3aa701d314723717485429ee4788bbbf9c3d0274
[WebKit-https.git] / Source / WebCore / crypto / mac / CryptoKeyRSAMac.cpp
1 /*
2  * Copyright (C) 2013-2018 Apple Inc. All rights reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions
6  * are met:
7  * 1. Redistributions of source code must retain the above copyright
8  *    notice, this list of conditions and the following disclaimer.
9  * 2. Redistributions in binary form must reproduce the above copyright
10  *    notice, this list of conditions and the following disclaimer in the
11  *    documentation and/or other materials provided with the distribution.
12  *
13  * THIS SOFTWARE IS PROVIDED BY APPLE INC. AND ITS CONTRIBUTORS ``AS IS''
14  * AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,
15  * THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
16  * PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL APPLE INC. OR ITS CONTRIBUTORS
17  * BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
18  * CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
19  * SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
20  * INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
21  * CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
22  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF
23  * THE POSSIBILITY OF SUCH DAMAGE.
24  */
25
26 #include "config.h"
27 #include "CryptoKeyRSA.h"
28
29 #if ENABLE(WEB_CRYPTO)
30
31 #include "CommonCryptoDERUtilities.h"
32 #include "CommonCryptoUtilities.h"
33 #include "CryptoAlgorithmRegistry.h"
34 #include "CryptoKeyPair.h"
35 #include "CryptoKeyRSAComponents.h"
36 #include "ScriptExecutionContext.h"
37 #include <JavaScriptCore/GenericTypedArrayViewInlines.h>
38 #include <JavaScriptCore/HeapInlines.h>
39 #include <JavaScriptCore/JSGenericTypedArrayViewInlines.h>
40 #include <wtf/MainThread.h>
41
42 namespace WebCore {
43
44 #if (PLATFORM(IOS_FAMILY) && __IPHONE_OS_VERSION_MIN_REQUIRED < 110000) || (PLATFORM(MAC) && __MAC_OS_X_VERSION_MIN_REQUIRED < 101300)
45 inline uint8_t* castDataArgumentToCCRSACryptorCreateFromDataIfNeeded(const uint8_t* value)
46 {
47     return const_cast<uint8_t*>(value);
48 }
49 #else
50 inline const uint8_t* castDataArgumentToCCRSACryptorCreateFromDataIfNeeded(const uint8_t* value)
51 {
52     return value;
53 }
54 #endif
55
56 // OID rsaEncryption: 1.2.840.113549.1.1.1. Per https://tools.ietf.org/html/rfc3279#section-2.3.1
57 static const unsigned char RSAOIDHeader[] = {0x30, 0x0d, 0x06, 0x09, 0x2a, 0x86, 0x48, 0x86, 0xf7, 0x0d, 0x01, 0x01, 0x01, 0x05, 0x00};
58
59 // FIXME: We should get rid of magic number 16384. It assumes that the length of provided key will not exceed 16KB.
60 // https://bugs.webkit.org/show_bug.cgi?id=164942
61 static CCCryptorStatus getPublicKeyComponents(CCRSACryptorRef rsaKey, Vector<uint8_t>& modulus, Vector<uint8_t>& publicExponent)
62 {
63     ASSERT(CCRSAGetKeyType(rsaKey) == ccRSAKeyPublic || CCRSAGetKeyType(rsaKey) == ccRSAKeyPrivate);
64     bool keyIsPublic = CCRSAGetKeyType(rsaKey) == ccRSAKeyPublic;
65     ALLOW_DEPRECATED_DECLARATIONS_BEGIN
66     CCRSACryptorRef publicKey = keyIsPublic ? rsaKey : CCRSACryptorGetPublicKeyFromPrivateKey(rsaKey);
67     ALLOW_DEPRECATED_DECLARATIONS_END
68
69     modulus.resize(16384);
70     size_t modulusLength = modulus.size();
71     publicExponent.resize(16384);
72     size_t exponentLength = publicExponent.size();
73     CCCryptorStatus status = CCRSAGetKeyComponents(publicKey, modulus.data(), &modulusLength, publicExponent.data(), &exponentLength, 0, 0, 0, 0);
74     if (!keyIsPublic) {
75         // CCRSACryptorGetPublicKeyFromPrivateKey has "Get" in the name, but its result needs to be released (see <rdar://problem/15449697>).
