gost_keyexpimp.c

   1 /*
   2  * Copyright (c) 2019 Dmitry Belyavskiy <beldmit@gmail.com>
   3  * Copyright (c) 2020 Vitaly Chikunov <vt@altlinux.org>
   4  *
   5  * Contents licensed under the terms of the OpenSSL license
   6  * See https://www.openssl.org/source/license.html for details
   7  */
   8 #ifdef _WIN32
   9 #include <winsock.h>
  10 #else
  11 #include <arpa/inet.h>
  12 #endif
  13 #include <string.h>
  14 #include <openssl/evp.h>
  15 #include <openssl/hmac.h>
  16 #include <openssl/buffer.h>
  17
  18 #include "gost_lcl.h"
  19 #include "e_gost_err.h"
  20
  21 int omac_imit_ctrl(EVP_MD_CTX *ctx, int type, int arg, void *ptr);
  22 /*
  23  * Function expects that out is a preallocated buffer of length
  24  * defined as sum of shared_len and mac length defined by mac_nid
  25  * */
  26 int gost_kexp15(const unsigned char *shared_key, const int shared_len,
  27                 int cipher_nid, const unsigned char *cipher_key,
  28                 int mac_nid, unsigned char *mac_key,
  29                 const unsigned char *iv, const size_t ivlen,
  30                 unsigned char *out, int *out_len)
  31 {
  32     unsigned char iv_full[16], mac_buf[16];
  33     unsigned int mac_len;
  34
  35     EVP_CIPHER_CTX *ciph = NULL;
  36     EVP_MD_CTX *mac = NULL;
  37
  38     int ret = 0;
  39     int len;
  40
  41     mac_len = (cipher_nid == NID_magma_ctr) ? 8 :
  42         (cipher_nid == NID_grasshopper_ctr) ? 16 : 0;
  43
  44     if (mac_len == 0) {
  45         GOSTerr(GOST_F_GOST_KEXP15, GOST_R_INVALID_CIPHER);
  46         goto err;
  47     }
  48
  49     /* we expect IV of half length */
  50     memset(iv_full, 0, 16);
  51     memcpy(iv_full, iv, ivlen);
  52
  53     mac = EVP_MD_CTX_new();
  54     if (mac == NULL) {
  55         GOSTerr(GOST_F_GOST_KEXP15, ERR_R_MALLOC_FAILURE);
  56         goto err;
  57     }
  58
  59     if (EVP_DigestInit_ex(mac, EVP_get_digestbynid(mac_nid), NULL) <= 0
  60         || omac_imit_ctrl(mac, EVP_MD_CTRL_SET_KEY, 32, mac_key) <= 0
  61         || omac_imit_ctrl(mac, EVP_MD_CTRL_XOF_LEN, mac_len, NULL) <= 0
  62         || EVP_DigestUpdate(mac, iv, ivlen) <= 0
  63         || EVP_DigestUpdate(mac, shared_key, shared_len) <= 0
  64         /* As we set MAC length directly, we should not allow overwriting it */
  65         || EVP_DigestFinalXOF(mac, mac_buf, mac_len) <= 0) {
  66         GOSTerr(GOST_F_GOST_KEXP15, ERR_R_INTERNAL_ERROR);
  67         goto err;
  68     }
  69
  70     ciph = EVP_CIPHER_CTX_new();
  71     if (ciph == NULL) {
  72         GOSTerr(GOST_F_GOST_KEXP15, ERR_R_MALLOC_FAILURE);
  73         goto err;
  74     }
  75
  76     if (EVP_CipherInit_ex
  77         (ciph, EVP_get_cipherbynid(cipher_nid), NULL, NULL, NULL, 1) <= 0
  78         || EVP_CipherInit_ex(ciph, NULL, NULL, cipher_key, iv_full, 1) <= 0
  79         || EVP_CipherUpdate(ciph, out, &len, shared_key, shared_len) <= 0
  80         || EVP_CipherUpdate(ciph, out + shared_len, &len, mac_buf, mac_len) <= 0
  81         || EVP_CipherFinal_ex(ciph, out + shared_len + len, out_len) <= 0) {
  82         GOSTerr(GOST_F_GOST_KEXP15, ERR_R_INTERNAL_ERROR);
  83         goto err;
  84     }
  85
  86     *out_len = shared_len + mac_len;
