ユーザーAPIキーはOAEPパディングを使用すべき

simon · 2024 年 6 月 1 日午前 7:00

軽微な問題と、おそらくより大きな問題があります。

ドキュメントに記載されていない必須の nonce パラメータがあります。

  def require_params
    %i[public_key nonce scopes client_id application_name].each { |p| params.require(p) }
  end

さて、より厄介な問題です。Discourse は引数なしで public_encrypt メソッドを呼び出します。

github.com/discourse/discourse

app/controllers/user_api_keys_controller.rb

main


      
          key =
            @client.keys.create!(
              user_id: current_user.id,
              push_url: params[:push_url],
              scopes: scopes.map { |name| UserApiKeyScope.new(name: name) },
            )
          
          # we keep the payload short so it encrypts easily with public key
          # it is often restricted to 128 chars
          @payload = {
            key: key.key,
            nonce: params[:nonce],
            push: key.has_push?,
            api: AUTH_API_VERSION,
          }.to_json
          
          public_key_str = (@client.public_key.presence || params[:public_key])
          public_key = OpenSSL::PKey::RSA.new(public_key_str)
          
          # by default, Ruby uses `PKCS1_PADDING` here
          # see https://docs.ruby-lang.org/en/3.2/OpenSSL/PKey/RSA.html#method-i-public_encrypt

これにより、padding 引数はデフォルトで PKCS1_PADDING になります。Ruby のドキュメントによると (class OpenSSL::PKey::RSA - Documentation for Ruby 3.2):

string を公開鍵で暗号化します。padding はデフォルトで PKCS1_PADDING になりますが、これは安全ではないことが知られていますが、後方互換性のために保持されています。

残念ながら、Node v20.14.0 (現在の LTS) では、crypto.privateDecrypt を RSA_PKCS1_PADDING で呼び出そうとするとエラーが返されます。

function decryptData(data: string, privateKey: string) {
  const buffer = Buffer.from(data, "base64");
  const decrypted = crypto.privateDecrypt(
    {
      key: privateKey,
      padding: crypto.constants.RSA_PKCS1_PADDING,
    },
    buffer
  );
  return decrypted.toString("utf8");
}

TypeError: RSA_PKCS1_PADDING はプライベート復号ではサポートされなくなりました。これは --security-revert=CVE-2023-46809 で元に戻すことができます。

Node アプリの可能な修正は、安全でないフラグで Node を実行することです。

node --security-revert=CVE-2023-46809

Discourse 側での修正は簡単ですが、多くの既存の統合を壊してしまう可能性があります。

public_key = OpenSSL::PKey::RSA.new(params[:public_key])
@payload = Base64.encode64(public_key.public_encrypt(@payload, OpenSSL::PKey::RSA::PKCS1_OAEP_PADDING))

mqmenchaca · 2025 年 2 月 14 日午後 10:31

@simon はい、これは間違いなくNode v22で問題を引き起こしています。セキュリティパッチを元に戻さないのは素晴らしいことです。API呼び出しまたはDiscourseのサイト設定でフラグを設定して、目的のパディングを選択できるようにすると良いでしょう。（そうすれば、既存のデフォルトを維持したい人もいるでしょう。）

mqmenchaca · 2025 年 2 月 15 日午前 1:11

NodeRSA を使用して、ここにある手順に大まかに従うと機能します。

github.com/rzcoder/node-rsa

I can't decrypt unencrypted

opened 07:29PM - 17 Apr 22 UTC

alantoledo007

I created a helper to get the public and private key. The pems files have been c…reated with `new NodeRSA ({b:1024})`: ```js const fs = require("fs"); const NodeRSA = require("node-rsa"); const getKeys = () => { const publicPem = fs.readFileSync("./public.pem", "utf8"); const privatePem = fs.readFileSync("./private.pem", "utf8"); const privateKey = new NodeRSA(privatePem); const publicKey = new NodeRSA(publicPem); return { privateKey, publicKey, privatePem, publicPem, }; }; const RSA = { getKeys, }; module.exports = { RSA }; ``` i can encrypt with `publicKey.encrypt(data, "base64")`. And, i can decrypt with `privateKey.decrypt(encryptedData,'utf8')`. but... I can't decrypt if I didn't create any encryption before. Just to give you an idea, I have to do this for the decryption to work: ```js publicKey.encrypt(""); //bug const decryptedData= privateKey.decrypt(encryptedRSA, "utf8"); ``` without ` publicKey.encrypt(""); //bug` the terminal returns next error: ``` throw Error('Error during decryption (probably incorrect key). Original error: ' + e); ^ Error: Error during decryption (probably incorrect key). Original error: Error: error:25078067:DSO support routines:win32_load:could not load the shared library at NodeRSA.module.exports.NodeRSA.$$decryptKey (C:\....\project-name\node_modules\node-rsa\src\NodeRSA.js:301:19) at NodeRSA.module.exports.NodeRSA.decrypt (C:\...\project-name\node_modules\node-rsa\src\NodeRSA.js:249:21) at Object.decrypt (C:\....\MyHelper.js:20:38) at Object.<anonymous> (C:\...\index.js:7:37) at Module._compile (node:internal/modules/cjs/loader:1103:14) at Object.Module._extensions..js (node:internal/modules/cjs/loader:1157:10) at Module.load (node:internal/modules/cjs/loader:981:32) at Function.Module._load (node:internal/modules/cjs/loader:822:12) at Function.executeUserEntryPoint [as runMain] (node:internal/modules/run_main:77:12) at node:internal/main/run_main_module:17:47 ``` npm v8.6.0 node v16.14.2 node-rsa v1.1.1 # Summary ```js // Works const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt(encryptedData , "utf8"); ``` ```js // Not works // const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` ```js // Works publicKey.encrypt(""); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` reproduce error: 1. Encrypt anything. 2. Copy the encrypted result. 3. remove or comment out the lines of code that do the encryption 4. try decrypt. (not works)

