Started with some code cleanups in ECDH.
[gnupg.git] / g10 / ecdh.c
1 /* ecdh.c - ECDH public key operations used in public key glue code
2  *      Copyright (C) 2010 Free Software Foundation, Inc.
3  *
4  * This file is part of GnuPG.
5  *
6  * GnuPG is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU General Public License as published by
8  * the Free Software Foundation; either version 3 of the License, or
9  * (at your option) any later version.
10  *
11  * GnuPG is distributed in the hope that it will be useful,
12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14  * GNU General Public License for more details.
15  *
16  * You should have received a copy of the GNU General Public License
17  * along with this program; if not, see <http://www.gnu.org/licenses/>.
18  */
19
20 #include <config.h>
21 #include <stdio.h>
22 #include <stdlib.h>
23 #include <string.h>
24 #include <errno.h>
25 #include <assert.h>
26
27 #include "gpg.h"
28 #include "util.h"
29 #include "pkglue.h"
30 #include "main.h"
31 #include "options.h"
32
33 /* A table with the default KEK parameters used by GnuPG.  */
34 static const struct
35 {
36   unsigned int qbits;
37   int openpgp_hash_id;   /* KEK digest algorithm. */
38   int openpgp_cipher_id; /* KEK cipher algorithm. */
39 } kek_params_table[] = 
40   /* Note: Must be sorted by ascending values for QBITS.  */
41   {
42     { 256, DIGEST_ALGO_SHA256, CIPHER_ALGO_AES    },
43     { 384, DIGEST_ALGO_SHA384, CIPHER_ALGO_AES256 },
44
45     /* Note: 528 is 521 rounded to the 8 bit boundary */
46     { 528, DIGEST_ALGO_SHA512, CIPHER_ALGO_AES256 }
47   };
48
49
50
51 /* Returns allocated (binary) KEK parameters; the size is returned in
52    sizeout.  The caller must free the returned value.  Returns NULL
53    and sets ERRNO on error.  */
54 byte *
55 pk_ecdh_default_params (unsigned int qbits, size_t *sizeout)
56 {
57   byte kek_params[4];
58   int i;
59   byte *buffer;
60
61   kek_params[0] = 3; /* Number of bytes to follow. */
62   kek_params[1] = 1; /* Version for KDF+AESWRAP.   */ 
63   
64   /* Search for matching KEK parameter.  Defaults to the strongest
65      possible choices.  Performance is not an issue here, only
66      interoperability.  */
67   for (i=0; i < DIM (kek_params_table); i++)
68     {
69       if (kek_params_table[i].qbits >= qbits
70           || i+1 == DIM (kek_params_table))
71         {
72           kek_params[2] = kek_params_table[i].openpgp_hash_id;
73           kek_params[3] = kek_params_table[i].openpgp_cipher_id;
74           break;
75         }
76     }
77   assert (i < DIM (kek_params_table));
78   if (DBG_CIPHER)
79     log_printhex ("ECDH KEK params are", kek_params, sizeof(kek_params) );
80   
81   buffer = xtrymalloc (sizeof(kek_params));
82   if (!buffer)
83     return NULL;
84   memcpy (buffer, kek_params, sizeof (kek_params));
85   *sizeout = sizeof (kek_params);
86   return buffer;
87 }
88
89
90 /* Encrypts/decrypts DATA using a key derived from the ECC shared
91    point SHARED_MPI using the FIPS SP 800-56A compliant method
92    key_derivation+key_wrapping.  If IS_ENCRYPT is true the function
93    encrypts; if false, it decrypts.  On success the result is stored
94    at R_RESULT; on failure NULL is stored at R_RESULT and an error
95    code returned. 