  87
  88     ret = 1;
  89
  90  err:
  91     OPENSSL_cleanse(mac_buf, mac_len);
  92     EVP_MD_CTX_free(mac);
  93     EVP_CIPHER_CTX_free(ciph);
  94
  95     return ret;
  96 }
  97
  98 /*
  99  * Function expects that shared_key is a preallocated buffer
 100  * with length defined as expkeylen + mac_len defined by mac_nid
 101  * */
 102 int gost_kimp15(const unsigned char *expkey, const size_t expkeylen,
 103                 int cipher_nid, const unsigned char *cipher_key,
 104                 int mac_nid, unsigned char *mac_key,
 105                 const unsigned char *iv, const size_t ivlen,
 106                 unsigned char *shared_key)
 107 {
 108     unsigned char iv_full[16], out[48], mac_buf[16];
 109     unsigned int mac_len;
 110     const size_t shared_len = 32;
 111
 112     EVP_CIPHER_CTX *ciph = NULL;
 113     EVP_MD_CTX *mac = NULL;
 114
 115     int ret = 0;
 116     int len;
 117
 118     mac_len = (cipher_nid == NID_magma_ctr) ? 8 :
 119         (cipher_nid == NID_grasshopper_ctr) ? 16 : 0;
 120
 121     if (mac_len == 0) {
 122         GOSTerr(GOST_F_GOST_KIMP15, GOST_R_INVALID_CIPHER);
 123         goto err;
 124     }
 125
 126     /* we expect IV of half length */
 127     memset(iv_full, 0, 16);
 128     memcpy(iv_full, iv, ivlen);
 129
 130     ciph = EVP_CIPHER_CTX_new();
 131     if (ciph == NULL) {
 132         GOSTerr(GOST_F_GOST_KIMP15, ERR_R_MALLOC_FAILURE);
 133         goto err;
 134     }
 135
 136     if (EVP_CipherInit_ex
 137         (ciph, EVP_get_cipherbynid(cipher_nid), NULL, NULL, NULL, 0) <= 0
 138         || EVP_CipherInit_ex(ciph, NULL, NULL, cipher_key, iv_full, 0) <= 0
 139         || EVP_CipherUpdate(ciph, out, &len, expkey, expkeylen) <= 0
 140         || EVP_CipherFinal_ex(ciph, out + len, &len) <= 0) {
 141         GOSTerr(GOST_F_GOST_KIMP15, ERR_R_INTERNAL_ERROR);
 142         goto err;
 143     }
 144     /*Now we have shared key and mac in out[] */
 145
 146     mac = EVP_MD_CTX_new();
 147     if (mac == NULL) {
 148         GOSTerr(GOST_F_GOST_KIMP15, ERR_R_MALLOC_FAILURE);
 149         goto err;
 150     }
 151
 152     if (EVP_DigestInit_ex(mac, EVP_get_digestbynid(mac_nid), NULL) <= 0
 153         || omac_imit_ctrl(mac, EVP_MD_CTRL_SET_KEY, 32, mac_key) <= 0
 154         || omac_imit_ctrl(mac, EVP_MD_CTRL_XOF_LEN, mac_len, NULL) <= 0
 155         || EVP_DigestUpdate(mac, iv, ivlen) <= 0
 156         || EVP_DigestUpdate(mac, out, shared_len) <= 0
 157         /* As we set MAC length directly, we should not allow overwriting it */
 158         || EVP_DigestFinalXOF(mac, mac_buf, mac_len) <= 0) {
 159         GOSTerr(GOST_F_GOST_KIMP15, ERR_R_INTERNAL_ERROR);
 160         goto err;
 161     }
 162
 163     if (CRYPTO_memcmp(mac_buf, out + shared_len, mac_len) != 0) {
 164         GOSTerr(GOST_F_GOST_KIMP15, GOST_R_BAD_MAC);
 165         goto err;
 166     }
 167
 168     memcpy(shared_key, out, shared_len);
 169     ret = 1;
 170
 171  err:
 172     OPENSSL_cleanse(out, sizeof(out));
 173     EVP_MD_CTX_free(mac);
 174     EVP_CIPHER_CTX_free(ciph);
 175     return ret;
 176 }
 177
 178 int gost_kdftree2012_256(unsigned char *keyout, size_t keyout_len,
 179                          const unsigned char *key, size_t keylen,
