Reworked the ECC changes to better fit into the Libgcrypt API.
[gnupg.git] / g10 / ecdh.c
1 /* ecdh.c - ECDH public key operations used in public key glue code
2  *      Copyright (C) 2010 Free Software Foundation, Inc.
3  *
4  * This file is part of GnuPG.
5  *
6  * GnuPG is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU General Public License as published by
8  * the Free Software Foundation; either version 3 of the License, or
9  * (at your option) any later version.
10  *
11  * GnuPG is distributed in the hope that it will be useful,
12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14  * GNU General Public License for more details.
15  *
16  * You should have received a copy of the GNU General Public License
17  * along with this program; if not, see <http://www.gnu.org/licenses/>.
18  */
19
20 #include <config.h>
21 #include <stdio.h>
22 #include <stdlib.h>
23 #include <string.h>
24 #include <errno.h>
25 #include <assert.h>
26
27 #include "gpg.h"
28 #include "util.h"
29 #include "pkglue.h"
30 #include "main.h"
31 #include "options.h"
32
33 /* A table with the default KEK parameters used by GnuPG.  */
34 static const struct
35 {
36   unsigned int qbits;
37   int openpgp_hash_id;   /* KEK digest algorithm. */
38   int openpgp_cipher_id; /* KEK cipher algorithm. */
39 } kek_params_table[] = 
40   /* Note: Must be sorted by ascending values for QBITS.  */
41   {
42     { 256, DIGEST_ALGO_SHA256, CIPHER_ALGO_AES    },
43     { 384, DIGEST_ALGO_SHA384, CIPHER_ALGO_AES256 },
44
45     /* Note: 528 is 521 rounded to the 8 bit boundary */
46     { 528, DIGEST_ALGO_SHA512, CIPHER_ALGO_AES256 }
47   };
48
49
50
51 /* Return KEK parameters as an opaque MPI The caller must free the
52    returned value.  Returns NULL and sets ERRNO on error.  */
53 gcry_mpi_t
54 pk_ecdh_default_params (unsigned int qbits)
55 {
56   byte *kek_params;
57   int i;
58
59   kek_params = xtrymalloc (4);
60   if (!kek_params)
61     return NULL;
62   kek_params[0] = 3; /* Number of bytes to follow. */
63   kek_params[1] = 1; /* Version for KDF+AESWRAP.   */ 
64   
65   /* Search for matching KEK parameter.  Defaults to the strongest
66      possible choices.  Performance is not an issue here, only
67      interoperability.  */
68   for (i=0; i < DIM (kek_params_table); i++)
69     {
70       if (kek_params_table[i].qbits >= qbits
71           || i+1 == DIM (kek_params_table))
72         {
73           kek_params[2] = kek_params_table[i].openpgp_hash_id;
74           kek_params[3] = kek_params_table[i].openpgp_cipher_id;
75           break;
76         }
77     }
78   assert (i < DIM (kek_params_table));
79   if (DBG_CIPHER)
80     log_printhex ("ECDH KEK params are", kek_params, sizeof(kek_params) );
81   
82   return gcry_mpi_set_opaque (NULL, kek_params, 4 * 8);
83 }
84
85
86 /* Encrypts/decrypts DATA using a key derived from the ECC shared
87    point SHARED_MPI using the FIPS SP 800-56A compliant method
88    key_derivation+key_wrapping.  If IS_ENCRYPT is true the function
89    encrypts; if false, it decrypts.  On success the result is stored
90    at R_RESULT; on failure NULL is stored at R_RESULT and an error
91    code returned. 
