PyCrypto генерирует плохие подписи

У меня серьезные проблемы с PyCrypto, как показывает приведенный ниже код. Одна из проблем заключается в том, что тестовый сценарий не прерывается повторяющимся образом, но имеет разные причины на разных платформах, используя разные ключи.

Обратите внимание, что тестовый пример содержит два набора ключей для Алисы и Боба, первый сгенерированный OpenSSL, а второй сгенерированный PyCrypto (раскомментируйте раздел "Альтернативные ключи" ).

Тестовый случай - это простое путешествие в оба конца:

  • Алиса генерирует симметричный ключ и шифрует данные
  • Алиса шифрует симметричный ключ с открытым ключом Боба, затем подписывает зашифрованный ключ своим личным ключом (хэши не используются в этом простом случае).
  • Боб проверяет подпись с открытым ключом Алисы и расшифровывает симметричный ключ с его закрытым ключом.
  • Боб расшифровывает данные с помощью симметричного ключа.

Ниже приведены результаты некоторых выборок:

В Linux с ключами OpenSSL

attempts: 1000
 success: 0
mismatch: 0
    fail: 1000
  Bad signature = 993
  Ciphertext too large = 7

В Linux с ключами PyCrypto

attempts: 1000
 success: 673
mismatch: 0
    fail: 327
  AES key must be either 16, 24, or 32 bytes long = 3
  Ciphertext too large = 324

В Windows с ключами OpenSSL

attempts: 1000
 success: 993
mismatch: 0
    fail: 7
  AES key must be either 16, 24, or 32 bytes long = 3
  Bad signature = 4

В Windows с ключами PyCrypto

attempts: 1000
 success: 994
mismatch: 0
    fail: 6
  AES key must be either 16, 24, or 32 bytes long = 6

Вот тестовый пример:

from Crypto import Random
from Crypto.PublicKey import RSA
from Crypto.Cipher import AES
from Crypto.Util.number import long_to_bytes, bytes_to_long
from base64 import b64encode, b64decode

rng = Random.new().read

# openssl genrsa -out alice.rsa 1024
alice_private_key = RSA.importKey('''
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
'''.strip())

# openssl rsa -in alice.rsa -out alice.pub -pubout
alice_public_key = RSA.importKey('''
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDcWasedZQPkg+//IrJbn/ndn0m
sT999kejgO0w3mzWSS66Rk3oNab/pjWFFp9t6hBlFuERCyyqjwFbqrk0fPeLJBsK
Q3TOxDTXdLd50nIPZFgbBmtPkhKTd7tydB6GacMsLqrwI7IlJZcD7ts2quBTNgQA
onkr2FJaWyJtTbb95QIDAQAB
-----END PUBLIC KEY-----
'''.strip())

# openssl genrsa -out bob.rsa 1024
bob_private_key = RSA.importKey('''
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
'''.strip())

# openssl rsa -in bob.rsa -out bob.pub -pubout
bob_public_key = RSA.importKey('''
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDddMPxMRIe34mNYbldimaZ1j4Z
w/kqPHkOfbzBhp3XR254eSQONe9DgaLQhw16n4o3FFP8aijlotw/LUfKosEldmiC
FuZdTiMP/49a5CbQ/End+Z38tHIzmGv7qjtkU7K8Eu/J5/y3wqBNAkfejC4j8MNx
g8eBBGTq8okra8in8wIDAQAB
-----END PUBLIC KEY-----
'''.strip())

# Alternate keys (uncomment for PyCrypto keys)
#alice_private_key = RSA.generate(1024, rng)
#alice_public_key = alice_private_key.publickey()
#bob_private_key = RSA.generate(1024, rng)
#bob_public_key = bob_private_key.publickey()

def generate(data, signature_key, encryption_key):
    # Generate encrypted data
    symmetric_key = rng(16)
    symmetric_cipher = AES.new(symmetric_key)
    padded_data = data + (' ' * (16 - divmod(len(data), 16)[1]))
    encrypted_data = bytes(symmetric_cipher.encrypt(padded_data))