76         CCRSACryptorRelease(publicKey);
77     }
78     if (status)
79         return status;
80
81     modulus.shrink(modulusLength);
82     publicExponent.shrink(exponentLength);
83     return status;
84 }
85
86 static CCCryptorStatus getPrivateKeyComponents(CCRSACryptorRef rsaKey, Vector<uint8_t>& privateExponent, CryptoKeyRSAComponents::PrimeInfo& firstPrimeInfo, CryptoKeyRSAComponents::PrimeInfo& secondPrimeInfo)
87 {
88     ASSERT(CCRSAGetKeyType(rsaKey) == ccRSAKeyPrivate);
89
90     Vector<uint8_t> unusedModulus(16384);
91     size_t modulusLength = unusedModulus.size();
92     privateExponent.resize(16384);
93     size_t exponentLength = privateExponent.size();
94     firstPrimeInfo.primeFactor.resize(16384);
95     size_t pLength = firstPrimeInfo.primeFactor.size();
96     secondPrimeInfo.primeFactor.resize(16384);
97     size_t qLength = secondPrimeInfo.primeFactor.size();
98
99     CCCryptorStatus status = CCRSAGetKeyComponents(rsaKey, unusedModulus.data(), &modulusLength, privateExponent.data(), &exponentLength, firstPrimeInfo.primeFactor.data(), &pLength, secondPrimeInfo.primeFactor.data(), &qLength);
100     if (status)
101         return status;
102
103     privateExponent.shrink(exponentLength);
104     firstPrimeInfo.primeFactor.shrink(pLength);
105     secondPrimeInfo.primeFactor.shrink(qLength);
106
107 #if HAVE(CCRSAGetCRTComponents)
108     size_t dpSize;
109     size_t dqSize;
110     size_t qinvSize;
111     if (auto status = CCRSAGetCRTComponentsSizes(rsaKey, &dpSize, &dqSize, &qinvSize))
112         return status;
113
114     Vector<uint8_t> dp(dpSize);
115     Vector<uint8_t> dq(dqSize);
116     Vector<uint8_t> qinv(qinvSize);
117     if (auto status = CCRSAGetCRTComponents(rsaKey, dp.data(), dpSize, dq.data(), dqSize, qinv.data(), qinvSize))
118         return status;
119
120     firstPrimeInfo.factorCRTExponent = WTFMove(dp);
121     secondPrimeInfo.factorCRTExponent = WTFMove(dq);
122     secondPrimeInfo.factorCRTCoefficient = WTFMove(qinv);
123 #else
124     CCBigNum d(privateExponent.data(), privateExponent.size());
125     CCBigNum p(firstPrimeInfo.primeFactor.data(), firstPrimeInfo.primeFactor.size());
126     CCBigNum q(secondPrimeInfo.primeFactor.data(), secondPrimeInfo.primeFactor.size());
127
128     CCBigNum dp = d % (p - 1);
129     CCBigNum dq = d % (q - 1);
130     CCBigNum qi = q.inverse(p);
131
132     firstPrimeInfo.factorCRTExponent = dp.data();
133     secondPrimeInfo.factorCRTExponent = dq.data();
134     secondPrimeInfo.factorCRTCoefficient = qi.data();
135 #endif
136
137     return status;
138 }
139
140 CryptoKeyRSA::CryptoKeyRSA(CryptoAlgorithmIdentifier identifier, CryptoAlgorithmIdentifier hash, bool hasHash, CryptoKeyType type, PlatformRSAKey platformKey, bool extractable, CryptoKeyUsageBitmap usage)
141     : CryptoKey(identifier, type, extractable, usage)
142     , m_platformKey(platformKey)
143     , m_restrictedToSpecificHash(hasHash)
144     , m_hash(hash)
145 {
146 }
147
148 RefPtr<CryptoKeyRSA> CryptoKeyRSA::create(CryptoAlgorithmIdentifier identifier, CryptoAlgorithmIdentifier hash, bool hasHash, const CryptoKeyRSAComponents& keyData, bool extractable, CryptoKeyUsageBitmap usage)
149 {
150     if (keyData.type() == CryptoKeyRSAComponents::Type::Private && !keyData.hasAdditionalPrivateKeyParameters()) {
151         // <rdar://problem/15452324> tracks adding support.
152         WTFLogAlways("Private keys without additional data are not supported");
153         return nullptr;
154     }
155     if (keyData.otherPrimeInfos().size()) {
156         // <rdar://problem/15444074> tracks adding support.
157         WTFLogAlways("Keys with more than two primes are not supported");
158         return nullptr;
159     }
160     // When an empty vector p is provided to CCRSACryptorCreateFromData to create a private key, it crashes.
