gpg: default to AES-256.
[gnupg.git] / g10 / ecdh.c
index f97667a..6c2a56b 100644 (file)
@@ -14,7 +14,7 @@
  * GNU General Public License for more details.
  *
  * You should have received a copy of the GNU General Public License
- * along with this program; if not, see <http://www.gnu.org/licenses/>.
+ * along with this program; if not, see <https://www.gnu.org/licenses/>.
  */
 
 #include <config.h>
 #include <stdlib.h>
 #include <string.h>
 #include <errno.h>
-#include <assert.h>
 
 #include "gpg.h"
-#include "util.h"
+#include "../common/util.h"
 #include "pkglue.h"
 #include "main.h"
 #include "options.h"
@@ -75,8 +74,8 @@ pk_ecdh_default_params (unsigned int qbits)
           break;
         }
     }
-  assert (i < DIM (kek_params_table));
-  if (DBG_CIPHER)
+  log_assert (i < DIM (kek_params_table));
+  if (DBG_CRYPTO)
     log_printhex ("ECDH KEK params are", kek_params, sizeof(kek_params) );
 
   return gcry_mpi_set_opaque (NULL, kek_params, 4 * 8);
@@ -86,16 +85,10 @@ pk_ecdh_default_params (unsigned int qbits)
 /* Encrypts/decrypts DATA using a key derived from the ECC shared
    point SHARED_MPI using the FIPS SP 800-56A compliant method
    key_derivation+key_wrapping.  If IS_ENCRYPT is true the function
-   encrypts; if false, it decrypts.  On success the result is stored
-   at R_RESULT; on failure NULL is stored at R_RESULT and an error
-   code returned.
-
-   FIXME: explain PKEY and PK_FP.
- */
-
-/*
-   TODO: memory leaks (x_secret).
-*/
+   encrypts; if false, it decrypts.  PKEY is the public key and PK_FP
+   the fingerprint of this public key.  On success the result is
+   stored at R_RESULT; on failure NULL is stored at R_RESULT and an
+   error code returned.  */
 gpg_error_t
 pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
                                    const byte pk_fp[MAX_FINGERPRINT_LEN],
@@ -139,12 +132,33 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
         return err;
       }
 
+    /* Expected size of the x component */
     secret_x_size = (nbits+7)/8;
-    assert (nbytes > secret_x_size);
-    memmove (secret_x, secret_x+1, secret_x_size);
-    memset (secret_x+secret_x_size, 0, nbytes-secret_x_size);
 
-    if (DBG_CIPHER)
+    /* Extract X from the result.  It must be in the format of:
+           04 || X || Y
+           40 || X
+           41 || X
+
+       Since it always comes with the prefix, it's larger than X.  In
+       old experimental version of libgcrypt, there is a case where it
+       returns X with no prefix of 40, so, nbytes == secret_x_size
+       is allowed.  */
+    if (nbytes < secret_x_size)
+      {
+        xfree (secret_x);
+        return gpg_error (GPG_ERR_BAD_DATA);
+      }
+
+    /* Remove the prefix.  */
+    if ((nbytes & 1))
+      memmove (secret_x, secret_x+1, secret_x_size);
+
+    /* Clear the rest of data.  */
+    if (nbytes - secret_x_size)
+      memset (secret_x+secret_x_size, 0, nbytes-secret_x_size);
+
+    if (DBG_CRYPTO)
       log_printhex ("ECDH shared secret X is:", secret_x, secret_x_size );
   }
 
@@ -157,21 +171,27 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
    * a KEK.
    */
   if (!gcry_mpi_get_flag (pkey[2], GCRYMPI_FLAG_OPAQUE))
-    return GPG_ERR_BUG;
+    {
+      xfree (secret_x);
+      return gpg_error (GPG_ERR_BUG);
+    }
   kek_params = gcry_mpi_get_opaque (pkey[2], &nbits);
   kek_params_size = (nbits+7)/8;
 
-  if (DBG_CIPHER)
+  if (DBG_CRYPTO)
     log_printhex ("ecdh KDF params:", kek_params, kek_params_size);
 
   /* Expect 4 bytes  03 01 hash_alg symm_alg.  */
   if (kek_params_size != 4 || kek_params[0] != 3 || kek_params[1] != 1)
-    return GPG_ERR_BAD_PUBKEY;
+    {
+      xfree (secret_x);
+      return gpg_error (GPG_ERR_BAD_PUBKEY);
+    }
 
   kdf_hash_algo = kek_params[2];
   kdf_encr_algo = kek_params[3];
 
