g10: Simplify get_seckey_byname: it was never called with NAME not NULL.
[gnupg.git] / g10 / ecdh.c
index 091a28c..a1b7ecf 100644 (file)
@@ -1,5 +1,5 @@
 /* ecdh.c - ECDH public key operations used in public key glue code
- *     Copyright (C) 2000, 2003 Free Software Foundation, Inc.
+ *     Copyright (C) 2010, 2011 Free Software Foundation, Inc.
  *
  * This file is part of GnuPG.
  *
 #include "main.h"
 #include "options.h"
 
-gcry_mpi_t
-pk_ecdh_default_params_to_mpi( int qbits )  {
-  gpg_error_t err;
-  gcry_mpi_t result;
-  /* Defaults are the strongest possible choices. Performance is not an issue here, only interoperability. */
-  byte kek_params[4] = { 
-       3       /*size of following field*/, 
-       1       /*fixed version for KDF+AESWRAP*/, 
-       DIGEST_ALGO_SHA512      /* KEK MD */, 
-       CIPHER_ALGO_AES256      /*KEK AESWRAP alg*/
-  };
-  int i;
-
-  static const struct {
-    int qbits;
-    int openpgp_hash_id;
-    int openpgp_cipher_id;
-  } kek_params_table[] = {
+/* A table with the default KEK parameters used by GnuPG.  */
+static const struct
+{
+  unsigned int qbits;
+  int openpgp_hash_id;   /* KEK digest algorithm. */
+  int openpgp_cipher_id; /* KEK cipher algorithm. */
+} kek_params_table[] =
+  /* Note: Must be sorted by ascending values for QBITS.  */
+  {
     { 256, DIGEST_ALGO_SHA256, CIPHER_ALGO_AES    },
     { 384, DIGEST_ALGO_SHA384, CIPHER_ALGO_AES256 },
-    { 528, DIGEST_ALGO_SHA512, CIPHER_ALGO_AES256 }    // 528 is 521 rounded to the 8 bit boundary
-  };
 
-  for( i=0; i<sizeof(kek_params_table)/sizeof(kek_params_table[0]); i++ )  {
-    if( kek_params_table[i].qbits >= qbits )  {
-      kek_params[2] = kek_params_table[i].openpgp_hash_id;
-      kek_params[3] = kek_params_table[i].openpgp_cipher_id;
-      break;
-    }
-  }
-  if( DBG_CIPHER )
-      log_printhex ("ecdh kek params are", kek_params, sizeof(kek_params) );
+    /* Note: 528 is 521 rounded to the 8 bit boundary */
+    { 528, DIGEST_ALGO_SHA512, CIPHER_ALGO_AES256 }
+  };
 
-  err = gcry_mpi_scan (&result, GCRYMPI_FMT_USG, kek_params, sizeof(kek_params), NULL);
-  if (err)
-    log_fatal ("mpi_scan failed: %s\n", gpg_strerror (err));
 
-  return result;
-}
 
-/* returns allocated (binary) KEK parameters; the size is returned in sizeout. 
- * The caller must free returned value with xfree. 
- * Returns NULL on error 
- */
-byte *
-pk_ecdh_default_params( int qbits, size_t *sizeout )  {
-  /* Defaults are the strongest possible choices. Performance is not an issue here, only interoperability. */
-  byte kek_params[4] = { 
-       3       /*size of following field*/, 
-       1       /*fixed version for KDF+AESWRAP*/, 
-       DIGEST_ALGO_SHA512      /* KEK MD */, 
-       CIPHER_ALGO_AES256      /*KEK AESWRAP alg*/
-  };
+/* Return KEK parameters as an opaque MPI The caller must free the
+   returned value.  Returns NULL and sets ERRNO on error.  */
+gcry_mpi_t
+pk_ecdh_default_params (unsigned int qbits)
+{
+  byte *kek_params;
   int i;
 