 180                          const unsigned char *label, size_t label_len,
 181                          const unsigned char *seed, size_t seed_len,
 182                          const size_t representation)
 183 {
 184     int iters, i = 0;
 185     unsigned char zero = 0;
 186     unsigned char *ptr = keyout;
 187     HMAC_CTX *ctx;
 188     unsigned char *len_ptr = NULL;
 189     uint32_t len_repr = htonl(keyout_len * 8);
 190     size_t len_repr_len = 4;
 191
 192     ctx = HMAC_CTX_new();
 193     if (ctx == NULL) {
 194         GOSTerr(GOST_F_GOST_KDFTREE2012_256, ERR_R_MALLOC_FAILURE);
 195         return 0;
 196     }
 197
 198     if ((keyout_len == 0) || (keyout_len % 32 != 0)) {
 199         GOSTerr(GOST_F_GOST_KDFTREE2012_256, ERR_R_INTERNAL_ERROR);
 200         return 0;
 201     }
 202     iters = keyout_len / 32;
 203
 204     len_ptr = (unsigned char *)&len_repr;
 205     while (*len_ptr == 0) {
 206         len_ptr++;
 207         len_repr_len--;
 208     }
 209
 210     for (i = 1; i <= iters; i++) {
 211         uint32_t iter_net = htonl(i);
 212         unsigned char *rep_ptr =
 213             ((unsigned char *)&iter_net) + (4 - representation);
 214
 215         if (HMAC_Init_ex(ctx, key, keylen,
 216                          EVP_get_digestbynid(NID_id_GostR3411_2012_256),
 217                          NULL) <= 0
 218             || HMAC_Update(ctx, rep_ptr, representation) <= 0
 219             || HMAC_Update(ctx, label, label_len) <= 0
 220             || HMAC_Update(ctx, &zero, 1) <= 0
 221             || HMAC_Update(ctx, seed, seed_len) <= 0
 222             || HMAC_Update(ctx, len_ptr, len_repr_len) <= 0
 223             || HMAC_Final(ctx, ptr, NULL) <= 0) {
 224             GOSTerr(GOST_F_GOST_KDFTREE2012_256, ERR_R_INTERNAL_ERROR);
 225             HMAC_CTX_free(ctx);
 226             return 0;
 227         }
 228
 229         HMAC_CTX_reset(ctx);
 230         ptr += 32;
 231     }
 232
 233     HMAC_CTX_free(ctx);
 234
 235     return 1;
 236 }
 237
 238 int gost_tlstree(int cipher_nid, const unsigned char *in, unsigned char *out,
 239                  const unsigned char *tlsseq)
 240 {
 241     uint64_t gh_c1 = 0x00000000FFFFFFFF, gh_c2 = 0x0000F8FFFFFFFFFF,
 242         gh_c3 = 0xC0FFFFFFFFFFFFFF;
 243     uint64_t mg_c1 = 0x00000000C0FFFFFF, mg_c2 = 0x000000FEFFFFFFFF,
 244         mg_c3 = 0x00F0FFFFFFFFFFFF;
 245     uint64_t c1, c2, c3;
 246     uint64_t seed1, seed2, seed3;
 247     uint64_t seq;
 248     unsigned char ko1[32], ko2[32];
 249
 250     switch (cipher_nid) {
 251     case NID_magma_cbc:
 252         c1 = mg_c1;
 253         c2 = mg_c2;
 254         c3 = mg_c3;
 255         break;
 256     case NID_grasshopper_cbc:
 257         c1 = gh_c1;
 258         c2 = gh_c2;
 259         c3 = gh_c3;
 260         break;
 261     default:
 262         return 0;
 263     }
 264 #ifndef L_ENDIAN
 265     BUF_reverse((unsigned char *)&seq, tlsseq, 8);
 266 #else
 267     memcpy(&seq, tlsseq, 8);
 268 #endif
 269     seed1 = seq & c1;
 270     seed2 = seq & c2;
 271     seed3 = seq & c3;
 272
 273     if (gost_kdftree2012_256(ko1, 32, in, 32, (const unsigned char *)"level1", 6,