-  if (DBG_CIPHER)
+  if (DBG_CRYPTO)
     log_debug ("ecdh KDF algorithms %s+%s with aeswrap\n",
                openpgp_md_algo_name (kdf_hash_algo),
                openpgp_cipher_algo_name (kdf_encr_algo));
@@ -179,11 +199,17 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
   if (kdf_hash_algo != GCRY_MD_SHA256
       && kdf_hash_algo != GCRY_MD_SHA384
       && kdf_hash_algo != GCRY_MD_SHA512)
-    return GPG_ERR_BAD_PUBKEY;
-  if (kdf_encr_algo != GCRY_CIPHER_AES128
-      && kdf_encr_algo != GCRY_CIPHER_AES192
-      && kdf_encr_algo != GCRY_CIPHER_AES256)
-    return GPG_ERR_BAD_PUBKEY;
+    {
+      xfree (secret_x);
+      return gpg_error (GPG_ERR_BAD_PUBKEY);
+    }
+  if (kdf_encr_algo != CIPHER_ALGO_AES
+      && kdf_encr_algo != CIPHER_ALGO_AES192
+      && kdf_encr_algo != CIPHER_ALGO_AES256)
+    {
+      xfree (secret_x);
+      return gpg_error (GPG_ERR_BAD_PUBKEY);
+    }
 
   /* Build kdf_params.  */
   {
@@ -191,11 +217,11 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
 
     obuf = iobuf_temp();
     /* variable-length field 1, curve name OID */
-    err = gpg_mpi_write (obuf, pkey[0]);
+    err = gpg_mpi_write_nohdr (obuf, pkey[0]);
     /* fixed-length field 2 */
     iobuf_put (obuf, PUBKEY_ALGO_ECDH);
     /* variable-length field 3, KDF params */
-    err = (err ? err : gpg_mpi_write (obuf, pkey[2]));
+    err = (err ? err : gpg_mpi_write_nohdr (obuf, pkey[2]));
     /* fixed-length field 4 */
     iobuf_write (obuf, "Anonymous Sender    ", 20);
     /* fixed-length field 5, recipient fp */
@@ -204,9 +230,12 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
     message_size = iobuf_temp_to_buffer (obuf, message, sizeof message);
     iobuf_close (obuf);
     if (err)
-      return err;
+      {
+        xfree (secret_x);
+        return err;
+      }
 
-    if(DBG_CIPHER)
+    if(DBG_CRYPTO)
       log_printhex ("ecdh KDF message params are:", message, message_size);
   }
 
@@ -216,29 +245,33 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
     int old_size;
 
     err = gcry_md_open (&h, kdf_hash_algo, 0);
-    if(err)
-       log_bug ("gcry_md_open failed for algo %d: %s",
-                 kdf_hash_algo, gpg_strerror (err));
+    if (err)
+      {
+        log_error ("gcry_md_open failed for kdf_hash_algo %d: %s",
+                   kdf_hash_algo, gpg_strerror (err));
+        xfree (secret_x);
+        return err;
+      }
     gcry_md_write(h, "\x00\x00\x00\x01", 4);      /* counter = 1 */
-    gcry_md_write(h, secret_x, secret_x_size);   /* x of the point X */
-    gcry_md_write(h, message, message_size);/* KDF parameters */
+    gcry_md_write(h, secret_x, secret_x_size);    /* x of the point X */
+    gcry_md_write(h, message, message_size);      /* KDF parameters */
 
     gcry_md_final (h);
 
-    assert( gcry_md_get_algo_dlen (kdf_hash_algo) >= 32 );
+    log_assert( gcry_md_get_algo_dlen (kdf_hash_algo) >= 32 );
 
     memcpy (secret_x, gcry_md_read (h, kdf_hash_algo),
             gcry_md_get_algo_dlen (kdf_hash_algo));
     gcry_md_close (h);
 
     old_size = secret_x_size;
-    assert( old_size >= gcry_cipher_get_algo_keylen( kdf_encr_algo ) );
+    log_assert( old_size >= gcry_cipher_get_algo_keylen( kdf_encr_algo ) );
     secret_x_size = gcry_cipher_get_algo_keylen( kdf_encr_algo );
-    assert( secret_x_size <= gcry_md_get_algo_dlen (kdf_hash_algo) );
+    log_assert( secret_x_size <= gcry_md_get_algo_dlen (kdf_hash_algo) );
 
     /* We could have allocated more, so clean the tail before returning.  */
-    memset( secret_x+secret_x_size, old_size-secret_x_size, 0 );
-    if (DBG_CIPHER)
+    memset (secret_x+secret_x_size, 0, old_size - secret_x_size);
+    if (DBG_CRYPTO)
       log_printhex ("ecdh KEK is:", secret_x, secret_x_size );
   }
 