mqmenchaca · 2025 年 2 月 19 日午後 3:31

これはかなり簡単な追加のように思えますか？

github.com/discourse/discourse

Add PKCS1_OAEP_PADDING option to UserAPIKeySpec

main ← qmenchaca:AddOAEPPaddingToUserApiKey

opened 03:30PM - 19 Feb 25 UTC

qmenchaca

+7 -1

This commit adds a new site setting to the User API Keys options. The padding op…tion specified here will be used to encrypt the user api key created and sent back to the client. The default, PKCS1_PADDING, is the value currently in place (so existing) integrations won't break),but if a user chooses to use PKCS1_OAEP_PADDING, they can implement it and use it as they see fit.

sam · 2025 年 2 月 24 日午前 6:17

OAEP は、CCA / Bleichenbach 攻撃に耐性のある新しいアプリケーションに推奨されていることは理解しています。Node が強制的に対応しなければならないのは少し残念ですが、これは「より大きな善」のためだと考えます。

これを Discourse 管理者が考慮しなければならないもう一つのトグルにすることは、悪夢なので、非常に懸念しています。

代わりに、Discourse Hub を修正して、新しい形式と古い形式を同時にサポートできるようにする必要があります。API が公開キーの「バージョン」を示すようなものが必要です。

これは、かなりの数のシステムにまたがる複雑な変更です。あなたが提案した修正は、Discourse Hub がそのモードに切り替えた管理者のために機能しなくなるため、問題を引き起こします。

mqmenchaca · 2025 年 2 月 24 日午後 7:44

追加のコンテキストをありがとうございます。

はっきりさせておくと、これはローカル開発を行う際に問題となることがあります。しかし、私たちのリソースがAWS EC2インスタンスに展開されている場合は問題になりません。おそらく、彼らのNodeのバージョンには何らかの裏側のカスタマイズやバージョンがあり、暗号ライブラリにこの問題がないのだと思います。

pmusaraj · 2025 年 2 月 24 日午後 10:09

いきなりですが、そのエラーは間違っているように思えます。これはNodeで削除された機能ではなく、一部のOpenSSLのインストールに関する問題です。Nodeのドキュメント（Crypto | Node.js v25.0.0 Documentation

crypto.privateDecrypt() で crypto.constants.RSA_PKCS1_PADDING を使用するには、OpenSSL が暗黙的な拒否（rsa_pkcs1_implicit_rejection）をサポートしている必要があります。

[Bug]: RSA_PKCS1_PADDING is no longer supported for private decryption · Issue #487 · bropat/eufy-security-client · GitHub も参照してください。

ローカルでテストしたところ、暗号化と復号の両方でパディングに crypto.constants.RSA_PKCS1_PADDING を使用するように切り替えても、これは機能します。An example of RSA Encryption implemented in Node.js · GitHub OpenSSL 3.4.0 および Node 23.6.1 を使用しています。

サイト設定を使用する際の難しい点は、クライアントが特定のインスタンスがどのパディングをサポートしているかを知ることができないことです。これにより、インスタンス/サービス間の互換性を理解するのが難しくなります。

既存の実装を明確にすること、つまり RSA_PKCS1_PADDING を使用していることを明示的に記載し、その後アップグレードを検討することをお勧めします。おそらく、このエンドポイントにバージョン管理を導入する必要があり、クライアントがそのバージョン以前/以降で適切なパディングをきれいに使用できるようになります。

simon · 2025 年 2 月 24 日午後 11:33

参考のために、これは私のリクエストではなく、去年の6月に私が気づいた観察です。

トピック		返信	表示
User-api-key returning error on generating new key Dev	1	539	2019 年 5 月 9 日
Per User API Keys Not Working Support	2	1171	2021 年 9 月 2 日
User API keys specification Integrations rest-api , reference	70	34082	2025 年 9 月 22 日
Secure way of encrypting payload in Javascript for user authentification Dev	6	1915	2020 年 9 月 28 日
Encrypted personal messages Marketplace	17	4785	2018 年 12 月 14 日

ユーザーAPIキーはOAEPパディングを使用すべき

関連トピック