Missing padding for RSA algorithm

Контекст, используемый в операции шифрования или подписи, не связан с заполнением

Описание

Этот дефект возникает при выполнении шифрования RSA или подписи при помощи контекстного объекта без связи объекта со схемой заполнения.

Например, вы выполняете шифрование с помощью контекстного объекта, который первоначально не был связан с определенным заполнением.

ret = EVP_PKEY_CTX_set_rsa_padding(ctx, RSA_NO_PADDING);
...
ret = EVP_PKEY_encrypt(ctx, out, &out_len, in, in_len)

Риск

Схемы заполнения удаляют детерминизм из алгоритма RSA и защищают операции RSA от определенных видов атаки. Заполнение гарантирует, что данное сообщение не ведет к одному и тому же зашифрованному тексту каждый раз, когда оно зашифровано. Без заполнения злоумышленник может запускать атаки с использованием открытого текста против криптосистемы.

Зафиксировать

Перед выполнением операции RSA связайте объект контекста со схемой заполнения, которая совместима с операцией.

Шифрование: используйте схему заполнения OAEP.
Например, используйте EVP_PKEY_CTX_set_rsa_padding функция с аргументом RSA_PKCS1_OAEP_PADDING или RSA_padding_add_PKCS1_OAEP функция.
```
ret = EVP_PKEY_CTX_set_rsa_padding(ctx, RSA_PKCS1_OAEP_PADDING);
```
Можно также использовать схемы PKCS # 1v1.5 или SSLv23. Имейте в виду, что эти схемы считаются небезопасными.
Затем можно использовать такие функции, как EVP_PKEY_encrypt / EVP_PKEY_decrypt или RSA_public_encrypt / RSA_private_decrypt о контексте.
Подпись: Используйте схему заполнения RSA-PSS.
Например, используйте EVP_PKEY_CTX_set_rsa_padding функция с аргументом RSA_PKCS1_PSS_PADDING.
```
ret = EVP_PKEY_CTX_set_rsa_padding(ctx, RSA_PKCS1_PSS_PADDING);
```
Можно также использовать X9.31 ANSI, PKCS # 1v1.5 или SSLv23 схемы. Имейте в виду, что эти схемы считаются небезопасными.
Затем можно использовать функции, такие как EVP_PKEY_sign- EVP_PKEY_verify пара или RSA_private_encrypt- RSA_public_decrypt пара в контексте.

Если вы выполняете два вида операции с одним и тем же контекстом, после первой операции сбросьте схему заполнения в контексте перед второй операцией.

Примеры

расширить все

Шифрование без заполнения

#include <stddef.h>
#include <openssl/rsa.h>
#include <openssl/evp.h>

#define fatal_error() exit(-1)

int ret;
unsigned char *out_buf;
size_t out_len;


int func(unsigned char *src, size_t len){
  EVP_PKEY_CTX *ctx;
  EVP_PKEY* pkey;

  /* Key generation */
  ctx = EVP_PKEY_CTX_new_id(EVP_PKEY_RSA,NULL); 
  if (ctx == NULL) fatal_error();

  ret = EVP_PKEY_keygen_init(ctx);
  if (ret <= 0) fatal_error();
  ret = EVP_PKEY_CTX_set_rsa_keygen_bits(ctx, 2048);
  if (ret <= 0) fatal_error();
  ret = EVP_PKEY_keygen(ctx, &pkey);  
  if (ret <= 0) fatal_error();

  /* Encryption */
  EVP_PKEY_CTX_free(ctx);
  ctx = EVP_PKEY_CTX_new(pkey,NULL); 
  if (ctx == NULL) fatal_error();

  ret = EVP_PKEY_encrypt_init(ctx);
  if (ret <= 0) fatal_error();
  return EVP_PKEY_encrypt(ctx, out_buf, &out_len, src, len); 
}

В этом примере перед шифрованием с EVP_PKEY_encryptконкретное заполнение не связано с контекстным объектом ctx.

Коррекция - установите заполнение в контексте перед шифрованием

Одной из возможных коррекций является установка схемы заполнения OAEP в контексте.

#include <stddef.h>
#include <openssl/rsa.h>
#include <openssl/evp.h>

#define fatal_error() exit(-1)

int ret;
unsigned char *out_buf;
size_t out_len;


int func(unsigned char *src, size_t len){
  EVP_PKEY_CTX *ctx;
  EVP_PKEY* pkey;

  /* Key generation */
  ctx = EVP_PKEY_CTX_new_id(EVP_PKEY_RSA,NULL); 
  if (ctx == NULL) fatal_error();

  ret = EVP_PKEY_keygen_init(ctx);
  if (ret <= 0) fatal_error();
  ret = EVP_PKEY_CTX_set_rsa_keygen_bits(ctx, 2048);
  if (ret <= 0) fatal_error();
  ret = EVP_PKEY_keygen(ctx, &pkey);  
  if (ret <= 0) fatal_error();

  /* Encryption */
  EVP_PKEY_CTX_free(ctx);
  ctx = EVP_PKEY_CTX_new(pkey,NULL); 
  if (ctx == NULL) fatal_error();

  ret = EVP_PKEY_encrypt_init(ctx);
  ret = EVP_PKEY_CTX_set_rsa_padding(ctx, RSA_PKCS1_OAEP_PADDING); 
  if (ret <= 0) fatal_error();
  if (ret <= 0) fatal_error();
  return EVP_PKEY_encrypt(ctx, out_buf, &out_len, src, len); 
}

Информация о результатах

Группа: Криптография

Язык: C | C++

По умолчанию: Off

Синтаксис командной строки : CRYPTO_RSA_NO_PADDING

Влияние: Средний

ИДЕНТИФИКАТОР CWE : 310, 326, 327, 780

См. также

Find defects (-checkers) | Incompatible padding for RSA algorithm operation | Missing blinding for RSA algorithm | Nonsecure RSA public exponent | Weak padding for RSA algorithm

Темы

Введенный в R2018a

Документация