Harbor项目中的AES密钥长度问题分析与解决方案

问题背景

在使用Harbor容器镜像仓库管理平台时，用户尝试在两个Harbor实例之间建立端点连接时遇到了一个加密相关的问题。具体表现为：当使用机器人账户(Robot Account)作为认证凭据时，虽然测试连接能够成功，但在实际保存端点配置时会抛出"crypto/aes: invalid key size 26"的错误。

技术分析

这个错误的核心原因是Harbor在内部使用AES加密算法来处理敏感凭据的存储，而AES算法对密钥长度有严格要求。标准AES加密支持的密钥长度只有128位(16字节)、192位(24字节)和256位(32字节)三种。

从错误信息来看，系统尝试使用26字节长度的密钥，这不符合AES算法的任何标准密钥长度要求。这种情况通常发生在：

1. 密钥生成或处理过程中出现了异常
2. 密钥被截断或填充不当
3. 系统配置的密钥文件存在问题

问题重现场景

1. 在Harbor管理界面创建新的注册表端点
2. 选择Harbor或Docker Registry作为提供商
3. 配置另一个Harbor实例的URL
4. 使用机器人账户的Access ID和Secret作为认证凭据
5. 测试连接成功但保存时出现内部服务器错误

根本原因

经过深入分析，发现问题的根本原因在于：

1. Harbor机器人账户自动生成的密码长度为32字符，这理论上应该是兼容AES-256的
2. 但系统在处理这些凭据时可能进行了不恰当的转换或截断
3. 另一个可能原因是Harbor实例的密钥文件(/data/secret/secretkey)配置不当或损坏

解决方案

临时解决方案

1. 使用自定义用户而非机器人账户：创建一个新用户并设置16字符长度的密码

   • 注意：如果Harbor配置了OIDC认证，可能需要先调整认证设置

2. 检查并重置密钥文件：

   rm /data/secret/secretkey
   # 然后重新安装或重启Harbor服务
   

长期解决方案

1. 升级到最新版本：新版本Harbor可能已经修复了此问题
2. 修改机器人账户密码生成逻辑：定制化部署时可以调整密码生成策略
3. 检查加密配置：确保系统使用的加密算法和密钥处理方式正确

最佳实践建议

1. 在跨Harbor实例配置时，优先使用专门创建的普通用户账户
2. 保持密码长度与AES标准兼容(16/24/32字节)
3. 定期检查密钥文件的状态和完整性
4. 考虑使用外部密钥管理系统来处理敏感凭据

总结

Harbor作为企业级容器镜像仓库，其安全性设计包括了对敏感信息的加密存储。理解其加密机制和密钥管理方式对于解决此类问题至关重要。开发者和运维人员在配置跨实例连接时，应当注意认证凭据的格式和长度要求，确保与系统加密模块兼容。