Le chiavi API utente dovrebbero usare l'padding OAEP

simon · 1 Giugno 2024, 7:00am

Un problema minore e forse uno più grande:

C’è un parametro nonce obbligatorio che non è menzionato nella documentazione:

  def require_params
    %i[public_key nonce scopes client_id application_name].each { |p| params.require(p) }
  end

Ora il problema più complicato. Discourse chiama il metodo public_encrypt senza argomenti:

github.com/discourse/discourse

app/controllers/user_api_keys_controller.rb

main


      
          key =
            @client.keys.create!(
              user_id: current_user.id,
              push_url: params[:push_url],
              scopes: scopes.map { |name| UserApiKeyScope.new(name: name) },
            )
          
          # we keep the payload short so it encrypts easily with public key
          # it is often restricted to 128 chars
          @payload = {
            key: key.key,
            nonce: params[:nonce],
            push: key.has_push?,
            api: AUTH_API_VERSION,
          }.to_json
          
          public_key_str = (@client.public_key.presence || params[:public_key])
          public_key = OpenSSL::PKey::RSA.new(public_key_str)
          
          # by default, Ruby uses `PKCS1_PADDING` here
          # see https://docs.ruby-lang.org/en/3.2/OpenSSL/PKey/RSA.html#method-i-public_encrypt

Ciò significa che l’argomento padding viene impostato di default su PKCS1_PADDING. Dalla documentazione Ruby:

Cifra string con la chiave pubblica. padding è di default su PKCS1_PADDING, che è noto per essere insicuro ma viene mantenuto per compatibilità con le versioni precedenti.

Sfortunatamente, Node v20.14.0 (l’attuale LTS) restituisce un errore se si tenta di chiamare crypto.privateDecrypt con RSA_PKCS1_PADDING:

function decryptData(data: string, privateKey: string) {
  const buffer = Buffer.from(data, "base64");
  const decrypted = crypto.privateDecrypt(
    {
      key: privateKey,
      padding: crypto.constants.RSA_PKCS1_PADDING,
    },
    buffer
  );
  return decrypted.toString("utf8");
}

TypeError: RSA_PKCS1_PADDING non è più supportato per la decrittazione privata, questo può essere ripristinato con --security-revert=CVE-2023-46809

Una possibile soluzione per le app Node è eseguire Node con il flag insicuro:

node --security-revert=CVE-2023-46809

Una soluzione lato Discourse sarebbe facile, ma sospetto che romperebbe molte integrazioni esistenti:

public_key = OpenSSL::PKey::RSA.new(params[:public_key])
@payload = Base64.encode64(public_key.public_encrypt(@payload, OpenSSL::PKey::RSA::PKCS1_OAEP_PADDING))

mqmenchaca · 14 Febbraio 2025, 10:31pm

@simon Sì, questo sta decisamente causando problemi con Node v22. Sarebbe fantastico non dover ripristinare le patch di sicurezza. Sarebbe bello impostare un flag nella chiamata API o un’impostazione del sito in Discourse per scegliere il padding desiderato. (In questo modo le persone possono mantenere l’impostazione predefinita esistente, se lo desiderano.)

mqmenchaca · 15 Febbraio 2025, 1:11am

Seguendo approssimativamente i passaggi qui, NodeRSA funziona

github.com/rzcoder/node-rsa

I can't decrypt unencrypted

opened 07:29PM - 17 Apr 22 UTC

alantoledo007

I created a helper to get the public and private key. The pems files have been c…reated with `new NodeRSA ({b:1024})`: ```js const fs = require("fs"); const NodeRSA = require("node-rsa"); const getKeys = () => { const publicPem = fs.readFileSync("./public.pem", "utf8"); const privatePem = fs.readFileSync("./private.pem", "utf8"); const privateKey = new NodeRSA(privatePem); const publicKey = new NodeRSA(publicPem); return { privateKey, publicKey, privatePem, publicPem, }; }; const RSA = { getKeys, }; module.exports = { RSA }; ``` i can encrypt with `publicKey.encrypt(data, "base64")`. And, i can decrypt with `privateKey.decrypt(encryptedData,'utf8')`. but... I can't decrypt if I didn't create any encryption before. Just to give you an idea, I have to do this for the decryption to work: ```js publicKey.encrypt(""); //bug const decryptedData= privateKey.decrypt(encryptedRSA, "utf8"); ``` without ` publicKey.encrypt(""); //bug` the terminal returns next error: ``` throw Error('Error during decryption (probably incorrect key). Original error: ' + e); ^ Error: Error during decryption (probably incorrect key). Original error: Error: error:25078067:DSO support routines:win32_load:could not load the shared library at NodeRSA.module.exports.NodeRSA.$$decryptKey (C:\....\project-name\node_modules\node-rsa\src\NodeRSA.js:301:19) at NodeRSA.module.exports.NodeRSA.decrypt (C:\...\project-name\node_modules\node-rsa\src\NodeRSA.js:249:21) at Object.decrypt (C:\....\MyHelper.js:20:38) at Object.<anonymous> (C:\...\index.js:7:37) at Module._compile (node:internal/modules/cjs/loader:1103:14) at Object.Module._extensions..js (node:internal/modules/cjs/loader:1157:10) at Module.load (node:internal/modules/cjs/loader:981:32) at Function.Module._load (node:internal/modules/cjs/loader:822:12) at Function.executeUserEntryPoint [as runMain] (node:internal/modules/run_main:77:12) at node:internal/main/run_main_module:17:47 ``` npm v8.6.0 node v16.14.2 node-rsa v1.1.1 # Summary ```js // Works const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt(encryptedData , "utf8"); ``` ```js // Not works // const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` ```js // Works publicKey.encrypt(""); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` reproduce error: 1. Encrypt anything. 2. Copy the encrypted result. 3. remove or comment out the lines of code that do the encryption 4. try decrypt. (not works)

