gpg,sm: String changes for compliance diagnostics.
[gnupg.git] / g10 / sig-check.c
index 4530a64..60e988e 100644 (file)
  * GNU General Public License for more details.
  *
  * You should have received a copy of the GNU General Public License
- * along with this program; if not, see <http://www.gnu.org/licenses/>.
+ * along with this program; if not, see <https://www.gnu.org/licenses/>.
  */
 
 #include <config.h>
 #include <stdio.h>
 #include <stdlib.h>
 #include <string.h>
-#include <assert.h>
 
 #include "gpg.h"
-#include "util.h"
+#include "../common/util.h"
 #include "packet.h"
 #include "keydb.h"
 #include "main.h"
-#include "status.h"
-#include "i18n.h"
+#include "../common/status.h"
+#include "../common/i18n.h"
 #include "options.h"
 #include "pkglue.h"
+#include "../common/compliance.h"
 
 static int check_signature_end (PKT_public_key *pk, PKT_signature *sig,
                                gcry_md_hd_t digest,
@@ -43,12 +43,33 @@ static int check_signature_end (PKT_public_key *pk, PKT_signature *sig,
 static int check_signature_end_simple (PKT_public_key *pk, PKT_signature *sig,
                                        gcry_md_hd_t digest);
 
+
+/* Statistics for signature verification.  */
+struct
+{
+  unsigned int total;  /* Total number of verifications.  */
+  unsigned int cached; /* Number of seen cache entries.  */
+  unsigned int goodsig;/* Number of good verifications from the cache.  */
+  unsigned int badsig; /* Number of bad verifications from the cache.  */
+} cache_stats;
+
+
+/* Dump verification stats.  */
+void
+sig_check_dump_stats (void)
+{
+  log_info ("sig_cache: total=%u cached=%u good=%u bad=%u\n",
+            cache_stats.total, cache_stats.cached,
+            cache_stats.goodsig, cache_stats.badsig);
+}
+
+
 /* Check a signature.  This is shorthand for check_signature2 with
    the unnamed arguments passed as NULL.  */
 int
-check_signature (PKT_signature *sig, gcry_md_hd_t digest)
+check_signature (ctrl_t ctrl, PKT_signature *sig, gcry_md_hd_t digest)
 {
-    return check_signature2 (sig, digest, NULL, NULL, NULL, NULL);
+  return check_signature2 (ctrl, sig, digest, NULL, NULL, NULL, NULL);
 }
 
 
@@ -85,26 +106,41 @@ check_signature (PKT_signature *sig, gcry_md_hd_t digest)
  * revoked (0 otherwise).  Note: PK being revoked does not cause this
  * function to fail.
  *
- * If PK is not NULL, the public key is saved in *PK on success.
+ * If R_PK is not NULL, the public key is stored at that address if it
+ * was found; other wise NULL is stored.
  *
  * Returns 0 on success.  An error code otherwise.  */
-int
-check_signature2 (PKT_signature *sig, gcry_md_hd_t digest, u32 *r_expiredate,
-                 int *r_expired, int *r_revoked, PKT_public_key *pk )
+gpg_error_t
+check_signature2 (ctrl_t ctrl,
+                  PKT_signature *sig, gcry_md_hd_t digest, u32 *r_expiredate,
+                 int *r_expired, int *r_revoked, PKT_public_key **r_pk)
 {
     int rc=0;
-    int pk_internal;
+    PKT_public_key *pk;
 
