Tink 不鼓励采用与键相关的以下不良做法:
- 用户对 Secret Key 材料的访问权限 - 相反,应尽可能使用 Tink 支持的预定义方式之一,将 Secret Key 存储在 KMS 中。
- 用户对密钥的某些部分进行访问 – 这样做通常会导致兼容性错误。
实际上,在某些情况下,需要违反这些原则。Tink 提供了能够安全地实现上述目的的机制,详见以下各部分。
密钥访问令牌
要访问密钥材料,用户必须拥有令牌(通常是某个类的对象,没有任何功能)。令牌通常由 InsecureSecretKeyAccess.get() 等方法提供。在 Google 内部,系统会使用 Bazel BUILD 可见性来阻止用户使用此函数。在 Google 之外,安全审核者可以搜索其代码库,查找此函数的使用情况。
这些令牌的一项实用功能是它们可以传递。例如,假设您有一个用于序列化任意 Tink 键的函数:
String serializeKey(Key key, @Nullable SecretKeyAccess secretKeyAccess);
对于具有密钥材料的密钥,此函数要求 secretKeyAccess 对象非 null 且存储了实际的 SecretKeyAccess 令牌。对于不含任何 Secret 材料的密钥,系统会忽略 secretKeyAccess。
有了这样的函数,我们就可以编写一个用于序列化整个密钥集的函数:
String serializeKeyset(KeysetHandle keyset, @Nullable SecretKeyAccess
secretKeyAccess);
此函数在内部为密钥集中的每个密钥调用 serializeKey,并将指定的 secretKeyAccess 传递给底层函数。然后,如果用户调用 serializeKeyset 而无需序列化 Secret Key 材料,则可以使用 null 作为第二个参数。需要序列化密钥材料的用户应使用 InsecureSecretKeyAccess.get()。
对密钥的部分内容的访问
Tink 密钥不仅包含原始密钥材料,还包含指定应如何使用密钥的元数据(进而指明不应以任何其他方式使用密钥)。例如,Tink 中的 RSA SSA PSS 密钥指定此 RSA 密钥只能与使用指定哈希函数和指定盐长度的 PSS 签名算法搭配使用。
有时,需要将 Tink 键转换为其他格式,而这种格式可能并未明确指定所有这些元数据。这通常意味着,在使用密钥时需要提供元数据。换句话说,假设某个键始终与同一算法一起使用,这种键隐式地具有相同的元数据,只是存储在其他位置。
将 Tink 密钥转换为其他格式时,您需要确保 Tink 密钥的元数据与其他密钥格式的(隐式指定的)元数据一致。如果不匹配,则转换必须失败。
由于这些检查通常缺失或不完整,因此 Tink 会限制对某些 API 的访问权限,这些 API 只能访问部分密钥材料,可能会被误认为是完整密钥。在 Java 中,Tink 使用 RestrictedApi 来实现此目的;在 C++ 和 Golang 中,它使用类似于密钥访问令牌的令牌。
这些 API 的用户有责任防范密钥重用攻击和不兼容性。
从 Tink 导出密钥或将密钥导入 Tink 时,您最常遇到的是限制“部分密钥访问”的方法。以下最佳做法介绍了如何在这些场景中安全操作。
最佳实践:在导出密钥时验证所有参数
例如,如果您编写了一个导出 HPKE 公钥的函数:
导出公钥的错误方式:
/** Provide the key to our users which don't have Tink. */ byte[] exportTinkHpkeKey(HpkePublicKey key) { return key.getPublicKeyBytes().toByteArray(); }
这样做存在问题。收到该密钥后,使用该密钥的第三方会对该密钥的参数做出一些假设:例如,系统会假定用于该 256 位密钥的 HPKE AEAD 算法是 AES-GCM。
建议:验证参数是否符合密钥导出要求。
导出公钥的更妥善方式:
/** Provide the key to our users which don't have Tink. */ byte[] exportTinkHpkeKeyForOurUsers(HpkePublicKey key) { // Our users assume we use KEM_P256_HKDF_SHA256 for the KEM. if (!key.getParameters().getKemId().equals(HpkeParameters.KemId.KEM_P256_HKDF_SHA256)) { throw new IllegalArgumentException("Bad parameters"); } // Our users assume we use HKDF SHA256 to create the key material. if (!key.getParameters().getKdfId().equals(HpkeParameters.KdfId.HKDF_SHA256)) { throw new IllegalArgumentException("Bad parameters"); } // Our users assume that we use AES GCM with 256 bit keys. if (!key.getParameters().getAeadId().equals(HpkeParameters.AeadId.AES_256_GCM)) { throw new IllegalArgumentException("Bad parameters"); } // Our users assume we follow the standard and don't add a Tink style prefix if (!key.getParameters().getVariant().equals(HpkeParameters.Variant.NO_PREFIX)) { throw new IllegalArgumentException("Bad parameters"); } return key.getPublicKeyBytes().toByteArray(); }
