PolarSSL项目中RSA密钥算法策略处理问题分析

背景概述

在PolarSSL（现Mbed TLS）密码学库中，mbedtls_pk_setup_opaque函数负责将PSA（Platform Security Architecture）密钥设置为PK（Public Key）接口可用的形式。然而，在处理RSA密钥时，该函数存在一个重要的设计缺陷——它总是默认使用PKCS#1v1.5算法，而忽略了密钥策略中可能指定的PSS或OAEP算法。

问题详细分析

PKCS#1标准演变

RSA算法的填充方案经历了多个版本的演进：

1. PKCS#1v1.5：早期标准，存在某些安全限制
2. PSS（Probabilistic Signature Scheme）：更安全的签名方案
3. OAEP（Optimal Asymmetric Encryption Padding）：更安全的加密方案

现代密码学应用中，PSS和OAEP因其更强的安全性而逐渐成为推荐选择。

函数行为缺陷

mbedtls_pk_setup_opaque函数当前实现存在以下问题：

1. 对于签名操作，总是使用PSA_ALG_RSA_PKCS1V15_SIGN或其原始变体
2. 对于加密操作，总是使用PSA_ALG_RSA_PKCS1V15_CRYPT
3. 完全忽略PSA密钥策略中可能指定的PSS或OAEP算法

影响范围

该问题影响Mbed TLS 3.2.0至3.6.0版本。在这些版本中：

• 当应用程序使用PSS或OAEP策略创建PSA密钥
• 然后通过mbedtls_pk_setup_opaque将其转换为PK接口
• 后续的签名或解密操作将失败，因为使用了不匹配的算法

技术影响

与简单的算法不匹配不同，这个问题会导致运行时错误而非静默失败，因为PSA层会强制执行密钥策略。这虽然避免了安全隐患，但破坏了API的预期行为。

解决方案方向

正确的实现应该：

1. 查询PSA密钥的策略信息
2. 根据策略中指定的算法选择合适的PK上下文配置
3. 保持与mbedtls_pk_copy_from_psa函数一致的行为

开发者建议

对于使用受影响版本的用户，建议：

1. 检查所有使用mbedtls_pk_setup_opaque的代码路径
2. 对于需要PSS/OAEP的场景，考虑直接使用PSA API
3. 或升级到修复后的版本（当可用时）

总结

这个问题凸显了在密码学库中维护不同抽象层间一致性的挑战。虽然PSA层的策略检查防止了安全问题，但高层API应该正确反映底层密钥的实际能力。修复此问题将提高API的可用性和符合性，确保开发者能够充分利用现代RSA算法的安全优势。