-    if (pk)
-      pk_internal = 0;
-    else
-      {
-       pk_internal = 1;
-       pk = xmalloc_clear( sizeof *pk );
-      }
+    if (r_expiredate)
+      *r_expiredate = 0;
+    if (r_expired)
+      *r_expired = 0;
+    if (r_revoked)
+      *r_revoked = 0;
+    if (r_pk)
+      *r_pk = NULL;
+
+    pk = xtrycalloc (1, sizeof *pk);
+    if (!pk)
+      return gpg_error_from_syserror ();
 
     if ( (rc=openpgp_md_test_algo(sig->digest_algo)) )
       ; /* We don't have this digest. */
+    else if (! gnupg_digest_is_allowed (opt.compliance, 0, sig->digest_algo))
+      {
+       /* Compliance failure.  */
+       log_info (_("digest algorithm '%s' may not be used in %s mode\n"),
+                 gcry_md_algo_name (sig->digest_algo),
+                 gnupg_compliance_option_string (opt.compliance));
+       rc = gpg_error (GPG_ERR_DIGEST_ALGO);
+      }
     else if ((rc=openpgp_pk_test_algo(sig->pubkey_algo)))
       ; /* We don't have this pubkey algo. */
     else if (!gcry_md_is_enabled (digest,sig->digest_algo))
@@ -115,14 +151,25 @@ check_signature2 (PKT_signature *sig, gcry_md_hd_t digest, u32 *r_expiredate,
           header is missing or does not match the actual sig. */
 
         log_info(_("WARNING: signature digest conflict in message\n"));
-       rc = GPG_ERR_GENERAL;
+       rc = gpg_error (GPG_ERR_GENERAL);
       }
-    else if( get_pubkey( pk, sig->keyid ) )
-       rc = GPG_ERR_NO_PUBKEY;
-    else if(!pk->flags.valid && !pk->flags.primary)
+    else if( get_pubkey (ctrl, pk, sig->keyid ) )
+      rc = gpg_error (GPG_ERR_NO_PUBKEY);
+    else if (! gnupg_pk_is_allowed (opt.compliance, PK_USE_VERIFICATION,
+                                   pk->pubkey_algo, pk->pkey,
+                                    nbits_from_pk (pk),
+                                   NULL))
       {
-        /* You cannot have a good sig from an invalid subkey.  */
-        rc = GPG_ERR_BAD_PUBKEY;
+       /* Compliance failure.  */
+       log_error (_("key %s may not be used for signing in %s mode\n"),
+                   keystr_from_pk (pk),
+                   gnupg_compliance_option_string (opt.compliance));
+       rc = gpg_error (GPG_ERR_PUBKEY_ALGO);
+      }
+    else if(!pk->flags.valid)
+      {
+        /* You cannot have a good sig from an invalid key.  */
+        rc = gpg_error (GPG_ERR_BAD_PUBKEY);
       }
     else
       {
@@ -137,7 +184,7 @@ check_signature2 (PKT_signature *sig, gcry_md_hd_t digest, u32 *r_expiredate,
           them as their own.  The attacker couldn't actually use the
           subkey, but they could try and claim ownership of any
           signatures issued by it. */
-       if(rc==0 && !pk->flags.primary && pk->flags.backsig < 2)
+       if (!rc && !pk->flags.primary && pk->flags.backsig < 2)
          {
            if (!pk->flags.backsig)
              {
@@ -149,25 +196,16 @@ check_signature2 (PKT_signature *sig, gcry_md_hd_t digest, u32 *r_expiredate,
                      error.  TODO: change the default to require this
                      after more keys have backsigs. */
                if(opt.flags.require_cross_cert)
-                 rc = GPG_ERR_GENERAL;
+                 rc = gpg_error (GPG_ERR_GENERAL);
              }
            else if(pk->flags.backsig == 1)
              {
                log_info(_("WARNING: signing subkey %s has an invalid"
                           " cross-certification\n"),keystr_from_pk(pk));
-               rc = GPG_ERR_GENERAL;
+               rc = gpg_error (GPG_ERR_GENERAL);
              }
          }
-      }
 
-    if (pk_internal || rc)
-      {
-       release_public_key_parts (pk);
-       if (pk_internal)
-         xfree (pk);
-       else
-         /* Be very sure that the caller doesn't try to use *PK.  */
-         memset (pk, 0, sizeof (*pk));
       }
 
     if( !rc && sig->sig_class < 2 && is_status_enabled() ) {
@@ -236,6 +274,14 @@ check_signature2 (PKT_signature *sig, gcry_md_hd_t digest, u32 *r_expiredate,
        xfree (buffer);
     }
 
