Teach the RSA implementation about TLS RSA Key Transport
authorMatt Caswell <matt@openssl.org>
Mon, 11 Nov 2019 14:37:02 +0000 (14:37 +0000)
committerMatt Caswell <matt@openssl.org>
Thu, 5 Dec 2019 16:12:18 +0000 (16:12 +0000)
commitd9a75107478380641b6862acac74d0bb870a5374
treef5b9064baf62e9534db4373d08855b44f9274a99
parent6df44cf65fbc7e150965149d7e681ac3e22d11d8
Teach the RSA implementation about TLS RSA Key Transport

In TLSv1.2 a pre-master secret value is passed from the client to the
server encrypted using RSA PKCS1 type 2 padding in a ClientKeyExchange
message. As well as the normal formatting rules for RSA PKCA1 type 2
padding TLS imposes some additional rules about what constitutes a well
formed key. Specifically it must be exactly the right length and
encode the TLS version originally requested by the client (as opposed to
the actual negotiated version) in its first two bytes.

All of these checks need to be done in constant time and, if they fail,
then the TLS implementation is supposed to continue anyway with a random
key (and therefore the connection will fail later on). This avoids
padding oracle type attacks.

This commit implements this within the RSA padding code so that we keep
all the constant time padding logic in one place. A later commit will
remove it from libssl.

Reviewed-by: Tomas Mraz <tmraz@fedoraproject.org>
(Merged from https://github.com/openssl/openssl/pull/10411)
crypto/err/openssl.txt
crypto/rsa/rsa_pk1.c
include/crypto/rsa.h
include/openssl/core_names.h
include/openssl/rsa.h
providers/common/include/prov/providercommonerr.h
providers/common/provider_err.c
providers/implementations/asymciphers/rsa_enc.c