serpent 实现中的 truecrypt 错误

Question

我正在浏览 TrueCrypt (7.1a) 中的 Serpent 实现，有些东西看起来不太对劲!该算法的界面如下:

void serpent_set_key(const unsigned __int8 userKey[], int keylen, unsigned __int8 *ks);
void serpent_encrypt(const unsigned __int8 *inBlock, unsigned __int8 *outBlock, unsigned __int8 *ks);
void serpent_decrypt(const unsigned __int8 *inBlock,  unsigned __int8 *outBlock, unsigned __int8 *ks);

这里感兴趣的函数是serpent_set_key。用户 key 的长度为 32 字节，keylen 应该是其大小，ks 是用于加密/解密的输出 key 。问题在于实现。这是开头的相关片段:

unsigned __int32 a,b,c,d,e;
unsigned __int32 *k = (unsigned __int32 *)ks;
unsigned __int32 t;
int i;

for (i = 0; i < keylen / (int)sizeof(__int32); i++)
    k[i] = LE32(((unsigned __int32*)userKey)[i]);

for循环，实际上是将数据从用户 key 复制到实现 key 。它是通过将数据“查看”为 4 字节整数来完成的。现在，如果 key len 以字节形式发送(32 是正确的值)，则一切正常，但是...

在 trueCrypt 的所有实现中，这在两个地方被调用。这是第一个:在CipherInit中是这样调用的:

case SERPENT:
    serpent_set_key (key, CipherGetKeySize(SERPENT) * 8, ks);
    break;

CipherGetKeySize(SERPENT) 将返回 32(字节)，因此传入的参数值为 256!这是正确的，因为涉及 key 的长度，但不适用于此实现!这将导致“serpent_set_key”中的缓冲区溢出，因为 for 循环将运行 64 次，而不是仅仅 8 次!调用此函数的另一个地方是在 EAInit 中，如下所示:

serpent_set_key( key ,32*8,ks);

很明显，传入的参数将是256。

我很好奇其他人对此有何看法？其他人可以确认这个错误吗？

Answer 1

作为 VeraCrypt 主要开发人员，由于 VeraCrypt 基于 TrueCrypt 源代码，用户将我重定向到这篇文章。

在研究了您提出的问题后，我可以确认这确实是代码中的一个错误，并且对 serpent_set_key 的调用应该传递 32 而不是 256 作为参数。

幸运的是，这个错误对程序执行过程中的正确性或安全性没有影响，这就是为什么在你之前没有人发现它。因此，我们不能将其视为错误。

让我分三点解释一下:

1. 让我们看一下serpent_set_key的Serpent算法实现:参数keylen仅用于将用户 key 复制到ks缓冲区中，该缓冲区是保证最小大小为560(查看 crypt.h 中定义的SERPENT_KS)。因此，即使keylen是256而不是32，我们也永远不会写入超出ks分配的内存。
2. 此循环之后的内部 key 扩展将按照 Serpent 算法规范，仅使用 userKey 的前 32 个字节构建扩展的 Serpent key 。因此，前 32 个字节之后的所有字节都将被丢弃，并且永远不会被使用。这解释了为什么即使传递 256 字节而不是预期的 32 字节，计算结果也是正确的。
3. 如果我们列出导致 serpent_set_key 的所有运行时调用，我们会注意到，除了自动测试的情况外，所有调用都为 userKey 参数使用 256 字节缓冲区，即使其前 32 个字节已填充(请查看 crypto.h 中的 MASTER_KEYDATA_SIZE)。因此，在运行时，我们永远不会读取超出分配缓冲区空间的内容。它仍然是自动测试的情况(即在 Tests.c 中或 Dlgcode.c 中的 CipherTestDialogProc 中)，其中 32 字节缓冲区用于 userKey :这里我们将读取超出分配空间的内容，但实际上它是不会造成任何损害，因为该缓冲区周围的内存是可读的。

我希望这能澄清为什么这个错误是无害的。话虽如此，它必须得到纠正，这就是我们将在 VeraCrypt 中所做的。

根据记录，这个错误似乎是由 twofish_set_key 和 serpent_set_key 之间的混淆引起的:两个函数的声明具有相同类型的参数，但是twofish_set_key 期望用户 key 长度以位为单位，而 serpent_set_key 期望以字节为单位!显然，我们应该对 key 的大小有相同的约定。