92
93    FIXME: explain PKEY and PK_FP.
94  */
95  
96 /*
97    TODO: memory leaks (x_secret).
98 */
99 gpg_error_t
100 pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi, 
101                                    const byte pk_fp[MAX_FINGERPRINT_LEN],
102                                    gcry_mpi_t data, gcry_mpi_t *pkey,
103                                    gcry_mpi_t *r_result)
104 {
105   gpg_error_t err;
106   byte *secret_x;
107   int secret_x_size;
108   byte kdf_params[256];
109   int kdf_params_size=0;
110   int nbits;
111   int kdf_hash_algo;
112   int kdf_encr_algo;
113
114   *r_result = NULL;
115
116   nbits = pubkey_nbits (PUBKEY_ALGO_ECDH, pkey);
117   if (!nbits)
118     return gpg_error (GPG_ERR_TOO_SHORT);
119
120   {
121     size_t nbytes;
122
123     /* Extract x component of the shared point: this is the actual
124        shared secret. */
125     nbytes = (mpi_get_nbits (pkey[1] /* public point */)+7)/8;
126     secret_x = xtrymalloc_secure (nbytes);
127     if (!secret_x)
128       return gpg_error_from_syserror ();
129
130     err = gcry_mpi_print (GCRYMPI_FMT_USG, secret_x, nbytes,
131                           &nbytes, shared_mpi);
132     if (err)
133       {
134         xfree (secret_x);
135         log_error ("ECDH ephemeral export of shared point failed: %s\n",
136                    gpg_strerror (err));
137         return err;
138       }
139
140     /* fixme: explain what we are doing.  */
141     secret_x_size = (nbits+7)/8; 
142     assert (nbytes > secret_x_size);
143     memmove (secret_x, secret_x+1, secret_x_size);
144     memset (secret_x+secret_x_size, 0, nbytes-secret_x_size);
145
146     if (DBG_CIPHER)
147       log_printhex ("ECDH shared secret X is:", secret_x, secret_x_size );
148   }
149
150   /*** We have now the shared secret bytes in secret_x. ***/
151
152   /* At this point we are done with PK encryption and the rest of the
153    * function uses symmetric key encryption techniques to protect the
154    * input DATA.  The following two sections will simply replace
155    * current secret_x with a value derived from it.  This will become
156    * a KEK.
157    */
158   {
159     IOBUF obuf = iobuf_temp(); 
160     err = write_size_body_mpi (obuf, pkey[2]);  /* KEK params */
161     
162     kdf_params_size = iobuf_temp_to_buffer (obuf,
163                                             kdf_params, sizeof(kdf_params));
164
165     if (DBG_CIPHER)
166       log_printhex ("ecdh KDF public key params are:",
167                     kdf_params, kdf_params_size );
168
169     /* Expect 4 bytes  03 01 hash_alg symm_alg.  */
170     if (kdf_params_size != 4 || kdf_params[0] != 3 || kdf_params[1] != 1)       
171       return GPG_ERR_BAD_PUBKEY;
172
173     kdf_hash_algo = kdf_params[2];
174     kdf_encr_algo = kdf_params[3];
175
176     if (DBG_CIPHER)
177       log_debug ("ecdh KDF algorithms %s+%s with aeswrap\n",
178                  gcry_md_algo_name (kdf_hash_algo),
179                  openpgp_cipher_algo_name (kdf_encr_algo));
180
181     if (kdf_hash_algo != GCRY_MD_SHA256
182         && kdf_hash_algo != GCRY_MD_SHA384
183         && kdf_hash_algo != GCRY_MD_SHA512)
184       return GPG_ERR_BAD_PUBKEY;
185     if (kdf_encr_algo != GCRY_CIPHER_AES128
186         && kdf_encr_algo != GCRY_CIPHER_AES192
187         && kdf_encr_algo != GCRY_CIPHER_AES256)
188       return GPG_ERR_BAD_PUBKEY;
189   }
190
191   /* Build kdf_params.  */
192   {
193     IOBUF obuf;
194
195     obuf = iobuf_temp();
196     /* variable-length field 1, curve name OID */
197     err = write_size_body_mpi (obuf, pkey[0]);
198     /* fixed-length field 2 */
199     iobuf_put (obuf, PUBKEY_ALGO_ECDH);
200     /* variable-length field 3, KDF params */
201     err = (err ? err : write_size_body_mpi ( obuf, pkey[2] ));
202     /* fixed-length field 4 */
203     iobuf_write (obuf, "Anonymous Sender    ", 20);
204     /* fixed-length field 5, recipient fp */
205     iobuf_write (obuf, pk_fp, 20);      
