gpg: Implement AEAD for SKESK packets.
[gnupg.git] / g10 / build-packet.c
index 8388ce3..b4e03d0 100644 (file)
  * GNU General Public License for more details.
  *
  * You should have received a copy of the GNU General Public License
- * along with this program; if not, see <http://www.gnu.org/licenses/>.
+ * along with this program; if not, see <https://www.gnu.org/licenses/>.
  */
 
 #include <config.h>
 #include <stdio.h>
 #include <stdlib.h>
 #include <string.h>
-#include <assert.h>
 #include <ctype.h>
 
 #include "gpg.h"
-#include "util.h"
+#include "../common/util.h"
 #include "packet.h"
-#include "status.h"
-#include "iobuf.h"
-#include "i18n.h"
+#include "../common/status.h"
+#include "../common/iobuf.h"
+#include "../common/i18n.h"
 #include "options.h"
-#include "host2net.h"
+#include "../common/host2net.h"
 
+static gpg_error_t do_ring_trust (iobuf_t out, PKT_ring_trust *rt);
 static int do_user_id( IOBUF out, int ctb, PKT_user_id *uid );
 static int do_key (iobuf_t out, int ctb, PKT_public_key *pk);
 static int do_symkey_enc( IOBUF out, int ctb, PKT_symkey_enc *enc );
@@ -42,6 +42,7 @@ static u32 calc_plaintext( PKT_plaintext *pt );
 static int do_plaintext( IOBUF out, int ctb, PKT_plaintext *pt );
 static int do_encrypted( IOBUF out, int ctb, PKT_encrypted *ed );
 static int do_encrypted_mdc( IOBUF out, int ctb, PKT_encrypted *ed );
+static int do_encrypted_aead (iobuf_t out, int ctb, PKT_encrypted *ed);
 static int do_compressed( IOBUF out, int ctb, PKT_compressed *cd );
 static int do_signature( IOBUF out, int ctb, PKT_signature *sig );
 static int do_onepass_sig( IOBUF out, int ctb, PKT_onepass_sig *ops );
@@ -77,102 +78,167 @@ ctb_pkttype (int ctb)
     return (ctb & ((1 << 6) - 1)) >> 2;
 }
 
-/****************
- * Build a packet and write it to INP
- * Returns: 0 := okay
- *        >0 := error
- * Note: Caller must free the packet
- */
+
+/* Build a packet and write it to the stream OUT.
+ * Returns: 0 on success or on an error code.  */
 int
-build_packet( IOBUF out, PACKET *pkt )
+build_packet (IOBUF out, PACKET *pkt)
 {
-    int new_ctb=0, rc=0, ctb;
-    int pkttype;
+  int rc = 0;
+  int new_ctb = 0;
+  int ctb, pkttype;
 
-    if( DBG_PACKET )
-       log_debug("build_packet() type=%d\n", pkt->pkttype );
-    assert( pkt->pkt.generic );
+  if (DBG_PACKET)
+    log_debug ("build_packet() type=%d\n", pkt->pkttype);
+  log_assert (pkt->pkt.generic);
 
-    switch ((pkttype = pkt->pkttype))
-      {
-      case PKT_PUBLIC_KEY:
-        if (pkt->pkt.public_key->seckey_info)
-          pkttype = PKT_SECRET_KEY;
-        break;
-      case PKT_PUBLIC_SUBKEY:
-        if (pkt->pkt.public_key->seckey_info)
-          pkttype = PKT_SECRET_SUBKEY;
-        break;
-      case PKT_PLAINTEXT: new_ctb = pkt->pkt.plaintext->new_ctb; break;
-      case PKT_ENCRYPTED:
-      case PKT_ENCRYPTED_MDC: new_ctb = pkt->pkt.encrypted->new_ctb; break;
-      case PKT_COMPRESSED:new_ctb = pkt->pkt.compressed->new_ctb; break;
-      case PKT_USER_ID:
-       if( pkt->pkt.user_id->attrib_data )
-         pkttype = PKT_ATTRIBUTE;
-       break;
-      default: break;
-      }
+  switch ((pkttype = pkt->pkttype))
+    {
+    case PKT_PUBLIC_KEY:
+      if (pkt->pkt.public_key->seckey_info)
+        pkttype = PKT_SECRET_KEY;
+      break;
+    case PKT_PUBLIC_SUBKEY:
+      if (pkt->pkt.public_key->seckey_info)
+        pkttype = PKT_SECRET_SUBKEY;
+      break;
+    case PKT_PLAINTEXT:
+      new_ctb = pkt->pkt.plaintext->new_ctb;
+      break;
+    case PKT_ENCRYPTED:
+    case PKT_ENCRYPTED_MDC:
+    case PKT_ENCRYPTED_AEAD:
+      new_ctb = pkt->pkt.encrypted->new_ctb;
+      break;
+    case PKT_COMPRESSED:
+      new_ctb = pkt->pkt.compressed->new_ctb;
+      break;
+    case PKT_USER_ID:
+      if (pkt->pkt.user_id->attrib_data)
+        pkttype = PKT_ATTRIBUTE;
+      break;
+    default:
+      break;
+    }
 
