pubkey: Re-map all depreccated RSA algo numbers.
[libgcrypt.git] / cipher / elgamal.c
1 /* Elgamal.c  -  Elgamal Public Key encryption
2  * Copyright (C) 1998, 2000, 2001, 2002, 2003,
3  *               2008  Free Software Foundation, Inc.
4  * Copyright (C) 2013 g10 Code GmbH
5  *
6  * This file is part of Libgcrypt.
7  *
8  * Libgcrypt is free software; you can redistribute it and/or modify
9  * it under the terms of the GNU Lesser General Public License as
10  * published by the Free Software Foundation; either version 2.1 of
11  * the License, or (at your option) any later version.
12  *
13  * Libgcrypt is distributed in the hope that it will be useful,
14  * but WITHOUT ANY WARRANTY; without even the implied warranty of
15  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16  * GNU Lesser General Public License for more details.
17  *
18  * You should have received a copy of the GNU Lesser General Public
19  * License along with this program; if not, see <http://www.gnu.org/licenses/>.
20  *
21  * For a description of the algorithm, see:
22  *   Bruce Schneier: Applied Cryptography. John Wiley & Sons, 1996.
23  *   ISBN 0-471-11709-9. Pages 476 ff.
24  */
25
26 #include <config.h>
27 #include <stdio.h>
28 #include <stdlib.h>
29 #include <string.h>
30 #include "g10lib.h"
31 #include "mpi.h"
32 #include "cipher.h"
33 #include "pubkey-internal.h"
34
35
36 typedef struct
37 {
38   gcry_mpi_t p;     /* prime */
39   gcry_mpi_t g;     /* group generator */
40   gcry_mpi_t y;     /* g^x mod p */
41 } ELG_public_key;
42
43
44 typedef struct
45 {
46   gcry_mpi_t p;     /* prime */
47   gcry_mpi_t g;     /* group generator */
48   gcry_mpi_t y;     /* g^x mod p */
49   gcry_mpi_t x;     /* secret exponent */
50 } ELG_secret_key;
51
52
53 static const char *elg_names[] =
54   {
55     "elg",
56     "openpgp-elg",
57     "openpgp-elg-sig",
58     NULL,
59   };
60
61
62 static int test_keys (ELG_secret_key *sk, unsigned int nbits, int nodie);
63 static gcry_mpi_t gen_k (gcry_mpi_t p, int small_k);
64 static void generate (ELG_secret_key *sk, unsigned nbits, gcry_mpi_t **factors);
65 static int  check_secret_key (ELG_secret_key *sk);
66 static void do_encrypt (gcry_mpi_t a, gcry_mpi_t b, gcry_mpi_t input,
67                         ELG_public_key *pkey);
68 static void decrypt (gcry_mpi_t output, gcry_mpi_t a, gcry_mpi_t b,
69                      ELG_secret_key *skey);
70 static void sign (gcry_mpi_t a, gcry_mpi_t b, gcry_mpi_t input,
71                   ELG_secret_key *skey);
72 static int  verify (gcry_mpi_t a, gcry_mpi_t b, gcry_mpi_t input,
73                     ELG_public_key *pkey);
74 static unsigned int elg_get_nbits (gcry_sexp_t parms);
75
76
77 static void (*progress_cb) (void *, const char *, int, int, int);
78 static void *progress_cb_data;
79
80 void
81 _gcry_register_pk_elg_progress (void (*cb) (void *, const char *,
82                                             int, int, int),
83                                 void *cb_data)
84 {
85   progress_cb = cb;
86   progress_cb_data = cb_data;
87 }
88
89
90 static void
91 progress (int c)
92 {
93   if (progress_cb)
94     progress_cb (progress_cb_data, "pk_elg", c, 0, 0);
95 }
96
97
98 /****************
99  * Michael Wiener's table on subgroup sizes to match field sizes.