96
97    FIXME: explain PKEY and PK_FP.
98  */
99  
100 /*
101    TODO: memory leaks (x_secret).
102 */
103 gpg_error_t
104 pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi, 
105                                    const byte pk_fp[MAX_FINGERPRINT_LEN],
106                                    gcry_mpi_t data, gcry_mpi_t *pkey,
107                                    gcry_mpi_t *r_result)
108 {
109   gpg_error_t err;
110   byte *secret_x;
111   int secret_x_size;
112   byte kdf_params[256];
113   int kdf_params_size=0;
114   int nbits;
115   int kdf_hash_algo;
116   int kdf_encr_algo;
117
118   *r_result = NULL;
119
120   nbits = pubkey_nbits (PUBKEY_ALGO_ECDH, pkey);
121   if (!nbits)
122     return gpg_error (GPG_ERR_TOO_SHORT);
123
124   {
125     size_t nbytes;
126
127     /* Extract x component of the shared point: this is the actual
128        shared secret. */
129     nbytes = (mpi_get_nbits (pkey[1] /* public point */)+7)/8;
130     secret_x = xtrymalloc_secure (nbytes);
131     if (!secret_x)
132       return gpg_error_from_syserror ();
133
134     err = gcry_mpi_print (GCRYMPI_FMT_USG, secret_x, nbytes,
135                           &nbytes, shared_mpi);
136     if (err)
137       {
138         xfree (secret_x);
139         log_error ("ECDH ephemeral export of shared point failed: %s\n",
140                    gpg_strerror (err));
141         return err;
142       }
143
144     /* fixme: explain what we are doing.  */
145     secret_x_size = (nbits+7)/8; 
146     assert (nbytes > secret_x_size);
147     memmove (secret_x, secret_x+1, secret_x_size);
148     memset (secret_x+secret_x_size, 0, nbytes-secret_x_size);
149
150     if (DBG_CIPHER)
151       log_printhex ("ECDH shared secret X is:", secret_x, secret_x_size );
152   }
153
154   /*** We have now the shared secret bytes in secret_x. ***/
155
156   /* At this point we are done with PK encryption and the rest of the
157    * function uses symmetric key encryption techniques to protect the
158    * input DATA.  The following two sections will simply replace
159    * current secret_x with a value derived from it.  This will become
160    * a KEK.
161    */
162   {
163     IOBUF obuf = iobuf_temp(); 
164     err = iobuf_write_size_body_mpi ( obuf, pkey[2]  ); /* KEK params */
165     
166     kdf_params_size = iobuf_temp_to_buffer (obuf,
167                                             kdf_params, sizeof(kdf_params));
168
169     if (DBG_CIPHER)
170       log_printhex ("ecdh KDF public key params are:",
171                     kdf_params, kdf_params_size );
172
173     /* Expect 4 bytes  03 01 hash_alg symm_alg.  */
174     if (kdf_params_size != 4 || kdf_params[0] != 3 || kdf_params[1] != 1)       
175       return GPG_ERR_BAD_PUBKEY;
176
177     kdf_hash_algo = kdf_params[2];
178     kdf_encr_algo = kdf_params[3];
179
180     if (DBG_CIPHER)
181       log_debug ("ecdh KDF algorithms %s+%s with aeswrap\n",
182                  gcry_md_algo_name (kdf_hash_algo),
183                  openpgp_cipher_algo_name (kdf_encr_algo));
184
185     if (kdf_hash_algo != GCRY_MD_SHA256
186         && kdf_hash_algo != GCRY_MD_SHA384
187         && kdf_hash_algo != GCRY_MD_SHA512)
188       return GPG_ERR_BAD_PUBKEY;
189     if (kdf_encr_algo != GCRY_CIPHER_AES128
190         && kdf_encr_algo != GCRY_CIPHER_AES192
191         && kdf_encr_algo != GCRY_CIPHER_AES256)
192       return GPG_ERR_BAD_PUBKEY;
193   }
194
195   /* Build kdf_params.  */
196   {
197     IOBUF obuf;
198
199     obuf = iobuf_temp();
200     /* variable-length field 1, curve name OID */
201     err = iobuf_write_size_body_mpi ( obuf, pkey[0] );
202     /* fixed-length field 2 */
203     iobuf_put (obuf, PUBKEY_ALGO_ECDH);
204     /* variable-length field 3, KDF params */
205     err = (err ? err : iobuf_write_size_body_mpi ( obuf, pkey[2] ));
206     /* fixed-length field 4 */
207     iobuf_write (obuf, "Anonymous Sender    ", 20);
208     /* fixed-length field 5, recipient fp */
209     iobuf_write (obuf, pk_fp, 20);      
