Alternative fix for CVE-2022-4304
authorBernd Edlinger <bernd.edlinger@hotmail.de>
Mon, 13 Feb 2023 16:46:41 +0000 (17:46 +0100)
committerBernd Edlinger <bernd.edlinger@hotmail.de>
Fri, 31 Mar 2023 19:06:23 +0000 (21:06 +0200)
commit3f499b24f3bcd66db022074f7e8b4f6ee266a3ae
tree4db665307d05fd1276e1a82b4e5f33dc69d48e85
parent0372649a943fb23f7f08c7acdbc01464b9df03f0
Alternative fix for CVE-2022-4304

This is about a timing leak in the topmost limb
of the internal result of RSA_private_decrypt,
before the padding check.

There are in fact at least three bugs together that
caused the timing leak:

First and probably most important is the fact that
the blinding did not use the constant time code path
at all when the RSA object was used for a private
decrypt, due to the fact that the Montgomery context
rsa->_method_mod_n was not set up early enough in
rsa_ossl_private_decrypt, when BN_BLINDING_create_param
needed it, and that was persisted as blinding->m_ctx,
although the RSA object creates the Montgomery context
just a bit later.

Then the infamous bn_correct_top was used on the
secret value right after the blinding was removed.

And finally the function BN_bn2binpad did not use
the constant-time code path since the BN_FLG_CONSTTIME
was not set on the secret value.

In order to address the first problem, this patch
makes sure that the rsa->_method_mod_n is initialized
right before the blinding context.

And to fix the second problem, we add a new utility
function bn_correct_top_consttime, a const-time
variant of bn_correct_top.

Together with the fact, that BN_bn2binpad is already
constant time if the flag BN_FLG_CONSTTIME is set,
this should eliminate the timing oracle completely.

In addition the no-asm variant may also have
branches that depend on secret values, because the last
invocation of bn_sub_words in bn_from_montgomery_word
had branches when the function is compiled by certain
gcc compiler versions, due to the clumsy coding style.

So additionally this patch stream-lined the no-asm
C-code in order to avoid branches where possible and
improve the resulting code quality.

Reviewed-by: Paul Dale <pauli@openssl.org>
Reviewed-by: Tomas Mraz <tomas@openssl.org>
(Merged from https://github.com/openssl/openssl/pull/20284)
CHANGES
crypto/bn/bn_asm.c
crypto/bn/bn_blind.c
crypto/bn/bn_lib.c
crypto/bn/bn_local.h
crypto/rsa/rsa_ossl.c