100  * (floating around somewhere, probably based on the paper from
101  * Eurocrypt 96, page 332)
102  */
103 static unsigned int
104 wiener_map( unsigned int n )
105 {
106   static struct { unsigned int p_n, q_n; } t[] =
107     { /*   p      q      attack cost */
108       {  512, 119 },    /* 9 x 10^17 */
109       {  768, 145 },    /* 6 x 10^21 */
110       { 1024, 165 },    /* 7 x 10^24 */
111       { 1280, 183 },    /* 3 x 10^27 */
112       { 1536, 198 },    /* 7 x 10^29 */
113       { 1792, 212 },    /* 9 x 10^31 */
114       { 2048, 225 },    /* 8 x 10^33 */
115       { 2304, 237 },    /* 5 x 10^35 */
116       { 2560, 249 },    /* 3 x 10^37 */
117       { 2816, 259 },    /* 1 x 10^39 */
118       { 3072, 269 },    /* 3 x 10^40 */
119       { 3328, 279 },    /* 8 x 10^41 */
120       { 3584, 288 },    /* 2 x 10^43 */
121       { 3840, 296 },    /* 4 x 10^44 */
122       { 4096, 305 },    /* 7 x 10^45 */
123       { 4352, 313 },    /* 1 x 10^47 */
124       { 4608, 320 },    /* 2 x 10^48 */
125       { 4864, 328 },    /* 2 x 10^49 */
126       { 5120, 335 },    /* 3 x 10^50 */
127       { 0, 0 }
128     };
129   int i;
130
131   for(i=0; t[i].p_n; i++ )
132     {
133       if( n <= t[i].p_n )
134         return t[i].q_n;
135     }
136   /* Not in table - use an arbitrary high number. */
137   return  n / 8 + 200;
138 }
139
140 static int
141 test_keys ( ELG_secret_key *sk, unsigned int nbits, int nodie )
142 {
143   ELG_public_key pk;
144   gcry_mpi_t test   = mpi_new ( 0 );
145   gcry_mpi_t out1_a = mpi_new ( nbits );
146   gcry_mpi_t out1_b = mpi_new ( nbits );
147   gcry_mpi_t out2   = mpi_new ( nbits );
148   int failed = 0;
149
150   pk.p = sk->p;
151   pk.g = sk->g;
152   pk.y = sk->y;
153
154   _gcry_mpi_randomize ( test, nbits, GCRY_WEAK_RANDOM );
155
156   do_encrypt ( out1_a, out1_b, test, &pk );
157   decrypt ( out2, out1_a, out1_b, sk );
158   if ( mpi_cmp( test, out2 ) )
159     failed |= 1;
160
161   sign ( out1_a, out1_b, test, sk );
162   if ( !verify( out1_a, out1_b, test, &pk ) )
163     failed |= 2;
164
165   _gcry_mpi_release ( test );
166   _gcry_mpi_release ( out1_a );
167   _gcry_mpi_release ( out1_b );
168   _gcry_mpi_release ( out2 );
169
170   if (failed && !nodie)
171     log_fatal ("Elgamal test key for %s %s failed\n",
172                (failed & 1)? "encrypt+decrypt":"",
173                (failed & 2)? "sign+verify":"");
174   if (failed && DBG_CIPHER)
175     log_debug ("Elgamal test key for %s %s failed\n",
176                (failed & 1)? "encrypt+decrypt":"",
177                (failed & 2)? "sign+verify":"");
178
179   return failed;
180 }
181
182
183 /****************
184  * Generate a random secret exponent k from prime p, so that k is
185  * relatively prime to p-1.  With SMALL_K set, k will be selected for
186  * better encryption performance - this must never be used signing!
187  */
188 static gcry_mpi_t
189 gen_k( gcry_mpi_t p, int small_k )
190 {
191   gcry_mpi_t k = mpi_alloc_secure( 0 );
192   gcry_mpi_t temp = mpi_alloc( mpi_get_nlimbs(p) );
193   gcry_mpi_t p_1 = mpi_copy(p);
194   unsigned int orig_nbits = mpi_get_nbits(p);
195   unsigned int nbits, nbytes;
196   char *rndbuf = NULL;
197
198   if (small_k)
199     {
200       /* Using a k much lesser than p is sufficient for encryption and
201        * it greatly improves the encryption performance.  We use
202        * Wiener's table and add a large safety margin. */
203       nbits = wiener_map( orig_nbits ) * 3 / 2;
204       if( nbits >= orig_nbits )
205         BUG();
206     }
207   else
208     nbits = orig_nbits;
209
210
211   nbytes = (nbits+7)/8;
212   if( DBG_CIPHER )
213     log_debug("choosing a random k\n");
214   mpi_sub_ui( p_1, p, 1);
215   for(;;)
216     {
217       if( !rndbuf || nbits < 32 )
218         {
219           xfree(rndbuf);
220           rndbuf = _gcry_random_bytes_secure( nbytes, GCRY_STRONG_RANDOM );
221         }
222       else
223         {
224           /* Change only some of the higher bits.  We could improve
225              this by directly requesting more memory at the first call
226              to get_random_bytes() and use this the here maybe it is
227              easier to do this directly in random.c Anyway, it is
228              highly inlikely that we will ever reach this code. */
229           char *pp = _gcry_random_bytes_secure( 4, GCRY_STRONG_RANDOM );
230           memcpy( rndbuf, pp, 4 );
231           xfree(pp);
232         }
233       _gcry_mpi_set_buffer( k, rndbuf, nbytes, 0 );
234
235       for(;;)
236         {
237           if( !(mpi_cmp( k, p_1 ) < 0) )  /* check: k < (p-1) */
238             {
239               if( DBG_CIPHER )
240                 progress('+');
241               break; /* no  */
242             }
243           if( !(mpi_cmp_ui( k, 0 ) > 0) )  /* check: k > 0 */
244             {
245               if( DBG_CIPHER )
246                 progress('-');
247               break; /* no */
248             }
249           if (mpi_gcd( temp, k, p_1 ))
250             goto found;  /* okay, k is relative prime to (p-1) */
251           mpi_add_ui( k, k, 1 );
252           if( DBG_CIPHER )
253             progress('.');
254         }
255     }
256  found:
257   xfree (rndbuf);
258   if( DBG_CIPHER )
259     progress('\n');
260   mpi_free(p_1);
261   mpi_free(temp);
262
263   return k;
264 }
265
266 /****************
267  * Generate a key pair with a key of size NBITS
268  * Returns: 2 structures filled with all needed values
269  *          and an array with n-1 factors of (p-1)
270  */
271 static void
272 generate ( ELG_secret_key *sk, unsigned int nbits, gcry_mpi_t **ret_factors )
273 {
274   gcry_mpi_t p;    /* the prime */
275   gcry_mpi_t p_min1;
276   gcry_mpi_t g;
277   gcry_mpi_t x;    /* the secret exponent */
278   gcry_mpi_t y;
279   unsigned int qbits;
280   unsigned int xbits;
281   byte *rndbuf;
282
283   p_min1 = mpi_new ( nbits );
284   qbits = wiener_map( nbits );
285   if( qbits & 1 ) /* better have a even one */
286     qbits++;
287   g = mpi_alloc(1);
288   p = _gcry_generate_elg_prime( 0, nbits, qbits, g, ret_factors );
289   mpi_sub_ui(p_min1, p, 1);
290
291
292   /* Select a random number which has these properties:
293    *     0 < x < p-1
294    * This must be a very good random number because this is the
295    * secret part.  The prime is public and may be shared anyway,
296    * so a random generator level of 1 is used for the prime.
