Added some missing ChangeLog entries.
[libgcrypt.git] / cipher / elgamal.c
1 /* elgamal.c  -  ElGamal Public Key encryption
2  * Copyright (C) 1998, 2000, 2001, 2002 Free Software Foundation, Inc.
3  *
4  * This file is part of Libgcrypt.
5  *
6  * Libgcrypt is free software; you can redistribute it and/or modify
7  * it under the terms of the GNU Lesser general Public License as
8  * published by the Free Software Foundation; either version 2.1 of
9  * the License, or (at your option) any later version.
10  *
11  * Libgcrypt is distributed in the hope that it will be useful,
12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14  * GNU Lesser General Public License for more details.
15  *
16  * You should have received a copy of the GNU Lesser General Public
17  * License along with this program; if not, write to the Free Software
18  * Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA
19  *
20  * For a description of the algorithm, see:
21  *   Bruce Schneier: Applied Cryptography. John Wiley & Sons, 1996.
22  *   ISBN 0-471-11709-9. Pages 476 ff.
23  */
24
25 #include <config.h>
26 #include <stdio.h>
27 #include <stdlib.h>
28 #include <string.h>
29 #include "g10lib.h"
30 #include "mpi.h"
31 #include "cipher.h"
32 #include "elgamal.h"
33
34 typedef struct {
35     MPI p;          /* prime */
36     MPI g;          /* group generator */
37     MPI y;          /* g^x mod p */
38 } ELG_public_key;
39
40
41 typedef struct {
42     MPI p;          /* prime */
43     MPI g;          /* group generator */
44     MPI y;          /* g^x mod p */
45     MPI x;          /* secret exponent */
46 } ELG_secret_key;
47
48
49 static void test_keys( ELG_secret_key *sk, unsigned nbits );
50 static MPI gen_k( MPI p );
51 static void generate( ELG_secret_key *sk, unsigned nbits, MPI **factors );
52 static int  check_secret_key( ELG_secret_key *sk );
53 static void do_encrypt(MPI a, MPI b, MPI input, ELG_public_key *pkey );
54 static void decrypt(MPI output, MPI a, MPI b, ELG_secret_key *skey );
55 static void sign(MPI a, MPI b, MPI input, ELG_secret_key *skey);
56 static int  verify(MPI a, MPI b, MPI input, ELG_public_key *pkey);
57
58
59 static void (*progress_cb) ( void *, const char *, int, int, int );
60 static void *progress_cb_data;
61
62 void
63 _gcry_register_pk_elg_progress ( void (*cb)( void *,const char*, int,int,int),
64                                  void *cb_data )
65 {
66     progress_cb = cb;
67     progress_cb_data = cb_data;
68 }
69
70
71 static void
72 progress( int c )
73 {
74   if (progress_cb)
75     progress_cb (progress_cb_data, "pk_elg", c, 0, 0);
76 }
77
78
79 /****************
80  * Michael Wiener's table on subgroup sizes to match field sizes
81  * (floating around somewhere - Fixme: need a reference)
82  */
83 static unsigned int
84 wiener_map( unsigned int n )
85 {
86     static struct { unsigned int p_n, q_n; } t[] =
87     {   /*   p    q      attack cost */
88         {  512, 119 },  /* 9 x 10^17 */
89         {  768, 145 },  /* 6 x 10^21 */
90         { 1024, 165 },  /* 7 x 10^24 */
91         { 1280, 183 },  /* 3 x 10^27 */
92         { 1536, 198 },  /* 7 x 10^29 */
93         { 1792, 212 },  /* 9 x 10^31 */
94         { 2048, 225 },  /* 8 x 10^33 */
95         { 2304, 237 },  /* 5 x 10^35 */
96         { 2560, 249 },  /* 3 x 10^37 */
97         { 2816, 259 },  /* 1 x 10^39 */
98         { 3072, 269 },  /* 3 x 10^40 */
99         { 3328, 279 },  /* 8 x 10^41 */
100         { 3584, 288 },  /* 2 x 10^43 */
101         { 3840, 296 },  /* 4 x 10^44 */
102         { 4096, 305 },  /* 7 x 10^45 */
103         { 4352, 313 },  /* 1 x 10^47 */
104         { 4608, 320 },  /* 2 x 10^48 */
105         { 4864, 328 },  /* 2 x 10^49 */