-    if( new_ctb || pkttype > 15 ) /* new format */
-       ctb = 0xc0 | (pkttype & 0x3f);
-    else
-       ctb = 0x80 | ((pkttype & 15)<<2);
-    switch( pkttype )
-      {
-      case PKT_ATTRIBUTE:
-      case PKT_USER_ID:
-       rc = do_user_id( out, ctb, pkt->pkt.user_id );
-       break;
-      case PKT_OLD_COMMENT:
-      case PKT_COMMENT:
-       /*
-         Ignore these.  Theoretically, this will never be called as
-         we have no way to output comment packets any longer, but
-         just in case there is some code path that would end up
-         outputting a comment that was written before comments were
-         dropped (in the public key?) this is a no-op.
-       */
-       break;
-      case PKT_PUBLIC_SUBKEY:
-      case PKT_PUBLIC_KEY:
-      case PKT_SECRET_SUBKEY:
-      case PKT_SECRET_KEY:
-       rc = do_key (out, ctb, pkt->pkt.public_key);
-       break;
-      case PKT_SYMKEY_ENC:
-       rc = do_symkey_enc( out, ctb, pkt->pkt.symkey_enc );
-       break;
-      case PKT_PUBKEY_ENC:
-       rc = do_pubkey_enc( out, ctb, pkt->pkt.pubkey_enc );
-       break;
-      case PKT_PLAINTEXT:
-       rc = do_plaintext( out, ctb, pkt->pkt.plaintext );
-       break;
-      case PKT_ENCRYPTED:
-       rc = do_encrypted( out, ctb, pkt->pkt.encrypted );
-       break;
-      case PKT_ENCRYPTED_MDC:
-       rc = do_encrypted_mdc( out, ctb, pkt->pkt.encrypted );
-       break;
-      case PKT_COMPRESSED:
-       rc = do_compressed( out, ctb, pkt->pkt.compressed );
-       break;
-      case PKT_SIGNATURE:
-       rc = do_signature( out, ctb, pkt->pkt.signature );
-       break;
-      case PKT_ONEPASS_SIG:
-       rc = do_onepass_sig( out, ctb, pkt->pkt.onepass_sig );
-       break;
-      case PKT_RING_TRUST:
-       break; /* ignore it (keyring.c does write it directly)*/
-      case PKT_MDC: /* we write it directly, so we should never see it here. */
-      default:
-       log_bug("invalid packet type in build_packet()\n");
-       break;
-      }
+  if (new_ctb || pkttype > 15) /* new format */
+    ctb = (0xc0 | (pkttype & 0x3f));
+  else
+    ctb = (0x80 | ((pkttype & 15)<<2));
+  switch (pkttype)
+    {
+    case PKT_ATTRIBUTE:
+    case PKT_USER_ID:
+      rc = do_user_id (out, ctb, pkt->pkt.user_id);
+      break;
+    case PKT_OLD_COMMENT:
+    case PKT_COMMENT:
+      /* Ignore these.  Theoretically, this will never be called as we
+       * have no way to output comment packets any longer, but just in
+       * case there is some code path that would end up outputting a
+       * comment that was written before comments were dropped (in the
+       * public key?) this is a no-op.         */
+      break;
+    case PKT_PUBLIC_SUBKEY:
+    case PKT_PUBLIC_KEY:
+    case PKT_SECRET_SUBKEY:
+    case PKT_SECRET_KEY:
+      rc = do_key (out, ctb, pkt->pkt.public_key);
+      break;
+    case PKT_SYMKEY_ENC:
+      rc = do_symkey_enc (out, ctb, pkt->pkt.symkey_enc);
+      break;
+    case PKT_PUBKEY_ENC:
+      rc = do_pubkey_enc (out, ctb, pkt->pkt.pubkey_enc);
+      break;
+    case PKT_PLAINTEXT:
+      rc = do_plaintext (out, ctb, pkt->pkt.plaintext);
+      break;
+    case PKT_ENCRYPTED:
+      rc = do_encrypted (out, ctb, pkt->pkt.encrypted);
+      break;
+    case PKT_ENCRYPTED_MDC:
+      rc = do_encrypted_mdc (out, ctb, pkt->pkt.encrypted);
+      break;
+    case PKT_ENCRYPTED_AEAD:
+      rc = do_encrypted_aead (out, ctb, pkt->pkt.encrypted);
+      break;
+    case PKT_COMPRESSED:
+      rc = do_compressed (out, ctb, pkt->pkt.compressed);
+      break;
+    case PKT_SIGNATURE:
+      rc = do_signature (out, ctb, pkt->pkt.signature);
+      break;
+    case PKT_ONEPASS_SIG:
+      rc = do_onepass_sig (out, ctb, pkt->pkt.onepass_sig);
+      break;
+    case PKT_RING_TRUST:
+      /* Ignore it (only written by build_packet_and_meta)  */
+      break;
+    case PKT_MDC:
+      /* We write it directly, so we should never see it here. */
+    default:
+      log_bug ("invalid packet type in build_packet()\n");
+      break;
+    }
 
