスワード用で、もう1つは確認のために2回目に入力するパスワード用です。 PasswordBox.SecurePasswordを使用してパスワードのSecureStringを取得したかったのですが、パスワードを受け入れる前に、2つのPasswordBoxの内容を比較して同等であることを確認できる必要があります。ただし、2つの同一のSecureStringは等しいとは見なされません。

var secString1 = new SecureString(); var secString2 = new SecureString(); foreach (char c in "testing") { secString1.AppendChar(c); secString2.AppendChar(c); } Assert.AreEqual(secString1, secString2); // This fails

PasswordBoxesのPasswordプロパティを比較すると、プレーンテキストのパスワードを読み取るため、SecurePasswordのみにアクセスするという点が無効になると考えていました。 security を犠牲にすることなく2つのパスワードを比較するにはどうすればよいですか？

編集：この質問に基づいて、私はチェックアウトしていますこのブログ投稿「 SecureStringをANSI、Unicode、またはBSTRに変換するMarshalクラス」の場合、それらを比較できます。

SwDevMan81 · Accepted Answer

this を使用して2つのSecureStringsを比較できるようです。

安全でないコードを使用して文字列を反復処理します。

bool SecureStringEqual(SecureString s1, SecureString s2) { if (s1 == null) { throw new ArgumentNullException("s1"); } if (s2 == null) { throw new ArgumentNullException("s2"); } if (s1.Length != s2.Length) { return false; } IntPtr bstr1 = IntPtr.Zero; IntPtr bstr2 = IntPtr.Zero; RuntimeHelpers.PrepareConstrainedRegions(); try { bstr1 = Marshal.SecureStringToBSTR(s1); bstr2 = Marshal.SecureStringToBSTR(s2); unsafe { for (Char* ptr1 = (Char*)bstr1.ToPointer(), ptr2 = (Char*)bstr2.ToPointer(); *ptr1 != 0 && *ptr2 != 0; ++ptr1, ++ptr2) { if (*ptr1 != *ptr2) { return false; } } } return true; } finally { if (bstr1 != IntPtr.Zero) { Marshal.ZeroFreeBSTR(bstr1); } if (bstr2 != IntPtr.Zero) { Marshal.ZeroFreeBSTR(bstr2); } } }

安全でないコードなしで動作するように以下で変更しました（ただし、デバッグ時にプレーンテキストで文字列を表示できることに注意してください）。

 Boolean SecureStringEqual(SecureString secureString1, SecureString secureString2) { if (secureString1 == null) { throw new ArgumentNullException("s1"); } if (secureString2 == null) { throw new ArgumentNullException("s2"); } if (secureString1.Length != secureString2.Length) { return false; } IntPtr ss_bstr1_ptr = IntPtr.Zero; IntPtr ss_bstr2_ptr = IntPtr.Zero; try { ss_bstr1_ptr = Marshal.SecureStringToBSTR(secureString1); ss_bstr2_ptr = Marshal.SecureStringToBSTR(secureString2); String str1 = Marshal.PtrToStringBSTR(ss_bstr1_ptr); String str2 = Marshal.PtrToStringBSTR(ss_bstr2_ptr); return str1.Equals(str2); } finally { if (ss_bstr1_ptr != IntPtr.Zero) { Marshal.ZeroFreeBSTR(ss_bstr1_ptr); } if (ss_bstr2_ptr != IntPtr.Zero) { Marshal.ZeroFreeBSTR(ss_bstr2_ptr); } } }

Nikola Novak · Answer

これには安全でないブロックがなく、パスワードがプレーンテキストで表示されません。

public static bool IsEqualTo(this SecureString ss1, SecureString ss2) { IntPtr bstr1 = IntPtr.Zero; IntPtr bstr2 = IntPtr.Zero; try { bstr1 = Marshal.SecureStringToBSTR(ss1); bstr2 = Marshal.SecureStringToBSTR(ss2); int length1 = Marshal.ReadInt32(bstr1, -4); int length2 = Marshal.ReadInt32(bstr2, -4); if (length1 == length2) { for (int x = 0; x < length1; ++x) { byte b1 = Marshal.ReadByte(bstr1, x); byte b2 = Marshal.ReadByte(bstr2, x); if (b1 != b2) return false; } } else return false; return true; } finally { if (bstr2 != IntPtr.Zero) Marshal.ZeroFreeBSTR(bstr2); if (bstr1 != IntPtr.Zero) Marshal.ZeroFreeBSTR(bstr1); } }

編集： AlexJが推奨するリークを修正しました。

Simon Mourier · Answer

コードがWindowsVista以降で実行されている場合、これは CompareStringOrdinal Windows関数に基づくバージョンであるため、プレーンテキストはなく、すべてのバッファーが管理されないままになります。ボーナスは、大文字と小文字を区別しない比較をサポートすることです。

