ARMmbed/mbedtls中AES-128-CBC解密时的输出行为分析

背景介绍

ARMmbed/mbedtls是一个广泛应用于嵌入式系统的开源加密库，提供了各种加密算法的实现。在密码学操作中，特别是在分组密码模式如CBC（密码分组链接）模式下，当解密操作失败时的输出行为是一个重要的安全考量因素。

问题描述

在mbedtls 3.6版本中，当使用AES-128-CBC模式进行解密操作时，如果传入的密钥全部为零，并且启用了PKCS7填充，库函数会在检测到无效填充时返回错误，但同时会将输出缓冲区设置为一个随机数值（如18446744073709551516），而不是保持为零或保持不变。

技术分析

这种行为与OpenSSL等其他加密库的实现有所不同。OpenSSL在类似情况下会保持输出缓冲区不变，而不是填充随机值。从安全角度来看，在解密失败时保持输出不变或清零是更可取的做法，因为：

1. 避免泄露任何可能被攻击者利用的中间状态信息
2. 提供更一致的行为，便于开发者处理错误情况
3. 防止潜在的信息泄露，即使是在错误情况下

解决方案

mbedtls开发团队已经通过两个Pull Request修复了这个问题：

1. 主开发分支的修复
2. 针对3.6版本的向后移植修复

修复的核心思想是：当解密操作因无效填充而失败时，确保输出缓冲区不被修改，保持其原始状态。这与OpenSSL等库的行为保持一致，提高了库的安全性和一致性。

安全建议

对于使用mbedtls进行加密操作的开发者，建议：

1. 始终检查加密/解密操作的返回值
2. 不要依赖失败情况下的输出缓冲区内容
3. 考虑在调用解密函数前初始化输出缓冲区
4. 及时更新到包含此修复的版本

结论

密码学库在处理错误情况时的行为一致性对于构建安全的加密系统至关重要。mbedtls对此问题的修复体现了对安全最佳实践的遵循，建议所有用户及时更新到包含此修复的版本。