Erlang/OTP中TLS1.3握手过程中未分配签名算法导致的崩溃问题分析

问题背景

在Erlang/OTP的SSL/TLS实现中，处理TLS1.3握手协议时发现了一个可能导致崩溃的问题。这个问题源于客户端在ClientHello消息中发送了未分配(unassigned)的签名算法，而服务端在解码这些算法时没有正确处理这些未分配值。

技术细节

在TLS1.3握手过程中，客户端会发送ClientHello消息，其中包含支持的签名算法列表。这些签名算法用于后续的数字签名操作，如证书验证等。在Erlang/OTP的实现中，当解码这些签名算法时，会遇到两种形式的未分配算法：

1. 简单的unassigned原子
2. 元组形式的{unassigned, unassigned}

当前实现中，代码虽然会忽略简单的unassigned原子，但没有正确处理元组形式的未分配算法，这导致了后续处理时的崩溃。

问题重现

通过分析，可以构造一个特定的ClientHello消息二进制数据，其中包含未分配的签名算法。当服务端尝试解码这个消息时，问题就会显现：

HelloBin0 = <<...包含未分配签名算法的二进制数据...>>
<<Type:8, _Length:24, Body/binary>> = HelloBin0.
Version = {3,4}. % TLS 1.3
tls_handshake:decode_handshake(Version, Type, Body).

解码后会得到包含{unassigned, unassigned}项的签名算法列表，这些项本应被过滤掉。

解决方案

修复方案主要包括两个方面：

1. 完善签名算法过滤逻辑，确保所有形式的未分配算法都被正确忽略
2. 清理冗余的代码分支，优化实现

具体来说，修复后的代码会：

• 在解码签名算法扩展时，严格检查每个算法项
• 过滤掉所有无效或未分配的算法
• 移除重复的解码分支，简化代码结构

影响范围

该问题影响多个Erlang/OTP版本，包括：

• OTP 24.3
• OTP 26.2
• OTP 27.1

修复已经合并到maint和master分支，并计划包含在OTP-26和OTP-27的后续补丁中。

技术意义

这个问题揭示了TLS实现中一个重要的健壮性原则：协议实现必须能够优雅地处理各种边界情况，包括未知或未定义的算法标识。在安全协议实现中，这种防御性编程尤为重要，因为：

1. 它防止了潜在的服务拒绝(DoS)攻击
2. 确保了与各种客户端实现的互操作性
3. 遵循了协议规范中"必须忽略未知值"的原则

最佳实践建议

基于这个问题的经验，我们建议在实现协议时：

1. 始终明确处理所有可能的枚举值，包括预留和未分配值
2. 对输入数据进行严格验证
3. 保持代码简洁，避免冗余分支
4. 为边界情况添加明确的注释和测试用例

这个问题也提醒我们，即使是成熟的开源项目，也需要持续审查和改进其协议实现，以适应不断发展的安全标准和各种实际应用场景。