297    *
298    * I don't see a reason to have a x of about the same size
299    * as the p.  It should be sufficient to have one about the size
300    * of q or the later used k plus a large safety margin. Decryption
301    * will be much faster with such an x.
302    */
303   xbits = qbits * 3 / 2;
304   if( xbits >= nbits )
305     BUG();
306   x = mpi_snew ( xbits );
307   if( DBG_CIPHER )
308     log_debug("choosing a random x of size %u\n", xbits );
309   rndbuf = NULL;
310   do
311     {
312       if( DBG_CIPHER )
313         progress('.');
314       if( rndbuf )
315         { /* Change only some of the higher bits */
316           if( xbits < 16 ) /* should never happen ... */
317             {
318               xfree(rndbuf);
319               rndbuf = _gcry_random_bytes_secure ((xbits+7)/8,
320                                                   GCRY_VERY_STRONG_RANDOM);
321             }
322           else
323             {
324               char *r = _gcry_random_bytes_secure (2, GCRY_VERY_STRONG_RANDOM);
325               memcpy(rndbuf, r, 2 );
326               xfree (r);
327             }
328         }
329       else
330         {
331           rndbuf = _gcry_random_bytes_secure ((xbits+7)/8,
332                                               GCRY_VERY_STRONG_RANDOM );
333         }
334       _gcry_mpi_set_buffer( x, rndbuf, (xbits+7)/8, 0 );
335       mpi_clear_highbit( x, xbits+1 );
336     }
337   while( !( mpi_cmp_ui( x, 0 )>0 && mpi_cmp( x, p_min1 )<0 ) );
338   xfree(rndbuf);
339
340   y = mpi_new (nbits);
341   mpi_powm( y, g, x, p );
342
343   if( DBG_CIPHER )
344     {
345       progress ('\n');
346       log_mpidump ("elg  p", p );
347       log_mpidump ("elg  g", g );
348       log_mpidump ("elg  y", y );
349       log_mpidump ("elg  x", x );
350     }
351
352   /* Copy the stuff to the key structures */
353   sk->p = p;
354   sk->g = g;
355   sk->y = y;
356   sk->x = x;
357
358   _gcry_mpi_release ( p_min1 );
359
360   /* Now we can test our keys (this should never fail!) */
361   test_keys ( sk, nbits - 64, 0 );
362 }
363
364
365 /* Generate a key pair with a key of size NBITS not using a random
366    value for the secret key but the one given as X.  This is useful to
367    implement a passphrase based decryption for a public key based
368    encryption.  It has appliactions in backup systems.
369
370    Returns: A structure filled with all needed values and an array
371             with n-1 factors of (p-1).  */
372 static gcry_err_code_t
373 generate_using_x (ELG_secret_key *sk, unsigned int nbits, gcry_mpi_t x,
374                   gcry_mpi_t **ret_factors )
375 {
376   gcry_mpi_t p;      /* The prime.  */
377   gcry_mpi_t p_min1; /* The prime minus 1.  */
378   gcry_mpi_t g;      /* The generator.  */
379   gcry_mpi_t y;      /* g^x mod p.  */
380   unsigned int qbits;
381   unsigned int xbits;
382
383   sk->p = NULL;
384   sk->g = NULL;
385   sk->y = NULL;
386   sk->x = NULL;
387
388   /* Do a quick check to see whether X is suitable.  */
389   xbits = mpi_get_nbits (x);
390   if ( xbits < 64 || xbits >= nbits )
391     return GPG_ERR_INV_VALUE;
392
393   p_min1 = mpi_new ( nbits );
394   qbits  = wiener_map ( nbits );
395   if ( (qbits & 1) ) /* Better have an even one.  */
396     qbits++;
397   g = mpi_alloc (1);
398   p = _gcry_generate_elg_prime ( 0, nbits, qbits, g, ret_factors );
399   mpi_sub_ui (p_min1, p, 1);
400
401   if (DBG_CIPHER)
402     log_debug ("using a supplied x of size %u", xbits );
403   if ( !(mpi_cmp_ui ( x, 0 ) > 0 && mpi_cmp ( x, p_min1 ) <0 ) )
404     {
405       _gcry_mpi_release ( p_min1 );
406       _gcry_mpi_release ( p );
407       _gcry_mpi_release ( g );
408       return GPG_ERR_INV_VALUE;
409     }
410
411   y = mpi_new (nbits);
412   mpi_powm ( y, g, x, p );
413
414   if ( DBG_CIPHER )
415     {
416       progress ('\n');
417       log_mpidump ("elg  p", p );
418       log_mpidump ("elg  g", g );
419       log_mpidump ("elg  y", y );
420       log_mpidump ("elg  x", x );
421     }
422
423   /* Copy the stuff to the key structures */
424   sk->p = p;
425   sk->g = g;
426   sk->y = y;
427   sk->x = mpi_copy (x);
428
429   _gcry_mpi_release ( p_min1 );
430
431   /* Now we can test our keys. */
432   if ( test_keys ( sk, nbits - 64, 1 ) )
433     {
434       _gcry_mpi_release ( sk->p ); sk->p = NULL;
435       _gcry_mpi_release ( sk->g ); sk->g = NULL;
436       _gcry_mpi_release ( sk->y ); sk->y = NULL;
437       _gcry_mpi_release ( sk->x ); sk->x = NULL;
438       return GPG_ERR_BAD_SECKEY;
439     }
440
441   return 0;
442 }
443
444
445 /****************
446  * Test whether the secret key is valid.
