JJWT库中NIST椭圆曲线JWK字段的八位组字符串填充问题解析

在Java生态中，JJWT库作为JWT处理的标杆工具，其安全实现细节尤为重要。近期发现0.12版本在处理NIST椭圆曲线公钥的JWK(JSON Web Key)表示时存在一个关键合规性问题，涉及RFC 7518规范中坐标字段的二进制编码规则。

背景知识：椭圆曲线坐标的标准化编码

NIST标准曲线（如P-521）的坐标点由大整数表示，在JWK规范中要求：

• X/Y坐标必须转换为固定长度的八位组（octet）字符串
• 对于P-521曲线，每个坐标必须严格编码为66字节（521位=65.125字节，向上取整）
• 高位为零的字节必须保留以保证固定长度

这种填充机制确保不同实现间的互操作性，也是密码学安全的基本要求。

JJWT实现偏差分析

测试发现当前实现存在以下行为：

1. 当坐标值高位字节为零时，JJWT会主动去除该零字节
2. 导致P-521曲线的输出变为65字节
3. 直接违反RFC 7518第6.2.1章节的强制性规定

示例代码验证：

// 获取P-521曲线密钥对
ECPublicKey pubKey = (ECPublicKey)KeyPairGenerator.getInstance("EC")
    .generateKeyPair().getPublic();

// JJWT生成的JWK中x/y坐标
byte[] xCoord = Base64.getUrlDecoder().decode(jwk.get("x")); 
assert xCoord.length == 66; // 实际输出65字节时断言失败

安全影响评估

该问题可能导致：

• 与其他合规JWT库的互操作失败
• 某些严格校验长度的安全系统拒绝该JWK
• 潜在的数字签名验证不一致风险

虽然实际密码运算不受影响（EC数学运算不依赖编码格式），但标准合规性是安全基础设施的基本要求。

解决方案建议

开发团队已确认将在0.12.4版本修复该问题。建议用户：

1. 升级到包含修复的版本
2. 在过渡期可手动补零：

byte[] padded = new byte[66];
System.arraycopy(original, 0, padded, 66-original.length, original.length);

该案例典型展示了密码学实现中"魔鬼在细节"的特点，也提醒开发者要重视标准规范的精确实现。