206
207     kdf_params_size = iobuf_temp_to_buffer (obuf,
208                                             kdf_params, sizeof(kdf_params));
209     iobuf_close (obuf);
210     if (err)
211       return err;
212
213     if(DBG_CIPHER)
214       log_printhex ("ecdh KDF message params are:",
215                     kdf_params, kdf_params_size );
216   }
217
218   /* Derive a KEK (key wrapping key) using kdf_params and secret_x. */
219   {
220     gcry_md_hd_t h;
221     int old_size;
222
223     err = gcry_md_open (&h, kdf_hash_algo, 0);
224     if(err)
225         log_bug ("gcry_md_open failed for algo %d: %s",
226                         kdf_hash_algo, gpg_strerror (gcry_error(err)));
227     gcry_md_write(h, "\x00\x00\x00\x01", 4);    /* counter = 1 */
228     gcry_md_write(h, secret_x, secret_x_size);  /* x of the point X */
229     gcry_md_write(h, kdf_params, kdf_params_size);      /* KDF parameters */
230
231     gcry_md_final (h);
232
233     assert( gcry_md_get_algo_dlen (kdf_hash_algo) >= 32 );
234
235     memcpy (secret_x, gcry_md_read (h, kdf_hash_algo),
236             gcry_md_get_algo_dlen (kdf_hash_algo));
237     gcry_md_close (h);
238
239     old_size = secret_x_size;
240     assert( old_size >= gcry_cipher_get_algo_keylen( kdf_encr_algo ) );
241     secret_x_size = gcry_cipher_get_algo_keylen( kdf_encr_algo );
242     assert( secret_x_size <= gcry_md_get_algo_dlen (kdf_hash_algo) );
243
244     /* We could have allocated more, so clean the tail before returning.  */
245     memset( secret_x+secret_x_size, old_size-secret_x_size, 0 );
246     if (DBG_CIPHER)
247       log_printhex ("ecdh KEK is:", secret_x, secret_x_size );
248   }
249   
250   /* And, finally, aeswrap with key secret_x.  */
251   {
252     gcry_cipher_hd_t hd;
253     size_t nbytes;
254
255     byte *data_buf;
256     int data_buf_size;
257
258     gcry_mpi_t result;
259
260     err = gcry_cipher_open (&hd, kdf_encr_algo, GCRY_CIPHER_MODE_AESWRAP, 0);
261     if (err)
262       {
263         log_error ("ecdh failed to initialize AESWRAP: %s\n",
264                    gpg_strerror (err));
265         return err;
266       }
267
268     err = gcry_cipher_setkey (hd, secret_x, secret_x_size);
269     xfree( secret_x );
270     if (err)
271       {
272         gcry_cipher_close (hd);
273         log_error ("ecdh failed in gcry_cipher_setkey: %s\n",
274                    gpg_strerror (err));
275         return err;
276       }
277
278     data_buf_size = (gcry_mpi_get_nbits(data)+7)/8;
279     assert ((data_buf_size & 7) == (is_encrypt ? 0 : 1));
280
281     data_buf = xtrymalloc_secure( 1 + 2*data_buf_size + 8);
282     if (!data_buf)
283       {
284         gcry_cipher_close (hd);
285         return GPG_ERR_ENOMEM;
286       }
287
288     if (is_encrypt)
289       {
290         byte *in = data_buf+1+data_buf_size+8;
291         
292         /* Write data MPI into the end of data_buf. data_buf is size
293            aeswrap data.  */
294         err = gcry_mpi_print (GCRYMPI_FMT_USG, in,
295                              data_buf_size, &nbytes, data/*in*/);
296         if (err)
297           {
298             log_error ("ecdh failed to export DEK: %s\n", gpg_strerror (err));
299             gcry_cipher_close (hd);
300             xfree (data_buf);
301             return err;
302           }
303         
304         if (DBG_CIPHER)
305           log_printhex ("ecdh encrypting  :", in, data_buf_size );
306
307         err = gcry_cipher_encrypt (hd, data_buf+1, data_buf_size+8,
308                                   in, data_buf_size);
309         memset (in, 0, data_buf_size);
310         gcry_cipher_close (hd);
311         if (err)
312           {
313             log_error ("ecdh failed in gcry_cipher_encrypt: %s\n",
314                        gpg_strerror (err));
315             xfree (data_buf);
316             return err;
317           }
318         data_buf[0] = data_buf_size+8;
319
320         if (DBG_CIPHER)