106         { 5120, 335 },  /* 3 x 10^50 */
107         { 0, 0 }
108     };
109     int i;
110
111     for(i=0; t[i].p_n; i++ )  {
112         if( n <= t[i].p_n )
113             return t[i].q_n;
114     }
115     /* not in table - use some arbitrary high number ;-) */
116     return  n / 8 + 200;
117 }
118
119 static void
120 test_keys( ELG_secret_key *sk, unsigned nbits )
121 {
122     ELG_public_key pk;
123     MPI test = gcry_mpi_new ( 0 );
124     MPI out1_a = gcry_mpi_new ( nbits );
125     MPI out1_b = gcry_mpi_new ( nbits );
126     MPI out2 = gcry_mpi_new ( nbits );
127
128     pk.p = sk->p;
129     pk.g = sk->g;
130     pk.y = sk->y;
131
132     gcry_mpi_randomize( test, nbits, GCRY_WEAK_RANDOM );
133
134     do_encrypt( out1_a, out1_b, test, &pk );
135     decrypt( out2, out1_a, out1_b, sk );
136     if( mpi_cmp( test, out2 ) )
137         log_fatal("ElGamal operation: encrypt, decrypt failed\n");
138
139     sign( out1_a, out1_b, test, sk );
140     if( !verify( out1_a, out1_b, test, &pk ) )
141         log_fatal("ElGamal operation: sign, verify failed\n");
142
143     gcry_mpi_release ( test );
144     gcry_mpi_release ( out1_a );
145     gcry_mpi_release ( out1_b );
146     gcry_mpi_release ( out2 );
147 }
148
149
150 /****************
151  * generate a random secret exponent k from prime p, so
152  * that k is relatively prime to p-1
153  */
154 static MPI
155 gen_k( MPI p )
156 {
157     MPI k = mpi_alloc_secure( 0 );
158     MPI temp = mpi_alloc( mpi_get_nlimbs(p) );
159     MPI p_1 = mpi_copy(p);
160     unsigned int orig_nbits = mpi_get_nbits(p);
161     unsigned int nbits, nbytes;
162     char *rndbuf = NULL;
163
164     /* IMO using a k much lesser than p is sufficient and it greatly
165      * improves the encryption performance.  We use Wiener's table
166      * and add a large safety margin.
167      */
168     nbits = wiener_map( orig_nbits ) * 3 / 2;
169     if( nbits >= orig_nbits )
170         BUG();
171
172     nbytes = (nbits+7)/8;
173     if( DBG_CIPHER )
174         log_debug("choosing a random k ");
175     mpi_sub_ui( p_1, p, 1);
176     for(;;) {
177         if( !rndbuf || nbits < 32 ) {
178             gcry_free(rndbuf);
179             rndbuf = gcry_random_bytes_secure( nbytes, GCRY_STRONG_RANDOM );
180         }
181         else { /* change only some of the higher bits */
182             /* we could improve this by directly requesting more memory
183              * at the first call to get_random_bytes() and use this the here
184              * maybe it is easier to do this directly in random.c
185              * Anyway, it is highly inlikely that we will ever reach this code
186              */
187             char *pp = gcry_random_bytes_secure( 4, GCRY_STRONG_RANDOM );
188             memcpy( rndbuf, pp, 4 );
189             gcry_free(pp);
190             log_debug("gen_k: tsss, never expected to reach this\n");
191         }
192         _gcry_mpi_set_buffer( k, rndbuf, nbytes, 0 );
193
194         for(;;) {
195             /* Hmm, actually we don't need this step here
196              * because we use k much smaller than p - we do it anyway
197              * just in case the keep on adding a one to k ;) */
198             if( !(mpi_cmp( k, p_1 ) < 0) ) {  /* check: k < (p-1) */
199                 if( DBG_CIPHER )
200                     progress('+');
201                 break; /* no  */
202             }
203             if( !(mpi_cmp_ui( k, 0 ) > 0) ) { /* check: k > 0 */
204                 if( DBG_CIPHER )
205                     progress('-');
206                 break; /* no */
207             }
208             if( gcry_mpi_gcd( temp, k, p_1 ) )
209                 goto found;  /* okay, k is relatively prime to (p-1) */