-    return rc;
+  return rc;
+}
+
+
+/* Build a packet and write it to the stream OUT.  This variant also
+ * writes the meta data using ring trust packets.  Returns: 0 on
+ * success or on error code.  */
+gpg_error_t
+build_packet_and_meta (iobuf_t out, PACKET *pkt)
+{
+  gpg_error_t err;
+  PKT_ring_trust rt = {0};
+
+  err = build_packet (out, pkt);
+  if (err)
+    ;
+  else if (pkt->pkttype == PKT_SIGNATURE)
+    {
+      PKT_signature *sig = pkt->pkt.signature;
+
+      rt.subtype = RING_TRUST_SIG;
+      /* Note: trustval is not yet used.  */
+      if (sig->flags.checked)
+        {
+          rt.sigcache = 1;
+          if (sig->flags.valid)
+            rt.sigcache |= 2;
+        }
+      err = do_ring_trust (out, &rt);
+    }
+  else if (pkt->pkttype == PKT_USER_ID
+           || pkt->pkttype == PKT_ATTRIBUTE)
+    {
+      PKT_user_id *uid = pkt->pkt.user_id;
+
+      rt.subtype = RING_TRUST_UID;
+      rt.keyorg = uid->keyorg;
+      rt.keyupdate = uid->keyupdate;
+      rt.url = uid->updateurl;
+      err = do_ring_trust (out, &rt);
+      rt.url = NULL;
+    }
+  else if (pkt->pkttype == PKT_PUBLIC_KEY
+           || pkt->pkttype == PKT_SECRET_KEY)
+    {
+      PKT_public_key *pk = pkt->pkt.public_key;
+
+      rt.subtype = RING_TRUST_KEY;
+      rt.keyorg = pk->keyorg;
+      rt.keyupdate = pk->keyupdate;
+      rt.url = pk->updateurl;
+      err = do_ring_trust (out, &rt);
+      rt.url = NULL;
+
+    }
+
+  return err;
 }
 
