gost_keyexpimp.c

   1 /*
   2  * Copyright (c) 2019 Dmitry Belyavskiy <beldmit@gmail.com>
   3  * Copyright (c) 2020 Vitaly Chikunov <vt@altlinux.org>
   4  *
   5  * Contents licensed under the terms of the OpenSSL license
   6  * See https://www.openssl.org/source/license.html for details
   7  */
   8 #ifdef _WIN32
   9 #include <winsock.h>
  10 #else
  11 #include <arpa/inet.h>
  12 #endif
  13 #include <string.h>
  14 #include <openssl/evp.h>
  15 #include <openssl/hmac.h>
  16 #include <openssl/buffer.h>
  17
  18 #include "gost_lcl.h"
  19 #include "e_gost_err.h"
  20
  21 int omac_imit_ctrl(EVP_MD_CTX *ctx, int type, int arg, void *ptr);
  22 /*
  23  * Function expects that out is a preallocated buffer of length
  24  * defined as sum of shared_len and mac length defined by mac_nid
  25  * */
  26 int gost_kexp15(const unsigned char *shared_key, const int shared_len,
  27                 int cipher_nid, const unsigned char *cipher_key,
  28                 int mac_nid, unsigned char *mac_key,
  29                 const unsigned char *iv, const size_t ivlen,
  30                 unsigned char *out, int *out_len)
  31 {
  32     unsigned char iv_full[16], mac_buf[16];
  33     unsigned int mac_len;
  34
  35     EVP_CIPHER_CTX *ciph = NULL;
  36     EVP_MD_CTX *mac = NULL;
  37
  38     int ret = 0;
  39     int len;
  40
  41     mac_len = (cipher_nid == NID_magma_ctr) ? 8 :
  42         (cipher_nid == NID_grasshopper_ctr) ? 16 : 0;
  43
  44     if (mac_len == 0) {
  45         GOSTerr(GOST_F_GOST_KEXP15, GOST_R_INVALID_CIPHER);
  46         goto err;
  47     }
  48
  49     if (shared_len + mac_len > (unsigned int)(*out_len)) {
  50         GOSTerr(GOST_F_GOST_KEXP15, ERR_R_INTERNAL_ERROR);
  51         goto err;
  52     }
  53
  54     /* we expect IV of half length */
  55     memset(iv_full, 0, 16);
  56     memcpy(iv_full, iv, ivlen);
  57
  58     mac = EVP_MD_CTX_new();
  59     if (mac == NULL) {
  60         GOSTerr(GOST_F_GOST_KEXP15, ERR_R_MALLOC_FAILURE);
  61         goto err;
  62     }
  63
  64     if (EVP_DigestInit_ex(mac, EVP_get_digestbynid(mac_nid), NULL) <= 0
  65         || omac_imit_ctrl(mac, EVP_MD_CTRL_SET_KEY, 32, mac_key) <= 0
  66         || omac_imit_ctrl(mac, EVP_MD_CTRL_XOF_LEN, mac_len, NULL) <= 0
  67         || EVP_DigestUpdate(mac, iv, ivlen) <= 0
  68         || EVP_DigestUpdate(mac, shared_key, shared_len) <= 0
  69         /* As we set MAC length directly, we should not allow overwriting it */
  70         || EVP_DigestFinalXOF(mac, mac_buf, mac_len) <= 0) {
  71         GOSTerr(GOST_F_GOST_KEXP15, ERR_R_INTERNAL_ERROR);
  72         goto err;
  73     }
  74
  75     ciph = EVP_CIPHER_CTX_new();
  76     if (ciph == NULL) {
  77         GOSTerr(GOST_F_GOST_KEXP15, ERR_R_MALLOC_FAILURE);
  78         goto err;
  79     }
  80
  81     if (EVP_CipherInit_ex
  82         (ciph, EVP_get_cipherbynid(cipher_nid), NULL, NULL, NULL, 1) <= 0
  83         || EVP_CipherInit_ex(ciph, NULL, NULL, cipher_key, iv_full, 1) <= 0
  84         || EVP_CipherUpdate(ciph, out, &len, shared_key, shared_len) <= 0
  85         || EVP_CipherUpdate(ciph, out + shared_len, &len, mac_buf, mac_len) <= 0
  86         || EVP_CipherFinal_ex(ciph, out + shared_len + len, out_len) <= 0) {
  87         GOSTerr(GOST_F_GOST_KEXP15, ERR_R_INTERNAL_ERROR);
