c++ - 避免/检测对导出文件的操纵

Question

我正在开发 C++ Qt 应用程序。为了在应用程序或其连接的设备出现故障时帮助用户，程序导出所有内部设置并将它们存储在一个普通文件(目前为 csv)中。然后将此文件发送到公司(例如通过邮件)。

为避免对导出的设置进行不经意的操作(例如，导出后由用户手动操作)，我需要某种机制来检测这一点。

方法应该尽可能简单，因为这不是一个非常关键的信息，但仍然有效。

我能想到的就是散列或加密，但我很确定已经有一个简单而优雅的解决方案可用于此。

Answer 1

您可以使用多种摘要或加密签名方案中的一种。由于这必须脱机工作，因此您的可执行文件必须包含一个 secret - 无论是用于公钥加密的公钥，还是其他方式，但您永远无法以这种方式保护自己免受坚定的攻击者的侵害。一个没有逆向工程就无法绕过的简单方案就足够了；如果有人可以进行逆向工程，那么您就完蛋了。

一个最简单的方案是对文件的内容进行哈希处理，并附加(或预先设置)一个私有(private) secret ，并将哈希附加到文件的末尾。在接收端，您跳过散列、添加 secret 、重新散列和比较。

如果检查工具需要独立且简单易用，有两种选择:

1. 将 Qt 构建为静态链接，并静态链接到 C++ 运行时。然后使用该 Qt 版本构建该工具:它将非常小，不到 1MB，并且没有依赖项。

2. 将验证器作为单个 html 文件提供，并让它使用 JavaScript File API .用户在他们的 Web 浏览器中打开 html 文件，将文件拖放到拖放区域，并获得即时响应。如今，它可以在任何常见的浏览器上运行，即 Edge、Chrome、Safari、Firefox、Konqueror ......

在 Qt 中执行此操作的一种简单方法是将内容附加到内容的 SHA-256 的十六进制表示中，并附加一个 secret :

static const kHexSealSize = 2+64; // hex SHA-256
static QByteArray kSecret { "Things taste bad without salt." };

QByteArray sealHash(const QByteArray & data, int size = -1) {
  if (size < 0) size = data.size();
  QCryptographicHash hash(QCryptographicHash::Sha256);
  hash.addData(data.constData(), size);
  hash.addData(kSecret);
  auto seal = QByteArray("\r\n") + hash.result().toHex();
  Q_ASSERT(hex.size() == kHexSealSize);
  return seal;
}

QByteArray seal(const QByteArray & data) {
  return data + sealHash(data);
}

/// Returns whether a seal is valid
bool checkSeal(const QByteArray & data) {
  if (data.size() < kHexSealSize) return false;
  auto hexSrc = data.right(kHexSealSize);
  auto hexCmp = sealHash(data, data.size() - kHexSealSize);
  return hexSrc == hexCmp;
}