 
@@ -263,34 +329,35 @@ gpg_mpi_write_nohdr (iobuf_t out, gcry_mpi_t a)
 u32
 calc_packet_length( PACKET *pkt )
 {
-    u32 n=0;
-    int new_ctb = 0;
-
-    assert( pkt->pkt.generic );
-    switch( pkt->pkttype ) {
-      case PKT_PLAINTEXT:
-       n = calc_plaintext( pkt->pkt.plaintext );
-       new_ctb = pkt->pkt.plaintext->new_ctb;
-       break;
-      case PKT_ATTRIBUTE:
-      case PKT_USER_ID:
-      case PKT_COMMENT:
-      case PKT_PUBLIC_KEY:
-      case PKT_SECRET_KEY:
-      case PKT_SYMKEY_ENC:
-      case PKT_PUBKEY_ENC:
-      case PKT_ENCRYPTED:
-      case PKT_SIGNATURE:
-      case PKT_ONEPASS_SIG:
-      case PKT_RING_TRUST:
-      case PKT_COMPRESSED:
-      default:
-       log_bug("invalid packet type in calc_packet_length()");
-       break;
+  u32 n = 0;
+  int new_ctb = 0;
+
+  log_assert (pkt->pkt.generic);
+  switch (pkt->pkttype)
+    {
+    case PKT_PLAINTEXT:
+      n = calc_plaintext (pkt->pkt.plaintext);
+      new_ctb = pkt->pkt.plaintext->new_ctb;
+      break;
+    case PKT_ATTRIBUTE:
+    case PKT_USER_ID:
+    case PKT_COMMENT:
+    case PKT_PUBLIC_KEY:
+    case PKT_SECRET_KEY:
+    case PKT_SYMKEY_ENC:
+    case PKT_PUBKEY_ENC:
+    case PKT_ENCRYPTED:
+    case PKT_SIGNATURE:
+    case PKT_ONEPASS_SIG:
+    case PKT_RING_TRUST:
+    case PKT_COMPRESSED:
+    default:
+      log_bug ("invalid packet type in calc_packet_length()");
+      break;
     }
 
-    n += calc_header_length(n, new_ctb);
-    return n;
+  n += calc_header_length (n, new_ctb);
+  return n;
 }
 
 
@@ -302,6 +369,8 @@ write_fake_data (IOBUF out, gcry_mpi_t a)
 
   if (!a)
     return 0;
+  if (!gcry_mpi_get_flag (a, GCRYMPI_FLAG_OPAQUE))
+    return 0; /* e.g. due to generating a key with wrong usage.  */
   p = gcry_mpi_get_opaque ( a, &n);
   if (!p)
     return 0; /* For example due to a read error in
@@ -310,27 +379,67 @@ write_fake_data (IOBUF out, gcry_mpi_t a)
 }
 
 
-/* Serialize the user id (RFC 4880, Section 5.11) or the user
-   attribute UID (Section 5.12) and write it to OUT.
+/* Write a ring trust meta packet.  */
+static gpg_error_t
+do_ring_trust (iobuf_t out, PKT_ring_trust *rt)
+{
+  unsigned int namelen = 0;
+  unsigned int pktlen = 6;
 
-   CTB is the serialization's CTB.  It specifies the header format and
-   the packet's type.  The header length must not be set.  */
+  if (rt->subtype == RING_TRUST_KEY || rt->subtype == RING_TRUST_UID)
+    {
+      if (rt->url)
+        namelen = strlen (rt->url);
+      pktlen += 1 + 4 + 1 + namelen;
+    }
+
+  write_header (out, (0x80 | ((PKT_RING_TRUST & 15)<<2)), pktlen);
+  iobuf_put (out, rt->trustval);
+  iobuf_put (out, rt->sigcache);
+  iobuf_write (out, "gpg", 3);
+  iobuf_put (out, rt->subtype);
+  if (rt->subtype == RING_TRUST_KEY || rt->subtype == RING_TRUST_UID)
+    {
+      iobuf_put (out, rt->keyorg);
+      write_32 (out, rt->keyupdate);
+      iobuf_put (out, namelen);
+      if (namelen)
+        iobuf_write (out, rt->url, namelen);
+    }
+
+  return 0;
+}
+
+
+/* Serialize the user id (RFC 4880, Section 5.11) or the user
+ * attribute UID (Section 5.12) and write it to OUT.
+ *
+ * CTB is the serialization's CTB.  It specifies the header format and
+ * the packet's type.  The header length must not be set.  */
 static int
 do_user_id( IOBUF out, int ctb, PKT_user_id *uid )
 {
   int rc;
+  int hdrlen;
 
   log_assert (ctb_pkttype (ctb) == PKT_USER_ID
               || ctb_pkttype (ctb) == PKT_ATTRIBUTE);
 
