OpenSC项目中OsEID工具与LibreSSL的RSA PSS盐长度兼容性问题解析

在OpenSC项目的持续集成测试中，发现OsEID工具与LibreSSL在RSA PSS签名操作时存在兼容性问题。本文将深入分析该问题的技术背景、根本原因及解决方案。

问题背景

RSA-PSS（Probabilistic Signature Scheme）是一种基于RSA的现代签名方案，其核心特征是通过添加随机盐值来增强安全性。在实现层面，盐长度（saltlen）参数的控制至关重要，它决定了签名过程中使用的随机数据量。

技术细节分析

测试过程中发现，OsEID工具调用LibreSSL的pkeyutl命令时，指定了-pkeyopt rsa_pss_saltlen:-1参数。这个参数的本意是让系统自动选择与摘要算法匹配的盐长度（即"digest"模式）。

问题根源在于LibreSSL 3.7.2版本中对参数验证的严格性：

1. LibreSSL使用strtonum()函数验证数值范围，强制要求盐长度必须≥0
2. 当传入-1时会返回"too small"错误
3. 而OpenSSL使用atoi()转换，可以接受负值

解决方案比较

开发团队提出了两种解决路径：

1. 上游修复方案
   向LibreSSL提交修复，使其行为与OpenSSL保持一致。这需要：

   • 修改rsa_pmeth.c中的参数验证逻辑
   • 允许特殊值-1表示"自动选择"
   • 保持与现有OpenSSL实现的兼容性

2. 工具适配方案
   修改OsEID工具，直接使用语义明确的"digest"参数：

   • 将rsa_pss_saltlen:-1改为rsa_pss_saltlen:digest
   • 该值在所有版本中都具有相同语义
   • 无需等待上游更新

最佳实践建议

对于面临类似兼容性问题的开发者，建议：

1. 优先使用语义化参数（如"digest"/"max"/"auto"）
2. 在跨平台代码中避免依赖未文档化的特殊值
3. 对加密参数进行严格的输入验证
4. 在CI测试中覆盖不同SSL实现

该问题的解决体现了开源社区协作的优势，通过多方技术专家的分析，既找到了临时解决方案，又推动了上游的长期改进。