-  static const struct {
-    int qbits;
-    int openpgp_hash_id;
-    int openpgp_cipher_id;
-  } kek_params_table[] = {
-    { 256, DIGEST_ALGO_SHA256, CIPHER_ALGO_AES    },
-    { 384, DIGEST_ALGO_SHA384, CIPHER_ALGO_AES256 },
-    { 528, DIGEST_ALGO_SHA512, CIPHER_ALGO_AES256 }    // 528 is 521 rounded to the 8 bit boundary
-  };
-
-  byte *p;
-
-  *sizeout = 0;
+  kek_params = xtrymalloc (4);
+  if (!kek_params)
+    return NULL;
+  kek_params[0] = 3; /* Number of bytes to follow. */
+  kek_params[1] = 1; /* Version for KDF+AESWRAP.   */
 
-  for( i=0; i<sizeof(kek_params_table)/sizeof(kek_params_table[0]); i++ )  {
-    if( kek_params_table[i].qbits >= qbits )  {
-      kek_params[2] = kek_params_table[i].openpgp_hash_id;
-      kek_params[3] = kek_params_table[i].openpgp_cipher_id;
-      break;
+  /* Search for matching KEK parameter.  Defaults to the strongest
+     possible choices.  Performance is not an issue here, only
+     interoperability.  */
+  for (i=0; i < DIM (kek_params_table); i++)
+    {
+      if (kek_params_table[i].qbits >= qbits
+          || i+1 == DIM (kek_params_table))
+        {
+          kek_params[2] = kek_params_table[i].openpgp_hash_id;
+          kek_params[3] = kek_params_table[i].openpgp_cipher_id;
+          break;
+        }
     }
-  }
-  if( DBG_CIPHER )
-      log_printhex ("ecdh kek params are", kek_params, sizeof(kek_params) );
+  assert (i < DIM (kek_params_table));
+  if (DBG_CRYPTO)
+    log_printhex ("ECDH KEK params are", kek_params, sizeof(kek_params) );
 
-  p = xtrymalloc( sizeof(kek_params) );
-  if( p == NULL )
-    return NULL;
-  memcpy( p, kek_params, sizeof(kek_params) );
-  *sizeout = sizeof(kek_params);
-  return p;
+  return gcry_mpi_set_opaque (NULL, kek_params, 4 * 8);
 }
 
-/* Encrypts/decrypts 'data' with a key derived from shared_mpi ECC point using FIPS SP 800-56A compliant method, which is
- * key derivation + key wrapping. The direction is determined by the first parameter (is_encrypt=1 --> this is encryption).
- * The result is returned in out as a size+value MPI.
- * TODO: memory leaks (x_secret).
- */
-static int
-pk_ecdh_encrypt_with_shared_point ( int is_encrypt, gcry_mpi_t shared_mpi, 
-       const byte pk_fp[MAX_FINGERPRINT_LEN], gcry_mpi_t data, gcry_mpi_t * pkey, gcry_mpi_t *out)
+
+/* Encrypts/decrypts DATA using a key derived from the ECC shared
+   point SHARED_MPI using the FIPS SP 800-56A compliant method
+   key_derivation+key_wrapping.  If IS_ENCRYPT is true the function
+   encrypts; if false, it decrypts.  PKEY is the public key and PK_FP
+   the fingerprint of this public key.  On success the result is
+   stored at R_RESULT; on failure NULL is stored at R_RESULT and an
+   error code returned.  */
+gpg_error_t
+pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
+                                   const byte pk_fp[MAX_FINGERPRINT_LEN],
+                                   gcry_mpi_t data, gcry_mpi_t *pkey,
+                                   gcry_mpi_t *r_result)
 {
+  gpg_error_t err;
   byte *secret_x;
   int secret_x_size;
-  byte kdf_params[256];
-  int kdf_params_size=0;
-  int nbits;
+  unsigned int nbits;
+  const unsigned char *kek_params;
+  size_t kek_params_size;
   int kdf_hash_algo;
   int kdf_encr_algo;
-  int rc;
+  unsigned char message[256];
+  size_t message_size;
 
-  *out = NULL;
+  *r_result = NULL;
 
-  nbits = pubkey_nbits( PUBKEY_ALGO_ECDH, pkey );
+  nbits = pubkey_nbits (PUBKEY_ALGO_ECDH, pkey);
+  if (!nbits)
+    return gpg_error (GPG_ERR_TOO_SHORT);
 