    # Encrypt the symmetric key
    encrypted_key = bytes(encryption_key.encrypt(symmetric_key, None)[0])

    # Sign the encrypted key
    signature = long_to_bytes(signature_key.sign(encrypted_key, None)[0])

    return encrypted_key, signature, encrypted_data

def validate(encrypted_key, signature, encrypted_data, verification_key, decryption_key):
    # Verify the signature
    if not verification_key.verify(encrypted_key, (bytes_to_long(signature),)):
        raise Exception("Bad signature")

    # Decrypt the key
    symmetric_key = decryption_key.decrypt((encrypted_key,))

    # Decrypt the data
    symmetric_cipher = AES.new(symmetric_key)
    return symmetric_cipher.decrypt(encrypted_data).strip()


def test():
    attempts = 1000
    success = 0
    mismatch = 0
    fail = 0
    causes = {}
    for _ in range(attempts):
        data = b64encode(Random.new().read(16))
        try:
            encrypted_key, signature, encrypted_data = \
                generate(data, alice_private_key, bob_public_key)
            result = validate(encrypted_key, signature, 
                encrypted_data, alice_public_key, bob_private_key)
            if result == data:
                success += 1
            else:
                mismatch += 1
        except Exception as e:
            fail += 1
            reason = str(e)
            if reason in causes:
                causes[reason] += 1
            else:
                causes[reason] = 1

    print("attempts: %d" % attempts)
    print(" success: %d" % success)
    print("mismatch: %d" % mismatch)
    print("    fail: %d" % fail)
    for cause, count in causes.items():
        print("  %s = %d" % (cause, count))


test()

Есть ли какая-то причина, по которой PyCrypto, похоже, такой случай корзины?

Ответ 1

Во-первых, я бы рассмотрел случаи, когда используются ключи OpenSSL. Важнейшим фактом является то, что модуль Боба RSA (bn) немного меньше модуля Alice RSA (an).

Ошибка Ciphertext too big отображается в "отправителе" (то есть в функции generation). Зашифрованный текст, который вы подписываете, гарантирован меньше an (потому что шифрование вычисляется по модулю an), но иногда оно (из-за случайного случайного текста) оказывается больше, чем bn. В этом случае подпись невозможна.

Насколько я могу судить, проверка выполняется, и исключение возникает только в том случае, если у вас установлена ​​библиотека GMP, что часто бывает в системах Linux. В Windows сложно установить такую ​​библиотеку, а pycrypto полагается на чистый код python. Исключение не будет поднято в этом случае (хотя это должно, две версии должны вести себя одинаково), и вы будете молча получать неправильное значение как подпись (Bad signature).

Ошибка AES key must be either 16, 24, or 32 bytes long появляется, когда ваш случайный AES ключ начинается с 0x00. Поскольку примитив RSA преобразует байтовую строку в целое число, в этом процессе будет потерян начальный нуль, и вы вернете эту ошибку на принимающей стороне.

Если вы создаете ключи RSA "на лету", в 50% случаев bn>an, и вы увидите меньше ошибок.

Я не могу понять, почему 100% тестов терпят неудачу в Linux с помощью ключей OpenSSL, но я думаю, что есть аналогичные причины для объяснения этого.

В общем случае (и это относится также ко всем другим криптовым библиотекам), основная причина всех проблем заключается в том, что вы используете необработанные механизмы RSA. Помимо соображений об ограничениях и правильном использовании API, у вас есть большое отверстие безопасности. Некоторая форма безопасного заполнения должна всегда использоваться, в противном случае злоумышленник может легко нарушить вашу схему.

В PyCrypto правильные протоколы доступны через модули PKCS # 1 для подписей RSA и RSA-шифрование. Однако помните, что подпись должна выполняться в хеше сообщения (например, SHA1) и шифровании на полезной нагрузке, которая значительно меньше, чем модуль RSA.