Las claves API de los usuarios deberían utilizar relleno OAEP

simon · 1 Junio, 2024 07:00

Un problema menor y quizás uno mayor:

Hay un parámetro nonce obligatorio que no se menciona en la documentación:

  def require_params
    %i[public_key nonce scopes client_id application_name].each { |p| params.require(p) }
  end

Ahora el problema más complicado. Discourse llama al método public_encrypt sin argumentos:

github.com/discourse/discourse

app/controllers/user_api_keys_controller.rb

main


      
          key =
            @client.keys.create!(
              user_id: current_user.id,
              push_url: params[:push_url],
              scopes: scopes.map { |name| UserApiKeyScope.new(name: name) },
            )
          
          # we keep the payload short so it encrypts easily with public key
          # it is often restricted to 128 chars
          @payload = {
            key: key.key,
            nonce: params[:nonce],
            push: key.has_push?,
            api: AUTH_API_VERSION,
          }.to_json
          
          public_key_str = (@client.public_key.presence || params[:public_key])
          public_key = OpenSSL::PKey::RSA.new(public_key_str)
          
          # by default, Ruby uses `PKCS1_PADDING` here
          # see https://docs.ruby-lang.org/en/3.2/OpenSSL/PKey/RSA.html#method-i-public_encrypt

Eso significa que el argumento padding se establece por defecto en PKCS1_PADDING. Según la documentación de Ruby:

Cifra string con la clave pública. padding se establece por defecto en PKCS1_PADDING, que se sabe que no es seguro pero se mantiene por compatibilidad con versiones anteriores.

Desafortunadamente, Node v20.14.0 (el LTS actual) devuelve un error si intentas llamar a crypto.privateDecrypt con RSA_PKCS1_PADDING:

function decryptData(data: string, privateKey: string) {
  const buffer = Buffer.from(data, "base64");
  const decrypted = crypto.privateDecrypt(
    {
      key: privateKey,
      padding: crypto.constants.RSA_PKCS1_PADDING,
    },
    buffer
  );
  return decrypted.toString("utf8");
}

TypeError: RSA_PKCS1_PADDING ya no se admite para la descifración privada; esto se puede revertir con --security-revert=CVE-2023-46809

Una posible solución para las aplicaciones Node es ejecutar Node con la bandera insegura:

node --security-revert=CVE-2023-46809

Una solución en el lado de Discourse sería fácil, pero sospecho que rompería muchas integraciones existentes:

public_key = OpenSSL::PKey::RSA.new(params[:public_key])
@payload = Base64.encode64(public_key.public_encrypt(@payload, OpenSSL::PKey::RSA::PKCS1_OAEP_PADDING))

mqmenchaca · 14 Febrero, 2025 22:31

@simon Sí, esto definitivamente está causando problemas con Node v22. Sería genial no revertir los parches de seguridad. Sería bueno establecer una bandera en la llamada a la API o una configuración del sitio en Discourse para elegir el relleno deseado. (De esa manera, las personas pueden mantener el valor predeterminado existente si lo desean).

mqmenchaca · 15 Febrero, 2025 01:11

Aproximadamente siguiendo los pasos aquí, NodeRSA funciona

github.com/rzcoder/node-rsa

I can't decrypt unencrypted

opened 07:29PM - 17 Apr 22 UTC

alantoledo007

I created a helper to get the public and private key. The pems files have been c…reated with `new NodeRSA ({b:1024})`: ```js const fs = require("fs"); const NodeRSA = require("node-rsa"); const getKeys = () => { const publicPem = fs.readFileSync("./public.pem", "utf8"); const privatePem = fs.readFileSync("./private.pem", "utf8"); const privateKey = new NodeRSA(privatePem); const publicKey = new NodeRSA(publicPem); return { privateKey, publicKey, privatePem, publicPem, }; }; const RSA = { getKeys, }; module.exports = { RSA }; ``` i can encrypt with `publicKey.encrypt(data, "base64")`. And, i can decrypt with `privateKey.decrypt(encryptedData,'utf8')`. but... I can't decrypt if I didn't create any encryption before. Just to give you an idea, I have to do this for the decryption to work: ```js publicKey.encrypt(""); //bug const decryptedData= privateKey.decrypt(encryptedRSA, "utf8"); ``` without ` publicKey.encrypt(""); //bug` the terminal returns next error: ``` throw Error('Error during decryption (probably incorrect key). Original error: ' + e); ^ Error: Error during decryption (probably incorrect key). Original error: Error: error:25078067:DSO support routines:win32_load:could not load the shared library at NodeRSA.module.exports.NodeRSA.$$decryptKey (C:\....\project-name\node_modules\node-rsa\src\NodeRSA.js:301:19) at NodeRSA.module.exports.NodeRSA.decrypt (C:\...\project-name\node_modules\node-rsa\src\NodeRSA.js:249:21) at Object.decrypt (C:\....\MyHelper.js:20:38) at Object.<anonymous> (C:\...\index.js:7:37) at Module._compile (node:internal/modules/cjs/loader:1103:14) at Object.Module._extensions..js (node:internal/modules/cjs/loader:1157:10) at Module.load (node:internal/modules/cjs/loader:981:32) at Function.Module._load (node:internal/modules/cjs/loader:822:12) at Function.executeUserEntryPoint [as runMain] (node:internal/modules/run_main:77:12) at node:internal/main/run_main_module:17:47 ``` npm v8.6.0 node v16.14.2 node-rsa v1.1.1 # Summary ```js // Works const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt(encryptedData , "utf8"); ``` ```js // Not works // const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` ```js // Works publicKey.encrypt(""); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` reproduce error: 1. Encrypt anything. 2. Copy the encrypted result. 3. remove or comment out the lines of code that do the encryption 4. try decrypt. (not works)