161     // <rdar://problem/30550228> tracks the issue.
162     if (keyData.type() == CryptoKeyRSAComponents::Type::Private && keyData.firstPrimeInfo().primeFactor.isEmpty())
163         return nullptr;
164
165     CCRSACryptorRef cryptor;
166     // FIXME: It is so weired that we recaculate the private exponent from first prime factor and second prime factor,
167     // given the fact that we have already had it. Also, the re-caculated private exponent may not match the given one.
168     // See <rdar://problem/15452324>.
169     CCCryptorStatus status = CCRSACryptorCreateFromData(
170         keyData.type() == CryptoKeyRSAComponents::Type::Public ? ccRSAKeyPublic : ccRSAKeyPrivate,
171         castDataArgumentToCCRSACryptorCreateFromDataIfNeeded(keyData.modulus().data()), keyData.modulus().size(),
172         castDataArgumentToCCRSACryptorCreateFromDataIfNeeded(keyData.exponent().data()), keyData.exponent().size(),
173         castDataArgumentToCCRSACryptorCreateFromDataIfNeeded(keyData.firstPrimeInfo().primeFactor.data()), keyData.firstPrimeInfo().primeFactor.size(),
174         castDataArgumentToCCRSACryptorCreateFromDataIfNeeded(keyData.secondPrimeInfo().primeFactor.data()), keyData.secondPrimeInfo().primeFactor.size(),
175         &cryptor);
176
177     if (status) {
178         LOG_ERROR("Couldn't create RSA key from data, error %d", status);
179         return nullptr;
180     }
181
182     return adoptRef(new CryptoKeyRSA(identifier, hash, hasHash, keyData.type() == CryptoKeyRSAComponents::Type::Public ? CryptoKeyType::Public : CryptoKeyType::Private, cryptor, extractable, usage));
183 }
184
185 CryptoKeyRSA::~CryptoKeyRSA()
186 {
187     CCRSACryptorRelease(m_platformKey);
188 }
189
190 bool CryptoKeyRSA::isRestrictedToHash(CryptoAlgorithmIdentifier& identifier) const
191 {
192     if (!m_restrictedToSpecificHash)
193         return false;
194
195     identifier = m_hash;
196     return true;
197 }
198
199 size_t CryptoKeyRSA::keySizeInBits() const
200 {
201     Vector<uint8_t> modulus;
202     Vector<uint8_t> publicExponent;
203     CCCryptorStatus status = getPublicKeyComponents(m_platformKey, modulus, publicExponent);
204     if (status) {
205         WTFLogAlways("Couldn't get RSA key components, status %d", status);
206         return 0;
207     }
208
209     return modulus.size() * 8;
210 }
211
212 auto CryptoKeyRSA::algorithm() const -> KeyAlgorithm
213 {
214     // FIXME: Add a version of getPublicKeyComponents that returns Uint8Array, rather
215     // than Vector<uint8_t>, to avoid a copy of the data.
216
217     Vector<uint8_t> modulus;
218     Vector<uint8_t> publicExponent;
219     CCCryptorStatus status = getPublicKeyComponents(m_platformKey, modulus, publicExponent);
220     if (status) {
221         WTFLogAlways("Couldn't get RSA key components, status %d", status);
222         publicExponent.clear();
223
224         CryptoRsaKeyAlgorithm result;
225         result.name = CryptoAlgorithmRegistry::singleton().name(algorithmIdentifier());
226         result.modulusLength = 0;
227         result.publicExponent = Uint8Array::tryCreate(0);
228         return result;
229     }
230
231     size_t modulusLength = modulus.size() * 8;
232
233     if (m_restrictedToSpecificHash) {
234         CryptoRsaHashedKeyAlgorithm result;
235         result.name = CryptoAlgorithmRegistry::singleton().name(algorithmIdentifier());
236         result.modulusLength = modulusLength;
237         result.publicExponent = Uint8Array::tryCreate(publicExponent.data(), publicExponent.size());
238         result.hash.name = CryptoAlgorithmRegistry::singleton().name(m_hash);
239         return result;
240     }
241     
242     CryptoRsaKeyAlgorithm result;
243     result.name = CryptoAlgorithmRegistry::singleton().name(algorithmIdentifier());