321          log_printhex ("ecdh encrypted to:", data_buf+1, data_buf[0] );
322
323         err = gcry_mpi_scan (&result, GCRYMPI_FMT_USG,
324                             data_buf, 1+data_buf[0], NULL); 
325         /* (byte)size + aeswrap of DEK */
326         xfree( data_buf );
327         if (err)
328           {
329             log_error ("ecdh failed to create an MPI: %s\n", gpg_strerror (err));
330             return err;
331           }
332         
333         *r_result = result;
334       }
335     else
336       {
337         byte *in;
338         
339         err = gcry_mpi_print (GCRYMPI_FMT_USG, data_buf, data_buf_size,
340                              &nbytes, data/*in*/);
341       if (nbytes != data_buf_size || data_buf[0] != data_buf_size-1)
342         {
343           log_error ("ecdh inconsistent size\n");
344           xfree (data_buf);
345           return GPG_ERR_BAD_MPI;
346         }
347       in = data_buf+data_buf_size;
348       data_buf_size = data_buf[0];
349       
350       if (DBG_CIPHER)
351         log_printhex ("ecdh decrypting :", data_buf+1, data_buf_size);
352       
353       err = gcry_cipher_decrypt (hd, in, data_buf_size, data_buf+1,
354                                 data_buf_size);
355       gcry_cipher_close (hd);
356       if (err)
357         {
358           log_error ("ecdh failed in gcry_cipher_decrypt: %s\n",
359                      gpg_strerror (err));
360           xfree (data_buf);
361           return err;
362         }
363
364       data_buf_size -= 8;
365
366       if (DBG_CIPHER)
367         log_printhex ("ecdh decrypted to :", in, data_buf_size);
368
369       /* Padding is removed later.  */
370       /* if (in[data_buf_size-1] > 8 ) */
371       /*   { */
372       /*     log_error("ecdh failed at decryption: invalid padding. %02x > 8\n", */
373       /*               in[data_buf_size-1] ); */
374       /*     return GPG_ERR_BAD_KEY; */
375       /*   } */
376  
377       err = gcry_mpi_scan ( &result, GCRYMPI_FMT_USG, in, data_buf_size, NULL);
378       xfree (data_buf);
379       if (err)
380         {
381           log_error ("ecdh failed to create a plain text MPI: %s\n",
382                      gpg_strerror (err));
383           return err;
384         }
385       
386       *r_result = result;
387       }
388   }
389   
390   return err;
391 }
392
393
394 static gcry_mpi_t
395 gen_k (unsigned nbits)
396 {
397   gcry_mpi_t k;
398
399   k = gcry_mpi_snew (nbits);
400   if (DBG_CIPHER)
401     log_debug ("choosing a random k of %u bits\n", nbits);
402
403   gcry_mpi_randomize (k, nbits-1, GCRY_STRONG_RANDOM);
404
405   if (DBG_CIPHER)
406     {
407       unsigned char *buffer;
408       if (gcry_mpi_aprint (GCRYMPI_FMT_HEX, &buffer, NULL, k))
409         BUG ();
410       log_debug ("ephemeral scalar MPI #0: %s\n", buffer);
411       gcry_free (buffer);
412     }
413
414   return k;
415 }
416
417
418 /* Generate an ephemeral key for the public ECDH key in PKEY.  On
419    success the generated key is stored at R_K; on failure NULL is
420    stored at R_K and an error code returned.  */
421 gpg_error_t
422 pk_ecdh_generate_ephemeral_key (gcry_mpi_t *pkey, gcry_mpi_t *r_k)
423 {
424   unsigned int nbits;
425   gcry_mpi_t k;
426
427   *r_k = NULL;
428
429   nbits = pubkey_nbits (PUBKEY_ALGO_ECDH, pkey);
430   if (!nbits)
431     return gpg_error (GPG_ERR_TOO_SHORT);
432   k = gen_k (nbits);
433   if (!k)
434     BUG ();
435
436   *r_k = k;
437   return 0;
438 }
439
440
441
442 /* Perform ECDH decryption.   */
443 int
444 pk_ecdh_decrypt (gcry_mpi_t * result, const byte sk_fp[MAX_FINGERPRINT_LEN],
445                  gcry_mpi_t data, gcry_mpi_t shared, gcry_mpi_t * skey)
446 {
447   if (!data)
448     return gpg_error (GPG_ERR_BAD_MPI);
449   return pk_ecdh_encrypt_with_shared_point (0 /*=decryption*/, shared,
450                                             sk_fp, data/*encr data as an MPI*/,
451                                             skey, result);
452 }
453
454