mqmenchaca · 19 Febbraio 2025, 3:31pm

Sembra un’aggiunta piuttosto semplice?

github.com/discourse/discourse

Add PKCS1_OAEP_PADDING option to UserAPIKeySpec

main ← qmenchaca:AddOAEPPaddingToUserApiKey

opened 03:30PM - 19 Feb 25 UTC

qmenchaca

+7 -1

This commit adds a new site setting to the User API Keys options. The padding op…tion specified here will be used to encrypt the user api key created and sent back to the client. The default, PKCS1_PADDING, is the value currently in place (so existing) integrations won't break),but if a user chooses to use PKCS1_OAEP_PADDING, they can implement it and use it as they see fit.

sam · 24 Febbraio 2025, 6:17am

Capisco che OAEP sia raccomandato per le nuove applicazioni che sono resistenti agli attacchi CCA / Bleichenbach. È un po’ triste che Node ci stia costringendo, ma immagino sia una cosa del tipo “bene superiore”.

Sono estremamente preoccupato di rendere questa un’altra opzione per un amministratore di Discourse a cui pensare, è un incubo.

Invece, dovremmo correggere Discourse Hub per supportare contemporaneamente le vecchie e le nuove versioni, avere qualcosa sulla nostra API che segnali la “versione” della chiave pubblica.

È un cambiamento complicato che attraversa diversi sistemi. La correzione che hai proposto è un problema perché Discourse Hub smetterà di funzionare per gli amministratori che passeranno a quella modalità.

mqmenchaca · 24 Febbraio 2025, 7:44pm

Grazie per il contesto aggiuntivo.

Per essere chiari, questa è una cosa con cui ho problemi durante lo sviluppo locale. Ma quando ci si collega alle nostre risorse distribuite su istanze AWS EC2, non è un problema. Suppongo che la loro versione di Node abbia alcune personalizzazioni o versioni di sottofondo in cui la libreria crypto non presenta questo problema.

pmusaraj · 24 Febbraio 2025, 10:09pm

Arrivo a freddo ma quell’errore sembra errato. Questa non è una funzionalità rimossa in Node, è un problema con alcune installazioni di OpenSSL. Dalla documentazione di Node:

L'uso di crypto.constants.RSA_PKCS1_PADDING in crypto.privateDecrypt() richiede che OpenSSL supporti il rifiuto implicito (rsa_pkcs1_implicit_rejection).

Vedi anche [Bug]: RSA_PKCS1_PADDING is no longer supported for private decryption · Issue #487 · bropat/eufy-security-client · GitHub

Testando localmente, questo funziona per me: An example of RSA Encryption implemented in Node.js · GitHub anche quando passo all’uso di crypto.constants.RSA_PKCS1_PADDING per il padding sia per la crittografia che per la decrittografia. Sono su OpenSSL 3.4.0 e Node 23.6.1.

La cosa complicata nell’usare un’impostazione del sito è che i client non sapranno quale padding la specifica istanza supporta. Ciò rende la compatibilità tra istanze/servizi più difficile da comprendere.

Penso che dovremmo chiarire l’implementazione esistente, cioè notare esplicitamente che stiamo usando RSA_PKCS1_PADDING e poi pensare a un aggiornamento. Forse dobbiamo introdurre il versionamento per questo endpoint, in modo che i client possano utilizzare correttamente il padding giusto prima/dopo tale versione.

simon · 24 Febbraio 2025, 11:33pm

Per contesto, questa non è una richiesta di funzionalità da parte mia, è solo un’osservazione che ho fatto a giugno dello scorso anno.

Argomento		Risposte	Visualizzazioni
User-api-key returning error on generating new key Dev	1	539	Maggio 9, 2019
Per User API Keys Not Working Support	2	1171	Settembre 2, 2021
User API keys specification Integrations rest-api , reference	70	34078	Settembre 22, 2025
Secure way of encrypting payload in Javascript for user authentification Dev	6	1915	Settembre 28, 2020
Encrypted personal messages Marketplace	17	4785	Dicembre 14, 2018

Le chiavi API utente dovrebbero usare l'padding OAEP

Argomenti correlati