More ECDH code cleanups
[gnupg.git] / g10 / ecdh.c
1 /* ecdh.c - ECDH public key operations used in public key glue code
2  *      Copyright (C) 2010 Free Software Foundation, Inc.
3  *
4  * This file is part of GnuPG.
5  *
6  * GnuPG is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU General Public License as published by
8  * the Free Software Foundation; either version 3 of the License, or
9  * (at your option) any later version.
10  *
11  * GnuPG is distributed in the hope that it will be useful,
12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14  * GNU General Public License for more details.
15  *
16  * You should have received a copy of the GNU General Public License
17  * along with this program; if not, see <http://www.gnu.org/licenses/>.
18  */
19
20 #include <config.h>
21 #include <stdio.h>
22 #include <stdlib.h>
23 #include <string.h>
24 #include <errno.h>
25 #include <assert.h>
26
27 #include "gpg.h"
28 #include "util.h"
29 #include "pkglue.h"
30 #include "main.h"
31 #include "options.h"
32
33 /* A table with the default KEK parameters used by GnuPG.  */
34 static const struct
35 {
36   unsigned int qbits;
37   int openpgp_hash_id;   /* KEK digest algorithm. */
38   int openpgp_cipher_id; /* KEK cipher algorithm. */
39 } kek_params_table[] = 
40   /* Note: Must be sorted by ascending values for QBITS.  */
41   {
42     { 256, DIGEST_ALGO_SHA256, CIPHER_ALGO_AES    },
43     { 384, DIGEST_ALGO_SHA384, CIPHER_ALGO_AES256 },
44
45     /* Note: 528 is 521 rounded to the 8 bit boundary */
46     { 528, DIGEST_ALGO_SHA512, CIPHER_ALGO_AES256 }
47   };
48
49
50
51 /* Returns allocated (binary) KEK parameters; the size is returned in
52    sizeout.  The caller must free the returned value.  Returns NULL
53    and sets ERRNO on error.  */
54 byte *
55 pk_ecdh_default_params (unsigned int qbits, size_t *sizeout)
56 {
57   byte kek_params[4];
58   int i;
59   byte *buffer;
60
61   kek_params[0] = 3; /* Number of bytes to follow. */
62   kek_params[1] = 1; /* Version for KDF+AESWRAP.   */ 
63   
64   /* Search for matching KEK parameter.  Defaults to the strongest
65      possible choices.  Performance is not an issue here, only
66      interoperability.  */
67   for (i=0; i < DIM (kek_params_table); i++)
68     {
69       if (kek_params_table[i].qbits >= qbits
70           || i+1 == DIM (kek_params_table))
71         {
72           kek_params[2] = kek_params_table[i].openpgp_hash_id;
73           kek_params[3] = kek_params_table[i].openpgp_cipher_id;
74           break;
75         }
76     }
77   assert (i < DIM (kek_params_table));
78   if (DBG_CIPHER)
79     log_printhex ("ECDH KEK params are", kek_params, sizeof(kek_params) );
80   
81   buffer = xtrymalloc (sizeof(kek_params));
82   if (!buffer)
83     return NULL;
84   memcpy (buffer, kek_params, sizeof (kek_params));
85   *sizeout = sizeof (kek_params);
86   return buffer;
87 }
88
89
90 /* Encrypts/decrypts 'data' with a key derived from shared_mpi ECC
91  * point using FIPS SP 800-56A compliant method, which is key
92  * derivation + key wrapping. The direction is determined by the first
93  * parameter (is_encrypt=1 --> this is encryption).  The result is
94  * returned in out as a size+value MPI.
95  *
96  * TODO: memory leaks (x_secret).
97  */
98 static int
99 pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi, 
100                                    const byte pk_fp[MAX_FINGERPRINT_LEN],
101                                    gcry_mpi_t data, gcry_mpi_t *pkey,
102                                    gcry_mpi_t *out)
103 {
104   byte *secret_x;
105   int secret_x_size;
106   byte kdf_params[256];
107   int kdf_params_size=0;
108   int nbits;
109   int kdf_hash_algo;
110   int kdf_encr_algo;
111   int rc;
112
113   *out = NULL;
114
115   nbits = pubkey_nbits( PUBKEY_ALGO_ECDH, pkey );
116
117   {
118     size_t nbytes;
119     /* Extract x component of the shared point: this is the actual
120        shared secret */
121     nbytes = (mpi_get_nbits (pkey[1] /* public point */)+7)/8;
122     secret_x = xmalloc_secure( nbytes );
123     rc = gcry_mpi_print (GCRYMPI_FMT_USG, secret_x, nbytes,
124                          &nbytes, shared_mpi);
125     if (rc)
126       {
127         xfree (secret_x);
128         log_error ("ec ephemeral export of shared point failed: %s\n",
129                    gpg_strerror (rc));
130         return rc;
131       }
132     secret_x_size = (nbits+7)/8; 
133     assert (nbytes > secret_x_size);
134     memmove (secret_x, secret_x+1, secret_x_size);
135     memset (secret_x+secret_x_size, 0, nbytes-secret_x_size);
136
137     if (DBG_CIPHER)
138       log_printhex ("ecdh shared secret X is:", secret_x, secret_x_size );
139   }
140
141   /*** We have now the shared secret bytes in secret_x. ***/
142
143   /* At this point we are done with PK encryption and the rest of the
144    * function uses symmetric key encryption techniques to protect the
145    * input 'data'.  The following two sections will simply replace
146    * current secret_x with a value derived from it.  This will become
147    * a KEK.
