不恰当的使用Rsa::decrypt函数(使用OPENSSL_PKCS1_PADDING填充方案)，可能引起应用层存在被攻击的风险 #133

TheNorthMemory · 2024-05-10T08:32:14Z

运行环境

- OS:MacOS
- PHP: 8.3.7
- wechatpay-php: 1.4.9

描述你的问题现象

这可能不应该是件公开讨论的事宜，有关应用安全的问题可能需要具有专业知识的人来共同探讨，然而此问题在开源社区有了许多公开讨论，暂且先把问题及可能的解决方案记录于此。

缘由

在例行性更新本地PHP版本的时候，按操作习惯，会run一遍测试用例，然而有许久如下测试用例有一条F一直悬而未决：

wechatpay-php/tests/Crypto/RsaTest.php

Lines 307 to 321 in 2cabc8a

    
           public function testCrossEncryptDecryptWithDifferentPadding( 
        
               string $plaintext, array $publicKeyAndPaddingMode, array $privateKeyAndPaddingMode, ?string $exception = null 
        
           ): void 
        
           { 
        
               if ($exception) { 
        
                   $this->expectException($exception); 
        
               } 
        
               $ciphertext = Rsa::encrypt($plaintext, ...$publicKeyAndPaddingMode); 
        
               $decrypted = Rsa::decrypt($ciphertext, ...$privateKeyAndPaddingMode); 
        
               if ($exception === null) { 
        
                   self::assertNotEmpty($ciphertext); 
        
                   self::assertNotEmpty($decrypted); 
        
                   self::assertEquals($plaintext, $decrypted); 
        
               } 
        
           }

现状

翻阅了PHP的更新历史及OpenSSL的更新历史，发现如下两条重要更新：

PHP自8.1.0起，使用了OpenSSL的EVP_PKEY API，且OpenSSL自3.2.0起，已显式调整EVP_PKEY_decrypt处理逻辑，默认当填充方式为RSA_PKCS1_PADDING解密失败时，不再抛异常，代为输出为随机字符串。这即是 "encrypted as OPENSSL_PKCS1_OAEP_PADDING, and decrpted as OPENSSL_PKCS1_PADDING" 用例测试未通过的原因所在。

公开的CVE/patch/backport如：

都提到了一点是，RSAES-PKCS1-v1_5已不再安全并且容易受到攻击。

受影响

目前已知在微信支付海外版，有如下两个接口声明的非对称加密方案为RSAES-PKCS1-v1_5:

身份信息校验API

• 使用微信支付平台证书的公钥，对于需要加密的参数值进行 RSA 加密。填充方案使用 RSAES-PKCS1-v1_5。

Onboard Sub-merchant API

1、Perform the RSA encryption for the parameter values with the public key of the WeChat Pay Platform certificate. Use RSAES-PKCS1-v1_5 as the filling scheme.

解决方案

服务端

建议微信支付团队，评估影响等级及寻求解决方案。

客户端

本SDK(wechatpay-php)自1.2.1起，提供了OPENSSL_PKCS1_PADDING加解密支持，目前客户端暂时未发现使用OPENSSL_PKCS1_PADDING解密的场景，出于兼容性及安全考虑，需要：

调整 \WeChatPay\Crypto\Rsa::decrpt 函数，当使用OPENSSL_PKCS1_PADDING填充方案时，给予废弃及安全提示，不再推荐使用;
尝试兼容PHP低版本的ext-openssl(OpenSSL<3.2.0)解密失败抛异常行为，与OpenSSL>3.2.0默认行为保持一致，代为输出为随机字符串；
基于以上两点，修正 WeChatPay\Tests\Crypto\RsaTest::testCrossEncryptDecryptWithDifferentPadding用例覆盖；

The text was updated successfully, but these errors were encountered:

xy-peng · 2024-05-12T02:59:00Z

同意不再支持 OPENSSL_PKCS1_PADDING
业务侧存量的功能不太方便直接去掉
更进一步，PHP SDK 能否支持国密，已替代不安全的敏感信息加密，供对安全有更高要求的商户使用（实际会比较麻烦）

TheNorthMemory · 2024-09-19T05:09:15Z

v1.4.10 已不再支持 OPENSSL_PKCS1_PADDING 填充方案

TheNorthMemory added a commit to TheNorthMemory/wechatpay-php that referenced this issue Sep 5, 2024

no longer support OPENSSL_PKCS1_PADDING, ref wechatpay-apiv3#133

f8dec27

TheNorthMemory mentioned this issue Sep 7, 2024

安全性更新及支持PHP8.4 #136

Merged

TheNorthMemory added a commit that referenced this issue Sep 19, 2024

no longer support OPENSSL_PKCS1_PADDING, ref #133

2292125

TheNorthMemory closed this as completed Sep 19, 2024

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

不恰当的使用Rsa::decrypt函数(使用OPENSSL_PKCS1_PADDING填充方案)，可能引起应用层存在被攻击的风险 #133

不恰当的使用Rsa::decrypt函数(使用OPENSSL_PKCS1_PADDING填充方案)，可能引起应用层存在被攻击的风险 #133

TheNorthMemory commented May 10, 2024

xy-peng commented May 12, 2024

TheNorthMemory commented Sep 19, 2024

不恰当的使用Rsa::decrypt函数(使用OPENSSL_PKCS1_PADDING填充方案)，可能引起应用层存在被攻击的风险 #133

不恰当的使用Rsa::decrypt函数(使用OPENSSL_PKCS1_PADDING填充方案)，可能引起应用层存在被攻击的风险 #133

Comments

TheNorthMemory commented May 10, 2024

运行环境

描述你的问题现象

缘由

现状

受影响

解决方案

服务端

客户端

xy-peng commented May 12, 2024

TheNorthMemory commented Sep 19, 2024