+    if (r_pk)
+      *r_pk = pk;
+    else
+      {
+       release_public_key_parts (pk);
+        xfree (pk);
+      }
+
     return rc;
 }
 
@@ -557,14 +603,14 @@ cache_sig_result ( PKT_signature *sig, int result )
  * revoked, B is still revoked.  I'm not completely convinced this is
  * the proper behavior, but it matches how PGP does it. -dms */
 int
-check_revocation_keys (PKT_public_key *pk, PKT_signature *sig)
+check_revocation_keys (ctrl_t ctrl, PKT_public_key *pk, PKT_signature *sig)
 {
   static int busy=0;
   int i;
   int rc = GPG_ERR_GENERAL;
 
-  assert(IS_KEY_REV(sig));
-  assert((sig->keyid[0]!=pk->keyid[0]) || (sig->keyid[0]!=pk->keyid[1]));
+  log_assert (IS_KEY_REV(sig));
+  log_assert ((sig->keyid[0]!=pk->keyid[0]) || (sig->keyid[0]!=pk->keyid[1]));
 
   /* Avoid infinite recursion.  Consider the following:
    *
@@ -613,7 +659,8 @@ check_revocation_keys (PKT_public_key *pk, PKT_signature *sig)
          /* The revoker's keyid.  */
           u32 keyid[2];
 
-          keyid_from_fingerprint(pk->revkey[i].fpr,MAX_FINGERPRINT_LEN,keyid);
+          keyid_from_fingerprint (ctrl, pk->revkey[i].fpr,
+                                  MAX_FINGERPRINT_LEN, keyid);
 
           if(keyid[0]==sig->keyid[0] && keyid[1]==sig->keyid[1])
            /* The signature was generated by a designated revoker.
@@ -626,7 +673,7 @@ check_revocation_keys (PKT_public_key *pk, PKT_signature *sig)
               hash_public_key(md,pk);
              /* Note: check_signature only checks that the signature
                 is good.  It does not fail if the key is revoked.  */
-              rc=check_signature(sig,md);
+              rc = check_signature (ctrl, sig, md);
              cache_sig_result(sig,rc);
               gcry_md_close (md);
              break;
@@ -682,9 +729,11 @@ check_backsig (PKT_public_key *main_pk,PKT_public_key *sub_pk,
  * passed as NULL.  See the documentation for that function for more
  * details.  */
 int
-check_key_signature (KBNODE root, KBNODE node, int *is_selfsig)
+check_key_signature (ctrl_t ctrl, kbnode_t root, kbnode_t node,
+                     int *is_selfsig)
 {
-  return check_key_signature2 (root, node, NULL, NULL, is_selfsig, NULL, NULL);
+  return check_key_signature2 (ctrl, root, node, NULL, NULL,
+                               is_selfsig, NULL, NULL);
 }
 
 
@@ -722,7 +771,7 @@ check_key_signature (KBNODE root, KBNODE node, int *is_selfsig)
    generated the signature (i.e., the signer) on success.  This must
    be released by the caller using release_public_key_parts ().  */
 gpg_error_t
-check_signature_over_key_or_uid (PKT_public_key *signer,
+check_signature_over_key_or_uid (ctrl_t ctrl, PKT_public_key *signer,
                                  PKT_signature *sig, KBNODE kb, PACKET *packet,
                                  int *is_selfsig, PKT_public_key *ret_pk)
 {
@@ -798,15 +847,20 @@ check_signature_over_key_or_uid (PKT_public_key *signer,
             *is_selfsig = 1;
         }
       else
-        /* See if one of the subkeys was the signer (although this is
-           extremely unlikely).  */
         {
           kbnode_t ctx = NULL;
           kbnode_t n;
 