210             mpi_add_ui( k, k, 1 );
211             if( DBG_CIPHER )
212                 progress('.');
213         }
214     }
215   found:
216     gcry_free(rndbuf);
217     if( DBG_CIPHER )
218         progress('\n');
219     mpi_free(p_1);
220     mpi_free(temp);
221
222     return k;
223 }
224
225 /****************
226  * Generate a key pair with a key of size NBITS
227  * Returns: 2 structures filles with all needed values
228  *          and an array with n-1 factors of (p-1)
229  */
230 static void
231 generate(  ELG_secret_key *sk, unsigned int nbits, MPI **ret_factors )
232 {
233     MPI p;    /* the prime */
234     MPI p_min1;
235     MPI g;
236     MPI x;    /* the secret exponent */
237     MPI y;
238     MPI temp;
239     unsigned int qbits;
240     unsigned int xbits;
241     byte *rndbuf;
242
243     p_min1 = gcry_mpi_new ( nbits );
244     temp   = gcry_mpi_new( nbits );
245     qbits = wiener_map( nbits );
246     if( qbits & 1 ) /* better have a even one */
247         qbits++;
248     g = mpi_alloc(1);
249     p = _gcry_generate_elg_prime( 0, nbits, qbits, g, ret_factors );
250     mpi_sub_ui(p_min1, p, 1);
251
252
253     /* select a random number which has these properties:
254      *   0 < x < p-1
255      * This must be a very good random number because this is the
256      * secret part.  The prime is public and may be shared anyway,
257      * so a random generator level of 1 is used for the prime.
258      *
259      * I don't see a reason to have a x of about the same size
260      * as the p.  It should be sufficient to have one about the size
261      * of q or the later used k plus a large safety margin. Decryption
262      * will be much faster with such an x.
263      */
264     xbits = qbits * 3 / 2;
265     if( xbits >= nbits )
266         BUG();
267     x = gcry_mpi_snew ( xbits );
268     if( DBG_CIPHER )
269         log_debug("choosing a random x of size %u", xbits );
270     rndbuf = NULL;
271     do {
272         if( DBG_CIPHER )
273             progress('.');
274         if( rndbuf ) { /* change only some of the higher bits */
275             if( xbits < 16 ) {/* should never happen ... */
276                 gcry_free(rndbuf);
277                 rndbuf = gcry_random_bytes_secure( (xbits+7)/8,
278                                                    GCRY_VERY_STRONG_RANDOM );
279             }
280             else {
281                 char *r = gcry_random_bytes_secure( 2,
282                                                    GCRY_VERY_STRONG_RANDOM );
283                 memcpy(rndbuf, r, 2 );
284                 gcry_free(r);
285             }
286         }
287         else {
288             rndbuf = gcry_random_bytes_secure( (xbits+7)/8,
289                                                GCRY_VERY_STRONG_RANDOM );
290         }
291         _gcry_mpi_set_buffer( x, rndbuf, (xbits+7)/8, 0 );
292         mpi_clear_highbit( x, xbits+1 );
293     } while( !( mpi_cmp_ui( x, 0 )>0 && mpi_cmp( x, p_min1 )<0 ) );
294     gcry_free(rndbuf);
295
296     y = gcry_mpi_new (nbits);
297     gcry_mpi_powm( y, g, x, p );
298
299     if( DBG_CIPHER ) {
300         progress('\n');
301         log_mpidump("elg  p= ", p );
302         log_mpidump("elg  g= ", g );
303         log_mpidump("elg  y= ", y );
304         log_mpidump("elg  x= ", x );
305     }
306
307     /* copy the stuff to the key structures */
308     sk->p = p;
309     sk->g = g;
310     sk->y = y;
311     sk->x = x;
312
313     /* now we can test our keys (this should never fail!) */
314     test_keys( sk, nbits - 64 );
315
316     gcry_mpi_release ( p_min1 );
317     gcry_mpi_release ( temp   );
318 }
319
320
321 /****************
322  * Test whether the secret key is valid.