+  /* We need to take special care of a user ID with a length of 0:
+   * Without forcing HDRLEN to 2 in this case an indeterminate length
+   * packet would be written which is not allowed.  Note that we are
+   * always called with a CTB indicating an old packet header format,
+   * so that forcing a 2 octet header works.  */
   if (uid->attrib_data)
     {
-      write_header(out, ctb, uid->attrib_len);
+      hdrlen = uid->attrib_len? 0 : 2;
+      write_header2 (out, ctb, uid->attrib_len, hdrlen);
       rc = iobuf_write( out, uid->attrib_data, uid->attrib_len );
     }
   else
     {
-      write_header2( out, ctb, uid->len, 2 );
+      hdrlen = uid->len? 0 : 2;
+      write_header2 (out, ctb, uid->len, hdrlen);
       rc = iobuf_write( out, uid->name, uid->len );
     }
   return rc;
@@ -338,17 +447,17 @@ do_user_id( IOBUF out, int ctb, PKT_user_id *uid )
 
 
 /* Serialize the key (RFC 4880, Section 5.5) described by PK and write
  it to OUT.
-
  This function serializes both primary keys and subkeys with or
  without a secret part.
-
  CTB is the serialization's CTB.  It specifies the header format and
  the packet's type.  The header length must not be set.
-
  PK->VERSION specifies the serialization format.  A value of 0 means
  to use the default version.  Currently, only version 4 packets are
  supported.
* it to OUT.
+ *
* This function serializes both primary keys and subkeys with or
* without a secret part.
+ *
* CTB is the serialization's CTB.  It specifies the header format and
* the packet's type.  The header length must not be set.
+ *
* PK->VERSION specifies the serialization format.  A value of 0 means
* to use the default version.  Currently, only version 4 packets are
* supported.
  */
 static int
 do_key (iobuf_t out, int ctb, PKT_public_key *pk)
@@ -465,7 +574,7 @@ do_key (iobuf_t out, int ctb, PKT_public_key *pk)
           byte *p;
           unsigned int ndatabits;
 
-          assert (gcry_mpi_get_flag (pk->pkey[npkey], GCRYMPI_FLAG_OPAQUE));
+          log_assert (gcry_mpi_get_flag (pk->pkey[npkey], GCRYMPI_FLAG_OPAQUE));
           p = gcry_mpi_get_opaque (pk->pkey[npkey], &ndatabits);
           if (p)
             iobuf_write (a, p, (ndatabits+7)/8 );
@@ -486,7 +595,7 @@ do_key (iobuf_t out, int ctb, PKT_public_key *pk)
       /* Build the header of the packet - which we must do after
          writing all the other stuff, so that we know the length of
          the packet */
-      write_header2 (out, ctb, iobuf_get_temp_length(a), pk->hdrbytes);
+      write_header2 (out, ctb, iobuf_get_temp_length(a), 0);
        /* And finally write it out to the real stream. */
       err = iobuf_write_temp (out, a);
     }
@@ -495,54 +604,51 @@ do_key (iobuf_t out, int ctb, PKT_public_key *pk)
   return err;
 }
 
-/* Serialize the symmetric-key encrypted session key packet (RFC 4880,
-   5.3) described by ENC and write it to OUT.
 
-   CTB is the serialization's CTB.  It specifies the header format and
-   the packet's type.  The header length must not be set.  */
+/* Serialize the symmetric-key encrypted session key packet (RFC 4880,
+ * 5.3) described by ENC and write it to OUT.
+ *
+ * CTB is the serialization's CTB.  It specifies the header format and
+ * the packet's type.  The header length must not be set.  */
 static int
 do_symkey_enc( IOBUF out, int ctb, PKT_symkey_enc *enc )
 {
-    int rc = 0;
-    IOBUF a = iobuf_temp();
-
-    log_assert (ctb_pkttype (ctb) == PKT_SYMKEY_ENC);
+  int rc = 0;
+  IOBUF a = iobuf_temp();
 