210
211     kdf_params_size = iobuf_temp_to_buffer (obuf,
212                                             kdf_params, sizeof(kdf_params));
213     iobuf_close (obuf);
214     if (err)
215       return err;
216
217     if(DBG_CIPHER)
218       log_printhex ("ecdh KDF message params are:",
219                     kdf_params, kdf_params_size );
220   }
221
222   /* Derive a KEK (key wrapping key) using kdf_params and secret_x. */
223   {
224     gcry_md_hd_t h;
225     int old_size;
226
227     err = gcry_md_open (&h, kdf_hash_algo, 0);
228     if(err)
229         log_bug ("gcry_md_open failed for algo %d: %s",
230                         kdf_hash_algo, gpg_strerror (gcry_error(err)));
231     gcry_md_write(h, "\x00\x00\x00\x01", 4);    /* counter = 1 */
232     gcry_md_write(h, secret_x, secret_x_size);  /* x of the point X */
233     gcry_md_write(h, kdf_params, kdf_params_size);      /* KDF parameters */
234
235     gcry_md_final (h);
236
237     assert( gcry_md_get_algo_dlen (kdf_hash_algo) >= 32 );
238
239     memcpy (secret_x, gcry_md_read (h, kdf_hash_algo),
240             gcry_md_get_algo_dlen (kdf_hash_algo));
241     gcry_md_close (h);
242
243     old_size = secret_x_size;
244     assert( old_size >= gcry_cipher_get_algo_keylen( kdf_encr_algo ) );
245     secret_x_size = gcry_cipher_get_algo_keylen( kdf_encr_algo );
246     assert( secret_x_size <= gcry_md_get_algo_dlen (kdf_hash_algo) );
247
248     /* We could have allocated more, so clean the tail before returning.  */
249     memset( secret_x+secret_x_size, old_size-secret_x_size, 0 );
250     if (DBG_CIPHER)
251       log_printhex ("ecdh KEK is:", secret_x, secret_x_size );
252   }
253   
254   /* And, finally, aeswrap with key secret_x.  */
255   {
256     gcry_cipher_hd_t hd;
257     size_t nbytes;
258
259     byte *data_buf;
260     int data_buf_size;
261
262     gcry_mpi_t result;
263
264     err = gcry_cipher_open (&hd, kdf_encr_algo, GCRY_CIPHER_MODE_AESWRAP, 0);
265     if (err)
266       {
267         log_error ("ecdh failed to initialize AESWRAP: %s\n",
268                    gpg_strerror (err));
269         return err;
270       }
271
272     err = gcry_cipher_setkey (hd, secret_x, secret_x_size);
273     xfree( secret_x );
274     if (err)
275       {
276         gcry_cipher_close (hd);
277         log_error ("ecdh failed in gcry_cipher_setkey: %s\n",
278                    gpg_strerror (err));
279         return err;
280       }
281
282     data_buf_size = (gcry_mpi_get_nbits(data)+7)/8;
283     assert ((data_buf_size & 7) == (is_encrypt ? 0 : 1));
284
285     data_buf = xtrymalloc_secure( 1 + 2*data_buf_size + 8);
286     if (!data_buf)
287       {
288         gcry_cipher_close (hd);
289         return GPG_ERR_ENOMEM;
290       }
291
292     if (is_encrypt)
293       {
294         byte *in = data_buf+1+data_buf_size+8;
295         
296         /* Write data MPI into the end of data_buf. data_buf is size
297            aeswrap data.  */
298         err = gcry_mpi_print (GCRYMPI_FMT_USG, in,
299                              data_buf_size, &nbytes, data/*in*/);
300         if (err)
301           {
302             log_error ("ecdh failed to export DEK: %s\n", gpg_strerror (err));
303             gcry_cipher_close (hd);
304             xfree (data_buf);
305             return err;
306           }
307         
308         if (DBG_CIPHER)
309           log_printhex ("ecdh encrypting  :", in, data_buf_size );
310
311         err = gcry_cipher_encrypt (hd, data_buf+1, data_buf_size+8,
312                                   in, data_buf_size);
313         memset (in, 0, data_buf_size);
314         gcry_cipher_close (hd);
315         if (err)
316           {
317             log_error ("ecdh failed in gcry_cipher_encrypt: %s\n",
318                        gpg_strerror (err));
319             xfree (data_buf);
320             return err;
321           }
322         data_buf[0] = data_buf_size+8;
323
324         if (DBG_CIPHER)
