Mbed TLS项目中RSA密钥算法策略处理问题分析

背景介绍

Mbed TLS是一个广泛应用于嵌入式系统的开源SSL/TLS库，提供了丰富的密码学功能。在Mbed TLS 3.2.0到3.6.0版本中，mbedtls_pk_setup_opaque函数在处理RSA密钥时存在一个重要的算法策略处理问题。

问题描述

mbedtls_pk_setup_opaque函数用于将PSA密钥转换为PK接口可用的密钥对象。然而，该函数在处理RSA密钥时存在一个设计缺陷：无论PSA密钥策略中指定的实际算法是什么，它总是默认使用PKCS#1v1.5算法。

具体表现为：

• 对于签名操作，总是使用PSA_ALG_RSA_PKCS1V15_SIGN(hash_alg)或PSA_ALG_RSA_PKCS1V15_SIGN_RAW
• 对于加密操作，总是使用PSA_ALG_RSA_PKCS1V15_CRYPT

这种固定编码行为会导致当PSA密钥策略指定使用PSS(概率签名方案)或OAEP(最优非对称加密填充)时，后续的签名或解密操作会失败，因为PSA层会检查密钥策略与操作算法的匹配性。

技术影响

这个问题的影响范围包括：

1. 使用RSA-PSS或RSA-OAEP算法的应用会遭遇运行时错误
2. 开发者可能难以诊断问题根源，因为错误发生在深层调用中
3. 安全策略无法正确实施，因为算法选择被固定编码覆盖

正确实现方式

正确的实现应该参考mbedtls_pk_copy_from_psa函数的做法，即：

1. 从PSA密钥属性中读取算法策略
2. 根据策略选择合适的PK算法标识
3. 建立与策略一致的PK上下文

解决方案建议

对于遇到此问题的开发者，可以采取以下临时解决方案：

1. 避免在需要PSS/OAEP的场景使用mbedtls_pk_setup_opaque
2. 使用mbedtls_pk_copy_from_psa作为替代方案
3. 等待官方修复版本发布后升级

安全建议

虽然这个问题不会导致静默的安全问题(因为错误会被PSA层捕获)，但开发者应该：

1. 检查应用中是否使用了RSA-PSS或RSA-OAEP
2. 确保测试覆盖了所有算法路径
3. 考虑在关键安全场景中添加额外的算法检查

总结

Mbed TLS 3.2.0-3.6.0版本中的这个设计缺陷展示了密码学API设计中算法策略处理的重要性。正确的做法应该是尊重密钥的原始策略，而不是固定编码默认算法。开发者在使用这些版本时应当注意此限制，特别是在需要使用PSS或OAEP等更现代算法的场景中。