447  * Returns: if this is a valid key.
448  */
449 static int
450 check_secret_key( ELG_secret_key *sk )
451 {
452   int rc;
453   gcry_mpi_t y = mpi_alloc( mpi_get_nlimbs(sk->y) );
454
455   mpi_powm (y, sk->g, sk->x, sk->p);
456   rc = !mpi_cmp( y, sk->y );
457   mpi_free( y );
458   return rc;
459 }
460
461
462 static void
463 do_encrypt(gcry_mpi_t a, gcry_mpi_t b, gcry_mpi_t input, ELG_public_key *pkey )
464 {
465   gcry_mpi_t k;
466
467   /* Note: maybe we should change the interface, so that it
468    * is possible to check that input is < p and return an
469    * error code.
470    */
471
472   k = gen_k( pkey->p, 1 );
473   mpi_powm (a, pkey->g, k, pkey->p);
474
475   /* b = (y^k * input) mod p
476    *     = ((y^k mod p) * (input mod p)) mod p
477    * and because input is < p
478    *     = ((y^k mod p) * input) mod p
479    */
480   mpi_powm (b, pkey->y, k, pkey->p);
481   mpi_mulm (b, b, input, pkey->p);
482 #if 0
483   if( DBG_CIPHER )
484     {
485       log_mpidump("elg encrypted y", pkey->y);
486       log_mpidump("elg encrypted p", pkey->p);
487       log_mpidump("elg encrypted k", k);
488       log_mpidump("elg encrypted M", input);
489       log_mpidump("elg encrypted a", a);
490       log_mpidump("elg encrypted b", b);
491     }
492 #endif
493   mpi_free(k);
494 }
495
496
497
498
499 static void
500 decrypt (gcry_mpi_t output, gcry_mpi_t a, gcry_mpi_t b, ELG_secret_key *skey )
501 {
502   gcry_mpi_t t1 = mpi_alloc_secure( mpi_get_nlimbs( skey->p ) );
503
504   mpi_normalize (a);
505   mpi_normalize (b);
506
507   /* output = b/(a^x) mod p */
508   mpi_powm( t1, a, skey->x, skey->p );
509   mpi_invm( t1, t1, skey->p );
510   mpi_mulm( output, b, t1, skey->p );
511 #if 0
512   if( DBG_CIPHER )
513     {
514       log_mpidump ("elg decrypted x", skey->x);
515       log_mpidump ("elg decrypted p", skey->p);
516       log_mpidump ("elg decrypted a", a);
517       log_mpidump ("elg decrypted b", b);
518       log_mpidump ("elg decrypted M", output);
519     }
520 #endif
521   mpi_free(t1);
522 }
523
524
525 /****************
526  * Make an Elgamal signature out of INPUT
527  */
528
529 static void
530 sign(gcry_mpi_t a, gcry_mpi_t b, gcry_mpi_t input, ELG_secret_key *skey )
531 {
532     gcry_mpi_t k;
533     gcry_mpi_t t   = mpi_alloc( mpi_get_nlimbs(a) );
534     gcry_mpi_t inv = mpi_alloc( mpi_get_nlimbs(a) );
535     gcry_mpi_t p_1 = mpi_copy(skey->p);
536
537    /*
538     * b = (t * inv) mod (p-1)
539     * b = (t * inv(k,(p-1),(p-1)) mod (p-1)
540     * b = (((M-x*a) mod (p-1)) * inv(k,(p-1),(p-1))) mod (p-1)
541     *
542     */
543     mpi_sub_ui(p_1, p_1, 1);
544     k = gen_k( skey->p, 0 /* no small K ! */ );
545     mpi_powm( a, skey->g, k, skey->p );
546     mpi_mul(t, skey->x, a );
547     mpi_subm(t, input, t, p_1 );
548     mpi_invm(inv, k, p_1 );
549     mpi_mulm(b, t, inv, p_1 );
550
551 #if 0
552     if( DBG_CIPHER )
553       {
554         log_mpidump ("elg sign p", skey->p);
555         log_mpidump ("elg sign g", skey->g);
556         log_mpidump ("elg sign y", skey->y);
557         log_mpidump ("elg sign x", skey->x);
558         log_mpidump ("elg sign k", k);
559         log_mpidump ("elg sign M", input);
560         log_mpidump ("elg sign a", a);
561         log_mpidump ("elg sign b", b);
562       }
563 #endif
564     mpi_free(k);
565     mpi_free(t);
566     mpi_free(inv);
567     mpi_free(p_1);
568 }
569
570
571 /****************
572  * Returns true if the signature composed of A and B is valid.
