Benutzer-API-Schlüssel sollten OAEP-Padding verwenden

simon · 1. Juni 2024 um 07:00

Ein kleines und vielleicht ein größeres Problem:

Es gibt einen erforderlichen nonce-Parameter, der in der Dokumentation nicht erwähnt wird:

  def require_params
    %i[public_key nonce scopes client_id application_name].each { |p| params.require(p) }
  end

Nun zum kniffligeren Problem. Discourse ruft die Methode public_encrypt ohne Argumente auf:

github.com/discourse/discourse

app/controllers/user_api_keys_controller.rb

main


      
          key =
            @client.keys.create!(
              user_id: current_user.id,
              push_url: params[:push_url],
              scopes: scopes.map { |name| UserApiKeyScope.new(name: name) },
            )
          
          # we keep the payload short so it encrypts easily with public key
          # it is often restricted to 128 chars
          @payload = {
            key: key.key,
            nonce: params[:nonce],
            push: key.has_push?,
            api: AUTH_API_VERSION,
          }.to_json
          
          public_key_str = (@client.public_key.presence || params[:public_key])
          public_key = OpenSSL::PKey::RSA.new(public_key_str)
          
          # by default, Ruby uses `PKCS1_PADDING` here
          # see https://docs.ruby-lang.org/en/3.2/OpenSSL/PKey/RSA.html#method-i-public_encrypt

Das bedeutet, dass das padding-Argument standardmäßig auf PKCS1_PADDING gesetzt wird. Laut der Ruby-Dokumentation:

Verschlüsselt string mit dem öffentlichen Schlüssel. padding ist standardmäßig PKCS1_PADDING, der als unsicher gilt, aber aus Gründen der Abwärtskompatibilität beibehalten wird.

Leider gibt Node v20.14.0 (die aktuelle LTS) einen Fehler zurück, wenn versucht wird, crypto.privateDecrypt mit RSA_PKCS1_PADDING aufzurufen:

function decryptData(data: string, privateKey: string) {
  const buffer = Buffer.from(data, "base64");
  const decrypted = crypto.privateDecrypt(
    {
      key: privateKey,
      padding: crypto.constants.RSA_PKCS1_PADDING,
    },
    buffer
  );
  return decrypted.toString("utf8");
}

TypeError: RSA_PKCS1_PADDING is no longer supported for private decryption, this can be reverted with --security-revert=CVE-2023-46809

Eine mögliche Lösung für Node-Apps ist, Node mit dem unsicheren Flag auszuführen:

node --security-revert=CVE-2023-46809

Eine Behebung auf der Discourse-Seite wäre einfach, aber ich vermute, sie würde viele bestehende Integrationen unterbrechen:

public_key = OpenSSL::PKey::RSA.new(params[:public_key])
@payload = Base64.encode64(public_key.public_encrypt(@payload, OpenSSL::PKey::RSA::PKCS1_OAEP_PADDING))

mqmenchaca · 14. Februar 2025 um 22:31

@simon Ja, das verursacht definitiv Probleme mit Node v22. Es wäre großartig, keine Sicherheitspatches rückgängig machen zu müssen. Es wäre schön, ein Flag im API-Aufruf oder eine Website-Einstellung in Discourse festlegen zu können, um das gewünschte Padding auszuwählen. (Auf diese Weise können die Leute die bestehende Standardeinstellung beibehalten, wenn sie möchten.)

mqmenchaca · 15. Februar 2025 um 01:11

Das Befolgen der Schritte hier mit NodeRSA funktioniert ungefähr

github.com/rzcoder/node-rsa

I can't decrypt unencrypted

opened 07:29PM - 17 Apr 22 UTC

alantoledo007

I created a helper to get the public and private key. The pems files have been c…reated with `new NodeRSA ({b:1024})`: ```js const fs = require("fs"); const NodeRSA = require("node-rsa"); const getKeys = () => { const publicPem = fs.readFileSync("./public.pem", "utf8"); const privatePem = fs.readFileSync("./private.pem", "utf8"); const privateKey = new NodeRSA(privatePem); const publicKey = new NodeRSA(publicPem); return { privateKey, publicKey, privatePem, publicPem, }; }; const RSA = { getKeys, }; module.exports = { RSA }; ``` i can encrypt with `publicKey.encrypt(data, "base64")`. And, i can decrypt with `privateKey.decrypt(encryptedData,'utf8')`. but... I can't decrypt if I didn't create any encryption before. Just to give you an idea, I have to do this for the decryption to work: ```js publicKey.encrypt(""); //bug const decryptedData= privateKey.decrypt(encryptedRSA, "utf8"); ``` without ` publicKey.encrypt(""); //bug` the terminal returns next error: ``` throw Error('Error during decryption (probably incorrect key). Original error: ' + e); ^ Error: Error during decryption (probably incorrect key). Original error: Error: error:25078067:DSO support routines:win32_load:could not load the shared library at NodeRSA.module.exports.NodeRSA.$$decryptKey (C:\....\project-name\node_modules\node-rsa\src\NodeRSA.js:301:19) at NodeRSA.module.exports.NodeRSA.decrypt (C:\...\project-name\node_modules\node-rsa\src\NodeRSA.js:249:21) at Object.decrypt (C:\....\MyHelper.js:20:38) at Object.<anonymous> (C:\...\index.js:7:37) at Module._compile (node:internal/modules/cjs/loader:1103:14) at Object.Module._extensions..js (node:internal/modules/cjs/loader:1157:10) at Module.load (node:internal/modules/cjs/loader:981:32) at Function.Module._load (node:internal/modules/cjs/loader:822:12) at Function.executeUserEntryPoint [as runMain] (node:internal/modules/run_main:77:12) at node:internal/main/run_main_module:17:47 ``` npm v8.6.0 node v16.14.2 node-rsa v1.1.1 # Summary ```js // Works const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt(encryptedData , "utf8"); ``` ```js // Not works // const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` ```js // Works publicKey.encrypt(""); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` reproduce error: 1. Encrypt anything. 2. Copy the encrypted result. 3. remove or comment out the lines of code that do the encryption 4. try decrypt. (not works)