-          while ((n = walk_kbnode (kb, &ctx, PKT_PUBLIC_SUBKEY)))
+          /* See if one of the subkeys was the signer (although this
+             is extremely unlikely).  */
+          while ((n = walk_kbnode (kb, &ctx, 0)))
             {
-              PKT_public_key *subk = n->pkt->pkt.public_key;
+              PKT_public_key *subk;
+
+              if (n->pkt->pkttype != PKT_PUBLIC_SUBKEY)
+                continue;
+
+              subk = n->pkt->pkt.public_key;
               if (sig->keyid[0] == subk->keyid[0]
                   && sig->keyid[1] == subk->keyid[1])
                 /* Issued by a subkey.  */
@@ -833,7 +887,7 @@ check_signature_over_key_or_uid (PKT_public_key *signer,
                   signer_alloced = 2;
                 }
 
-              rc = get_pubkey (signer, sig->keyid);
+              rc = get_pubkey (ctrl, signer, sig->keyid);
               if (rc)
                 {
                   xfree (signer);
@@ -857,14 +911,14 @@ check_signature_over_key_or_uid (PKT_public_key *signer,
       /* Primary key revocation.  */
       || sig->sig_class == 0x20)
     {
-      assert (packet->pkttype == PKT_PUBLIC_KEY);
+      log_assert (packet->pkttype == PKT_PUBLIC_KEY);
       hash_public_key (md, packet->pkt.public_key);
       rc = check_signature_end_simple (signer, sig, md);
     }
   else if (/* Primary key binding (made by a subkey).  */
       sig->sig_class == 0x19)
     {
-      assert (packet->pkttype == PKT_PUBLIC_KEY);
+      log_assert (packet->pkttype == PKT_PUBLIC_KEY);
       hash_public_key (md, packet->pkt.public_key);
       hash_public_key (md, signer);
       rc = check_signature_end_simple (signer, sig, md);
@@ -874,7 +928,7 @@ check_signature_over_key_or_uid (PKT_public_key *signer,
            /* Subkey revocation.  */
            || sig->sig_class == 0x28)
     {
-      assert (packet->pkttype == PKT_PUBLIC_SUBKEY);
+      log_assert (packet->pkttype == PKT_PUBLIC_SUBKEY);
       hash_public_key (md, pripk);
       hash_public_key (md, packet->pkt.public_key);
       rc = check_signature_end_simple (signer, sig, md);
@@ -887,7 +941,7 @@ check_signature_over_key_or_uid (PKT_public_key *signer,
            /* Certification revocation.  */
            || sig->sig_class == 0x30)
     {
-      assert (packet->pkttype == PKT_USER_ID);
+      log_assert (packet->pkttype == PKT_USER_ID);
       hash_public_key (md, pripk);
       hash_uid_packet (packet->pkt.user_id, md, sig);
       rc = check_signature_end_simple (signer, sig, md);
@@ -949,7 +1003,8 @@ check_signature_over_key_or_uid (PKT_public_key *signer,
  * TODO: add r_revoked here as well.  It has the same problems as
  * r_expiredate and r_expired and the cache.  */
 int
-check_key_signature2 (kbnode_t root, kbnode_t node, PKT_public_key *check_pk,
+check_key_signature2 (ctrl_t ctrl,
+                      kbnode_t root, kbnode_t node, PKT_public_key *check_pk,
                       PKT_public_key *ret_pk, int *is_selfsig,
                       u32 *r_expiredate, int *r_expired )
 {
@@ -964,8 +1019,8 @@ check_key_signature2 (kbnode_t root, kbnode_t node, PKT_public_key *check_pk,
     *r_expiredate = 0;
   if (r_expired)
     *r_expired = 0;
-  assert (node->pkt->pkttype == PKT_SIGNATURE);
-  assert (root->pkt->pkttype == PKT_PUBLIC_KEY);
+  log_assert (node->pkt->pkttype == PKT_SIGNATURE);
+  log_assert (root->pkt->pkttype == PKT_PUBLIC_KEY);
 