573  */
574 static int
575 verify(gcry_mpi_t a, gcry_mpi_t b, gcry_mpi_t input, ELG_public_key *pkey )
576 {
577   int rc;
578   gcry_mpi_t t1;
579   gcry_mpi_t t2;
580   gcry_mpi_t base[4];
581   gcry_mpi_t ex[4];
582
583   if( !(mpi_cmp_ui( a, 0 ) > 0 && mpi_cmp( a, pkey->p ) < 0) )
584     return 0; /* assertion      0 < a < p  failed */
585
586   t1 = mpi_alloc( mpi_get_nlimbs(a) );
587   t2 = mpi_alloc( mpi_get_nlimbs(a) );
588
589 #if 0
590   /* t1 = (y^a mod p) * (a^b mod p) mod p */
591   gcry_mpi_powm( t1, pkey->y, a, pkey->p );
592   gcry_mpi_powm( t2, a, b, pkey->p );
593   mpi_mulm( t1, t1, t2, pkey->p );
594
595   /* t2 = g ^ input mod p */
596   gcry_mpi_powm( t2, pkey->g, input, pkey->p );
597
598   rc = !mpi_cmp( t1, t2 );
599 #elif 0
600   /* t1 = (y^a mod p) * (a^b mod p) mod p */
601   base[0] = pkey->y; ex[0] = a;
602   base[1] = a;       ex[1] = b;
603   base[2] = NULL;    ex[2] = NULL;
604   mpi_mulpowm( t1, base, ex, pkey->p );
605
606   /* t2 = g ^ input mod p */
607   gcry_mpi_powm( t2, pkey->g, input, pkey->p );
608
609   rc = !mpi_cmp( t1, t2 );
610 #else
611   /* t1 = g ^ - input * y ^ a * a ^ b  mod p */
612   mpi_invm(t2, pkey->g, pkey->p );
613   base[0] = t2     ; ex[0] = input;
614   base[1] = pkey->y; ex[1] = a;
615   base[2] = a;       ex[2] = b;
616   base[3] = NULL;    ex[3] = NULL;
617   mpi_mulpowm( t1, base, ex, pkey->p );
618   rc = !mpi_cmp_ui( t1, 1 );
619
620 #endif
621
622   mpi_free(t1);
623   mpi_free(t2);
624   return rc;
625 }
626
627 /*********************************************
628  **************  interface  ******************
629  *********************************************/
630
631 static gpg_err_code_t
632 elg_generate (const gcry_sexp_t genparms, gcry_sexp_t *r_skey)
633 {
634   gpg_err_code_t rc;
635   unsigned int nbits;
636   ELG_secret_key sk;
637   gcry_mpi_t xvalue = NULL;
638   gcry_sexp_t l1;
639   gcry_mpi_t *factors = NULL;
640   gcry_sexp_t misc_info = NULL;
641
642   memset (&sk, 0, sizeof sk);
643
644   rc = _gcry_pk_util_get_nbits (genparms, &nbits);
645   if (rc)
646     return rc;
647
648   /* Parse the optional xvalue element. */
649   l1 = sexp_find_token (genparms, "xvalue", 0);
650   if (l1)
651     {
652       xvalue = sexp_nth_mpi (l1, 1, 0);
653       sexp_release (l1);
654       if (!xvalue)
655         return GPG_ERR_BAD_MPI;
656     }
657
658   if (xvalue)
659     {
660       rc = generate_using_x (&sk, nbits, xvalue, &factors);
661       mpi_free (xvalue);
662     }
663   else
664     {
665       generate (&sk, nbits, &factors);
666       rc = 0;
667     }
668   if (rc)
669     goto leave;
670
671   if (factors && factors[0])
672     {
673       int nfac;
674       void **arg_list;
675       char *buffer, *p;
676
677       for (nfac = 0; factors[nfac]; nfac++)
678         ;
679       arg_list = xtrycalloc (nfac+1, sizeof *arg_list);
680       if (!arg_list)
681         {
682           rc = gpg_err_code_from_syserror ();
683           goto leave;
684         }
685       buffer = xtrymalloc (30 + nfac*2 + 2 + 1);
686       if (!buffer)
687         {
688           rc = gpg_err_code_from_syserror ();
689           xfree (arg_list);
690           goto leave;
691         }
692       p = stpcpy (buffer, "(misc-key-info(pm1-factors");
693       for(nfac = 0; factors[nfac]; nfac++)
694         {
695           p = stpcpy (p, "%m");
696           arg_list[nfac] = factors + nfac;
697         }
698       p = stpcpy (p, "))");
699       rc = sexp_build_array (&misc_info, NULL, buffer, arg_list);
700       xfree (arg_list);
701       xfree (buffer);
702       if (rc)
703         goto leave;
704     }
705
706   rc = sexp_build (r_skey, NULL,
707                    "(key-data"
708                    " (public-key"
709                    "  (elg(p%m)(g%m)(y%m)))"
710                    " (private-key"