 274                          (const unsigned char *)&seed1, 8, 1) <= 0
 275                           || gost_kdftree2012_256(ko2, 32, ko1, 32, (const unsigned char *)"level2", 6,
 276                          (const unsigned char *)&seed2, 8, 1) <= 0
 277         || gost_kdftree2012_256(out, 32, ko2, 32, (const unsigned char *)"level3", 6,
 278                          (const unsigned char *)&seed3, 8, 1) <= 0)
 279                         return 0;
 280
 281     return 1;
 282 }
 283
 284 #define GOST_WRAP_FLAGS  EVP_CIPH_CTRL_INIT | EVP_CIPH_WRAP_MODE | EVP_CIPH_CUSTOM_IV | EVP_CIPH_FLAG_CUSTOM_CIPHER | EVP_CIPH_FLAG_DEFAULT_ASN1
 285
 286 #define MAGMA_MAC_WRAP_LEN 8
 287 #define KUZNYECHIK_MAC_WRAP_LEN 16
 288 #define MAX_MAC_WRAP_LEN KUZNYECHIK_MAC_WRAP_LEN
 289 #define GOSTKEYLEN 32
 290 #define MAGMA_WRAPPED_KEY_LEN GOSTKEYLEN + MAGMA_MAC_WRAP_LEN
 291 #define KUZNYECHIK_WRAPPED_KEY_LEN GOSTKEYLEN + KUZNYECHIK_MAC_WRAP_LEN
 292 #define MAX_WRAPPED_KEY_LEN KUZNYECHIK_WRAPPED_KEY_LEN
 293
 294 typedef struct {
 295         unsigned char iv[8];   /* Max IV size is half of base cipher block length */
 296         unsigned char key[GOSTKEYLEN*2]; /* Combined cipher and mac keys */
 297         unsigned char wrapped[MAX_WRAPPED_KEY_LEN]; /* Max size */
 298         size_t wrap_count;
 299 } GOST_WRAP_CTX;
 300
 301 static int magma_wrap_init(EVP_CIPHER_CTX *ctx, const unsigned char *key,
 302         const unsigned char *iv, int enc)
 303 {
 304         GOST_WRAP_CTX *cctx = EVP_CIPHER_CTX_get_cipher_data(ctx);
 305         memset(cctx->wrapped, 0, MAX_WRAPPED_KEY_LEN);
 306         cctx->wrap_count = 0;
 307
 308         if (iv) {
 309                 memset(cctx->iv, 0, 8);
 310                 memcpy(cctx->iv, iv, 4);
 311         }
 312
 313         if (key) {
 314                 memcpy(cctx->key, key, GOSTKEYLEN*2);
 315         }
 316         return 1;
 317 }
 318
 319 static int magma_wrap_do(EVP_CIPHER_CTX *ctx, unsigned char *out,
 320         const unsigned char *in, size_t inl)
 321 {
 322         GOST_WRAP_CTX *cctx = EVP_CIPHER_CTX_get_cipher_data(ctx);
 323         int enc = EVP_CIPHER_CTX_encrypting(ctx) ? 1 : 0;
 324
 325         if (out == NULL)
 326                 return GOSTKEYLEN;
 327
 328         if (inl <= MAGMA_WRAPPED_KEY_LEN) {
 329                 if (cctx->wrap_count + inl > MAGMA_WRAPPED_KEY_LEN)
 330                         return -1;
 331
 332                 if (cctx->wrap_count + inl <= MAGMA_WRAPPED_KEY_LEN)
 333                 {
 334                         memcpy(cctx->wrapped+cctx->wrap_count, in, inl);
 335                         cctx->wrap_count += inl;
 336                 }
 337         }
 338
 339         if (cctx->wrap_count < MAGMA_WRAPPED_KEY_LEN)
 340                 return 0;
 341
 342         if (enc) {
 343 #if 0
 344                 return gost_kexp15(cctx->key, 32, NID_magma_ctr, in, NID_magma_mac,
 345                         cctx->key, /* FIXME mac_key, */ cctx->iv, 4, out, &outl);
 346 #endif
 347                 return -1;
 348         } else {
 349                 return gost_kimp15(cctx->wrapped, cctx->wrap_count, NID_magma_ctr,
 350                 cctx->key+GOSTKEYLEN, NID_magma_mac, cctx->key, cctx->iv, 4, out) > 0 ? GOSTKEYLEN : 0;
