Service Workbench on AWS 中 RSA_PKCS1_PADDING 加密问题的分析与解决方案

Service Workbench on AWS 中 RSA_PKCS1_PADDING 加密问题的分析与解决方案

Service Workbench on AWS 是一款开源项目，用于在AWS云上快速部署和管理研究环境。近期在6.2.0版本中，用户报告了一个与RSA加密相关的关键问题，影响了工作区连接功能。

问题背景

在Node.js环境中，当用户尝试通过RDP协议连接到Windows工作区时，系统会抛出错误提示"RSA_PKCS1_PADDING is no longer supported for private decryption"。这个问题源于Node.js安全更新中对RSA_PKCS1_PADDING填充模式的支持变更。

技术分析

问题的核心在于Node.js的crypto模块中privateDecrypt方法的实现变更。在旧版本中，代码使用如下方式解密Windows RDP密码：

const password = crypto.privateDecrypt(
  { key: encryptionKey, padding: crypto.constants.RSA_PKCS1_PADDING },
  Buffer.from(passwordData, 'base64')
).toString('utf8');

这种实现方式由于安全漏洞CVE-2023-46809已被Node.js标记为不再支持。Node.js团队出于安全考虑，移除了对RSA_PKCS1_PADDING填充模式的支持，除非显式使用--security-revert=CVE-2023-46809参数回滚安全更新。

解决方案

社区提供了两种解决方案：

1. 临时解决方案：在Node.js运行时添加--security-revert=CVE-2023-46809参数，但这会降低系统安全性，不推荐生产环境使用。

2. 推荐解决方案：使用node-rsa库替代原生crypto模块的实现：

const keyRSA = new NodeRSA(
  encryptionKey,
  "private",
  {
    encryptionScheme: "pkcs1"
  }
);
keyRSA.setOptions({ environment: "browser" });
const decrypted = keyRSA.decrypt(Buffer.from(passwordData, "base64"), "buffer");
const password = decrypted.toString();

这种实现方式不仅解决了兼容性问题，还保持了相同的安全级别。需要注意的是，此修改需要添加node-rsa依赖到package.json中。

影响范围

该问题不仅影响Windows RDP连接功能，还影响以下功能点：

1. RStudio URL获取功能
2. 服务目录环境连接功能

这些功能点中同样使用了已被弃用的RSA_PKCS1_PADDING填充模式，需要进行相同的修复。

版本更新

Service Workbench on AWS团队在6.2.2版本中已修复了Windows密码获取功能的相关问题。但用户需要注意，其他使用相同加密模式的功能点可能仍需手动更新。

最佳实践建议

1. 对于生产环境，建议升级到6.2.2或更高版本
2. 如果无法立即升级，可以考虑手动应用上述修复方案
3. 定期检查项目依赖库的安全公告，及时应用安全更新
4. 对于加密相关功能，建议使用经过充分验证的加密库而非直接使用平台原生API

通过理解这个问题的本质和解决方案，用户可以更好地维护和扩展Service Workbench on AWS项目，确保研究环境的安全性和可用性。