711                    "  (elg(p%m)(g%m)(y%m)(x%m)))"
712                    " %S)",
713                    sk.p, sk.g, sk.y,
714                    sk.p, sk.g, sk.y, sk.x,
715                    misc_info);
716
717  leave:
718   mpi_free (sk.p);
719   mpi_free (sk.g);
720   mpi_free (sk.y);
721   mpi_free (sk.x);
722   sexp_release (misc_info);
723   if (factors)
724     {
725       gcry_mpi_t *mp;
726       for (mp = factors; *mp; mp++)
727         mpi_free (*mp);
728       xfree (factors);
729     }
730
731   return rc;
732 }
733
734
735 static gcry_err_code_t
736 elg_check_secret_key (gcry_sexp_t keyparms)
737 {
738   gcry_err_code_t rc;
739   ELG_secret_key sk = {NULL, NULL, NULL, NULL};
740
741   rc = sexp_extract_param (keyparms, NULL, "pgyx",
742                            &sk.p, &sk.g, &sk.y, &sk.x,
743                            NULL);
744   if (rc)
745     goto leave;
746
747   if (!check_secret_key (&sk))
748     rc = GPG_ERR_BAD_SECKEY;
749
750  leave:
751   _gcry_mpi_release (sk.p);
752   _gcry_mpi_release (sk.g);
753   _gcry_mpi_release (sk.y);
754   _gcry_mpi_release (sk.x);
755   if (DBG_CIPHER)
756     log_debug ("elg_testkey    => %s\n", gpg_strerror (rc));
757   return rc;
758 }
759
760
761 static gcry_err_code_t
762 elg_encrypt (gcry_sexp_t *r_ciph, gcry_sexp_t s_data, gcry_sexp_t keyparms)
763 {
764   gcry_err_code_t rc;
765   struct pk_encoding_ctx ctx;
766   gcry_mpi_t mpi_a = NULL;
767   gcry_mpi_t mpi_b = NULL;
768   gcry_mpi_t data = NULL;
769   ELG_public_key pk = { NULL, NULL, NULL };
770
771   _gcry_pk_util_init_encoding_ctx (&ctx, PUBKEY_OP_ENCRYPT,
772                                    elg_get_nbits (keyparms));
773
774   /* Extract the data.  */
775   rc = _gcry_pk_util_data_to_mpi (s_data, &data, &ctx);
776   if (rc)
777     goto leave;
778   if (DBG_CIPHER)
779     log_mpidump ("elg_encrypt data", data);
780   if (mpi_is_opaque (data))
781     {
782       rc = GPG_ERR_INV_DATA;
783       goto leave;
784     }
785
786   /* Extract the key.  */
787   rc = sexp_extract_param (keyparms, NULL, "pgy",
788                            &pk.p, &pk.g, &pk.y, NULL);
789   if (rc)
790     goto leave;
791   if (DBG_CIPHER)
792     {
793       log_mpidump ("elg_encrypt  p", pk.p);
794       log_mpidump ("elg_encrypt  g", pk.g);
795       log_mpidump ("elg_encrypt  y", pk.y);
796     }
797
798   /* Do Elgamal computation and build result.  */
799   mpi_a = mpi_new (0);
800   mpi_b = mpi_new (0);
801   do_encrypt (mpi_a, mpi_b, data, &pk);
802   rc = sexp_build (r_ciph, NULL, "(enc-val(elg(a%m)(b%m)))", mpi_a, mpi_b);
803
804  leave:
805   _gcry_mpi_release (mpi_a);
806   _gcry_mpi_release (mpi_b);
807   _gcry_mpi_release (pk.p);
808   _gcry_mpi_release (pk.g);
809   _gcry_mpi_release (pk.y);
810   _gcry_mpi_release (data);
811   _gcry_pk_util_free_encoding_ctx (&ctx);
812   if (DBG_CIPHER)
813     log_debug ("elg_encrypt   => %s\n", gpg_strerror (rc));
814   return rc;
815 }
816
817
818 static gcry_err_code_t
819 elg_decrypt (gcry_sexp_t *r_plain, gcry_sexp_t s_data, gcry_sexp_t keyparms)
820 {
821   gpg_err_code_t rc;
822   struct pk_encoding_ctx ctx;
823   gcry_sexp_t l1 = NULL;
824   gcry_mpi_t data_a = NULL;
825   gcry_mpi_t data_b = NULL;
826   ELG_secret_key sk = {NULL, NULL, NULL, NULL};
827   gcry_mpi_t plain = NULL;
828   unsigned char *unpad = NULL;
829   size_t unpadlen = 0;
830
831   _gcry_pk_util_init_encoding_ctx (&ctx, PUBKEY_OP_DECRYPT,
832                                    elg_get_nbits (keyparms));
833
834   /* Extract the data.  */
835   rc = _gcry_pk_util_preparse_encval (s_data, elg_names, &l1, &ctx);
836   if (rc)
837     goto leave;
838   rc = sexp_extract_param (l1, NULL, "ab", &data_a, &data_b, NULL);
839   if (rc)
840     goto leave;
841   if (DBG_CIPHER)
842     {
843       log_printmpi ("elg_decrypt  d_a", data_a);
