Les clés API utilisateur devraient utiliser un padding OAEP

simon · Juin 1, 2024, 7:00

Un problème mineur et peut-être un plus gros :

Il y a un paramètre nonce requis qui n’est pas mentionné dans la documentation :

  def require_params
    %i[public_key nonce scopes client_id application_name].each { |p| params.require(p) }
  end

Maintenant, le problème le plus délicat. Discourse appelle la méthode public_encrypt sans arguments :

github.com/discourse/discourse

app/controllers/user_api_keys_controller.rb

main


      
          key =
            @client.keys.create!(
              user_id: current_user.id,
              push_url: params[:push_url],
              scopes: scopes.map { |name| UserApiKeyScope.new(name: name) },
            )
          
          # we keep the payload short so it encrypts easily with public key
          # it is often restricted to 128 chars
          @payload = {
            key: key.key,
            nonce: params[:nonce],
            push: key.has_push?,
            api: AUTH_API_VERSION,
          }.to_json
          
          public_key_str = (@client.public_key.presence || params[:public_key])
          public_key = OpenSSL::PKey::RSA.new(public_key_str)
          
          # by default, Ruby uses `PKCS1_PADDING` here
          # see https://docs.ruby-lang.org/en/3.2/OpenSSL/PKey/RSA.html#method-i-public_encrypt

Cela signifie que l’argument padding prend par défaut PKCS1_PADDING. D’après la documentation Ruby :

Crypte string avec la clé publique. padding prend par défaut PKCS1_PADDING, qui est connu pour être non sécurisé mais est conservé pour des raisons de compatibilité ascendante.

Malheureusement, Node v20.14.0 (l’actuel LTS) renvoie une erreur si vous tentez d’appeler crypto.privateDecrypt avec RSA_PKCS1_PADDING :

function decryptData(data: string, privateKey: string) {
  const buffer = Buffer.from(data, "base64");
  const decrypted = crypto.privateDecrypt(
    {
      key: privateKey,
      padding: crypto.constants.RSA_PKCS1_PADDING,
    },
    buffer
  );
  return decrypted.toString("utf8");
}

TypeError: RSA_PKCS1_PADDING n’est plus pris en charge pour le déchiffrement privé, cela peut être rétabli avec --security-revert=CVE-2023-46809

Une solution possible pour les applications Node est d’exécuter Node avec le drapeau non sécurisé :

node --security-revert=CVE-2023-46809

Une correction du côté de Discourse serait facile, mais je soupçonne que cela casserait de nombreuses intégrations existantes :

public_key = OpenSSL::PKey::RSA.new(params[:public_key])
@payload = Base64.encode64(public_key.public_encrypt(@payload, OpenSSL::PKey::RSA::PKCS1_OAEP_PADDING))

mqmenchaca · Février 14, 2025, 10:31

@simon Oui, cela cause définitivement des problèmes avec Node v22. Ce serait formidable de ne pas avoir à annuler les correctifs de sécurité. Il serait agréable de définir un indicateur dans l’appel API ou un paramètre de site dans Discourse pour choisir le remplissage souhaité. (De cette façon, les gens peuvent conserver la valeur par défaut existante s’ils le souhaitent.)

mqmenchaca · Février 15, 2025, 1:11

Cela fonctionne à peu près en suivant les étapes ici :

github.com/rzcoder/node-rsa

I can't decrypt unencrypted

opened 07:29PM - 17 Apr 22 UTC

alantoledo007

I created a helper to get the public and private key. The pems files have been c…reated with `new NodeRSA ({b:1024})`: ```js const fs = require("fs"); const NodeRSA = require("node-rsa"); const getKeys = () => { const publicPem = fs.readFileSync("./public.pem", "utf8"); const privatePem = fs.readFileSync("./private.pem", "utf8"); const privateKey = new NodeRSA(privatePem); const publicKey = new NodeRSA(publicPem); return { privateKey, publicKey, privatePem, publicPem, }; }; const RSA = { getKeys, }; module.exports = { RSA }; ``` i can encrypt with `publicKey.encrypt(data, "base64")`. And, i can decrypt with `privateKey.decrypt(encryptedData,'utf8')`. but... I can't decrypt if I didn't create any encryption before. Just to give you an idea, I have to do this for the decryption to work: ```js publicKey.encrypt(""); //bug const decryptedData= privateKey.decrypt(encryptedRSA, "utf8"); ``` without ` publicKey.encrypt(""); //bug` the terminal returns next error: ``` throw Error('Error during decryption (probably incorrect key). Original error: ' + e); ^ Error: Error during decryption (probably incorrect key). Original error: Error: error:25078067:DSO support routines:win32_load:could not load the shared library at NodeRSA.module.exports.NodeRSA.$$decryptKey (C:\....\project-name\node_modules\node-rsa\src\NodeRSA.js:301:19) at NodeRSA.module.exports.NodeRSA.decrypt (C:\...\project-name\node_modules\node-rsa\src\NodeRSA.js:249:21) at Object.decrypt (C:\....\MyHelper.js:20:38) at Object.<anonymous> (C:\...\index.js:7:37) at Module._compile (node:internal/modules/cjs/loader:1103:14) at Object.Module._extensions..js (node:internal/modules/cjs/loader:1157:10) at Module.load (node:internal/modules/cjs/loader:981:32) at Function.Module._load (node:internal/modules/cjs/loader:822:12) at Function.executeUserEntryPoint [as runMain] (node:internal/modules/run_main:77:12) at node:internal/main/run_main_module:17:47 ``` npm v8.6.0 node v16.14.2 node-rsa v1.1.1 # Summary ```js // Works const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt(encryptedData , "utf8"); ``` ```js // Not works // const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` ```js // Works publicKey.encrypt(""); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` reproduce error: 1. Encrypt anything. 2. Copy the encrypted result. 3. remove or comment out the lines of code that do the encryption 4. try decrypt. (not works)