@@ -257,11 +290,13 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
       {
         log_error ("ecdh failed to initialize AESWRAP: %s\n",
                    gpg_strerror (err));
+        xfree (secret_x);
         return err;
       }
 
     err = gcry_cipher_setkey (hd, secret_x, secret_x_size);
-    xfree( secret_x );
+    xfree (secret_x);
+    secret_x = NULL;
     if (err)
       {
         gcry_cipher_close (hd);
@@ -271,13 +306,19 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
       }
 
     data_buf_size = (gcry_mpi_get_nbits(data)+7)/8;
-    assert ((data_buf_size & 7) == (is_encrypt ? 0 : 1));
+    if ((data_buf_size & 7) != (is_encrypt ? 0 : 1))
+      {
+        log_error ("can't use a shared secret of %d bytes for ecdh\n",
+                   data_buf_size);
+        return gpg_error (GPG_ERR_BAD_DATA);
+      }
 
     data_buf = xtrymalloc_secure( 1 + 2*data_buf_size + 8);
     if (!data_buf)
       {
+        err = gpg_error_from_syserror ();
         gcry_cipher_close (hd);
-        return GPG_ERR_ENOMEM;
+        return err;
       }
 
     if (is_encrypt)
@@ -296,11 +337,11 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
             return err;
           }
 
-        if (DBG_CIPHER)
+        if (DBG_CRYPTO)
           log_printhex ("ecdh encrypting  :", in, data_buf_size );
 
         err = gcry_cipher_encrypt (hd, data_buf+1, data_buf_size+8,
-                                  in, data_buf_size);
+                                   in, data_buf_size);
         memset (in, 0, data_buf_size);
         gcry_cipher_close (hd);
         if (err)
@@ -312,8 +353,8 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
           }
         data_buf[0] = data_buf_size+8;
 
-        if (DBG_CIPHER)
-         log_printhex ("ecdh encrypted to:", data_buf+1, data_buf[0] );
+        if (DBG_CRYPTO)
+          log_printhex ("ecdh encrypted to:", data_buf+1, data_buf[0] );
 
         result = gcry_mpi_set_opaque (NULL, data_buf, 8 * (1+data_buf[0]));
         if (!result)
@@ -337,19 +378,19 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
         if (!p || nbytes > data_buf_size || !nbytes)
           {
             xfree (data_buf);
-            return GPG_ERR_BAD_MPI;
+            return gpg_error (GPG_ERR_BAD_MPI);
           }
         memcpy (data_buf, p, nbytes);
         if (data_buf[0] != nbytes-1)
-        {
-          log_error ("ecdh inconsistent size\n");
-          xfree (data_buf);
-          return GPG_ERR_BAD_MPI;
-        }
+          {
+            log_error ("ecdh inconsistent size\n");
+            xfree (data_buf);
+            return gpg_error (GPG_ERR_BAD_MPI);
+          }
         in = data_buf+data_buf_size;
         data_buf_size = data_buf[0];
 
-        if (DBG_CIPHER)
+        if (DBG_CRYPTO)
           log_printhex ("ecdh decrypting :", data_buf+1, data_buf_size);
 
         err = gcry_cipher_decrypt (hd, in, data_buf_size, data_buf+1,
@@ -365,15 +406,15 @@ pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
 
         data_buf_size -= 8;
 
-        if (DBG_CIPHER)
+        if (DBG_CRYPTO)
           log_printhex ("ecdh decrypted to :", in, data_buf_size);
 
         /* Padding is removed later.  */
         /* if (in[data_buf_size-1] > 8 ) */
         /*   { */
-        /*     log_error("ecdh failed at decryption: invalid padding. %02x > 8\n", */
-        /*               in[data_buf_size-1] ); */
-        /*     return GPG_ERR_BAD_KEY; */
+        /*     log_error ("ecdh failed at decryption: invalid padding." */
+        /*                " 0x%02x > 8\n", in[data_buf_size-1] ); */
+        /*     return gpg_error (GPG_ERR_BAD_KEY); */
         /*   } */
 
         err = gcry_mpi_scan (&result, GCRYMPI_FMT_USG, in, data_buf_size, NULL);
@@ -399,12 +440,12 @@ gen_k (unsigned nbits)
   gcry_mpi_t k;
 
   k = gcry_mpi_snew (nbits);
-  if (DBG_CIPHER)
+  if (DBG_CRYPTO)
     log_debug ("choosing a random k of %u bits\n", nbits);
 
   gcry_mpi_randomize (k, nbits-1, GCRY_STRONG_RANDOM);
 
-  if (DBG_CIPHER)
+  if (DBG_CRYPTO)
     {
       unsigned char *buffer;
       if (gcry_mpi_aprint (GCRYMPI_FMT_HEX, &buffer, NULL, k))