-    /* The only acceptable version.  */
-    assert( enc->version == 4 );
+  log_assert (ctb_pkttype (ctb) == PKT_SYMKEY_ENC);
+  log_assert (enc->version == 4 || enc->version == 5);
 
-    /* RFC 4880, Section 3.7.  */
-    switch( enc->s2k.mode )
-      {
-      /* Simple S2K.  */
-      case 0:
-      /* Salted S2K.  */
-      case 1:
-      /* Iterated and salted S2K.  */
-      case 3:
-        /* Reasonable values.  */
-        break;
+  switch (enc->s2k.mode)
+    {
+    case 0: /* Simple S2K.  */
+    case 1: /* Salted S2K.  */
+    case 3: /* Iterated and salted S2K.  */
+      break; /* Reasonable values.  */
 
-      default:
-        log_bug("do_symkey_enc: s2k=%d\n", enc->s2k.mode );
+    default:
+      log_bug ("do_symkey_enc: s2k=%d\n", enc->s2k.mode);
     }
-    iobuf_put( a, enc->version );
-    iobuf_put( a, enc->cipher_algo );
-    iobuf_put( a, enc->s2k.mode );
-    iobuf_put( a, enc->s2k.hash_algo );
-    if( enc->s2k.mode == 1 || enc->s2k.mode == 3 ) {
-       iobuf_write(a, enc->s2k.salt, 8 );
-       if( enc->s2k.mode == 3 )
-           iobuf_put(a, enc->s2k.count);
+  iobuf_put (a, enc->version);
+  iobuf_put (a, enc->cipher_algo);
+  if (enc->version == 5)
+    iobuf_put (a, enc->aead_algo);
+  iobuf_put (a, enc->s2k.mode);
+  iobuf_put (a, enc->s2k.hash_algo);
+  if (enc->s2k.mode == 1 || enc->s2k.mode == 3)
+    {
+      iobuf_write (a, enc->s2k.salt, 8);
+      if (enc->s2k.mode == 3)
+        iobuf_put (a, enc->s2k.count);
     }
-    if( enc->seskeylen )
-       iobuf_write(a, enc->seskey, enc->seskeylen );
+  if (enc->seskeylen)
+    iobuf_write (a, enc->seskey, enc->seskeylen);
 
-    write_header(out, ctb, iobuf_get_temp_length(a) );
-    rc = iobuf_write_temp( out, a );
+  write_header (out, ctb, iobuf_get_temp_length(a));
+  rc = iobuf_write_temp (out, a);
 
-    iobuf_close(a);
-    return rc;
+  iobuf_close (a);
+  return rc;
 }
 
 
@@ -618,7 +724,12 @@ calc_plaintext( PKT_plaintext *pt )
    after this much data has been read.)  If PT->LEN is 0 and CTB
    indicates that this is a new format packet, then partial block mode
    is assumed to have been enabled on OUT.  On success, partial block
-   mode is disabled.  */
+   mode is disabled.
+
+   If PT->BUF is NULL, the caller must write out the data.  In
+   this case, if PT->LEN was 0, then partial body length mode was
+   enabled and the caller must disable it by calling
+   iobuf_set_partial_body_length_mode (out, 0).  */
 static int
 do_plaintext( IOBUF out, int ctb, PKT_plaintext *pt )
 {
@@ -629,6 +740,7 @@ do_plaintext( IOBUF out, int ctb, PKT_plaintext *pt )
 
     write_header(out, ctb, calc_plaintext( pt ) );
     log_assert (pt->mode == 'b' || pt->mode == 't' || pt->mode == 'u'
+                || pt->mode == 'm'
                 || pt->mode == 'l' || pt->mode == '1');
     iobuf_put(out, pt->mode );
     iobuf_put(out, pt->namelen );
@@ -637,13 +749,16 @@ do_plaintext( IOBUF out, int ctb, PKT_plaintext *pt )
     if (rc)
       return rc;
 