   {
     size_t nbytes;
-    /* extract x component of the shared point: this is the actual shared secret */
+
+    /* Extract x component of the shared point: this is the actual
+       shared secret. */
     nbytes = (mpi_get_nbits (pkey[1] /* public point */)+7)/8;
-    secret_x = xmalloc_secure( nbytes );
-    rc = gcry_mpi_print (GCRYMPI_FMT_USG, secret_x, nbytes, &nbytes, shared_mpi);
-    if( rc )  {
-      xfree( secret_x );
-      log_error ("ec ephemeral export of shared point failed: %s\n", gpg_strerror (rc) );
-      return rc;
-    }
-    secret_x_size = (nbits+7)/8; 
-    assert( nbytes > secret_x_size );
-    memmove( secret_x, secret_x+1, secret_x_size );
-    memset( secret_x+secret_x_size, 0, nbytes-secret_x_size );
+    secret_x = xtrymalloc_secure (nbytes);
+    if (!secret_x)
+      return gpg_error_from_syserror ();
+
+    err = gcry_mpi_print (GCRYMPI_FMT_USG, secret_x, nbytes,
+                          &nbytes, shared_mpi);
+    if (err)
+      {
+        xfree (secret_x);
+        log_error ("ECDH ephemeral export of shared point failed: %s\n",
+                   gpg_strerror (err));
+        return err;
+      }
 
-    if( DBG_CIPHER )
-        log_printhex ("ecdh shared secret X is:", secret_x, secret_x_size );
+    secret_x_size = (nbits+7)/8;
+    assert (nbytes >= secret_x_size);
+    if ((nbytes & 1))
+      /* Remove the "04" prefix of non-compressed format.  */
+      memmove (secret_x, secret_x+1, secret_x_size);
+    if (nbytes - secret_x_size)
+      memset (secret_x+secret_x_size, 0, nbytes-secret_x_size);
+
+    if (DBG_CRYPTO)
+      log_printhex ("ECDH shared secret X is:", secret_x, secret_x_size );
   }
 
-  /*** We have now the shared secret bytes in secret_x ***/
+  /*** We have now the shared secret bytes in secret_x. ***/
 
-  /* At this point we are done with PK encryption and the rest of the function uses symmetric 
-   *  key encryption techniques to protect the input 'data'. The following two sections will
-   *  simply replace current secret_x with a value derived from it. This will become a KEK. 
+  /* At this point we are done with PK encryption and the rest of the
+   * function uses symmetric key encryption techniques to protect the
+   * input DATA.  The following two sections will simply replace
+   * current secret_x with a value derived from it.  This will become
+   * a KEK.
    */
-  {
-    IOBUF obuf = iobuf_temp(); 
-    rc = iobuf_write_size_body_mpi ( obuf, pkey[2]  ); /* KEK params */
-
-    kdf_params_size = iobuf_temp_to_buffer( obuf, kdf_params, sizeof(kdf_params) );
+  if (!gcry_mpi_get_flag (pkey[2], GCRYMPI_FLAG_OPAQUE))
+    {
+      xfree (secret_x);
+      return gpg_error (GPG_ERR_BUG);
+    }
+  kek_params = gcry_mpi_get_opaque (pkey[2], &nbits);
+  kek_params_size = (nbits+7)/8;
 
-    if( DBG_CIPHER )
-        log_printhex ("ecdh KDF public key params are:", kdf_params, kdf_params_size );
+  if (DBG_CRYPTO)
+    log_printhex ("ecdh KDF params:", kek_params, kek_params_size);
 
-    if( kdf_params_size != 4 || kdf_params[0] != 3 || kdf_params[1] != 1  )    /* expect 4 bytes  03 01 hash_alg symm_alg */
-      return GPG_ERR_BAD_PUBKEY;
+  /* Expect 4 bytes  03 01 hash_alg symm_alg.  */
+  if (kek_params_size != 4 || kek_params[0] != 3 || kek_params[1] != 1)
+    {
+      xfree (secret_x);
+      return gpg_error (GPG_ERR_BAD_PUBKEY);
+    }
 
-    kdf_hash_algo = kdf_params[2];
-    kdf_encr_algo = kdf_params[3];
+  kdf_hash_algo = kek_params[2];
+  kdf_encr_algo = kek_params[3];
 