844       log_printmpi ("elg_decrypt  d_b", data_b);
845     }
846   if (mpi_is_opaque (data_a) || mpi_is_opaque (data_b))
847     {
848       rc = GPG_ERR_INV_DATA;
849       goto leave;
850     }
851
852   /* Extract the key.  */
853   rc = sexp_extract_param (keyparms, NULL, "pgyx",
854                            &sk.p, &sk.g, &sk.y, &sk.x,
855                            NULL);
856   if (rc)
857     goto leave;
858   if (DBG_CIPHER)
859     {
860       log_printmpi ("elg_decrypt    p", sk.p);
861       log_printmpi ("elg_decrypt    g", sk.g);
862       log_printmpi ("elg_decrypt    y", sk.y);
863       if (!fips_mode ())
864         log_printmpi ("elg_decrypt    x", sk.x);
865     }
866
867   plain = mpi_snew (ctx.nbits);
868   decrypt (plain, data_a, data_b, &sk);
869   if (DBG_CIPHER)
870     log_printmpi ("elg_decrypt  res", plain);
871
872   /* Reverse the encoding and build the s-expression.  */
873   switch (ctx.encoding)
874     {
875     case PUBKEY_ENC_PKCS1:
876       rc = _gcry_rsa_pkcs1_decode_for_enc (&unpad, &unpadlen, ctx.nbits, plain);
877       mpi_free (plain); plain = NULL;
878       if (!rc)
879         rc = sexp_build (r_plain, NULL, "(value %b)", (int)unpadlen, unpad);
880       break;
881
882     case PUBKEY_ENC_OAEP:
883       rc = _gcry_rsa_oaep_decode (&unpad, &unpadlen,
884                                   ctx.nbits, ctx.hash_algo, plain,
885                                   ctx.label, ctx.labellen);
886       mpi_free (plain); plain = NULL;
887       if (!rc)
888         rc = sexp_build (r_plain, NULL, "(value %b)", (int)unpadlen, unpad);
889       break;
890
891     default:
892       /* Raw format.  For backward compatibility we need to assume a
893          signed mpi by using the sexp format string "%m".  */
894       rc = sexp_build (r_plain, NULL,
895                        (ctx.flags & PUBKEY_FLAG_LEGACYRESULT)
896                        ? "%m" : "(value %m)",
897                        plain);
898       break;
899     }
900
901
902  leave:
903   xfree (unpad);
904   _gcry_mpi_release (plain);
905   _gcry_mpi_release (sk.p);
906   _gcry_mpi_release (sk.g);
907   _gcry_mpi_release (sk.y);
908   _gcry_mpi_release (sk.x);
909   _gcry_mpi_release (data_a);
910   _gcry_mpi_release (data_b);
911   sexp_release (l1);
912   _gcry_pk_util_free_encoding_ctx (&ctx);
913   if (DBG_CIPHER)
914     log_debug ("elg_decrypt    => %s\n", gpg_strerror (rc));
915   return rc;
916 }
917
918
919 static gcry_err_code_t
920 elg_sign (gcry_sexp_t *r_sig, gcry_sexp_t s_data, gcry_sexp_t keyparms)
921 {
922   gcry_err_code_t rc;
923   struct pk_encoding_ctx ctx;
924   gcry_mpi_t data = NULL;
925   ELG_secret_key sk = {NULL, NULL, NULL, NULL};
926   gcry_mpi_t sig_r = NULL;
927   gcry_mpi_t sig_s = NULL;
928
929   _gcry_pk_util_init_encoding_ctx (&ctx, PUBKEY_OP_SIGN,
930                                    elg_get_nbits (keyparms));
931
932   /* Extract the data.  */
933   rc = _gcry_pk_util_data_to_mpi (s_data, &data, &ctx);
934   if (rc)
935     goto leave;
936   if (DBG_CIPHER)
937     log_mpidump ("elg_sign   data", data);
938   if (mpi_is_opaque (data))
939     {
940       rc = GPG_ERR_INV_DATA;
941       goto leave;
942     }
943
944   /* Extract the key.  */
945   rc = sexp_extract_param (keyparms, NULL, "pgyx",
946                            &sk.p, &sk.g, &sk.y, &sk.x, NULL);
947   if (rc)
948     goto leave;
949   if (DBG_CIPHER)
950     {
951       log_mpidump ("elg_sign      p", sk.p);
952       log_mpidump ("elg_sign      g", sk.g);
953       log_mpidump ("elg_sign      y", sk.y);
954       if (!fips_mode ())
955         log_mpidump ("elg_sign      x", sk.x);
956     }
957
958   sig_r = mpi_new (0);
959   sig_s = mpi_new (0);
960   sign (sig_r, sig_s, data, &sk);
961   if (DBG_CIPHER)
962     {
963       log_mpidump ("elg_sign  sig_r", sig_r);