 351         }
 352         return 1;
 353 }
 354
 355 static int kuznyechik_wrap_init(EVP_CIPHER_CTX *ctx, const unsigned char *key,
 356         const unsigned char *iv, int enc)
 357 {
 358         GOST_WRAP_CTX *cctx = EVP_CIPHER_CTX_get_cipher_data(ctx);
 359         memset(cctx->wrapped, 0, KUZNYECHIK_WRAPPED_KEY_LEN);
 360         cctx->wrap_count = 0;
 361
 362         if (iv) {
 363                 memset(cctx->iv, 0, 8);
 364                 memcpy(cctx->iv, iv, 8);
 365         }
 366
 367         if (key) {
 368                 memcpy(cctx->key, key, GOSTKEYLEN*2);
 369         }
 370         return 1;
 371 }
 372
 373 static int kuznyechik_wrap_do(EVP_CIPHER_CTX *ctx, unsigned char *out,
 374         const unsigned char *in, size_t inl)
 375 {
 376         GOST_WRAP_CTX *cctx = EVP_CIPHER_CTX_get_cipher_data(ctx);
 377         int enc = EVP_CIPHER_CTX_encrypting(ctx) ? 1 : 0;
 378
 379         if (out == NULL)
 380                 return GOSTKEYLEN;
 381
 382         if (inl <= KUZNYECHIK_WRAPPED_KEY_LEN) {
 383                 if (cctx->wrap_count + inl > KUZNYECHIK_WRAPPED_KEY_LEN)
 384                         return -1;
 385
 386                 if (cctx->wrap_count + inl <= KUZNYECHIK_WRAPPED_KEY_LEN)
 387                 {
 388                         memcpy(cctx->wrapped+cctx->wrap_count, in, inl);
 389                         cctx->wrap_count += inl;
 390                 }
 391         }
 392
 393         if (cctx->wrap_count < KUZNYECHIK_WRAPPED_KEY_LEN)
 394                 return 0;
 395
 396         if (enc) {
 397 #if 0
 398                 return gost_kexp15(cctx->key, 32, NID_magma_ctr, in, NID_magma_mac,
 399                         cctx->key, /* FIXME mac_key, */ cctx->iv, 4, out, &outl);
 400 #endif
 401                 return -1;
 402         } else {
 403                 return gost_kimp15(cctx->wrapped, cctx->wrap_count, NID_kuznyechik_ctr,
 404                 cctx->key+GOSTKEYLEN, NID_kuznyechik_mac, cctx->key, cctx->iv, 8, out) > 0 ? GOSTKEYLEN : 0;
 405         }
 406 }
 407
 408 static int wrap_ctrl (EVP_CIPHER_CTX *ctx, int type, int arg, void *ptr)
 409 {
 410         switch(type)
 411         {
 412                 case EVP_CTRL_INIT:
 413                         EVP_CIPHER_CTX_set_flags(ctx, EVP_CIPHER_CTX_FLAG_WRAP_ALLOW);
 414                         return 1;
 415                 default:
 416                         return -2;
 417         }
 418 }
 419
 420 static GOST_cipher wrap_template_cipher = {
 421     .key_len = GOSTKEYLEN * 2,
 422     .flags = GOST_WRAP_FLAGS,
 423     .ctx_size = sizeof(GOST_WRAP_CTX),
 424     .ctrl = wrap_ctrl,
 425 };
 426
 427 GOST_cipher magma_kexp15_cipher = {
 428     .template = &wrap_template_cipher,
 429     .nid = NID_magma_kexp15,
 430     .block_size = 8,
 431     .iv_len = 4,
 432     .init = magma_wrap_init,
 433     .do_cipher = magma_wrap_do,
 434 };
 435
 436 GOST_cipher kuznyechik_kexp15_cipher = {
 437     .template = &wrap_template_cipher,
 438     .nid = NID_kuznyechik_kexp15,
 439     .block_size = 16,
 440     .iv_len = 8,
 441     .init = kuznyechik_wrap_init,
 442     .do_cipher = kuznyechik_wrap_do,
 443 };
 444 /* vim: set expandtab cinoptions=\:0,l1,t0,g0,(0 sw=4 : */