148    */
149   {
150     IOBUF obuf = iobuf_temp(); 
151     rc = iobuf_write_size_body_mpi ( obuf, pkey[2]  );  /* KEK params */
152     
153     kdf_params_size = iobuf_temp_to_buffer (obuf,
154                                             kdf_params, sizeof(kdf_params));
155
156     if (DBG_CIPHER)
157       log_printhex ("ecdh KDF public key params are:",
158                     kdf_params, kdf_params_size );
159
160     /* Expect 4 bytes  03 01 hash_alg symm_alg.  */
161     if (kdf_params_size != 4 || kdf_params[0] != 3 || kdf_params[1] != 1)       
162       return GPG_ERR_BAD_PUBKEY;
163
164     kdf_hash_algo = kdf_params[2];
165     kdf_encr_algo = kdf_params[3];
166
167     if (DBG_CIPHER)
168       log_debug ("ecdh KDF algorithms %s+%s with aeswrap\n",
169                  gcry_md_algo_name (kdf_hash_algo),
170                  openpgp_cipher_algo_name (kdf_encr_algo));
171
172     if (kdf_hash_algo != GCRY_MD_SHA256
173         && kdf_hash_algo != GCRY_MD_SHA384
174         && kdf_hash_algo != GCRY_MD_SHA512)
175       return GPG_ERR_BAD_PUBKEY;
176     if (kdf_encr_algo != GCRY_CIPHER_AES128
177         && kdf_encr_algo != GCRY_CIPHER_AES192
178         && kdf_encr_algo != GCRY_CIPHER_AES256)
179       return GPG_ERR_BAD_PUBKEY;
180   }
181
182   /* Build kdf_params.  */
183   {
184     IOBUF obuf;
185
186     obuf = iobuf_temp();
187     /* variable-length field 1, curve name OID */
188     rc = iobuf_write_size_body_mpi ( obuf, pkey[0] );
189     /* fixed-length field 2 */
190     iobuf_put (obuf, PUBKEY_ALGO_ECDH);
191     /* variable-length field 3, KDF params */
192     rc = (rc ? rc : iobuf_write_size_body_mpi ( obuf, pkey[2] ));
193     /* fixed-length field 4 */
194     iobuf_write (obuf, "Anonymous Sender    ", 20);
195     /* fixed-length field 5, recipient fp */
196     iobuf_write (obuf, pk_fp, 20);      
197
198     kdf_params_size = iobuf_temp_to_buffer (obuf,
199                                             kdf_params, sizeof(kdf_params));
200     iobuf_close (obuf);
201     if (rc)
202       return rc;
203
204     if(DBG_CIPHER)
205       log_printhex ("ecdh KDF message params are:",
206                     kdf_params, kdf_params_size );
207   }
208
209   /* Derive a KEK (key wrapping key) using kdf_params and secret_x. */
210   {
211     gcry_md_hd_t h;
212     int old_size;
213
214     rc = gcry_md_open (&h, kdf_hash_algo, 0);
215     if(rc)
216         log_bug ("gcry_md_open failed for algo %d: %s",
217                         kdf_hash_algo, gpg_strerror (gcry_error(rc)));
218     gcry_md_write(h, "\x00\x00\x00\x01", 4);    /* counter = 1 */
219     gcry_md_write(h, secret_x, secret_x_size);  /* x of the point X */
220     gcry_md_write(h, kdf_params, kdf_params_size);      /* KDF parameters */
221
222     gcry_md_final (h);
223
224     assert( gcry_md_get_algo_dlen (kdf_hash_algo) >= 32 );
225
226     memcpy (secret_x, gcry_md_read (h, kdf_hash_algo),
227             gcry_md_get_algo_dlen (kdf_hash_algo));
228     gcry_md_close (h);
229
230     old_size = secret_x_size;
231     assert( old_size >= gcry_cipher_get_algo_keylen( kdf_encr_algo ) );
232     secret_x_size = gcry_cipher_get_algo_keylen( kdf_encr_algo );
233     assert( secret_x_size <= gcry_md_get_algo_dlen (kdf_hash_algo) );
234
235     /* We could have allocated more, so clean the tail before returning.  */
236     memset( secret_x+secret_x_size, old_size-secret_x_size, 0 );
237     if (DBG_CIPHER)
238       log_printhex ("ecdh KEK is:", secret_x, secret_x_size );
239   }
240   
241   /* And, finally, aeswrap with key secret_x.  */
242   {
243     gcry_cipher_hd_t hd;
244     size_t nbytes;
245
246     byte *data_buf;
247     int data_buf_size;
248
249     gcry_mpi_t result;