public static bool EqualsOrdinal(this SecureString text1, SecureString text2, bool ignoreCase = false) { if (text1 == text2) return true; if (text1 == null) return text2 == null; if (text2 == null) return false; if (text1.Length != text2.Length) return false; var b1 = IntPtr.Zero; var b2 = IntPtr.Zero; try { b1 = Marshal.SecureStringToBSTR(text1); b2 = Marshal.SecureStringToBSTR(text2); return CompareStringOrdinal(b1, text1.Length, b2, text2.Length, ignoreCase) == CSTR_EQUAL; } finally { if (b1 != IntPtr.Zero) { Marshal.ZeroFreeBSTR(b1); } if (b2 != IntPtr.Zero) { Marshal.ZeroFreeBSTR(b2); } } } public static bool EqualsOrdinal(this SecureString text1, string text2, bool ignoreCase = false) { if (text1 == null) return text2 == null; if (text2 == null) return false; if (text1.Length != text2.Length) return false; var b = IntPtr.Zero; try { b = Marshal.SecureStringToBSTR(text1); return CompareStringOrdinal(b, text1.Length, text2, text2.Length, ignoreCase) == CSTR_EQUAL; } finally { if (b != IntPtr.Zero) { Marshal.ZeroFreeBSTR(b); } } } private const int CSTR_EQUAL = 2; [DllImport("kernel32")] private static extern int CompareStringOrdinal(IntPtr lpString1, int cchCount1, IntPtr lpString2, int cchCount2, bool bIgnoreCase); [DllImport("kernel32")] private static extern int CompareStringOrdinal(IntPtr lpString1, int cchCount1, [MarshalAs(UnmanagedType.LPWStr)] string lpString2, int cchCount2, bool bIgnoreCase);

Patrick · Answer

別のアプローチを取ることができます。コードで同じ問題が発生しました。パスワードの比較と確認の両方で、タイプSecureStringです。最終的な目標は、新しいパスワードをbase-64文字列としてデータベースに保存する必要があることであることに気付きました。したがって、私が行ったのは、データベースに書き込む場合と同じコードに確認文字列を渡すだけでした。次に、base-64文字列が2つある場合、その時点でそれらを比較します。これは単純な文字列比較です。

障害をUIレイヤーに戻すには、もう少し配管が必要ですが、最終的な結果は許容できるように見えました。このコードは、基本的な考え方を与えるのに十分であると期待しています。

private string CalculateHash( SecureString securePasswordString, string saltString ) { IntPtr unmanagedString = IntPtr.Zero; try { unmanagedString = Marshal.SecureStringToGlobalAllocUnicode( securePasswordString ); byte[] passwordBytes = Encoding.UTF8.GetBytes( Marshal.PtrToStringUni( unmanagedString ) ); byte[] saltBytes = Encoding.UTF8.GetBytes( saltString ); byte[] passwordPlusSaltBytes = new byte[ passwordBytes.Length + saltBytes.Length ]; Buffer.BlockCopy( passwordBytes, 0, passwordPlusSaltBytes, 0, passwordBytes.Length ); Buffer.BlockCopy( saltBytes, 0, passwordPlusSaltBytes, passwordBytes.Length, saltBytes.Length ); HashAlgorithm algorithm = new SHA256Managed(); return Convert.ToBase64String( algorithm.ComputeHash( passwordPlusSaltBytes ) ); } finally { if( unmanagedString != IntPtr.Zero ) Marshal.ZeroFreeGlobalAllocUnicode( unmanagedString ); } } string passwordSalt = "INSERT YOUR CHOSEN METHOD FOR CONSTRUCTING A PASSWORD SALT HERE"; string passwordHashed = CalculateHash( securePasswordString, passwordSalt ); string confirmPasswordHashed = CalculateHash( secureConfirmPasswordString, passwordSalt ); if( passwordHashed == confirmPasswordHashed ) { // Both matched so go ahead and persist the new password. } else { // Strings don't match, so communicate the failure back to the UI. }

私はセキュリティプログラミングの初心者なので、改善のための提案を歓迎します。

Jose Ortega · Answer

@NikolaNovákの回答をプレーンPowerShellに翻訳する：

param( [Parameter(mandatory=$true,position=0)][SecureString]$ss1, [Parameter(mandatory=$true,position=1)][SecureString]$ss2 ) function IsEqualTo{ param( [Parameter(mandatory=$true,position=0)][SecureString]$ss1, [Parameter(mandatory=$true,position=1)][SecureString]$ss2 ) begin{ [IntPtr] $bstr1 = [IntPtr]::Zero; [IntPtr] $bstr2 = [IntPtr]::Zero; [bool]$answer=$true; } process{ try{ $bstr1 = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($ss1); $bstr2 = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($ss2); [int]$length1 = [System.Runtime.InteropServices.Marshal]::ReadInt32($bstr1, -4); [int]$length2 = [System.Runtime.InteropServices.Marshal]::ReadInt32($bstr2, -4); if ($length1 -eq $length2){ for ([int]$x -eq 0; $x -lt $length1; ++$x){ [byte]$b1 = [System.Runtime.InteropServices.Marshal]::ReadByte($bstr1, $x); [byte]$b2 = [System.Runtime.InteropServices.Marshal]::ReadByte($bstr2, $x); if ($b1 -ne $b2){ $answer=$false; } } } else{ $answer=$false;} } catch{ } finally { if ($bstr2 -ne [IntPtr]::Zero){ [System.Runtime.InteropServices.Marshal]::ZeroFreeBSTR($bstr2)}; if ($bstr1 -ne [IntPtr]::Zero){ [System.Runtime.InteropServices.Marshal]::ZeroFreeBSTR($bstr1)}; } } END{ return $answer } } IsEqualTo -ss1 $ss1 -ss2 $ss2