244     result.modulusLength = modulusLength;
245     result.publicExponent = Uint8Array::tryCreate(publicExponent.data(), publicExponent.size());
246     return result;
247 }
248
249 std::unique_ptr<CryptoKeyRSAComponents> CryptoKeyRSA::exportData() const
250 {
251     switch (CCRSAGetKeyType(m_platformKey)) {
252     case ccRSAKeyPublic: {
253         Vector<uint8_t> modulus;
254         Vector<uint8_t> publicExponent;
255         CCCryptorStatus status = getPublicKeyComponents(m_platformKey, modulus, publicExponent);
256         if (status) {
257             WTFLogAlways("Couldn't get RSA key components, status %d", status);
258             return nullptr;
259         }
260         return CryptoKeyRSAComponents::createPublic(modulus, publicExponent);
261     }
262     case ccRSAKeyPrivate: {
263         Vector<uint8_t> modulus;
264         Vector<uint8_t> publicExponent;
265         CCCryptorStatus status = getPublicKeyComponents(m_platformKey, modulus, publicExponent);
266         if (status) {
267             WTFLogAlways("Couldn't get RSA key components, status %d", status);
268             return nullptr;
269         }
270         Vector<uint8_t> privateExponent;
271         CryptoKeyRSAComponents::PrimeInfo firstPrimeInfo;
272         CryptoKeyRSAComponents::PrimeInfo secondPrimeInfo;
273         Vector<CryptoKeyRSAComponents::PrimeInfo> otherPrimeInfos; // Always empty, CommonCrypto only supports two primes (cf. <rdar://problem/15444074>).
274         status = getPrivateKeyComponents(m_platformKey, privateExponent, firstPrimeInfo, secondPrimeInfo);
275         if (status) {
276             WTFLogAlways("Couldn't get RSA key components, status %d", status);
277             return nullptr;
278         }
279         return CryptoKeyRSAComponents::createPrivateWithAdditionalData(modulus, publicExponent, privateExponent, firstPrimeInfo, secondPrimeInfo, otherPrimeInfos);
280     }
281     default:
282         return nullptr;
283     }
284 }
285
286 static bool bigIntegerToUInt32(const Vector<uint8_t>& bigInteger, uint32_t& result)
287 {
288     result = 0;
289     for (size_t i = 0; i + 4 < bigInteger.size(); ++i) {
290         if (bigInteger[i])
291             return false; // Too big to fit in 32 bits.
292     }
293
294     for (size_t i = bigInteger.size() > 4 ? bigInteger.size() - 4 : 0; i < bigInteger.size(); ++i) {
295         result <<= 8;
296         result += bigInteger[i];
297     }
298     return true;
299 }
300
301 // FIXME: We should use WorkQueue here instead of dispatch_async once WebKitSubtleCrypto is deprecated.
302 // https://bugs.webkit.org/show_bug.cgi?id=164943
303 void CryptoKeyRSA::generatePair(CryptoAlgorithmIdentifier algorithm, CryptoAlgorithmIdentifier hash, bool hasHash, unsigned modulusLength, const Vector<uint8_t>& publicExponent, bool extractable, CryptoKeyUsageBitmap usage, KeyPairCallback&& callback, VoidCallback&& failureCallback, ScriptExecutionContext* context)
304 {
305     uint32_t e;
306     if (!bigIntegerToUInt32(publicExponent, e)) {
307         // Adding support is tracked as <rdar://problem/15444034>.
308         WTFLogAlways("Public exponent is too big, not supported");
309         failureCallback();
310         return;
311     }
312
313     // We only use the callback functions when back on the main/worker thread, but captured variables are copied on a secondary thread too.
314     KeyPairCallback* localCallback = new KeyPairCallback(WTFMove(callback));
315     VoidCallback* localFailureCallback = new VoidCallback(WTFMove(failureCallback));
316     auto contextIdentifier = context->contextIdentifier();
317
318     // FIXME: There is a risk that localCallback and localFailureCallback are never freed.
319     // Fix this by using unique pointers and move them from one lambda to the other.
