.NET Secret Manager 安全強化 - 無腦加密版

2024-03-20 09:31 PM

昨天提到 .NET Secret Manager 機制，可取代 appsettings.json 或環境變數作為本機開發測試時的 ApiKey 或密碼保存容器，但美中不足是它用明碼儲存，檔案一旦外流便無險可守。我想應用 Secret Manager 的情境除了開發測試，也會用於在本機跑一些自用的 RAG 或 ChatGPT 整合應用，既然是 Windows 平台，用 DPAPI/ProtectedData 無腦加密感覺是好主意。
(註：DPAPI 的優點是加密不需想金鑰，由 OS 層次鎖定特定主機及登入帳號，即便被改掉密碼強行登入也無法解密)

構想很簡單，我打算設計 ApiKey 或密碼時用 PowerShell SecureString 加密後再存入，設定部分沿用 dotnet user-secrets set CLI；讀取時也沿用 ConfigurationBuilder().AddUserSecrets<Program>()、IConfigration["key-name"] 讀取再用 ProtectedData.Unprotect() 解密，就這麼簡單。

最近在看微軟範例時，看到許多場合開始用 C# Notebook 示範測試程式片段。這個概念源自 Python 好用的 Jupyter 筆記本，可在文件穿插 Markdown 說明及 Pythong 程式，很適用來寫作及分享學習筆記；而在 VSCode 裡也有個對等的 Polyglot Notebook，一樣可以穿插程式區塊及 Markdown 區塊，但支援的語言擴及 C#、F#、HTML、JavaScript、KQL、PowerShell、SQL，而在 VSCode 的好處是全程有 Github Copilot 黑魔法加持，用左手就能把程式寫完(誤)。(延伸閱讀：用 Jupyter Notebook 寫 C# / PowerShell / JavaScript 筆記 - Ploygot Notebooks)

我先開了一個 Ploygots .ipynb 文件，在其中寫分別用 PowerShell 讀入字串轉成 SecureString，ConvertFrom-SecureString 轉成 16 進位數字字串解析為 byte[]，最後編碼成 Base64 字串寫入檔案 D:\Temp\secret.txt。之後用 C# 引用 System.Security.Cryptography.ProtectedData，讀取 D:\Temp\secret.txt 解碼 Base64 後用 ProtectedData.Unprotect 解密還原得到原文。同一個 .ipynb 中同時使用 PowerShell 及 C#，還自帶文字說明，感覺很酷。

實驗成功後，下一步我用一小段程式以 PowerShell 讀取使用者輸入內容轉 SecureString，將 16 進位字串用 dotnet.exe user-secrets set "ApiKey" "dpapi:$encApiKey" --project ".\user-secret.csproj" 在 Secret Manager 存入 ApiKey 設定 (前方加上 enc: 前綴，方便 C# 端判斷是否需解密)，我還另外設定一筆未加密的ApiUrl設定作為對照；之後用 PowerShell 從 .csproj XML 得到 UserSecretsId 算出 secrets.json 完整路徑，讀取內容觀察寫入值：

$encApiKey = Read-Host "ApiKey" -AsSecureString | ConvertFrom-SecureString
dotnet.exe user-secrets set "ApiKey" "enc:$encApiKey" --project ".\user-secret.csproj"
dotnet.exe user-secrets set "ApiUrl" "https://api.example.com" --project ".\user-secret.csproj"

設定完成後，來看 C# Program.cs 端如何讀取。還蠻簡單的，new ConfigurationBuilder().AddUserSecrets<Program>().Build() 引用 Secret Manager 建立 IConfiguration，用 config["ApiKey"] 讀到 "enc:01000000d08c9ddf0115d111..." 後，偵測到 "enc:" 字首時用將 16 進位字串還原 byte[]，用 ProtectedData.Unprotect() 解密；若無 "enc:" 前綴則為明碼，直接取值使用。

using System.Security.Cryptography;
using System.Text;
using Microsoft.Extensions.Configuration;

IConfiguration config = new ConfigurationBuilder()
        .AddUserSecrets<Program>().Build();
Console.WriteLine("API Key: " + ReadValueFromSecretManager("ApiKey"));
Console.WriteLine("API Url: " + ReadValueFromSecretManager("ApiUrl"));

string ReadValueFromSecretManager(string key) {
    var val = config[key];
    if (string.IsNullOrEmpty(val) || !val.StartsWith("enc:")) return val!;
    var hex = val.Substring(4);
    var bytes = new byte[hex.Length / 2];
    for (int i = 0; i < bytes.Length; i++) {
        bytes[i] = Convert.ToByte(hex.Substring(i * 2, 2), 16);
    }
    return Encoding.Unicode.GetString(ProtectedData.Unprotect(bytes, null, DataProtectionScope.CurrentUser));
}

測試結果，加密的 ApiKey 與未加密碼的 ApiUrl 都成功讀取，輕鬆搞定：