250
251     rc = gcry_cipher_open (&hd, kdf_encr_algo, GCRY_CIPHER_MODE_AESWRAP, 0);
252     if (rc)
253       {
254         log_error ("ecdh failed to initialize AESWRAP: %s\n",
255                    gpg_strerror (rc));
256         return rc;
257       }
258
259     rc = gcry_cipher_setkey (hd, secret_x, secret_x_size);
260     xfree( secret_x );
261     if (rc)
262       {
263         gcry_cipher_close (hd);
264         log_error ("ecdh failed in gcry_cipher_setkey: %s\n",
265                    gpg_strerror (rc));
266         return rc;
267       }
268
269     data_buf_size = (gcry_mpi_get_nbits(data)+7)/8;
270     assert ((data_buf_size & 7) == (is_encrypt ? 0 : 1));
271
272     data_buf = xtrymalloc_secure( 1 + 2*data_buf_size + 8);
273     if (!data_buf)
274       {
275         gcry_cipher_close (hd);
276         return GPG_ERR_ENOMEM;
277       }
278
279     if (is_encrypt)
280       {
281         byte *in = data_buf+1+data_buf_size+8;
282         
283         /* Write data MPI into the end of data_buf. data_buf is size
284            aeswrap data.  */
285         rc = gcry_mpi_print (GCRYMPI_FMT_USG, in,
286                              data_buf_size, &nbytes, data/*in*/);
287         if (rc)
288           {
289             log_error ("ecdh failed to export DEK: %s\n", gpg_strerror (rc));
290             gcry_cipher_close (hd);
291             xfree (data_buf);
292             return rc;
293           }
294         
295         if (DBG_CIPHER)
296           log_printhex ("ecdh encrypting  :", in, data_buf_size );
297
298         rc = gcry_cipher_encrypt (hd, data_buf+1, data_buf_size+8,
299                                   in, data_buf_size);
300         memset (in, 0, data_buf_size);
301         gcry_cipher_close (hd);
302         if (rc)
303           {
304             log_error ("ecdh failed in gcry_cipher_encrypt: %s\n",
305                        gpg_strerror (rc));
306             xfree (data_buf);
307             return rc;
308           }
309         data_buf[0] = data_buf_size+8;
310
311         if (DBG_CIPHER)
312          log_printhex ("ecdh encrypted to:", data_buf+1, data_buf[0] );
313
314         rc = gcry_mpi_scan (&result, GCRYMPI_FMT_USG,
315                             data_buf, 1+data_buf[0], NULL); 
316         /* (byte)size + aeswrap of DEK */
317         xfree( data_buf );
318         if (rc)
319           {
320             log_error ("ecdh failed to create an MPI: %s\n", gpg_strerror (rc));
321             return rc;
322           }
323         
324         *out = result;
325       }
326     else
327       {
328         byte *in;
329         
330         rc = gcry_mpi_print (GCRYMPI_FMT_USG, data_buf, data_buf_size,
331                              &nbytes, data/*in*/);
332       if (nbytes != data_buf_size || data_buf[0] != data_buf_size-1)
333         {
334           log_error ("ecdh inconsistent size\n");
335           xfree (data_buf);
336           return GPG_ERR_BAD_MPI;
337         }
338       in = data_buf+data_buf_size;
339       data_buf_size = data_buf[0];
340       
341       if (DBG_CIPHER)
342         log_printhex ("ecdh decrypting :", data_buf+1, data_buf_size);
343       
344       rc = gcry_cipher_decrypt (hd, in, data_buf_size, data_buf+1,
345                                 data_buf_size);
346       gcry_cipher_close (hd);
347       if (rc)
348         {
349           log_error ("ecdh failed in gcry_cipher_decrypt: %s\n",
350                      gpg_strerror (rc));
351           xfree (data_buf);
352           return rc;
353         }
354
355       data_buf_size -= 8;
356
357       if (DBG_CIPHER)
358         log_printhex ("ecdh decrypted to :", in, data_buf_size);
359
360       /* Padding is removed later.  */
