Blame | Historie | Raw
dh_ackergaul
vor 3 Tagen bb80cdf5a6157ca1f3a276e12e9faae9a4739cb7 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122

import { withAlg as invalidKeyInput } from './invalid_key_input.js';


import { isKeyLike } from './is_key_like.js';


import * as jwk from './type_checks.js';


const tag = (key) => key?.[Symbol.toStringTag];


const jwkMatchesOp = (alg, key, usage) => {


    if (key.use !== undefined) {


        let expected;


        switch (usage) {


            case 'sign':


            case 'verify':


                expected = 'sig';


                break;


            case 'encrypt':


            case 'decrypt':


                expected = 'enc';


                break;


        }


        if (key.use !== expected) {


            throw new TypeError(`Invalid key for this operation, its "use" must be "${expected}" when present`);


        }


    }


    if (key.alg !== undefined && key.alg !== alg) {


        throw new TypeError(`Invalid key for this operation, its "alg" must be "${alg}" when present`);


    }


    if (Array.isArray(key.key_ops)) {


        let expectedKeyOp;


        switch (true) {


            case usage === 'sign' || usage === 'verify':


            case alg === 'dir':


            case alg.includes('CBC-HS'):


                expectedKeyOp = usage;


                break;


            case alg.startsWith('PBES2'):


                expectedKeyOp = 'deriveBits';


                break;


            case /^A\d{3}(?:GCM)?(?:KW)?$/.test(alg):


                if (!alg.includes('GCM') && alg.endsWith('KW')) {


                    expectedKeyOp = usage === 'encrypt' ? 'wrapKey' : 'unwrapKey';


                }


                else {


                    expectedKeyOp = usage;


                }


                break;


            case usage === 'encrypt' && alg.startsWith('RSA'):


                expectedKeyOp = 'wrapKey';


                break;


            case usage === 'decrypt':


                expectedKeyOp = alg.startsWith('RSA') ? 'unwrapKey' : 'deriveBits';


                break;


        }


        if (expectedKeyOp && key.key_ops?.includes?.(expectedKeyOp) === false) {


            throw new TypeError(`Invalid key for this operation, its "key_ops" must include "${expectedKeyOp}" when present`);


        }


    }


    return true;


};


const symmetricTypeCheck = (alg, key, usage) => {


    if (key instanceof Uint8Array)


        return;


    if (jwk.isJWK(key)) {


        if (jwk.isSecretJWK(key) && jwkMatchesOp(alg, key, usage))


            return;


        throw new TypeError(`JSON Web Key for symmetric algorithms must have JWK "kty" (Key Type) equal to "oct" and the JWK "k" (Key Value) present`);


    }


    if (!isKeyLike(key)) {


        throw new TypeError(invalidKeyInput(alg, key, 'CryptoKey', 'KeyObject', 'JSON Web Key', 'Uint8Array'));


    }


    if (key.type !== 'secret') {


        throw new TypeError(`${tag(key)} instances for symmetric algorithms must be of type "secret"`);


    }


};


const asymmetricTypeCheck = (alg, key, usage) => {


    if (jwk.isJWK(key)) {


        switch (usage) {


            case 'decrypt':


            case 'sign':


                if (jwk.isPrivateJWK(key) && jwkMatchesOp(alg, key, usage))


                    return;


                throw new TypeError(`JSON Web Key for this operation must be a private JWK`);


            case 'encrypt':


            case 'verify':


                if (jwk.isPublicJWK(key) && jwkMatchesOp(alg, key, usage))


                    return;


                throw new TypeError(`JSON Web Key for this operation must be a public JWK`);


        }


    }


    if (!isKeyLike(key)) {


        throw new TypeError(invalidKeyInput(alg, key, 'CryptoKey', 'KeyObject', 'JSON Web Key'));


    }


    if (key.type === 'secret') {


        throw new TypeError(`${tag(key)} instances for asymmetric algorithms must not be of type "secret"`);


    }


    if (key.type === 'public') {


        switch (usage) {


            case 'sign':


                throw new TypeError(`${tag(key)} instances for asymmetric algorithm signing must be of type "private"`);


            case 'decrypt':


                throw new TypeError(`${tag(key)} instances for asymmetric algorithm decryption must be of type "private"`);


        }


    }


    if (key.type === 'private') {


        switch (usage) {


            case 'verify':


                throw new TypeError(`${tag(key)} instances for asymmetric algorithm verifying must be of type "public"`);


            case 'encrypt':


                throw new TypeError(`${tag(key)} instances for asymmetric algorithm encryption must be of type "public"`);


        }


    }


};


export function checkKeyType(alg, key, usage) {


    switch (alg.substring(0, 2)) {


        case 'A1':


        case 'A2':


        case 'di':


        case 'HS':


        case 'PB':


            symmetricTypeCheck(alg, key, usage);


            break;


        default:


            asymmetricTypeCheck(alg, key, usage);


    }


}