mqmenchaca · 19 Febrero, 2025 15:31

¿Parece una adición bastante simple?

github.com/discourse/discourse

Add PKCS1_OAEP_PADDING option to UserAPIKeySpec

main ← qmenchaca:AddOAEPPaddingToUserApiKey

opened 03:30PM - 19 Feb 25 UTC

qmenchaca

+7 -1

This commit adds a new site setting to the User API Keys options. The padding op…tion specified here will be used to encrypt the user api key created and sent back to the client. The default, PKCS1_PADDING, is the value currently in place (so existing) integrations won't break),but if a user chooses to use PKCS1_OAEP_PADDING, they can implement it and use it as they see fit.

sam · 24 Febrero, 2025 06:17

Entiendo que se recomienda OAEP para nuevas aplicaciones que sean resistentes a ataques CCA / Bleichenbach. Que Node nos obligue a hacer esto es un poco triste, pero supongo que es una cuestión de “un bien mayor”.

Me preocupa enormemente que esto se convierta en otro interruptor que un administrador de Discourse deba considerar, eso es una pesadilla.

En su lugar, necesitaríamos arreglar Discourse Hub para que admita simultáneamente las versiones nueva y antigua, y que algo en nuestra API señale la “versión” de la clave pública.

Es un cambio complicado que afecta a varios sistemas. La solución que propusiste es un problema porque entonces Discourse Hub dejará de funcionar para los administradores que cambien a ese modo.

mqmenchaca · 24 Febrero, 2025 19:44

Gracias por el contexto adicional.

Para aclarar, esto es algo con lo que tengo problemas cuando hago desarrollo local. Pero al conectarme a nuestros recursos desplegados en instancias de AWS EC2, no es un problema. Supongo que su versión de Node tiene algunas personalizaciones o versiones internas donde la biblioteca de criptografía no presenta este problema.

pmusaraj · 24 Febrero, 2025 22:09

Entro en frío aquí, pero ese error parece incorrecto. Esto no es una característica que se haya eliminado en Node, es un problema con alguna instalación de OpenSSL. De la documentación de Node:

El uso de crypto.constants.RSA_PKCS1_PADDING en crypto.privateDecrypt() requiere que OpenSSL admita el rechazo implícito (rsa_pkcs1_implicit_rejection).

Ver también [Bug]: RSA_PKCS1_PADDING is no longer supported for private decryption · Issue #487 · bropat/eufy-security-client · GitHub

Probando localmente, esto funciona para mí: An example of RSA Encryption implemented in Node.js · GitHub incluso cuando cambio a usar crypto.constants.RSA_PKCS1_PADDING para el relleno tanto para cifrar como para descifrar. Estoy en OpenSSL 3.4.0 y Node 23.6.1.

Lo complicado de usar una configuración del sitio es que los clientes no sabrán qué relleno admite la instancia específica. Eso hace que la compatibilidad entre instancias/servicios sea más difícil de entender.

Creo que deberíamos aclarar la implementación existente, es decir, señalar explícitamente que estamos usando RSA_PKCS1_PADDING y luego pensar en una actualización. Quizás necesitemos introducir versionado para este endpoint, para que los clientes puedan usar limpiamente el relleno correcto antes/después de dicha versión.

simon · 24 Febrero, 2025 23:33

Para contexto, esta no es una solicitud de función por mi parte, solo una observación que hice en junio del año pasado.

Tema		Respuestas	Vistas
User-api-key returning error on generating new key Dev	1	539	9 Mayo 2019
Per User API Keys Not Working Support	2	1171	2 Septiembre 2021
User API keys specification Integrations rest-api , reference	70	34081	22 Septiembre 2025
Secure way of encrypting payload in Javascript for user authentification Dev	6	1915	28 Septiembre 2020
Encrypted personal messages Marketplace	17	4785	14 Diciembre 2018

Las claves API de los usuarios deberían utilizar relleno OAEP

Temas relacionados