323  * Returns: if this is a valid key.
324  */
325 static int
326 check_secret_key( ELG_secret_key *sk )
327 {
328     int rc;
329     MPI y = mpi_alloc( mpi_get_nlimbs(sk->y) );
330
331     gcry_mpi_powm( y, sk->g, sk->x, sk->p );
332     rc = !mpi_cmp( y, sk->y );
333     mpi_free( y );
334     return rc;
335 }
336
337
338 static void
339 do_encrypt(MPI a, MPI b, MPI input, ELG_public_key *pkey )
340 {
341     MPI k;
342
343     /* Note: maybe we should change the interface, so that it
344      * is possible to check that input is < p and return an
345      * error code.
346      */
347
348     k = gen_k( pkey->p );
349     gcry_mpi_powm( a, pkey->g, k, pkey->p );
350     /* b = (y^k * input) mod p
351      *   = ((y^k mod p) * (input mod p)) mod p
352      * and because input is < p
353      *   = ((y^k mod p) * input) mod p
354      */
355     gcry_mpi_powm( b, pkey->y, k, pkey->p );
356     gcry_mpi_mulm( b, b, input, pkey->p );
357   #if 0
358     if( DBG_CIPHER ) {
359         log_mpidump("elg encrypted y= ", pkey->y);
360         log_mpidump("elg encrypted p= ", pkey->p);
361         log_mpidump("elg encrypted k= ", k);
362         log_mpidump("elg encrypted M= ", input);
363         log_mpidump("elg encrypted a= ", a);
364         log_mpidump("elg encrypted b= ", b);
365     }
366   #endif
367     mpi_free(k);
368 }
369
370
371
372
373 static void
374 decrypt(MPI output, MPI a, MPI b, ELG_secret_key *skey )
375 {
376     MPI t1 = mpi_alloc_secure( mpi_get_nlimbs( skey->p ) );
377
378     /* output = b/(a^x) mod p */
379     gcry_mpi_powm( t1, a, skey->x, skey->p );
380     mpi_invm( t1, t1, skey->p );
381     mpi_mulm( output, b, t1, skey->p );
382   #if 0
383     if( DBG_CIPHER ) {
384         log_mpidump("elg decrypted x= ", skey->x);
385         log_mpidump("elg decrypted p= ", skey->p);
386         log_mpidump("elg decrypted a= ", a);
387         log_mpidump("elg decrypted b= ", b);
388         log_mpidump("elg decrypted M= ", output);
389     }
390   #endif
391     mpi_free(t1);
392 }
393
394
395 /****************
396  * Make an Elgamal signature out of INPUT
397  */
398
399 static void
400 sign(MPI a, MPI b, MPI input, ELG_secret_key *skey )
401 {
402     MPI k;
403     MPI t   = mpi_alloc( mpi_get_nlimbs(a) );
404     MPI inv = mpi_alloc( mpi_get_nlimbs(a) );
405     MPI p_1 = mpi_copy(skey->p);
406
407    /*
408     * b = (t * inv) mod (p-1)
409     * b = (t * inv(k,(p-1),(p-1)) mod (p-1)
410     * b = (((M-x*a) mod (p-1)) * inv(k,(p-1),(p-1))) mod (p-1)
411     *
412     */
413     mpi_sub_ui(p_1, p_1, 1);
414     k = gen_k( skey->p );
415     gcry_mpi_powm( a, skey->g, k, skey->p );
416     mpi_mul(t, skey->x, a );
417     mpi_subm(t, input, t, p_1 );
418     mpi_invm(inv, k, p_1 );
419     mpi_mulm(b, t, inv, p_1 );
420
421   #if 0
422     if( DBG_CIPHER ) {
423         log_mpidump("elg sign p= ", skey->p);
424         log_mpidump("elg sign g= ", skey->g);
425         log_mpidump("elg sign y= ", skey->y);
426         log_mpidump("elg sign x= ", skey->x);
427         log_mpidump("elg sign k= ", k);
428         log_mpidump("elg sign M= ", input);
429         log_mpidump("elg sign a= ", a);
430         log_mpidump("elg sign b= ", b);
431     }
432   #endif
433     mpi_free(k);
434     mpi_free(t);
435     mpi_free(inv);
436     mpi_free(p_1);
437 }
438
439
440 /****************
441  * Returns true if the signature composed of A and B is valid.
