BC-Java项目中RSA-PSS签名在CMS中的编码问题解析

在密码学应用中，RSA-PSS（Probabilistic Signature Scheme）是一种广泛使用的签名方案。近期在BC-Java（Bouncy Castle Java库）项目中，发现了一个关于RSA-PSS签名在CMS（Cryptographic Message Syntax）中编码的有趣案例。

问题背景

根据RFC 4055标准，RSA-PSS参数应当包含四个组成部分：

1. 哈希算法（默认SHA-1）
2. 掩码生成算法（默认MGF1 with SHA-1）
3. 盐值长度（默认20字节）
4. 尾部字段（默认1）

然而在某些情况下，开发者发现BC-Java生成的签名中缺少了盐值长度(saltLength)字段，这可能导致验证方误认为使用的是默认的20字节盐值，而实际上签名可能是使用32字节（对应SHA-256）生成的。

技术分析

深入分析这个问题，我们发现几个关键点：

1. 参数继承问题：当签名者没有显式指定PSS参数时，系统可能会继承默认参数（SHA-1相关），即使实际使用的是SHA-256算法。

2. 版本差异：最新版本的BC-Java（如1.78.1之后）已经修正了这个问题，会正确包含盐值长度字段。例如，对于SHA-256签名，现在会明确指定saltLength为32。

3. 规范灵活性：RFC 4055虽然建议盐值长度等于哈希输出长度，但这不是强制要求，这为不同实现提供了灵活性，但也可能导致互操作性问题。

最佳实践建议

为了避免这类问题，开发者应当：

1. 显式指定参数：在使用RSA-PSS签名时，始终明确设置所有PSS参数，包括哈希算法、MGF算法和盐值长度。

2. 版本升级：确保使用最新版本的BC-Java库，其中已经包含了相关修复。

3. 验证参数一致性：在签名和验证两端，检查所有密码参数是否匹配，特别是盐值长度这种容易忽略的参数。

4. 测试验证：在部署前，使用不同验证工具交叉验证签名，确保互操作性。

结论

这个案例展示了密码学实现中参数传递的重要性。虽然现代密码库提供了很多默认值以提高易用性，但在安全敏感的场合，显式优于隐式仍然是最好的实践原则。BC-Java项目团队已经解决了这个问题，但开发者仍需注意正确使用这些API，以确保签名的有效性和互操作性。

对于历史遗留系统，如果遇到验证失败的情况，检查PSS参数编码是重要的排错步骤之一，特别是确认盐值长度是否与实际使用值一致。