-    if( DBG_CIPHER )
-      log_debug ("ecdh KDF algorithms %s+%s with aeswrap\n", gcry_md_algo_name (kdf_hash_algo), openpgp_cipher_algo_name (kdf_encr_algo) );
+  if (DBG_CRYPTO)
+    log_debug ("ecdh KDF algorithms %s+%s with aeswrap\n",
+               openpgp_md_algo_name (kdf_hash_algo),
+               openpgp_cipher_algo_name (kdf_encr_algo));
 
-    if( kdf_hash_algo != GCRY_MD_SHA256 && kdf_hash_algo != GCRY_MD_SHA384 && kdf_hash_algo != GCRY_MD_SHA512 )
-      return GPG_ERR_BAD_PUBKEY;
-    if( kdf_encr_algo != GCRY_CIPHER_AES128 && kdf_encr_algo != GCRY_CIPHER_AES192 && kdf_encr_algo != GCRY_CIPHER_AES256 )
-      return GPG_ERR_BAD_PUBKEY;
-  }
+  if (kdf_hash_algo != GCRY_MD_SHA256
+      && kdf_hash_algo != GCRY_MD_SHA384
+      && kdf_hash_algo != GCRY_MD_SHA512)
+    {
+      xfree (secret_x);
+      return gpg_error (GPG_ERR_BAD_PUBKEY);
+    }
+  if (kdf_encr_algo != CIPHER_ALGO_AES
+      && kdf_encr_algo != CIPHER_ALGO_AES192
+      && kdf_encr_algo != CIPHER_ALGO_AES256)
+    {
+      xfree (secret_x);
+      return gpg_error (GPG_ERR_BAD_PUBKEY);
+    }
 
-  /* build kdf_params */
+  /* Build kdf_params.  */
   {
     IOBUF obuf;
 
     obuf = iobuf_temp();
     /* variable-length field 1, curve name OID */
-    rc = iobuf_write_size_body_mpi ( obuf, pkey[0] );
+    err = gpg_mpi_write_nohdr (obuf, pkey[0]);
     /* fixed-length field 2 */
     iobuf_put (obuf, PUBKEY_ALGO_ECDH);
     /* variable-length field 3, KDF params */
-    rc = (rc ? rc : iobuf_write_size_body_mpi ( obuf, pkey[2] ));
+    err = (err ? err : gpg_mpi_write_nohdr (obuf, pkey[2]));
     /* fixed-length field 4 */
     iobuf_write (obuf, "Anonymous Sender    ", 20);
     /* fixed-length field 5, recipient fp */
-    iobuf_write (obuf, pk_fp, 20);     
+    iobuf_write (obuf, pk_fp, 20);
 
-    kdf_params_size = iobuf_temp_to_buffer( obuf, kdf_params, sizeof(kdf_params) );
-    iobuf_close( obuf );
-    if( rc )  {
-      return rc;
-    }
-    if( DBG_CIPHER )
-        log_printhex ("ecdh KDF message params are:", kdf_params, kdf_params_size );
+    message_size = iobuf_temp_to_buffer (obuf, message, sizeof message);
+    iobuf_close (obuf);
+    if (err)
+      {
+        xfree (secret_x);
+        return err;
+      }
+
+    if(DBG_CRYPTO)
+      log_printhex ("ecdh KDF message params are:", message, message_size);
   }
 
-  /* Derive a KEK (key wrapping key) using kdf_params and secret_x. */
+  /* Derive a KEK (key wrapping key) using MESSAGE and SECRET_X. */
   {
     gcry_md_hd_t h;
     int old_size;
 