   pk = root->pkt->pkt.public_key;
   sig = node->pkt->pkt.signature;
@@ -977,8 +1032,10 @@ check_key_signature2 (kbnode_t root, kbnode_t node, PKT_public_key *check_pk,
      cache refresh detects and clears these cases. */
   if ( !opt.no_sig_cache )
     {
+      cache_stats.total++;
       if (sig->flags.checked) /* Cached status available.  */
         {
+          cache_stats.cached++;
           if (is_selfsig)
             {
               u32 keyid[2];
@@ -992,7 +1049,13 @@ check_key_signature2 (kbnode_t root, kbnode_t node, PKT_public_key *check_pk,
           rc = check_signature_metadata_validity (pk, sig, r_expired, NULL);
           if (rc)
             return rc;
-          return sig->flags.valid? 0 : gpg_error (GPG_ERR_BAD_SIGNATURE);
+          if (sig->flags.valid)
+            {
+              cache_stats.goodsig++;
+              return 0;
+            }
+          cache_stats.badsig++;
+          return gpg_error (GPG_ERR_BAD_SIGNATURE);
         }
     }
 
@@ -1010,13 +1073,14 @@ check_key_signature2 (kbnode_t root, kbnode_t node, PKT_public_key *check_pk,
 
       /* Is it a designated revoker? */
       if (keyid[0] != sig->keyid[0] || keyid[1] != sig->keyid[1])
-        rc = check_revocation_keys (pk, sig);
+        rc = check_revocation_keys (ctrl, pk, sig);
       else
         {
           rc = check_signature_metadata_validity (pk, sig,
                                                   r_expired, NULL);
           if (! rc)
-            rc = check_signature_over_key_or_uid (pk, sig, root, root->pkt,
+            rc = check_signature_over_key_or_uid (ctrl, pk, sig,
+                                                  root, root->pkt,
                                                   is_selfsig, ret_pk);
         }
     }
@@ -1031,7 +1095,8 @@ check_key_signature2 (kbnode_t root, kbnode_t node, PKT_public_key *check_pk,
                                                   r_expired, NULL);
           if (! rc)
             /* 0x28 must be a self-sig, but 0x18 needn't be.  */
-            rc = check_signature_over_key_or_uid (sig->sig_class == 0x18
+            rc = check_signature_over_key_or_uid (ctrl,
+                                                  sig->sig_class == 0x18
                                                   ? NULL : pk,
                                                   sig, root, snode->pkt,
                                                   is_selfsig, ret_pk);
@@ -1055,7 +1120,7 @@ check_key_signature2 (kbnode_t root, kbnode_t node, PKT_public_key *check_pk,
         rc = check_signature_metadata_validity (pk, sig,
                                                 r_expired, NULL);
         if (! rc)
-          rc = check_signature_over_key_or_uid (pk, sig, root, root->pkt,
+          rc = check_signature_over_key_or_uid (ctrl, pk, sig, root, root->pkt,
                                                 is_selfsig, ret_pk);
       }
     else if (/* Certification.  */
@@ -1074,7 +1139,8 @@ check_key_signature2 (kbnode_t root, kbnode_t node, PKT_public_key *check_pk,
             if (! rc)
               /* If this is a self-sig, ignore check_pk.  */
               rc = check_signature_over_key_or_uid
-                (keyid_cmp (pk_keyid (pk), sig->keyid) == 0 ? pk : check_pk,
+                (ctrl,
+                 keyid_cmp (pk_keyid (pk), sig->keyid) == 0 ? pk : check_pk,
                  sig, root, unode->pkt, NULL, ret_pk);
           }
        else
@@ -1086,7 +1152,13 @@ check_key_signature2 (kbnode_t root, kbnode_t node, PKT_public_key *check_pk,
          }
       }
   else
-      BUG ();
+    {
+      log_info ("sig issued by %s with class %d (digest: %02x %02x)"
+                " is not valid over a user id or a key id, ignoring.\n",
+                keystr (sig->keyid), sig->sig_class,
+                sig->digest_start[0], sig->digest_start[1]);
+      rc = gpg_error (GPG_ERR_BAD_SIGNATURE);
+    }
 
   cache_sig_result  (sig, rc);