-    nbytes = iobuf_copy (out, pt->buf);
-    if(ctb_new_format_p (ctb) && !pt->len)
-      /* Turn off partial body length mode.  */
-      iobuf_set_partial_body_length_mode (out, 0);
-    if( pt->len && nbytes != pt->len )
-      log_error("do_plaintext(): wrote %lu bytes but expected %lu bytes\n",
-               (ulong)nbytes, (ulong)pt->len );
+    if (pt->buf)
+      {
+        nbytes = iobuf_copy (out, pt->buf);
+        if(ctb_new_format_p (ctb) && !pt->len)
+          /* Turn off partial body length mode.  */
+          iobuf_set_partial_body_length_mode (out, 0);
+        if( pt->len && nbytes != pt->len )
+          log_error("do_plaintext(): wrote %lu bytes but expected %lu bytes\n",
+                    (ulong)nbytes, (ulong)pt->len );
+      }
 
     return rc;
 }
@@ -702,6 +817,32 @@ do_encrypted_mdc( IOBUF out, int ctb, PKT_encrypted *ed )
 }
 
 
+/* Serialize the symmetrically AEAD encrypted data packet
+ * (rfc4880bis-03, Section 5.16) described by ED and write it to OUT.
+ *
+ * Note: this only writes only packet's header.  The caller must then
+ * follow up and write the actual encrypted data.  This should be done
+ * by pushing the the cipher_filter_aead.  */
+static int
+do_encrypted_aead (iobuf_t out, int ctb, PKT_encrypted *ed)
+{
+  u32 n;
+
+  log_assert (ctb_pkttype (ctb) == PKT_ENCRYPTED_AEAD);
+
+  n = ed->len ? (ed->len + ed->extralen + 4) : 0;
+  write_header (out, ctb, n );
+  iobuf_writebyte (out, 1); /* Version.  */
+  iobuf_writebyte (out, ed->cipher_algo);
+  iobuf_writebyte (out, ed->aead_algo);
+  iobuf_writebyte (out, ed->chunkbyte);
+
+  /* This is all. The caller has to write the encrypted data */
+
+  return 0;
+}
+
+
 /* Serialize the compressed packet (RFC 4880, Section 5.6) described
    by CD and write it to OUT.
 
@@ -790,7 +931,7 @@ delete_sig_subpkt (subpktarea_t *area, sigsubpkttype_t reqtype )
 
     if (!okay)
         log_error ("delete_subpkt: buffer shorter than subpacket\n");
-    assert (unused <= area->len);
+    log_assert (unused <= area->len);
     area->len -= unused;
     return !!unused;
 }
@@ -963,28 +1104,44 @@ build_sig_subpkt (PKT_signature *sig, sigsubpkttype_t type,
        sig->unhashed = newarea;
 }
 
-/****************
+/*
  * Put all the required stuff from SIG into subpackets of sig.
+ * PKSK is the signing key.
  * Hmmm, should we delete those subpackets which are in a wrong area?
  */
 void
-build_sig_subpkt_from_sig( PKT_signature *sig )
+build_sig_subpkt_from_sig (PKT_signature *sig, PKT_public_key *pksk)
 {
     u32  u;
-    byte buf[8];
+    byte buf[1+MAX_FINGERPRINT_LEN];
+    size_t fprlen;
 
-    u = sig->keyid[0];
-    buf[0] = (u >> 24) & 0xff;
-    buf[1] = (u >> 16) & 0xff;
-    buf[2] = (u >>  8) & 0xff;
-    buf[3] = u & 0xff;
-    u = sig->keyid[1];
-    buf[4] = (u >> 24) & 0xff;
-    buf[5] = (u >> 16) & 0xff;
-    buf[6] = (u >>  8) & 0xff;
-    buf[7] = u & 0xff;
-    build_sig_subpkt( sig, SIGSUBPKT_ISSUER, buf, 8 );
+    /* For v4 keys we need to write the ISSUER subpacket.  We do not
+     * want that for a future v5 format.  */
+    if (pksk->version < 5)
+      {
+        u = sig->keyid[0];
+        buf[0] = (u >> 24) & 0xff;
+        buf[1] = (u >> 16) & 0xff;
+        buf[2] = (u >>  8) & 0xff;
+        buf[3] = u & 0xff;
+        u = sig->keyid[1];
+        buf[4] = (u >> 24) & 0xff;
+        buf[5] = (u >> 16) & 0xff;
+        buf[6] = (u >>  8) & 0xff;
+        buf[7] = u & 0xff;
+        build_sig_subpkt (sig, SIGSUBPKT_ISSUER, buf, 8);
+      }
 