-    rc = gcry_md_open (&h, kdf_hash_algo, 0);
-    if(rc)
-       log_bug ("gcry_md_open failed for algo %d: %s",
-                       kdf_hash_algo, gpg_strerror (gcry_error(rc)));
-    gcry_md_write(h, "\x00\x00\x00\x01", 4);   /* counter = 1 */
-    gcry_md_write(h, secret_x, secret_x_size); /* x of the point X */
-    gcry_md_write(h, kdf_params, kdf_params_size);     /* KDF parameters */
+    err = gcry_md_open (&h, kdf_hash_algo, 0);
+    if (err)
+      {
+        log_error ("gcry_md_open failed for kdf_hash_algo %d: %s",
+                   kdf_hash_algo, gpg_strerror (err));
+        xfree (secret_x);
+        return err;
+      }
+    gcry_md_write(h, "\x00\x00\x00\x01", 4);      /* counter = 1 */
+    gcry_md_write(h, secret_x, secret_x_size);   /* x of the point X */
+    gcry_md_write(h, message, message_size);/* KDF parameters */
 
     gcry_md_final (h);
 
     assert( gcry_md_get_algo_dlen (kdf_hash_algo) >= 32 );
 
-    memcpy (secret_x, gcry_md_read (h, kdf_hash_algo), gcry_md_get_algo_dlen (kdf_hash_algo));
+    memcpy (secret_x, gcry_md_read (h, kdf_hash_algo),
+            gcry_md_get_algo_dlen (kdf_hash_algo));
     gcry_md_close (h);
 
     old_size = secret_x_size;
@@ -239,12 +252,13 @@ pk_ecdh_encrypt_with_shared_point ( int is_encrypt, gcry_mpi_t shared_mpi,
     secret_x_size = gcry_cipher_get_algo_keylen( kdf_encr_algo );
     assert( secret_x_size <= gcry_md_get_algo_dlen (kdf_hash_algo) );
 
-    memset( secret_x+secret_x_size, old_size-secret_x_size, 0 );       /* we could have allocated more, so clean the tail before returning */
-    if( DBG_CIPHER )
+    /* We could have allocated more, so clean the tail before returning.  */
+    memset (secret_x+secret_x_size, 0, old_size - secret_x_size);
+    if (DBG_CRYPTO)
       log_printhex ("ecdh KEK is:", secret_x, secret_x_size );
-   }
+  }
 
-  /* And, finally, aeswrap with key secret_x */
+  /* And, finally, aeswrap with key secret_x */
   {
     gcry_cipher_hd_t hd;
     size_t nbytes;
@@ -254,118 +268,152 @@ pk_ecdh_encrypt_with_shared_point ( int is_encrypt, gcry_mpi_t shared_mpi,
 
     gcry_mpi_t result;
 
-    rc = gcry_cipher_open (&hd, kdf_encr_algo, GCRY_CIPHER_MODE_AESWRAP, 0);
-    if (rc)
-    {
-      log_error( "ecdh failed to initialize AESWRAP: %s\n", gpg_strerror (rc));
-      return rc;
-    }
-
-    rc = gcry_cipher_setkey (hd, secret_x, secret_x_size);
-    xfree( secret_x );
-    if (rc)
-    {
-      gcry_cipher_close (hd);
-      log_error("ecdh failed in gcry_cipher_setkey: %s\n", gpg_strerror (rc));
-      return rc;
-    }
-
-    data_buf_size = (gcry_mpi_get_nbits(data)+7)/8;
-    assert( (data_buf_size & 7) == (is_encrypt ? 0 : 1) );
-
-    data_buf = xmalloc_secure( 1 + 2*data_buf_size + 8 );
-    if( !data_buf )  {
-      gcry_cipher_close (hd);
-      return GPG_ERR_ENOMEM;
-    }
-
-    if( is_encrypt )  {
-      byte *in = data_buf+1+data_buf_size+8;
+    err = gcry_cipher_open (&hd, kdf_encr_algo, GCRY_CIPHER_MODE_AESWRAP, 0);
+    if (err)
+      {
+        log_error ("ecdh failed to initialize AESWRAP: %s\n",
+                   gpg_strerror (err));
+        xfree (secret_x);
+        return err;
+      }
 
-      /* write data MPI into the end of data_buf. data_buf is  size aeswrap data */
-      rc = gcry_mpi_print (GCRYMPI_FMT_USG, in, data_buf_size, &nbytes, data/*in*/);
-      if( rc )   {
-        log_error("ecdh failed to export DEK: %s\n", gpg_strerror (rc));
+    err = gcry_cipher_setkey (hd, secret_x, secret_x_size);
+    xfree (secret_x);
+    secret_x = NULL;
+    if (err)
+      {
         gcry_cipher_close (hd);
-        xfree( data_buf );
-        return rc;
+        log_error ("ecdh failed in gcry_cipher_setkey: %s\n",
+                   gpg_strerror (err));
+        return err;
       }
 