964       log_mpidump ("elg_sign  sig_s", sig_s);
965     }
966   rc = sexp_build (r_sig, NULL, "(sig-val(elg(r%M)(s%M)))", sig_r, sig_s);
967
968  leave:
969   _gcry_mpi_release (sig_r);
970   _gcry_mpi_release (sig_s);
971   _gcry_mpi_release (sk.p);
972   _gcry_mpi_release (sk.g);
973   _gcry_mpi_release (sk.y);
974   _gcry_mpi_release (sk.x);
975   _gcry_mpi_release (data);
976   _gcry_pk_util_free_encoding_ctx (&ctx);
977   if (DBG_CIPHER)
978     log_debug ("elg_sign      => %s\n", gpg_strerror (rc));
979   return rc;
980 }
981
982
983 static gcry_err_code_t
984 elg_verify (gcry_sexp_t s_sig, gcry_sexp_t s_data, gcry_sexp_t s_keyparms)
985 {
986   gcry_err_code_t rc;
987   struct pk_encoding_ctx ctx;
988   gcry_sexp_t l1 = NULL;
989   gcry_mpi_t sig_r = NULL;
990   gcry_mpi_t sig_s = NULL;
991   gcry_mpi_t data = NULL;
992   ELG_public_key pk = { NULL, NULL, NULL };
993
994   _gcry_pk_util_init_encoding_ctx (&ctx, PUBKEY_OP_VERIFY,
995                                    elg_get_nbits (s_keyparms));
996
997   /* Extract the data.  */
998   rc = _gcry_pk_util_data_to_mpi (s_data, &data, &ctx);
999   if (rc)
1000     goto leave;
1001   if (DBG_CIPHER)
1002     log_mpidump ("elg_verify data", data);
1003   if (mpi_is_opaque (data))
1004     {
1005       rc = GPG_ERR_INV_DATA;
1006       goto leave;
1007     }
1008
1009   /* Extract the signature value.  */
1010   rc = _gcry_pk_util_preparse_sigval (s_sig, elg_names, &l1, NULL);
1011   if (rc)
1012     goto leave;
1013   rc = sexp_extract_param (l1, NULL, "rs", &sig_r, &sig_s, NULL);
1014   if (rc)
1015     goto leave;
1016   if (DBG_CIPHER)
1017     {
1018       log_mpidump ("elg_verify  s_r", sig_r);
1019       log_mpidump ("elg_verify  s_s", sig_s);
1020     }
1021
1022   /* Extract the key.  */
1023   rc = sexp_extract_param (s_keyparms, NULL, "pgy",
1024                                  &pk.p, &pk.g, &pk.y, NULL);
1025   if (rc)
1026     goto leave;
1027   if (DBG_CIPHER)
1028     {
1029       log_mpidump ("elg_verify    p", pk.p);
1030       log_mpidump ("elg_verify    g", pk.g);
1031       log_mpidump ("elg_verify    y", pk.y);
1032     }
1033
1034   /* Verify the signature.  */
1035   if (!verify (sig_r, sig_s, data, &pk))
1036     rc = GPG_ERR_BAD_SIGNATURE;
1037
1038  leave:
1039   _gcry_mpi_release (pk.p);
1040   _gcry_mpi_release (pk.g);
1041   _gcry_mpi_release (pk.y);
1042   _gcry_mpi_release (data);
1043   _gcry_mpi_release (sig_r);
1044   _gcry_mpi_release (sig_s);
1045   sexp_release (l1);
1046   _gcry_pk_util_free_encoding_ctx (&ctx);
1047   if (DBG_CIPHER)
1048     log_debug ("elg_verify    => %s\n", rc?gpg_strerror (rc):"Good");
1049   return rc;
1050 }
1051
1052
1053 /* Return the number of bits for the key described by PARMS.  On error
1054  * 0 is returned.  The format of PARMS starts with the algorithm name;
1055  * for example:
1056  *
1057  *   (dsa
1058  *     (p <mpi>)
1059  *     (g <mpi>)
1060  *     (y <mpi>))
1061  *
1062  * More parameters may be given but we only need P here.
1063  */
1064 static unsigned int
1065 elg_get_nbits (gcry_sexp_t parms)
1066 {
1067   gcry_sexp_t l1;
1068   gcry_mpi_t p;
1069   unsigned int nbits;
1070
1071   l1 = sexp_find_token (parms, "p", 1);
1072   if (!l1)
1073     return 0; /* Parameter P not found.  */
1074
1075   p= sexp_nth_mpi (l1, 1, GCRYMPI_FMT_USG);
1076   sexp_release (l1);
1077   nbits = p? mpi_get_nbits (p) : 0;
1078   _gcry_mpi_release (p);
1079   return nbits;
1080 }
1081
1082
1083 \f
1084 gcry_pk_spec_t _gcry_pubkey_spec_elg =
1085   {
1086     GCRY_PK_ELG, { 0, 0 },
1087     (GCRY_PK_USAGE_SIGN | GCRY_PK_USAGE_ENCR),
1088     "ELG", elg_names,
1089     "pgy", "pgyx", "ab", "rs", "pgy",
1090     elg_generate,
1091     elg_check_secret_key,
1092     elg_encrypt,
1093     elg_decrypt,
1094     elg_sign,
1095     elg_verify,
1096     elg_get_nbits,
1097   };