442  */
443 static int
444 verify(MPI a, MPI b, MPI input, ELG_public_key *pkey )
445 {
446     int rc;
447     MPI t1;
448     MPI t2;
449     MPI base[4];
450     MPI exp[4];
451
452     if( !(mpi_cmp_ui( a, 0 ) > 0 && mpi_cmp( a, pkey->p ) < 0) )
453         return 0; /* assertion  0 < a < p  failed */
454
455     t1 = mpi_alloc( mpi_get_nlimbs(a) );
456     t2 = mpi_alloc( mpi_get_nlimbs(a) );
457
458   #if 0
459     /* t1 = (y^a mod p) * (a^b mod p) mod p */
460     gcry_mpi_powm( t1, pkey->y, a, pkey->p );
461     gcry_mpi_powm( t2, a, b, pkey->p );
462     mpi_mulm( t1, t1, t2, pkey->p );
463
464     /* t2 = g ^ input mod p */
465     gcry_mpi_powm( t2, pkey->g, input, pkey->p );
466
467     rc = !mpi_cmp( t1, t2 );
468   #elif 0
469     /* t1 = (y^a mod p) * (a^b mod p) mod p */
470     base[0] = pkey->y; exp[0] = a;
471     base[1] = a;       exp[1] = b;
472     base[2] = NULL;    exp[2] = NULL;
473     mpi_mulpowm( t1, base, exp, pkey->p );
474
475     /* t2 = g ^ input mod p */
476     gcry_mpi_powm( t2, pkey->g, input, pkey->p );
477
478     rc = !mpi_cmp( t1, t2 );
479   #else
480     /* t1 = g ^ - input * y ^ a * a ^ b  mod p */
481     mpi_invm(t2, pkey->g, pkey->p );
482     base[0] = t2     ; exp[0] = input;
483     base[1] = pkey->y; exp[1] = a;
484     base[2] = a;       exp[2] = b;
485     base[3] = NULL;    exp[3] = NULL;
486     mpi_mulpowm( t1, base, exp, pkey->p );
487     rc = !mpi_cmp_ui( t1, 1 );
488
489   #endif
490
491     mpi_free(t1);
492     mpi_free(t2);
493     return rc;
494 }
495
496 /*********************************************
497  **************  interface  ******************
498  *********************************************/
499
500 int
501 _gcry_elg_generate( int algo, unsigned nbits, unsigned long dummy,
502                     MPI *skey, MPI **retfactors )
503 {
504     ELG_secret_key sk;
505
506     if( !is_ELGAMAL(algo) )
507         return GCRYERR_INV_PK_ALGO;
508
509     generate( &sk, nbits, retfactors );
510     skey[0] = sk.p;
511     skey[1] = sk.g;
512     skey[2] = sk.y;
513     skey[3] = sk.x;
514     return 0;
515 }
516
517
518 int
519 _gcry_elg_check_secret_key( int algo, MPI *skey )
520 {
521     ELG_secret_key sk;
522
523     if( !is_ELGAMAL(algo) )
524         return GCRYERR_INV_PK_ALGO;
525     if( !skey[0] || !skey[1] || !skey[2] || !skey[3] )
526         return GCRYERR_BAD_MPI;
527
528     sk.p = skey[0];
529     sk.g = skey[1];
530     sk.y = skey[2];
531     sk.x = skey[3];
532     if( !check_secret_key( &sk ) )
533         return GCRYERR_BAD_SECRET_KEY;
534
535     return 0;
536 }
537
538
539
540 int
541 _gcry_elg_encrypt( int algo, MPI *resarr, MPI data, MPI *pkey, int flags)
542 {
543     ELG_public_key pk;
544
545     if( !is_ELGAMAL(algo) )
546         return GCRYERR_INV_PK_ALGO;
547     if( !data || !pkey[0] || !pkey[1] || !pkey[2] )
548         return GCRYERR_BAD_MPI;
549
550     pk.p = pkey[0];
551     pk.g = pkey[1];
552     pk.y = pkey[2];
553     resarr[0] = mpi_alloc( mpi_get_nlimbs( pk.p ) );
554     resarr[1] = mpi_alloc( mpi_get_nlimbs( pk.p ) );
