Mbed TLS项目中RSA密钥算法选择问题分析

问题背景

在Mbed TLS密码学库中，mbedtls_pk_setup_opaque函数负责将PSA密钥转换为PK接口可用的密钥对象。然而，该函数在处理RSA密钥时存在一个设计缺陷——它总是默认使用PKCS#1v1.5算法，而忽略了密钥策略中可能指定的PSS或OAEP算法。

技术细节

问题表现

当开发者使用mbedtls_pk_setup_opaque函数设置一个RSA密钥时，无论该密钥在PSA层配置了何种算法策略（如RSA-PSS或RSA-OAEP），PK接口都会强制使用PKCS#1v1.5算法。这会导致：

1. 对于签名操作：如果密钥策略指定了PSS签名算法，但PK接口尝试使用PKCS#1v1.5签名，PSA层会拒绝该操作
2. 对于加密操作：如果密钥策略指定了OAEP加密算法，但PK接口尝试使用PKCS#1v1.5加密，同样会被PSA层拒绝

影响范围

该问题影响Mbed TLS 3.2.0至3.6.0版本。早期版本由于不支持在mbedtls_pk_setup_opaque中使用RSA密钥，因此不受影响。

正确行为预期

按照设计原则，mbedtls_pk_setup_opaque应该像mbedtls_pk_copy_from_psa函数一样，尊重PSA密钥的策略设置，使用密钥策略中指定的算法而非硬编码的PKCS#1v1.5算法。

解决方案建议

要解决这个问题，需要修改mbedtls_pk_setup_opaque函数的实现，使其：

1. 查询PSA密钥的策略信息
2. 根据策略中指定的算法选择合适的PK算法标识符
3. 正确设置PK上下文

具体实现可以参考mbedtls_pk_copy_from_psa函数的做法，该函数已经正确处理了算法选择逻辑。

开发者应对措施

在问题修复前，受影响的开发者可以：

1. 避免在需要PSS/OAEP算法的场景中使用mbedtls_pk_setup_opaque
2. 改用mbedtls_pk_copy_from_psa函数，该函数能正确处理算法选择
3. 如果必须使用mbedtls_pk_setup_opaque，可以手动调整PSA密钥策略使其匹配PKCS#1v1.5算法

总结

这个问题的本质是PK接口层与PSA密钥策略之间的不匹配。在密码学应用中，算法选择的一致性至关重要，特别是在涉及安全协议和标准合规性的场景中。Mbed TLS团队应当在后续版本中修正这一行为，确保接口转换过程中算法选择的一致性和正确性。