mqmenchaca · Février 19, 2025, 3:31

Cela semble être un ajout assez simple ?

github.com/discourse/discourse

Add PKCS1_OAEP_PADDING option to UserAPIKeySpec

main ← qmenchaca:AddOAEPPaddingToUserApiKey

opened 03:30PM - 19 Feb 25 UTC

qmenchaca

+7 -1

This commit adds a new site setting to the User API Keys options. The padding op…tion specified here will be used to encrypt the user api key created and sent back to the client. The default, PKCS1_PADDING, is the value currently in place (so existing) integrations won't break),but if a user chooses to use PKCS1_OAEP_PADDING, they can implement it and use it as they see fit.

sam · Février 24, 2025, 6:17

Je comprends que OAEP est recommandé pour les nouvelles applications résistantes aux attaques CCA / Bleichenbach. Le fait que Node nous y oblige est un peu triste, mais je suppose que c’est une question de « bien commun ».

Je suis extrêmement préoccupé par le fait d’en faire un autre interrupteur que les administrateurs de Discourse devront comprendre, c’est un cauchemar.

Au lieu de cela, nous devrions corriger Discourse Hub pour qu’il prenne en charge les anciennes et les nouvelles versions simultanément, et que quelque chose dans notre API signale la « version » de la clé publique.

C’est un changement compliqué qui touche plusieurs systèmes. La solution que vous avez proposée pose un problème car Discourse Hub cessera alors de fonctionner pour les administrateurs qui basculent vers ce mode.

mqmenchaca · Février 24, 2025, 7:44

Merci pour le contexte supplémentaire.

Pour être clair, c’est quelque chose avec lequel j’ai des problèmes lors du développement local. Mais lorsque je me connecte à nos ressources déployées sur des instances EC2 d’AWS, ce n’est pas un problème. Je suppose que leur version de Node a des personnalisations ou une gestion de version en coulisses où la bibliothèque crypto n’a pas ce problème.

pmusaraj · Février 24, 2025, 10:09

J’arrive sans contexte, mais cette erreur me semble incorrecte. Ce n’est pas une fonctionnalité qui a été supprimée dans Node, c’est un problème avec certaines installations OpenSSL. D’après la documentation Node :

L'utilisation de crypto.constants.RSA_PKCS1_PADDING dans crypto.privateDecrypt() nécessite qu'OpenSSL prenne en charge le rejet implicite (rsa_pkcs1_implicit_rejection).

Voir aussi [Bug]: RSA_PKCS1_PADDING is no longer supported for private decryption · Issue #487 · bropat/eufy-security-client · GitHub

En testant localement, cela fonctionne pour moi : An example of RSA Encryption implemented in Node.js · GitHub même lorsque je passe à l’utilisation de crypto.constants.RSA_PKCS1_PADDING pour le padding du chiffrement et du déchiffrement. Je suis sur OpenSSL 3.4.0 et Node 23.6.1.

La chose délicate avec l’utilisation d’un paramètre de site est que les clients ne sauront pas quel padding l’instance spécifique prend en charge. Cela rend la compatibilité entre les instances/services plus difficile à comprendre.

Je pense que nous devrions clarifier l’implémentation existante, c’est-à-dire noter explicitement que nous utilisons RSA_PKCS1_PADDING et ensuite réfléchir à une mise à niveau. Peut-être devons-nous introduire une version de cet endpoint, afin que les clients puissent utiliser proprement le bon padding avant/après ladite version.

simon · Février 24, 2025, 11:33

Pour contexte, ce n’est pas une demande de fonctionnalité de ma part, c’est simplement une observation que j’ai faite en juin de l’année dernière.

Sujet		Réponses	Vues
User-api-key returning error on generating new key Dev	1	539	Mai 9, 2019
Per User API Keys Not Working Support	2	1171	Septembre 2, 2021
User API keys specification Integrations rest-api , reference	70	34081	Septembre 22, 2025
Secure way of encrypting payload in Javascript for user authentification Dev	6	1915	Septembre 28, 2020
Encrypted personal messages Marketplace	17	4785	Décembre 14, 2018

Les clés API utilisateur devraient utiliser un padding OAEP

Sujets connexes