  88         goto err;
  89     }
  90
  91     *out_len = shared_len + mac_len;
  92
  93     ret = 1;
  94
  95  err:
  96     OPENSSL_cleanse(mac_buf, mac_len);
  97     EVP_MD_CTX_free(mac);
  98     EVP_CIPHER_CTX_free(ciph);
  99
 100     return ret;
 101 }
 102
 103 /*
 104  * Function expects that shared_key is a preallocated buffer
 105  * with length defined as expkeylen + mac_len defined by mac_nid
 106  * */
 107 int gost_kimp15(const unsigned char *expkey, const size_t expkeylen,
 108                 int cipher_nid, const unsigned char *cipher_key,
 109                 int mac_nid, unsigned char *mac_key,
 110                 const unsigned char *iv, const size_t ivlen,
 111                 unsigned char *shared_key)
 112 {
 113     unsigned char iv_full[16], out[48], mac_buf[16];
 114     unsigned int mac_len;
 115     const size_t shared_len = 32;
 116
 117     EVP_CIPHER_CTX *ciph = NULL;
 118     EVP_MD_CTX *mac = NULL;
 119
 120     int ret = 0;
 121     int len;
 122
 123     mac_len = (cipher_nid == NID_magma_ctr) ? 8 :
 124         (cipher_nid == NID_grasshopper_ctr) ? 16 : 0;
 125
 126     if (mac_len == 0) {
 127         GOSTerr(GOST_F_GOST_KIMP15, GOST_R_INVALID_CIPHER);
 128         goto err;
 129     }
 130
 131     if (expkeylen > sizeof(out)) {
 132         GOSTerr(GOST_F_GOST_KIMP15, ERR_R_INTERNAL_ERROR);
 133         goto err;
 134     }
 135
 136     if (ivlen > 16) {
 137         GOSTerr(GOST_F_GOST_KIMP15, ERR_R_INTERNAL_ERROR);
 138         goto err;
 139     }
 140
 141     /* we expect IV of half length */
 142     memset(iv_full, 0, 16);
 143     memcpy(iv_full, iv, ivlen);
 144
 145     ciph = EVP_CIPHER_CTX_new();
 146     if (ciph == NULL) {
 147         GOSTerr(GOST_F_GOST_KIMP15, ERR_R_MALLOC_FAILURE);
 148         goto err;
 149     }
 150
 151     if (EVP_CipherInit_ex
 152         (ciph, EVP_get_cipherbynid(cipher_nid), NULL, NULL, NULL, 0) <= 0
 153         || EVP_CipherInit_ex(ciph, NULL, NULL, cipher_key, iv_full, 0) <= 0
 154         || EVP_CipherUpdate(ciph, out, &len, expkey, expkeylen) <= 0
 155         || EVP_CipherFinal_ex(ciph, out + len, &len) <= 0) {
 156         GOSTerr(GOST_F_GOST_KIMP15, ERR_R_INTERNAL_ERROR);
 157         goto err;
 158     }
 159     /*Now we have shared key and mac in out[] */
 160
 161     mac = EVP_MD_CTX_new();
 162     if (mac == NULL) {
 163         GOSTerr(GOST_F_GOST_KIMP15, ERR_R_MALLOC_FAILURE);
 164         goto err;
 165     }
 166
 167     if (EVP_DigestInit_ex(mac, EVP_get_digestbynid(mac_nid), NULL) <= 0
 168         || omac_imit_ctrl(mac, EVP_MD_CTRL_SET_KEY, 32, mac_key) <= 0
 169         || omac_imit_ctrl(mac, EVP_MD_CTRL_XOF_LEN, mac_len, NULL) <= 0
 170         || EVP_DigestUpdate(mac, iv, ivlen) <= 0
 171         || EVP_DigestUpdate(mac, out, shared_len) <= 0
 172         /* As we set MAC length directly, we should not allow overwriting it */
 173         || EVP_DigestFinalXOF(mac, mac_buf, mac_len) <= 0) {
 174         GOSTerr(GOST_F_GOST_KIMP15, ERR_R_INTERNAL_ERROR);
 175         goto err;
 176     }
 177
 178     if (CRYPTO_memcmp(mac_buf, out + shared_len, mac_len) != 0) {
 179         GOSTerr(GOST_F_GOST_KIMP15, GOST_R_BAD_MAC);
 180         goto err;
 181     }
 182
 183     memcpy(shared_key, out, shared_len);
 184     ret = 1;
 185