+    /* Write the new ISSUER_FPR subpacket.  */
+    fingerprint_from_pk (pksk, buf+1, &fprlen);
+    if (fprlen == 20)
+      {
+        buf[0] = pksk->version;
+        build_sig_subpkt (sig, SIGSUBPKT_ISSUER_FPR, buf, 21);
+      }
+
+    /* Write the timestamp.  */
     u = sig->timestamp;
     buf[0] = (u >> 24) & 0xff;
     buf[1] = (u >> 16) & 0xff;
@@ -1081,7 +1238,7 @@ notation_value_to_human_readable_string (struct notation *notation)
           preview[i] = '?';
       preview[i] = 0;
 
-      return xasprintf (_("[ not human readable (%zd bytes: %s%s) ]"),
+      return xasprintf (_("[ not human readable (%zu bytes: %s%s) ]"),
                         len, preview, i < len ? "..." : "");
     }
   else
@@ -1188,15 +1345,91 @@ string_to_notation(const char *string,int is_utf8)
   return NULL;
 }
 
-/* Return all of the notations stored in the signature SIG.  The
-   caller must free them using free_notation().  */
+/* Like string_to_notation, but store opaque data rather than human
+   readable data.  */
+struct notation *
+blob_to_notation(const char *name, const char *data, size_t len)
+{
+  const char *s;
+  int saw_at=0;
+  struct notation *notation;
+
+  notation=xmalloc_clear(sizeof(*notation));
+
+  if(*name=='-')
+    {
+      notation->flags.ignore=1;
+      name++;
+    }
+
+  if(*name=='!')
+    {
+      notation->flags.critical=1;
+      name++;
+    }
+
+  /* If and when the IETF assigns some official name tags, we'll have
+     to add them here. */
+
+  for( s=name ; *s; s++ )
+    {
+      if( *s=='@')
+       saw_at++;
+
+      /* -notationname is legal without an = sign */
+      if(!*s && notation->flags.ignore)
+       break;
+
+      if (*s == '=')
+        {
+          log_error(_("a notation name may not contain an '=' character\n"));
+          goto fail;
+        }
+
+      if (!isascii (*s) || (!isgraph(*s) && !isspace(*s)))
+       {
+         log_error(_("a notation name must have only printable characters"
+                     " or spaces\n") );
+         goto fail;
+       }
+    }
+
+  notation->name=xstrdup (name);
+
+  if(!saw_at && !opt.expert)
+    {
+      log_error(_("a user notation name must contain the '@' character\n"));
+      goto fail;
+    }
+
+  if (saw_at > 1)
+    {
+      log_error(_("a notation name must not contain more than"
+                 " one '@' character\n"));
+      goto fail;
+    }
+
+  notation->bdat = xmalloc (len);
+  memcpy (notation->bdat, data, len);
+  notation->blen = len;
+
+  notation->value = notation_value_to_human_readable_string (notation);
+
+  return notation;
+
+ fail:
+  free_notation(notation);
+  return NULL;
+}
+
 struct notation *
 sig_to_notation(PKT_signature *sig)
 {
   const byte *p;
   size_t len;
-  int seq=0,crit;
-  struct notation *list=NULL;
+  int seq = 0;
+  int crit;
+  notation_t list = NULL;
 
   /* See RFC 4880, 5.2.3.16 for the format of notation data.  In
      short, a notation has:
@@ -1241,6 +1474,7 @@ sig_to_notation(PKT_signature *sig)
          n->value=xmalloc(n2+1);
          memcpy(n->value,&p[8+n1],n2);
          n->value[n2]='\0';
+          n->flags.human = 1;
        }
       else
         /* Binary data.  */
@@ -1354,7 +1588,7 @@ do_signature( IOBUF out, int ctb, PKT_signature *sig )
 static int
 do_onepass_sig( IOBUF out, int ctb, PKT_onepass_sig *ops )
 {
-  log_assert (ctb_pkttype (ctb) == PKT_ONEPASS_SIG);
+    log_assert (ctb_pkttype (ctb) == PKT_ONEPASS_SIG);
 
     write_header(out, ctb, 4 + 8 + 1);