jsrsasign与Node.js Crypto模块在RSA-PSS签名验证中的差异解析

在密码学应用开发中，RSA-PSS(Probabilistic Signature Scheme)是一种广泛使用的数字签名方案。本文主要探讨jsrsasign库与Node.js内置crypto模块在实现RSA-PSS签名时的一个重要差异点——盐值(salt)长度的默认设置问题。

RSA-PSS签名机制简介

RSA-PSS是RSA签名的一种变体，相比传统的PKCS#1 v1.5签名方案，它提供了更强的安全性保证。PSS签名的一个关键特性是它使用了随机盐值，这使得每次生成的签名都不同，即使对相同的数据进行签名也是如此。

问题现象

开发者在使用jsrsasign验证由Node.js crypto模块生成的RSA-PSS签名时，发现验证失败。经过排查，发现这是由于两个库对盐值长度的默认处理方式不同导致的。

技术差异分析

1. Node.js crypto模块：

   • 默认使用RSA_PSS_SALTLEN_MAX_SIGN(-2)作为盐值长度
   • 对于SHA512哈希算法，实际盐值长度会自动设置为446字节
   • 这种设置会使用最大可能的盐值长度

2. jsrsasign库：

   • 默认盐值长度与哈希算法相关：
     • SHA1: 20字节
     • SHA256: 32字节
     • SHA384: 48字节
     • SHA512: 64字节
   • 这种设置采用固定长度的盐值

解决方案

为了使jsrsasign能够正确验证Node.js crypto生成的签名，需要显式指定盐值长度参数：

const signature = new jsrsasign.KJUR.crypto.Signature({
  alg: "SHA512withRSAandMGF1",
  psssaltlen: -2  // 与Node.js保持一致
});

最佳实践建议

1. 在跨库使用RSA-PSS签名时，应当明确指定盐值长度参数
2. 对于安全性要求高的场景，建议使用较大的盐值长度
3. 在系统设计阶段就应统一签名验证的参数配置
4. 考虑将签名参数(如盐值长度)作为元数据与签名一起存储

总结

理解不同密码学库的默认行为差异对于实现可互操作的加密系统至关重要。在RSA-PSS签名场景中，盐值长度的设置是一个容易被忽视但十分关键的技术细节。通过本文的分析，开发者可以更好地处理jsrsasign与Node.js crypto模块间的互操作性问题。