 186  err:
 187     OPENSSL_cleanse(out, sizeof(out));
 188     EVP_MD_CTX_free(mac);
 189     EVP_CIPHER_CTX_free(ciph);
 190     return ret;
 191 }
 192
 193 int gost_kdftree2012_256(unsigned char *keyout, size_t keyout_len,
 194                          const unsigned char *key, size_t keylen,
 195                          const unsigned char *label, size_t label_len,
 196                          const unsigned char *seed, size_t seed_len,
 197                          const size_t representation)
 198 {
 199     int iters, i = 0;
 200     unsigned char zero = 0;
 201     unsigned char *ptr = keyout;
 202     HMAC_CTX *ctx;
 203     unsigned char *len_ptr = NULL;
 204     uint32_t len_repr = htonl(keyout_len * 8);
 205     size_t len_repr_len = 4;
 206
 207     ctx = HMAC_CTX_new();
 208     if (ctx == NULL) {
 209         GOSTerr(GOST_F_GOST_KDFTREE2012_256, ERR_R_MALLOC_FAILURE);
 210         return 0;
 211     }
 212
 213     if ((keyout_len == 0) || (keyout_len % 32 != 0)) {
 214         GOSTerr(GOST_F_GOST_KDFTREE2012_256, ERR_R_INTERNAL_ERROR);
 215         return 0;
 216     }
 217     iters = keyout_len / 32;
 218
 219     len_ptr = (unsigned char *)&len_repr;
 220     while (*len_ptr == 0) {
 221         len_ptr++;
 222         len_repr_len--;
 223     }
 224
 225     for (i = 1; i <= iters; i++) {
 226         uint32_t iter_net = htonl(i);
 227         unsigned char *rep_ptr =
 228             ((unsigned char *)&iter_net) + (4 - representation);
 229
 230         if (HMAC_Init_ex(ctx, key, keylen,
 231                          EVP_get_digestbynid(NID_id_GostR3411_2012_256),
 232                          NULL) <= 0
 233             || HMAC_Update(ctx, rep_ptr, representation) <= 0
 234             || HMAC_Update(ctx, label, label_len) <= 0
 235             || HMAC_Update(ctx, &zero, 1) <= 0
 236             || HMAC_Update(ctx, seed, seed_len) <= 0
 237             || HMAC_Update(ctx, len_ptr, len_repr_len) <= 0
 238             || HMAC_Final(ctx, ptr, NULL) <= 0) {
 239             GOSTerr(GOST_F_GOST_KDFTREE2012_256, ERR_R_INTERNAL_ERROR);
 240             HMAC_CTX_free(ctx);
 241             return 0;
 242         }
 243
 244         HMAC_CTX_reset(ctx);
 245         ptr += 32;
 246     }
 247
 248     HMAC_CTX_free(ctx);
 249
 250     return 1;
 251 }
 252
 253 int gost_tlstree(int cipher_nid, const unsigned char *in, unsigned char *out,
 254                  const unsigned char *tlsseq)
 255 {
 256     uint64_t gh_c1 = 0x00000000FFFFFFFF, gh_c2 = 0x0000F8FFFFFFFFFF,
 257         gh_c3 = 0xC0FFFFFFFFFFFFFF;
 258     uint64_t mg_c1 = 0x00000000C0FFFFFF, mg_c2 = 0x000000FEFFFFFFFF,
 259         mg_c3 = 0x00F0FFFFFFFFFFFF;
 260     uint64_t c1, c2, c3;
 261     uint64_t seed1, seed2, seed3;
 262     uint64_t seq;
 263     unsigned char ko1[32], ko2[32];
 264
 265     switch (cipher_nid) {
 266     case NID_magma_cbc:
 267         c1 = mg_c1;
 268         c2 = mg_c2;
 269         c3 = mg_c3;
 270         break;
 271     case NID_grasshopper_cbc:
 272         c1 = gh_c1;
 273         c2 = gh_c2;
 274         c3 = gh_c3;
 275         break;
 276     default:
 277         return 0;
 278     }
 279 #ifndef L_ENDIAN
 280     BUF_reverse((unsigned char *)&seq, tlsseq, 8);
 281 #else
 282     memcpy(&seq, tlsseq, 8);
 283 #endif
 284     seed1 = seq & c1;
