Erlang/OTP public_key模块中EDDSA密钥解码问题分析

概述

在Erlang/OTP的public_key模块中，当尝试解码EDDSA(包括Ed25519和Ed448)公钥的PEM格式时，会出现一个异常错误。这个问题源于模块在处理EDDSA密钥时对参数部分的错误假设。

问题背景

EDDSA(Edwards-curve Digital Signature Algorithm)是一种基于椭圆曲线的数字签名算法，包括Ed25519和Ed448两种具体实现。在OpenSSL中生成的EDDSA公钥PEM格式如下：

-----BEGIN PUBLIC KEY-----
MCowBQYDK2VwAyEAXtuo/Tk+JFHUis9Nfa74SVxVFb7H+u71Fws6Vt/c+0U=
-----END PUBLIC KEY-----

当使用Erlang的public_key:pem_entry_decode/1函数解码这类密钥时，系统会抛出异常：

exception error: no function clause matching public_key:der_decode('EcpkParameters',asn1_NOVALUE)

技术分析

ASN.1结构差异

EDDSA公钥的SubjectPublicKeyInfo ASN.1结构与传统的ECC公钥有所不同：

1. 传统ECC公钥包含：

   • AlgorithmIdentifier (包含OID和参数)
   • SubjectPublicKey (公钥位串)

2. EDDSA公钥：

   • AlgorithmIdentifier (仅包含OID，参数部分为asn1_NOVALUE)
   • SubjectPublicKey (公钥位串)

问题根源

public_key模块在处理公钥时，假设所有基于椭圆曲线的公钥都会包含EcpkParameters参数。然而，EDDSA密钥(包括Ed25519和Ed448)并不需要也不包含这些参数，它们的参数部分始终为asn1_NOVALUE。

具体来说，问题出现在public_key.erl的第424-426行，代码尝试对不存在的参数进行解码，导致函数子句匹配失败。

当前实现与正确行为的对比

当前实现错误地认为：

• 所有椭圆曲线公钥都必须有EcpkParameters
• 必须对这些参数进行解码

正确实现应该：

• 识别EDDSA密钥的特殊性(OID为1.3.101.112等)
• 允许参数部分为asn1_NOVALUE
• 直接处理公钥位串部分

影响范围

这个问题影响所有使用public_key模块处理EDDSA公钥的Erlang/OTP应用，特别是在：

• 证书处理
• 密钥交换
• 数字签名验证

临时解决方案

在官方修复发布前，可以采取以下临时方案：

1. 直接解码DER格式的SubjectPublicKeyInfo，然后手动处理：

{'SubjectPublicKeyInfo', {'AlgorithmIdentifier', OID, _}, PublicKey} = 
    public_key:der_decode('SubjectPublicKeyInfo', Der).

2. 根据OID判断密钥类型，然后分别处理。

修复方向

官方修复应该：

1. 在pem_entry_decode函数中添加对EDDSA密钥的特殊处理
2. 当检测到EDDSA OID时，跳过参数解码步骤
3. 确保与OpenSSL等其他实现的兼容性

总结

这个问题展示了密码学实现中处理不同算法变体时的挑战。EDDSA作为相对较新的算法，其实现细节与传统ECC有所不同，需要特别处理。Erlang/OTP团队已确认此问题，并计划在后续版本中修复。在此期间，开发者可以采用上述临时方案来处理EDDSA公钥。