ИМЯ

bzero, explicit_bzero - обнуляет строку байт

ОБЗОР

#include <strings.h>

void bzero(void *s, size_t n);

#include <string.h>

void explicit_bzero(void *s, size_t n);

ОПИСАНИЕ

Функция bzero() стирает данные длиной n байт в памяти, начиная с места, указанного в s, записывая в эту область нули (байты '\0').

Функция explicit_bzero() выполняет ту же задачу что и bzero(). Она отличается от bzero() тем, что гарантирует выполнение операции стирания, что есть при оптимизации компилятор её не удалит, если решит, что операция «не нужна».

ВОЗВРАЩАЕМОЕ ЗНАЧЕНИЕ

Нет.

ВЕРСИИ

Функция explicit_bzero() впервые появилась в glibc 2.25.

АТРИБУТЫ

Описание терминов данного раздела смотрите в attributes(7).

СООТВЕТСТВИЕ СТАНДАРТАМ

Функция bzero() устарела (отмечена как LEGACY в POSIX.1-2001): в новых программах следует использовать memset(3). В POSIX.1-2008 определение bzero() удалено. Впервые функция bzero() появилась в 4.3BSD.

Функция explicit_bzero() является нестандартным расширением, которое также имеется в некоторых BSD. В других реализациях есть подобная функция, например memset_explicit() или memset_s().

ЗАМЕЧАНИЯ

Функция explicit_bzero() призвана решить проблему с безопасностью, которая может возникнуть у приложений при использовании bzero(): если компилятор решит, что обнуляемое расположение больше никогда не будет использовано правильной программой, то он может удалить вызов bzero(). Это проблема, если целью вызова bzero() было стирание конфиденциальных данных (например, паролей) для предотвращения их возможной утечки из-за некорректной или взломанной программы. Вызовы explicit_bzero() никогда не удаляются компилятором.

Функция explicit_bzero() не решает всех проблем, связанных со стиранием конфиденциальных данных:

1.

Функция explicit_bzero() не гарантирует, что конфиденциальные данные полностью стираются из памяти (тоже верно и для bzero()). Например, остаётся много копий конфиденциальных данных в регистрах и временных областях стека. Функция explicit_bzero() не учитывает эти копии и не стирает их.

2.

В некоторых случаях explicit_bzero() может ухудшить безопасность. Если компилятор определит, что переменная, содержащая конфиденциальные данные, может быть оптимизирована и сохранит её в регистре (так это позволяет малый размер и нет другой операции кроме вызова explicit_bzero(), обращающейся к переменной), то вызов explicit_bzero() скопирует данные из регистра в расположение в памяти, которая затем будет сразу затёрта (но останется копия в регистре). Здесь проблема в том, что данные в памяти, вероятно, более доступны при взломе, чем данные в регистре и, таким образом, вызов explicit_bzero() создаёт короткий временной промежуток, в котором конфиденциальные данные становятся более уязвимы, чем если бы вообще не делалось попытки стереть данные.

Заметим, что объявление регистра с конфиденциальными данными с квалификатором volatile не решает показанную выше проблему. На самом деле, получится ещё хуже, так как, например, это может заставить оптимизированную хранимую в регистре переменную переместить в (более уязвимую) память на всё время её существования.

Несмотря на вышеупомянутые детали, для безопасности в приложениях лучше всё же использовать explicit_bzero(). Разработчики explicit_bzero() ожидают, что в будущем компиляторы будут учитывать вызовы explicit_bzero() и предпринимать шаги по стиранию всех копий конфиденциальных данных, включая копии в регистрах или во временных областях стека.

СМОТРИТЕ ТАКЖЕ

bstring(3), memset(3), swab(3)