 285     seed2 = seq & c2;
 286     seed3 = seq & c3;
 287
 288     if (gost_kdftree2012_256(ko1, 32, in, 32, (const unsigned char *)"level1", 6,
 289                          (const unsigned char *)&seed1, 8, 1) <= 0
 290                           || gost_kdftree2012_256(ko2, 32, ko1, 32, (const unsigned char *)"level2", 6,
 291                          (const unsigned char *)&seed2, 8, 1) <= 0
 292         || gost_kdftree2012_256(out, 32, ko2, 32, (const unsigned char *)"level3", 6,
 293                          (const unsigned char *)&seed3, 8, 1) <= 0)
 294                         return 0;
 295
 296     return 1;
 297 }
 298
 299 #define GOST_WRAP_FLAGS  EVP_CIPH_CTRL_INIT | EVP_CIPH_WRAP_MODE | EVP_CIPH_CUSTOM_IV | EVP_CIPH_FLAG_CUSTOM_CIPHER | EVP_CIPH_FLAG_DEFAULT_ASN1
 300
 301 #define MAGMA_MAC_WRAP_LEN 8
 302 #define KUZNYECHIK_MAC_WRAP_LEN 16
 303 #define MAX_MAC_WRAP_LEN KUZNYECHIK_MAC_WRAP_LEN
 304 #define GOSTKEYLEN 32
 305 #define MAGMA_WRAPPED_KEY_LEN GOSTKEYLEN + MAGMA_MAC_WRAP_LEN
 306 #define KUZNYECHIK_WRAPPED_KEY_LEN GOSTKEYLEN + KUZNYECHIK_MAC_WRAP_LEN
 307 #define MAX_WRAPPED_KEY_LEN KUZNYECHIK_WRAPPED_KEY_LEN
 308
 309 typedef struct {
 310         unsigned char iv[8];   /* Max IV size is half of base cipher block length */
 311         unsigned char key[GOSTKEYLEN*2]; /* Combined cipher and mac keys */
 312         unsigned char wrapped[MAX_WRAPPED_KEY_LEN]; /* Max size */
 313         size_t wrap_count;
 314 } GOST_WRAP_CTX;
 315
 316 static int magma_wrap_init(EVP_CIPHER_CTX *ctx, const unsigned char *key,
 317         const unsigned char *iv, int enc)
 318 {
 319         GOST_WRAP_CTX *cctx = EVP_CIPHER_CTX_get_cipher_data(ctx);
 320         memset(cctx->wrapped, 0, MAX_WRAPPED_KEY_LEN);
 321         cctx->wrap_count = 0;
 322
 323         if (iv) {
 324                 memset(cctx->iv, 0, 8);
 325                 memcpy(cctx->iv, iv, 4);
 326         }
 327
 328         if (key) {
 329                 memcpy(cctx->key, key, GOSTKEYLEN*2);
 330         }
 331         return 1;
 332 }
 333
 334 static int magma_wrap_do(EVP_CIPHER_CTX *ctx, unsigned char *out,
 335         const unsigned char *in, size_t inl)
 336 {
 337         GOST_WRAP_CTX *cctx = EVP_CIPHER_CTX_get_cipher_data(ctx);
 338         int enc = EVP_CIPHER_CTX_encrypting(ctx) ? 1 : 0;
 339
 340         if (out == NULL)
 341                 return GOSTKEYLEN;
 342
 343         if (inl <= MAGMA_WRAPPED_KEY_LEN) {
 344                 if (cctx->wrap_count + inl > MAGMA_WRAPPED_KEY_LEN)
 345                         return -1;
 346
 347                 if (cctx->wrap_count + inl <= MAGMA_WRAPPED_KEY_LEN)
 348                 {
 349                         memcpy(cctx->wrapped+cctx->wrap_count, in, inl);
 350                         cctx->wrap_count += inl;
 351                 }
 352         }
 353
 354         if (cctx->wrap_count < MAGMA_WRAPPED_KEY_LEN)
 355                 return 0;
 356
 357         if (enc) {
 358 #if 0
 359                 return gost_kexp15(cctx->key, 32, NID_magma_ctr, in, NID_magma_mac,
 360                         cctx->key, /* FIXME mac_key, */ cctx->iv, 4, out, &outl);
 361 #endif
 362                 return -1;
 363         } else {
 364                 return gost_kimp15(cctx->wrapped, cctx->wrap_count, NID_magma_ctr,