-      if( DBG_CIPHER )
-         log_printhex ("ecdh encrypting  :", in, data_buf_size );
-
-      rc = gcry_cipher_encrypt (hd, data_buf+1, data_buf_size+8, in, data_buf_size);
-      memset( in, 0, data_buf_size);
-      gcry_cipher_close (hd);
-      if(rc)
+    data_buf_size = (gcry_mpi_get_nbits(data)+7)/8;
+    if ((data_buf_size & 7) != (is_encrypt ? 0 : 1))
       {
-        log_error("ecdh failed in gcry_cipher_encrypt: %s\n", gpg_strerror (rc));
-        xfree( data_buf );
-        return rc;
+        log_error ("can't use a shared secret of %d bytes for ecdh\n",
+                   data_buf_size);
+        return gpg_error (GPG_ERR_BAD_DATA);
       }
-      data_buf[0] = data_buf_size+8;
 
-      if( DBG_CIPHER )
-         log_printhex ("ecdh encrypted to:", data_buf+1, data_buf[0] );
-
-      rc = gcry_mpi_scan ( &result, GCRYMPI_FMT_USG, data_buf, 1+data_buf[0], NULL); /* (byte)size + aeswrap of DEK */
-      xfree( data_buf );
-      if(rc)
+    data_buf = xtrymalloc_secure( 1 + 2*data_buf_size + 8);
+    if (!data_buf)
       {
-        log_error("ecdh failed to create an MPI: %s\n", gpg_strerror (rc));
-        return rc;
+        err = gpg_error_from_syserror ();
+        gcry_cipher_close (hd);
+        return err;
       }
 