361       /* if (in[data_buf_size-1] > 8 ) */
362       /*   { */
363       /*     log_error("ecdh failed at decryption: invalid padding. %02x > 8\n", */
364       /*               in[data_buf_size-1] ); */
365       /*     return GPG_ERR_BAD_KEY; */
366       /*   } */
367  
368       rc = gcry_mpi_scan ( &result, GCRYMPI_FMT_USG, in, data_buf_size, NULL);
369       xfree (data_buf);
370       if (rc)
371         {
372           log_error ("ecdh failed to create a plain text MPI: %s\n",
373                      gpg_strerror (rc));
374           return rc;
375         }
376       
377       *out = result;
378       }
379   }
380   
381   return rc;
382 }
383
384
385 static gcry_mpi_t
386 gen_k (unsigned nbits)
387 {
388   gcry_mpi_t k;
389
390   k = gcry_mpi_snew (nbits);
391   if (DBG_CIPHER)
392     log_debug ("choosing a random k of %u bits\n", nbits);
393
394   gcry_mpi_randomize (k, nbits-1, GCRY_STRONG_RANDOM);
395
396   if (DBG_CIPHER)
397     {
398       unsigned char *buffer;
399       if (gcry_mpi_aprint (GCRYMPI_FMT_HEX, &buffer, NULL, k))
400         BUG ();
401       log_debug("ephemeral scalar MPI #0: %s\n", buffer);
402       gcry_free( buffer );
403     }
404
405   return k;
406 }
407
408 /* Perform ECDH encryption, which involves ECDH key generation.  */
409 int
410 pk_ecdh_encrypt (gcry_mpi_t *resarr, const byte pk_fp[MAX_FINGERPRINT_LEN],
411                  gcry_mpi_t data, gcry_mpi_t * pkey)
412 {
413   gcry_sexp_t s_ciph, s_data, s_pkey;
414
415   int nbits;
416   int rc;
417   gcry_mpi_t k;
418
419   nbits = pubkey_nbits (PUBKEY_ALGO_ECDH, pkey);
420
421   /*** Generate an ephemeral key, actually, a scalar. ***/
422
423   k = gen_k (nbits);
424   if( k == NULL )
425     BUG ();
426
427   /*** Done with ephemeral key generation. 
428    * Now use ephemeral secret to get the shared secret. ***/
429
430   rc = gcry_sexp_build (&s_pkey, NULL,
431                         "(public-key(ecdh(c%m)(q%m)(p%m)))",
432                         pkey[0], pkey[1], pkey[2]);
433   if (rc)
434     BUG ();
435  
436   /* Put the data into a simple list. */
437   /* Ephemeral scalar goes as data.  */
438   if (gcry_sexp_build (&s_data, NULL, "%m", k))
439     BUG ();
440
441   /* Pass it to libgcrypt. */
442   rc = gcry_pk_encrypt (&s_ciph, s_data, s_pkey);
443   gcry_sexp_release (s_data);
444   gcry_sexp_release (s_pkey);
445   if (rc)
446     return rc;
447
448   /* Finally, perform encryption.  */
449
450   {
451     /* ... and get the shared point/ */
452     gcry_mpi_t shared;
453
454     shared = mpi_from_sexp (s_ciph, "a"); 
455     gcry_sexp_release (s_ciph);
456     /* Ephemeral public key. */
457     resarr[0] = mpi_from_sexp (s_ciph, "b");
458
459     if (DBG_CIPHER)
460       {
461         unsigned char *buffer;
462
463         if (gcry_mpi_aprint (GCRYMPI_FMT_HEX, &buffer, NULL, resarr[0]))
464           BUG ();
465         log_debug("ephemeral key MPI: %s\n", buffer);
466         gcry_free( buffer );
467       }
468     
469     rc = pk_ecdh_encrypt_with_shared_point (1 /*=encrypton*/, shared,
470                                             pk_fp, data, pkey, resarr+1);
471     mpi_release (shared);
472   }
473   
474   return rc;
475 }
476
477
478 /* Perform ECDH decryption.   */
479 int
480 pk_ecdh_decrypt (gcry_mpi_t * result, const byte sk_fp[MAX_FINGERPRINT_LEN],
481                  gcry_mpi_t data, gcry_mpi_t shared, gcry_mpi_t * skey)
482 {
483   if (!data)
484     return gpg_error (GPG_ERR_BAD_MPI);
485   return pk_ecdh_encrypt_with_shared_point (0 /*=decryption*/, shared,
486                                             sk_fp, data/*encr data as an MPI*/,
487                                             skey, result);
488 }
489
490