320     dispatch_async(dispatch_get_global_queue(DISPATCH_QUEUE_PRIORITY_DEFAULT, 0), ^{
321         CCRSACryptorRef ccPublicKey;
322         CCRSACryptorRef ccPrivateKey;
323         CCCryptorStatus status = CCRSACryptorGeneratePair(modulusLength, e, &ccPublicKey, &ccPrivateKey);
324         if (status) {
325             WTFLogAlways("Could not generate a key pair, status %d", status);
326             ScriptExecutionContext::postTaskTo(contextIdentifier, [localCallback, localFailureCallback](auto&) {
327                 (*localFailureCallback)();
328                 delete localCallback;
329                 delete localFailureCallback;
330             });
331             return;
332         }
333         ScriptExecutionContext::postTaskTo(contextIdentifier, [algorithm, hash, hasHash, extractable, usage, localCallback, localFailureCallback, ccPublicKey, ccPrivateKey](auto&) {
334             auto publicKey = CryptoKeyRSA::create(algorithm, hash, hasHash, CryptoKeyType::Public, ccPublicKey, true, usage);
335             auto privateKey = CryptoKeyRSA::create(algorithm, hash, hasHash, CryptoKeyType::Private, ccPrivateKey, extractable, usage);
336
337             (*localCallback)(CryptoKeyPair { WTFMove(publicKey), WTFMove(privateKey) });
338
339             delete localCallback;
340             delete localFailureCallback;
341         });
342     });
343 }
344
345 RefPtr<CryptoKeyRSA> CryptoKeyRSA::importSpki(CryptoAlgorithmIdentifier identifier, Optional<CryptoAlgorithmIdentifier> hash, Vector<uint8_t>&& keyData, bool extractable, CryptoKeyUsageBitmap usages)
346 {
347     // The current SecLibrary cannot import a SPKI format binary. Hence, we need to strip out the SPKI header.
348     // This hack can be removed when <rdar://problem/29523286> is resolved.
349     // The header format we assume is: SequenceMark(1) + Length(?) + rsaEncryption(15) + BitStringMark(1) + Length(?) + InitialOctet(1).
350     // The header format could be varied. However since we don't have a full-fledged ASN.1 encoder/decoder, we want to restrict it to
351     // the most common one for now.
352     // Per https://tools.ietf.org/html/rfc5280#section-4.1. subjectPublicKeyInfo.
353     size_t headerSize = 1;
354     if (keyData.size() < headerSize + 1)
355         return nullptr;
356     headerSize += bytesUsedToEncodedLength(keyData[headerSize]) + sizeof(RSAOIDHeader) + sizeof(BitStringMark);
357     if (keyData.size() < headerSize + 1)
358         return nullptr;
359     headerSize += bytesUsedToEncodedLength(keyData[headerSize]) + sizeof(InitialOctet);
360
361     CCRSACryptorRef ccPublicKey;
362     if (CCRSACryptorImport(keyData.data() + headerSize, keyData.size() - headerSize, &ccPublicKey))
363         return nullptr;
364
365     // Notice: CryptoAlgorithmIdentifier::SHA_1 is just a placeholder. It should not have any effect if hash is WTF::nullopt.
366     return adoptRef(new CryptoKeyRSA(identifier, hash.value_or(CryptoAlgorithmIdentifier::SHA_1), !!hash, CryptoKeyType::Public, ccPublicKey, extractable, usages));
367 }
368
369 ExceptionOr<Vector<uint8_t>> CryptoKeyRSA::exportSpki() const
370 {
371     if (type() != CryptoKeyType::Public)
372         return Exception { InvalidAccessError };
373
374     // The current SecLibrary cannot output a valid SPKI format binary. Hence, we need the following hack.
375     // This hack can be removed when <rdar://problem/29523286> is resolved.
376     // Estimated size in produced bytes format. Per https://tools.ietf.org/html/rfc3279#section-2.3.1. RSAPublicKey.
377     // O(size) = Sequence(1) + Length(3) + Integer(1) + Length(3) + Modulus + Integer(1) + Length(3) + Exponent
378     Vector<uint8_t> keyBytes(keySizeInBits() / 4);
379     size_t keySize = keyBytes.size();
380     if (CCRSACryptorExport(platformKey(), keyBytes.data(), &keySize))
381         return Exception { OperationError };
382     keyBytes.shrink(keySize);
383
384     // RSAOIDHeader + BitStringMark + Length + keySize + InitialOctet
385     size_t totalSize = sizeof(RSAOIDHeader) + bytesNeededForEncodedLength(keySize + 1) + keySize + 2;
386
387     // Per https://tools.ietf.org/html/rfc5280#section-4.1. subjectPublicKeyInfo.