325          log_printhex ("ecdh encrypted to:", data_buf+1, data_buf[0] );
326
327         err = gcry_mpi_scan (&result, GCRYMPI_FMT_USG,
328                             data_buf, 1+data_buf[0], NULL); 
329         /* (byte)size + aeswrap of DEK */
330         xfree( data_buf );
331         if (err)
332           {
333             log_error ("ecdh failed to create an MPI: %s\n", gpg_strerror (err));
334             return err;
335           }
336         
337         *r_result = result;
338       }
339     else
340       {
341         byte *in;
342         
343         err = gcry_mpi_print (GCRYMPI_FMT_USG, data_buf, data_buf_size,
344                              &nbytes, data/*in*/);
345       if (nbytes != data_buf_size || data_buf[0] != data_buf_size-1)
346         {
347           log_error ("ecdh inconsistent size\n");
348           xfree (data_buf);
349           return GPG_ERR_BAD_MPI;
350         }
351       in = data_buf+data_buf_size;
352       data_buf_size = data_buf[0];
353       
354       if (DBG_CIPHER)
355         log_printhex ("ecdh decrypting :", data_buf+1, data_buf_size);
356       
357       err = gcry_cipher_decrypt (hd, in, data_buf_size, data_buf+1,
358                                 data_buf_size);
359       gcry_cipher_close (hd);
360       if (err)
361         {
362           log_error ("ecdh failed in gcry_cipher_decrypt: %s\n",
363                      gpg_strerror (err));
364           xfree (data_buf);
365           return err;
366         }
367
368       data_buf_size -= 8;
369
370       if (DBG_CIPHER)
371         log_printhex ("ecdh decrypted to :", in, data_buf_size);
372
373       /* Padding is removed later.  */
374       /* if (in[data_buf_size-1] > 8 ) */
375       /*   { */
376       /*     log_error("ecdh failed at decryption: invalid padding. %02x > 8\n", */
377       /*               in[data_buf_size-1] ); */
378       /*     return GPG_ERR_BAD_KEY; */
379       /*   } */
380  
381       err = gcry_mpi_scan ( &result, GCRYMPI_FMT_USG, in, data_buf_size, NULL);
382       xfree (data_buf);
383       if (err)
384         {
385           log_error ("ecdh failed to create a plain text MPI: %s\n",
386                      gpg_strerror (err));
387           return err;
388         }
389       
390       *r_result = result;
391       }
392   }
393   
394   return err;
395 }
396
397
398 static gcry_mpi_t
399 gen_k (unsigned nbits)
400 {
401   gcry_mpi_t k;
402
403   k = gcry_mpi_snew (nbits);
404   if (DBG_CIPHER)
405     log_debug ("choosing a random k of %u bits\n", nbits);
406
407   gcry_mpi_randomize (k, nbits-1, GCRY_STRONG_RANDOM);
408
409   if (DBG_CIPHER)
410     {
411       unsigned char *buffer;
412       if (gcry_mpi_aprint (GCRYMPI_FMT_HEX, &buffer, NULL, k))
413         BUG ();
414       log_debug("ephemeral scalar MPI #0: %s\n", buffer);
415       gcry_free( buffer );
416     }
417
418   return k;
419 }
420
421
422 /* Generate an ephemeral key for the public ECDH key in PKEY.  On
423    success the generated key is stored at R_K; on failure NULL is
424    stored at R_K and an error code returned.  */
425 gpg_error_t
426 pk_ecdh_generate_ephemeral_key (gcry_mpi_t *pkey, gcry_mpi_t *r_k)
427 {
428   unsigned int nbits;
429   gcry_mpi_t k;
430
431   *r_k = NULL;
432
433   nbits = pubkey_nbits (PUBKEY_ALGO_ECDH, pkey);
434   if (!nbits)
435     return gpg_error (GPG_ERR_TOO_SHORT);
436   k = gen_k (nbits);
437   if (!k)
438     BUG ();
439
440   *r_k = k;
441   return 0;
442 }
443
444
445
446 /* Perform ECDH decryption.   */
447 int
448 pk_ecdh_decrypt (gcry_mpi_t * result, const byte sk_fp[MAX_FINGERPRINT_LEN],
449                  gcry_mpi_t data, gcry_mpi_t shared, gcry_mpi_t * skey)
450 {
451   if (!data)
452     return gpg_error (GPG_ERR_BAD_MPI);
453   return pk_ecdh_encrypt_with_shared_point (0 /*=decryption*/, shared,
454                                             sk_fp, data/*encr data as an MPI*/,
455                                             skey, result);
456 }
457
458