mqmenchaca · 19. Februar 2025 um 15:31

Das scheint eine ziemlich einfache Ergänzung zu sein?

github.com/discourse/discourse

Add PKCS1_OAEP_PADDING option to UserAPIKeySpec

main ← qmenchaca:AddOAEPPaddingToUserApiKey

opened 03:30PM - 19 Feb 25 UTC

qmenchaca

+7 -1

This commit adds a new site setting to the User API Keys options. The padding op…tion specified here will be used to encrypt the user api key created and sent back to the client. The default, PKCS1_PADDING, is the value currently in place (so existing) integrations won't break),but if a user chooses to use PKCS1_OAEP_PADDING, they can implement it and use it as they see fit.

sam · 24. Februar 2025 um 06:17

Ich verstehe, dass OAEP für neue Apps, die resistent gegen CCA/Bleichenbach-Angriffe sind, empfohlen wird. Dass Node uns hier unter Druck setzt, ist etwas traurig, aber ich schätze, das ist eine Art „höheres Gut“.

Ich bin äußerst besorgt darüber, dies zu einem weiteren Schalter für einen Discourse-Administrator zu machen, über den er nachdenken muss, das ist ein Albtraum.

Stattdessen müssten wir Discourse Hub reparieren, um die neuen und alten Varianten gleichzeitig zu unterstützen, und etwas in unserer API signalisieren, das die „Version“ des öffentlichen Schlüssels angibt.

Es ist eine komplizierte Änderung, die durch recht viele Systeme läuft. Die von Ihnen vorgeschlagene Korrektur ist ein Problem, da Discourse Hub dann für Administratoren, die in diesen Modus wechseln, nicht mehr funktioniert.

mqmenchaca · 24. Februar 2025 um 19:44

Vielen Dank für die zusätzlichen Informationen.

Um es klarzustellen, das ist ein Problem, das ich bei der lokalen Entwicklung habe. Aber wenn ich mich mit unseren auf AWS EC2-Instanzen bereitgestellten Ressourcen verbinde, ist es kein Problem. Ich vermute, ihre Version von Node enthält some Hinter-den-Kulissen-Anpassungen oder Versionierungen, bei denen die Crypto-Bibliothek dieses Problem nicht hat.

pmusaraj · 24. Februar 2025 um 22:09

Ich komme hier kalt rein, aber dieser Fehler scheint falsch zu sein. Dies ist keine Funktion, die in Node entfernt wurde, sondern ein Problem mit einer OpenSSL-Installation. Laut den Node-Dokumenten:

Die Verwendung von crypto.constants.RSA_PKCS1_PADDING in crypto.privateDecrypt() erfordert, dass OpenSSL implizite Ablehnung unterstützt (rsa_pkcs1_implicit_rejection).

Siehe auch [Bug]: RSA_PKCS1_PADDING is no longer supported for private decryption · Issue #487 · bropat/eufy-security-client · GitHub

Beim lokalen Testen funktioniert dies für mich: An example of RSA Encryption implemented in Node.js · GitHub, auch wenn ich für das Padding sowohl für die Verschlüsselung als auch für die Entschlüsselung crypto.constants.RSA_PKCS1_PADDING verwende. Ich verwende OpenSSL 3.4.0 und Node 23.6.1.

Das Schwierige bei der Verwendung einer Site-Einstellung ist, dass Clients nicht wissen, welches Padding die spezifische Instanz unterstützt. Das erschwert das Verständnis der Kompatibilität zwischen Instanzen/Diensten.

Ich denke, wir sollten die bestehende Implementierung klären, d. h. explizit darauf hinweisen, dass wir RSA_PKCS1_PADDING verwenden, und dann über ein Upgrade nachdenken. Vielleicht müssen wir eine Versionierung für diesen Endpunkt einführen, damit Clients vor/nach dieser Version ordnungsgemäß das richtige Padding verwenden können.

simon · 24. Februar 2025 um 23:33

Zum Kontext, dies ist keine Funktionsanfrage von mir, sondern nur eine Beobachtung, die ich im Juni des letzten Jahres gemacht habe.

Thema		Antworten	Aufrufe
User-api-key returning error on generating new key Dev	1	539	9. Mai 2019
Per User API Keys Not Working Support	2	1171	2. September 2021
User API keys specification Integrations rest-api , reference	70	34081	22. September 2025
Secure way of encrypting payload in Javascript for user authentification Dev	6	1915	28. September 2020
Encrypted personal messages Marketplace	17	4785	14. Dezember 2018

Benutzer-API-Schlüssel sollten OAEP-Padding verwenden

Verwandte Themen