388     Vector<uint8_t> result;
389     result.reserveCapacity(totalSize + bytesNeededForEncodedLength(totalSize) + 1);
390     result.append(SequenceMark);
391     addEncodedASN1Length(result, totalSize);
392     result.append(RSAOIDHeader, sizeof(RSAOIDHeader));
393     result.append(BitStringMark);
394     addEncodedASN1Length(result, keySize + 1);
395     result.append(InitialOctet);
396     result.append(keyBytes.data(), keyBytes.size());
397
398     return WTFMove(result);
399 }
400
401 RefPtr<CryptoKeyRSA> CryptoKeyRSA::importPkcs8(CryptoAlgorithmIdentifier identifier, Optional<CryptoAlgorithmIdentifier> hash, Vector<uint8_t>&& keyData, bool extractable, CryptoKeyUsageBitmap usages)
402 {
403     // The current SecLibrary cannot import a PKCS8 format binary. Hence, we need to strip out the PKCS8 header.
404     // This hack can be removed when <rdar://problem/29523286> is resolved.
405     // The header format we assume is: SequenceMark(1) + Length(?) + Version(3) + rsaEncryption(15) + OctetStringMark(1) + Length(?).
406     // The header format could be varied. However since we don't have a full-fledged ASN.1 encoder/decoder, we want to restrict it to
407     // the most common one for now.
408     // Per https://tools.ietf.org/html/rfc5208#section-5. PrivateKeyInfo.
409     // We also assume there is no optional parameters.
410     size_t headerSize = 1;
411     if (keyData.size() < headerSize + 1)
412         return nullptr;
413     headerSize += bytesUsedToEncodedLength(keyData[headerSize]) + sizeof(Version) + sizeof(RSAOIDHeader) + sizeof(OctetStringMark);
414     if (keyData.size() < headerSize + 1)
415         return nullptr;
416     headerSize += bytesUsedToEncodedLength(keyData[headerSize]);
417
418     CCRSACryptorRef ccPrivateKey;
419     if (CCRSACryptorImport(keyData.data() + headerSize, keyData.size() - headerSize, &ccPrivateKey))
420         return nullptr;
421
422     // Notice: CryptoAlgorithmIdentifier::SHA_1 is just a placeholder. It should not have any effect if hash is WTF::nullopt.
423     return adoptRef(new CryptoKeyRSA(identifier, hash.value_or(CryptoAlgorithmIdentifier::SHA_1), !!hash, CryptoKeyType::Private, ccPrivateKey, extractable, usages));
424 }
425
426 ExceptionOr<Vector<uint8_t>> CryptoKeyRSA::exportPkcs8() const
427 {
428     if (type() != CryptoKeyType::Private)
429         return Exception { InvalidAccessError };
430
431     // The current SecLibrary cannot output a valid PKCS8 format binary. Hence, we need the following hack.
432     // This hack can be removed when <rdar://problem/29523286> is resolved.
433     // Estimated size in produced bytes format. Per https://tools.ietf.org/html/rfc3447#appendix-A.1.2. RSAPrivateKey.
434     // O(size) = Sequence(1) + Length(3) + Integer(1) + Length(3) + Modulus + Integer(1) + Length(3) + publicExponent + Integer(1) + Length(3) +
435     // privateExponent + Integer(1) + Length(3) + prime1 + Integer(1) + Length(3) + prime2 + Integer(1) + Length(3) + exponent1 + Integer(1) +
436     // Length(3) + exponent2 + Integer(1) + Length(3) + coefficient.
437     Vector<uint8_t> keyBytes(keySizeInBits());
438     size_t keySize = keyBytes.size();
439     if (CCRSACryptorExport(platformKey(), keyBytes.data(), &keySize))
440         return Exception { OperationError };
441     keyBytes.shrink(keySize);
442
443     // Version + RSAOIDHeader + OctetStringMark + Length + keySize
444     size_t totalSize = sizeof(Version) + sizeof(RSAOIDHeader) + bytesNeededForEncodedLength(keySize) + keySize + 1;
445
446     // Per https://tools.ietf.org/html/rfc5208#section-5. PrivateKeyInfo.
447     Vector<uint8_t> result;
448     result.reserveCapacity(totalSize + bytesNeededForEncodedLength(totalSize) + 1);
449     result.append(SequenceMark);
450     addEncodedASN1Length(result, totalSize);
451     result.append(Version, sizeof(Version));
452     result.append(RSAOIDHeader, sizeof(RSAOIDHeader));
453     result.append(OctetStringMark);
454     addEncodedASN1Length(result, keySize);
455     result.append(keyBytes.data(), keyBytes.size());
456
457     return WTFMove(result);
458 }
459
460 } // namespace WebCore
461
462 #endif // ENABLE(WEB_CRYPTO)