最佳实践:尽早在导入密钥时使用 Tink 对象
这可以最大限度地降低密钥混淆攻击的风险,因为 Tink Key 对象会完整指定正确的算法,并将所有元数据与密钥材料一起存储。
请参考以下示例:
非类型化用法:
void verifyEcdsaSignature(ECPoint ecPoint, byte[] signature, byte[] message) throws Exception { EcdsaParameters parameters = EcdsaParameters.builder() .setSignatureEncoding(EcdsaParameters.SignatureEncoding.IEEE_P1363) .setCurveType(EcdsaParameters.CurveType.NIST_P256) .setHashType(EcdsaParameters.HashType.SHA256) .setVariant(EcdsaParameters.Variant.NO_PREFIX) .build(); EcdsaPublicKey key = EcdsaPublicKey.builder() .setParameters(parameters) .setPublicPoint(ecPoint) .build(); KeysetHandle handle = KeysetHandle.newBuilder() .addEntry(KeysetHandle.importKey(key).withFixedId(1).makePrimary()) .build(); PublicKeyVerify publicKeyVerify = handle.getPrimitive(RegistryConfiguration.get(), PublicKeyVerify.class); publicKeyVerify.verify(signature, message); }
这很容易出错:在调用点,很容易忘记绝不应将同一 ecPoint 与其他算法搭配使用。例如,如果存在一个名为 encryptWithECHybridEncrypt 的类似函数,调用方可能会使用相同的曲线点来加密消息,这样很容易导致漏洞。
最好改为更改 verifyEcdsaSignature,使第一个参数为 EcdsaPublicKey。事实上,每当从磁盘或网络读取密钥时,都应立即将其转换为 EcdsaPublicKey 对象:此时,您已经知道密钥的使用方式,因此最好将其提交。
还可以进一步改进上述代码。相较于传入 EcdsaPublicKey,传入 KeysetHandle 更好。它会准备代码以进行密钥轮替,而无需执行任何额外的工作。因此,这应该是首选。
不过,改进还未完成:最好传入 PublicKeyVerify 对象:这对此函数来说已经足够了,因此传入 PublicKeyVerify 对象可能会增加此函数的使用场景。不过,此时函数变得非常简单,并且可以内联。
建议:首次从磁盘或网络读取密钥材料时,请尽快创建相应的 Tink 对象。
类型化用法:
KeysetHandle readEcdsaKeyFromFile(Path fileWithEcdsaKey) throws Exception { byte[] content = Files.readAllBytes(fileWithEcdsaKey); BigInteger x = new BigInteger(1, Arrays.copyOfRange(content, 0, 32)); BigInteger y = new BigInteger(1, Arrays.copyOfRange(content, 32, 64)); ECPoint point = new ECPoint(x, y); EcdsaParameters parameters = EcdsaParameters.builder() .setSignatureEncoding(EcdsaParameters.SignatureEncoding.IEEE_P1363) .setCurveType(EcdsaParameters.CurveType.NIST_P256) .setHashType(EcdsaParameters.HashType.SHA256) .setVariant(EcdsaParameters.Variant.NO_PREFIX) .build(); EcdsaPublicKey key = EcdsaPublicKey.builder() .setParameters(parameters) .setPublicPoint(ecPoint) .build(); return KeysetHandle.newBuilder() .addEntry(KeysetHandle.importKey(key).withFixedId(1).makePrimary()) .build(); }
使用此类代码,我们会在读取字节数组时立即将其转换为 Tink 对象,并完全指定应使用哪种算法。这种方法可最大限度地降低密钥混淆攻击的概率。