-      *out = result;
-    }
-    else  {
-      byte *in;
-
-      rc = gcry_mpi_print (GCRYMPI_FMT_USG, data_buf, data_buf_size, &nbytes, data/*in*/);
-      if( nbytes != data_buf_size || data_buf[0] != data_buf_size-1 )  {
-        log_error("ecdh inconsistent size\n");
-        xfree( data_buf );
-        return GPG_ERR_BAD_MPI;
-      }
-      in = data_buf+data_buf_size;
-      data_buf_size = data_buf[0];
-
-      if( DBG_CIPHER )
-         log_printhex ("ecdh decrypting :", data_buf+1, data_buf_size );
-      
-      rc = gcry_cipher_decrypt (hd, in, data_buf_size, data_buf+1, data_buf_size );
-      gcry_cipher_close (hd);
-      if(rc)
+    if (is_encrypt)
       {
-        log_error("ecdh failed in gcry_cipher_decrypt: %s\n", gpg_strerror (rc));
-        xfree( data_buf );
-        return rc;
+        byte *in = data_buf+1+data_buf_size+8;
+
+        /* Write data MPI into the end of data_buf. data_buf is size
+           aeswrap data.  */
+        err = gcry_mpi_print (GCRYMPI_FMT_USG, in,
+                             data_buf_size, &nbytes, data/*in*/);
+        if (err)
+          {
+            log_error ("ecdh failed to export DEK: %s\n", gpg_strerror (err));
+            gcry_cipher_close (hd);
+            xfree (data_buf);
+            return err;
+          }
+
+        if (DBG_CRYPTO)
+          log_printhex ("ecdh encrypting  :", in, data_buf_size );
+
+        err = gcry_cipher_encrypt (hd, data_buf+1, data_buf_size+8,
+                                   in, data_buf_size);
+        memset (in, 0, data_buf_size);
+        gcry_cipher_close (hd);
+        if (err)
+          {
+            log_error ("ecdh failed in gcry_cipher_encrypt: %s\n",
+                       gpg_strerror (err));
+            xfree (data_buf);
+            return err;
+          }
+        data_buf[0] = data_buf_size+8;
+
+        if (DBG_CRYPTO)
+          log_printhex ("ecdh encrypted to:", data_buf+1, data_buf[0] );
+
+        result = gcry_mpi_set_opaque (NULL, data_buf, 8 * (1+data_buf[0]));
+        if (!result)
+          {
+            err = gpg_error_from_syserror ();
+            xfree (data_buf);
+            log_error ("ecdh failed to create an MPI: %s\n",
+                       gpg_strerror (err));
+            return err;
+          }
+
+        *r_result = result;
       }
-
-      data_buf_size-=8;
-
-      if( DBG_CIPHER )
-         log_printhex ("ecdh decrypted to :", in, data_buf_size );
-
-      /* padding is removed later */
-      //if( in[data_buf_size-1] > 8 )  {
-      //  log_error("ecdh failed at decryption: invalid padding. %02x > 8\n", in[data_buf_size-1] );
-      //  return GPG_ERR_BAD_KEY;
-      //}
-      rc = gcry_mpi_scan ( &result, GCRYMPI_FMT_USG, in, data_buf_size, NULL);
-      xfree( data_buf );
-      if(rc)
+    else
       {
-        log_error("ecdh failed to create a plain text MPI: %s\n", gpg_strerror (rc));
-        return rc;
+        byte *in;
+        const void *p;
+
+        p = gcry_mpi_get_opaque (data, &nbits);
+        nbytes = (nbits+7)/8;
+        if (!p || nbytes > data_buf_size || !nbytes)
+          {
+            xfree (data_buf);
+            return gpg_error (GPG_ERR_BAD_MPI);
+          }
+        memcpy (data_buf, p, nbytes);
+        if (data_buf[0] != nbytes-1)
+          {
+            log_error ("ecdh inconsistent size\n");
+            xfree (data_buf);
+            return gpg_error (GPG_ERR_BAD_MPI);
+          }
+        in = data_buf+data_buf_size;
+        data_buf_size = data_buf[0];
+
+        if (DBG_CRYPTO)
+          log_printhex ("ecdh decrypting :", data_buf+1, data_buf_size);
+
+        err = gcry_cipher_decrypt (hd, in, data_buf_size, data_buf+1,
+                                   data_buf_size);
+        gcry_cipher_close (hd);
+        if (err)
+          {
+            log_error ("ecdh failed in gcry_cipher_decrypt: %s\n",
+                       gpg_strerror (err));
+            xfree (data_buf);
+            return err;
+          }
+
+        data_buf_size -= 8;
+
+        if (DBG_CRYPTO)
+          log_printhex ("ecdh decrypted to :", in, data_buf_size);
+
+        /* Padding is removed later.  */
+        /* if (in[data_buf_size-1] > 8 ) */
+        /*   { */
+        /*     log_error ("ecdh failed at decryption: invalid padding." */
+        /*                " 0x%02x > 8\n", in[data_buf_size-1] ); */
+        /*     return gpg_error (GPG_ERR_BAD_KEY); */
+        /*   } */
+
+        err = gcry_mpi_scan (&result, GCRYMPI_FMT_USG, in, data_buf_size, NULL);
+        xfree (data_buf);
+        if (err)
+          {
+            log_error ("ecdh failed to create a plain text MPI: %s\n",
+                       gpg_strerror (err));
+            return err;
+          }
+
+        *r_result = result;
       }
-
-      *out = result;
-    }
   }
 
-  return rc;
+  return err;
 }
 
 
@@ -375,89 +423,56 @@ gen_k (unsigned nbits)
   gcry_mpi_t k;
 
   k = gcry_mpi_snew (nbits);
-  if (DBG_CIPHER)
+  if (DBG_CRYPTO)
     log_debug ("choosing a random k of %u bits\n", nbits);
 
   gcry_mpi_randomize (k, nbits-1, GCRY_STRONG_RANDOM);
 
-  if( DBG_CIPHER )  {
-       unsigned char *buffer;
-       if (gcry_mpi_aprint (GCRYMPI_FMT_HEX, &buffer, NULL, k))
-          BUG ();
-        log_debug("ephemeral scalar MPI #0: %s\n", buffer);
-       gcry_free( buffer );
-  }
+  if (DBG_CRYPTO)
+    {
+      unsigned char *buffer;
+      if (gcry_mpi_aprint (GCRYMPI_FMT_HEX, &buffer, NULL, k))
+        BUG ();
+      log_debug ("ephemeral scalar MPI #0: %s\n", buffer);
+      gcry_free (buffer);
+    }
 
   return k;
 }
 
-/* Perform ECDH encryption, which involves ECDH key generation.
- */
-int
-pk_ecdh_encrypt (gcry_mpi_t * resarr, const byte pk_fp[MAX_FINGERPRINT_LEN], gcry_mpi_t data, gcry_mpi_t * pkey)
-{
-  gcry_sexp_t s_ciph, s_data, s_pkey;
 