 365                 cctx->key+GOSTKEYLEN, NID_magma_mac, cctx->key, cctx->iv, 4, out) > 0 ? GOSTKEYLEN : 0;
 366         }
 367         return 1;
 368 }
 369
 370 static int kuznyechik_wrap_init(EVP_CIPHER_CTX *ctx, const unsigned char *key,
 371         const unsigned char *iv, int enc)
 372 {
 373         GOST_WRAP_CTX *cctx = EVP_CIPHER_CTX_get_cipher_data(ctx);
 374         memset(cctx->wrapped, 0, KUZNYECHIK_WRAPPED_KEY_LEN);
 375         cctx->wrap_count = 0;
 376
 377         if (iv) {
 378                 memset(cctx->iv, 0, 8);
 379                 memcpy(cctx->iv, iv, 8);
 380         }
 381
 382         if (key) {
 383                 memcpy(cctx->key, key, GOSTKEYLEN*2);
 384         }
 385         return 1;
 386 }
 387
 388 static int kuznyechik_wrap_do(EVP_CIPHER_CTX *ctx, unsigned char *out,
 389         const unsigned char *in, size_t inl)
 390 {
 391         GOST_WRAP_CTX *cctx = EVP_CIPHER_CTX_get_cipher_data(ctx);
 392         int enc = EVP_CIPHER_CTX_encrypting(ctx) ? 1 : 0;
 393
 394         if (out == NULL)
 395                 return GOSTKEYLEN;
 396
 397         if (inl <= KUZNYECHIK_WRAPPED_KEY_LEN) {
 398                 if (cctx->wrap_count + inl > KUZNYECHIK_WRAPPED_KEY_LEN)
 399                         return -1;
 400
 401                 if (cctx->wrap_count + inl <= KUZNYECHIK_WRAPPED_KEY_LEN)
 402                 {
 403                         memcpy(cctx->wrapped+cctx->wrap_count, in, inl);
 404                         cctx->wrap_count += inl;
 405                 }
 406         }
 407
 408         if (cctx->wrap_count < KUZNYECHIK_WRAPPED_KEY_LEN)
 409                 return 0;
 410
 411         if (enc) {
 412 #if 0
 413                 return gost_kexp15(cctx->key, 32, NID_magma_ctr, in, NID_magma_mac,
 414                         cctx->key, /* FIXME mac_key, */ cctx->iv, 4, out, &outl);
 415 #endif
 416                 return -1;
 417         } else {
 418                 return gost_kimp15(cctx->wrapped, cctx->wrap_count, NID_kuznyechik_ctr,
 419                 cctx->key+GOSTKEYLEN, NID_kuznyechik_mac, cctx->key, cctx->iv, 8, out) > 0 ? GOSTKEYLEN : 0;
 420         }
 421 }
 422
 423 static int wrap_ctrl (EVP_CIPHER_CTX *ctx, int type, int arg, void *ptr)
 424 {
 425         switch(type)
 426         {
 427                 case EVP_CTRL_INIT:
 428                         EVP_CIPHER_CTX_set_flags(ctx, EVP_CIPHER_CTX_FLAG_WRAP_ALLOW);
 429                         return 1;
 430                 default:
 431                         return -2;
 432         }
 433 }
 434
 435 static GOST_cipher wrap_template_cipher = {
 436     .key_len = GOSTKEYLEN * 2,
 437     .flags = GOST_WRAP_FLAGS,
 438     .ctx_size = sizeof(GOST_WRAP_CTX),
 439     .ctrl = wrap_ctrl,
 440 };
 441
 442 GOST_cipher magma_kexp15_cipher = {
 443     .template = &wrap_template_cipher,
 444     .nid = NID_magma_kexp15,
 445     .block_size = 8,
 446     .iv_len = 4,
 447     .init = magma_wrap_init,
 448     .do_cipher = magma_wrap_do,
 449 };
 450
 451 GOST_cipher kuznyechik_kexp15_cipher = {
 452     .template = &wrap_template_cipher,
 453     .nid = NID_kuznyechik_kexp15,
 454     .block_size = 16,
 455     .iv_len = 8,
 456     .init = kuznyechik_wrap_init,
 457     .do_cipher = kuznyechik_wrap_do,
 458 };
 459 /* vim: set expandtab cinoptions=\:0,l1,t0,g0,(0 sw=4 : */