Mbed TLS中CCM*模式解密短消息处理异常问题分析

问题背景

在Mbed TLS加密库中，发现了一个关于CCM*（CCM Star）模式解密短消息时的边界条件处理问题。当使用psa_cipher_decrypt接口解密非常短的消息（3字节或更少）时，会错误地返回PSA_ERROR_INVALID_ARGUMENT参数错误，而实际上这些短消息应该能够被正常解密。

技术细节

CCM*模式简介

CCM是CCM（Counter with CBC-MAC）模式的变种，主要用于资源受限的物联网设备。与标准CCM不同，CCM允许省略认证标签（Tag），这在某些低安全要求的场景中可以减少通信开销。

问题根源

在实现中，psa_cipher_decrypt函数对输入数据进行了长度校验，要求输入长度至少等于初始化向量（IV）的长度。对于CCM*模式：

1. 代码中硬编码了16字节的最小长度检查
2. 但实际上CCM*使用的IV长度是13字节
3. 输入数据由IV和密文组成

因此，当密文长度≤3字节时（13+3=16），总输入长度刚好为16字节，本应通过检查，但由于错误的长度比较，被错误拒绝。

影响范围

该问题影响以下情况：

• 使用PSA_ALG_CCM_STAR_NO_TAG算法
• 调用psa_cipher_decrypt单次操作接口
• 解密非常短的消息（3字节或更少）

解决方案

临时解决方案

开发者可以使用多部分操作接口（multipart API）作为临时解决方案，该接口不受此问题影响。

修复方向

正确的修复应包括：

1. 根据实际算法确定正确的IV长度
2. 仅对需要完整IV的算法执行长度检查
3. 特别处理CCM*等特殊模式的边界情况

安全建议

虽然这是一个边界条件问题，但在安全敏感的上下文中处理短消息时仍需注意：

1. 短消息加密在物联网场景中很常见（如传感器读数）
2. 应确保所有长度检查逻辑与算法规范一致
3. 建议增加针对极短消息的测试用例

总结

Mbed TLS中CCM*模式的解密接口对短消息处理存在边界条件问题，这提醒我们在实现加密算法时：

• 需要精确理解每种模式的技术规范
• 特别注意边界条件的处理
• 完善的测试用例应覆盖各种极端情况

该问题已被标记为bug并将被修复，开发者在使用时应注意此限制或采用推荐的临时解决方案。