-  int nbits;
-  int rc;
+/* Generate an ephemeral key for the public ECDH key in PKEY.  On
+   success the generated key is stored at R_K; on failure NULL is
+   stored at R_K and an error code returned.  */
+gpg_error_t
+pk_ecdh_generate_ephemeral_key (gcry_mpi_t *pkey, gcry_mpi_t *r_k)
+{
+  unsigned int nbits;
   gcry_mpi_t k;
 
-  nbits = pubkey_nbits( PUBKEY_ALGO_ECDH, pkey );
-
-  /*** Generate an ephemeral key, actually, a scalar ***/
+  *r_k = NULL;
 
+  nbits = pubkey_nbits (PUBKEY_ALGO_ECDH, pkey);
+  if (!nbits)
+    return gpg_error (GPG_ERR_TOO_SHORT);
   k = gen_k (nbits);
-  if( k == NULL )
+  if (!k)
     BUG ();
 
-  /*** Done with ephemeral key generation. 
-   * Now use ephemeral secret to get the shared secret. ***/
-
-  rc = gcry_sexp_build (&s_pkey, NULL,
-                   "(public-key(ecdh(c%m)(q%m)(p%m)))", pkey[0], pkey[1], pkey[2]);
-  if (rc)
-    BUG ();
-  /* put the data into a simple list */
-  if (gcry_sexp_build (&s_data, NULL, "%m", k))        /* ephemeral scalar goes as data */
-    BUG ();
-
-  /* pass it to libgcrypt */
-  rc = gcry_pk_encrypt (&s_ciph, s_data, s_pkey);
-  gcry_sexp_release (s_data);
-  gcry_sexp_release (s_pkey);
-  if (rc)
-    return rc;
-
-  /* finally, perform encryption */
-
-  {
-    gcry_mpi_t shared = mpi_from_sexp (s_ciph, "a");           /* ... and get the shared point */
-    gcry_sexp_release (s_ciph);
-    resarr[0] = mpi_from_sexp (s_ciph, "b");                   /* ephemeral public key */
-
-    if( DBG_CIPHER )  {
-       unsigned char *buffer;
-       if (gcry_mpi_aprint (GCRYMPI_FMT_HEX, &buffer, NULL, resarr[0]))
-          BUG ();
-        log_debug("ephemeral key MPI: %s\n", buffer);
-       gcry_free( buffer );
-    }
+  *r_k = k;
+  return 0;
+}
 
-    rc = pk_ecdh_encrypt_with_shared_point ( 1 /*=encrypton*/, shared, pk_fp, data, pkey, resarr+1 );
-    mpi_release( shared );
-  }
 
-  return rc;
-}
 
-/* Perform ECDH decryption. 
- */
+/* Perform ECDH decryption.   */
 int
-pk_ecdh_decrypt (gcry_mpi_t * result, const byte sk_fp[MAX_FINGERPRINT_LEN], gcry_mpi_t data, gcry_mpi_t shared, gcry_mpi_t * skey)  {
+pk_ecdh_decrypt (gcry_mpi_t * result, const byte sk_fp[MAX_FINGERPRINT_LEN],
+                 gcry_mpi_t data, gcry_mpi_t shared, gcry_mpi_t * skey)
+{
   if (!data)
     return gpg_error (GPG_ERR_BAD_MPI);
-  return pk_ecdh_encrypt_with_shared_point ( 0 /*=decryption*/, shared, sk_fp, data/*encr data as an MPI*/, skey, result );
+  return pk_ecdh_encrypt_with_shared_point (0 /*=decryption*/, shared,
+                                            sk_fp, data/*encr data as an MPI*/,
+                                            skey, result);
 }
-
-