As chaves de API do usuário devem usar preenchimento OAEP

simon · Junho 1, 2024, 7:00am

Um problema menor e talvez um maior:

Há um parâmetro nonce obrigatório que não é mencionado na documentação:

  def require_params
    %i[public_key nonce scopes client_id application_name].each { |p| params.require(p) }
  end

Agora o problema mais complicado. O Discourse chama o método public_encrypt sem argumentos:

github.com/discourse/discourse

app/controllers/user_api_keys_controller.rb

main


      
          key =
            @client.keys.create!(
              user_id: current_user.id,
              push_url: params[:push_url],
              scopes: scopes.map { |name| UserApiKeyScope.new(name: name) },
            )
          
          # we keep the payload short so it encrypts easily with public key
          # it is often restricted to 128 chars
          @payload = {
            key: key.key,
            nonce: params[:nonce],
            push: key.has_push?,
            api: AUTH_API_VERSION,
          }.to_json
          
          public_key_str = (@client.public_key.presence || params[:public_key])
          public_key = OpenSSL::PKey::RSA.new(public_key_str)
          
          # by default, Ruby uses `PKCS1_PADDING` here
          # see https://docs.ruby-lang.org/en/3.2/OpenSSL/PKey/RSA.html#method-i-public_encrypt

Isso significa que o argumento padding tem como padrão PKCS1_PADDING. Da documentação Ruby:

Criptografa string com a chave pública. padding tem como padrão PKCS1_PADDING, que é conhecido por ser inseguro, mas é mantido por compatibilidade retroativa.

Infelizmente, o Node v20.14.0 (o atual LTS) retorna um erro se você tentar chamar crypto.privateDecrypt com RSA_PKCS1_PADDING:

function decryptData(data: string, privateKey: string) {
  const buffer = Buffer.from(data, "base64");
  const decrypted = crypto.privateDecrypt(
    {
      key: privateKey,
      padding: crypto.constants.RSA_PKCS1_PADDING,
    },
    buffer
  );
  return decrypted.toString("utf8");
}

TypeError: RSA_PKCS1_PADDING não é mais suportado para descriptografia privada, isso pode ser revertido com --security-revert=CVE-2023-46809

Uma possível solução para aplicativos Node é executar o Node com a flag insegura:

node --security-revert=CVE-2023-46809

Uma correção no lado do Discourse seria fácil, mas suspeito que quebraria muitas integrações existentes:

public_key = OpenSSL::PKey::RSA.new(params[:public_key])
@payload = Base64.encode64(public_key.public_encrypt(@payload, OpenSSL::PKey::RSA::PKCS1_OAEP_PADDING))

mqmenchaca · Fevereiro 14, 2025, 10:31pm

@simon Sim, isso definitivamente está causando problemas com o Node v22. Seria ótimo não reverter os patches de segurança. Seria bom definir um sinalizador na chamada da API ou uma configuração do site no Discourse para escolher o preenchimento desejado. (Dessa forma, as pessoas podem manter o padrão existente, se quiserem.)

mqmenchaca · Fevereiro 15, 2025, 1:11am

Seguindo aproximadamente os passos aqui, usando NodeRSA funciona

github.com/rzcoder/node-rsa

I can't decrypt unencrypted

opened 07:29PM - 17 Apr 22 UTC

alantoledo007

I created a helper to get the public and private key. The pems files have been c…reated with `new NodeRSA ({b:1024})`: ```js const fs = require("fs"); const NodeRSA = require("node-rsa"); const getKeys = () => { const publicPem = fs.readFileSync("./public.pem", "utf8"); const privatePem = fs.readFileSync("./private.pem", "utf8"); const privateKey = new NodeRSA(privatePem); const publicKey = new NodeRSA(publicPem); return { privateKey, publicKey, privatePem, publicPem, }; }; const RSA = { getKeys, }; module.exports = { RSA }; ``` i can encrypt with `publicKey.encrypt(data, "base64")`. And, i can decrypt with `privateKey.decrypt(encryptedData,'utf8')`. but... I can't decrypt if I didn't create any encryption before. Just to give you an idea, I have to do this for the decryption to work: ```js publicKey.encrypt(""); //bug const decryptedData= privateKey.decrypt(encryptedRSA, "utf8"); ``` without ` publicKey.encrypt(""); //bug` the terminal returns next error: ``` throw Error('Error during decryption (probably incorrect key). Original error: ' + e); ^ Error: Error during decryption (probably incorrect key). Original error: Error: error:25078067:DSO support routines:win32_load:could not load the shared library at NodeRSA.module.exports.NodeRSA.$$decryptKey (C:\....\project-name\node_modules\node-rsa\src\NodeRSA.js:301:19) at NodeRSA.module.exports.NodeRSA.decrypt (C:\...\project-name\node_modules\node-rsa\src\NodeRSA.js:249:21) at Object.decrypt (C:\....\MyHelper.js:20:38) at Object.<anonymous> (C:\...\index.js:7:37) at Module._compile (node:internal/modules/cjs/loader:1103:14) at Object.Module._extensions..js (node:internal/modules/cjs/loader:1157:10) at Module.load (node:internal/modules/cjs/loader:981:32) at Function.Module._load (node:internal/modules/cjs/loader:822:12) at Function.executeUserEntryPoint [as runMain] (node:internal/modules/run_main:77:12) at node:internal/main/run_main_module:17:47 ``` npm v8.6.0 node v16.14.2 node-rsa v1.1.1 # Summary ```js // Works const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt(encryptedData , "utf8"); ``` ```js // Not works // const encryptedData = publicKey.encrypt(data, "base64"); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` ```js // Works publicKey.encrypt(""); const decryptedData = privateKey.decrypt("your base64 encryption", "utf8"); ``` reproduce error: 1. Encrypt anything. 2. Copy the encrypted result. 3. remove or comment out the lines of code that do the encryption 4. try decrypt. (not works)