555     do_encrypt( resarr[0], resarr[1], data, &pk );
556     return 0;
557 }
558
559 int
560 _gcry_elg_decrypt( int algo, MPI *result, MPI *data, MPI *skey, int flags)
561 {
562     ELG_secret_key sk;
563
564     if( !is_ELGAMAL(algo) )
565         return GCRYERR_INV_PK_ALGO;
566     if( !data[0] || !data[1]
567         || !skey[0] || !skey[1] || !skey[2] || !skey[3] )
568         return GCRYERR_BAD_MPI;
569
570     sk.p = skey[0];
571     sk.g = skey[1];
572     sk.y = skey[2];
573     sk.x = skey[3];
574     *result = mpi_alloc_secure( mpi_get_nlimbs( sk.p ) );
575     decrypt( *result, data[0], data[1], &sk );
576     return 0;
577 }
578
579 int
580 _gcry_elg_sign( int algo, MPI *resarr, MPI data, MPI *skey )
581 {
582     ELG_secret_key sk;
583
584     if( !is_ELGAMAL(algo) )
585         return GCRYERR_INV_PK_ALGO;
586     if( !data || !skey[0] || !skey[1] || !skey[2] || !skey[3] )
587         return GCRYERR_BAD_MPI;
588
589     sk.p = skey[0];
590     sk.g = skey[1];
591     sk.y = skey[2];
592     sk.x = skey[3];
593     resarr[0] = mpi_alloc( mpi_get_nlimbs( sk.p ) );
594     resarr[1] = mpi_alloc( mpi_get_nlimbs( sk.p ) );
595     sign( resarr[0], resarr[1], data, &sk );
596     return 0;
597 }
598
599 int
600 _gcry_elg_verify( int algo, MPI hash, MPI *data, MPI *pkey,
601                     int (*cmp)(void *, MPI), void *opaquev )
602 {
603     ELG_public_key pk;
604
605     if( !is_ELGAMAL(algo) )
606         return GCRYERR_INV_PK_ALGO;
607     if( !data[0] || !data[1] || !hash
608         || !pkey[0] || !pkey[1] || !pkey[2] )
609         return GCRYERR_BAD_MPI;
610
611     pk.p = pkey[0];
612     pk.g = pkey[1];
613     pk.y = pkey[2];
614     if( !verify( data[0], data[1], hash, &pk ) )
615         return GCRYERR_BAD_SIGNATURE;
616     return 0;
617 }
618
619
620
621 unsigned int
622 _gcry_elg_get_nbits( int algo, MPI *pkey )
623 {
624     if( !is_ELGAMAL(algo) )
625         return 0;
626     return mpi_get_nbits( pkey[0] );
627 }
628
629
630 /****************
631  * Return some information about the algorithm.  We need algo here to
632  * distinguish different flavors of the algorithm.
633  * Returns: A pointer to string describing the algorithm or NULL if
634  *          the ALGO is invalid.
635  * Usage: Bit 0 set : allows signing
636  *            1 set : allows encryption
637  * NOTE: This function allows signing also for ELG-E, which is not
638  * okay but a bad hack to allow to work with old gpg keys. The real check
639  * is done in the gnupg ocde depending on the packet version.
640  */
641 const char *
642 _gcry_elg_get_info( int algo, int *npkey, int *nskey, int *nenc, int *nsig,
643                                                          int *use )
644 {
645     *npkey = 3;
646     *nskey = 4;
647     *nenc = 2;
648     *nsig = 2;
649
650     switch( algo ) {
651       case GCRY_PK_ELG:
652         *use = GCRY_PK_USAGE_SIGN|GCRY_PK_USAGE_ENCR;
653         return "ELG";
654       case GCRY_PK_ELG_E:
655         *use = GCRY_PK_USAGE_SIGN|GCRY_PK_USAGE_ENCR;
656         return "ELG-E";
657       default: *use = 0; return NULL;
658     }
659 }
660
661