mqmenchaca · Fevereiro 19, 2025, 3:31pm

Isso parece uma adição bem simples?

github.com/discourse/discourse

Add PKCS1_OAEP_PADDING option to UserAPIKeySpec

main ← qmenchaca:AddOAEPPaddingToUserApiKey

opened 03:30PM - 19 Feb 25 UTC

qmenchaca

+7 -1

This commit adds a new site setting to the User API Keys options. The padding op…tion specified here will be used to encrypt the user api key created and sent back to the client. The default, PKCS1_PADDING, is the value currently in place (so existing) integrations won't break),but if a user chooses to use PKCS1_OAEP_PADDING, they can implement it and use it as they see fit.

sam · Fevereiro 24, 2025, 6:17am

Entendo que OAEP é recomendado para novas aplicações que resistem a ataques CCA / Bleichenbach. O Node nos forçando a isso é um pouco triste, mas acho que é uma questão de “bem maior”.

Estou extremamente preocupado em tornar isso apenas mais uma opção para um administrador do Discourse raciocinar, isso é um pesadelo.

Em vez disso, precisaríamos corrigir o Discourse Hub para suportar as versões nova e antiga simultaneamente, ter algo em nossa API que sinalize a “versão” da chave pública.

É uma mudança complicada que afeta vários sistemas. A correção que você propôs é um problema, pois o Discourse Hub deixará de funcionar para administradores que mudarem para esse modo.

mqmenchaca · Fevereiro 24, 2025, 7:44pm

Obrigado pelo contexto adicional.

Para deixar claro, isso é algo com que eu tenho problemas ao fazer desenvolvimento local. Mas ao me conectar aos nossos recursos implantados em instâncias AWS EC2, não é um problema. Acho que a versão do Node deles possui algumas personalizações ou versionamentos nos bastidores, onde a biblioteca de criptografia não apresenta esse problema.

pmusaraj · Fevereiro 24, 2025, 10:09pm

Chegando agora, mas esse erro parece incorreto. Isso não é um recurso que foi removido no Node, é um problema com alguma instalação do OpenSSL. Da documentação do Node:

Usar crypto.constants.RSA_PKCS1_PADDING em crypto.privateDecrypt() requer que o OpenSSL suporte rejeição implícita (rsa_pkcs1_implicit_rejection).

Veja também [Bug]: RSA_PKCS1_PADDING is no longer supported for private decryption · Issue #487 · bropat/eufy-security-client · GitHub

Testando localmente, isso funciona para mim: An example of RSA Encryption implemented in Node.js · GitHub mesmo quando mudo para usar crypto.constants.RSA_PKCS1_PADDING para o preenchimento tanto para criptografia quanto para descriptografia. Estou no OpenSSL 3.4.0 e Node 23.6.1.

A coisa complicada em usar uma configuração de site é que os clientes não saberão qual preenchimento a instância específica está suportando. Isso torna a compatibilidade entre instâncias/serviços mais difícil de entender.

Acho que devemos esclarecer a implementação existente, ou seja, observar explicitamente que estamos usando RSA_PKCS1_PADDING e, em seguida, pensar em uma atualização. Talvez precisemos introduzir versionamento para este endpoint, para que os clientes possam usar corretamente o preenchimento antes/depois de dita versão.

simon · Fevereiro 24, 2025, 11:33pm

Para contextualizar, isso não é um pedido de recurso meu, é apenas uma observação que fiz em junho do ano passado.

Tópico		Respostas	Visualizações
User-api-key returning error on generating new key Dev	1	539	9 de Maio de 2019
Per User API Keys Not Working Support	2	1171	2 de Setembro de 2021
User API keys specification Integrations rest-api , reference	70	34078	22 de Setembro de 2025
Secure way of encrypting payload in Javascript for user authentification Dev	6	1915	28 de Setembro de 2020
Encrypted personal messages Marketplace	17	4785	14 de Dezembro de 2018

As chaves de API do usuário devem usar preenchimento OAEP

Tópicos relacionados