Fix buffer overflow in openpgp_oid_to_str.
[gnupg.git] / common / openpgp-oid.c
1 /* openpgp-oids.c - OID helper for OpenPGP
2  * Copyright (C) 2011 Free Software Foundation, Inc.
3  * Copyright (C) 2013 Werner Koch
4  *
5  * This file is part of GnuPG.
6  *
7  * This file is free software; you can redistribute it and/or modify
8  * it under the terms of either
9  *
10  *   - the GNU Lesser General Public License as published by the Free
11  *     Software Foundation; either version 3 of the License, or (at
12  *     your option) any later version.
13  *
14  * or
15  *
16  *   - the GNU General Public License as published by the Free
17  *     Software Foundation; either version 2 of the License, or (at
18  *     your option) any later version.
19  *
20  * or both in parallel, as here.
21  *
22  * This file is distributed in the hope that it will be useful,
23  * but WITHOUT ANY WARRANTY; without even the implied warranty of
24  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
25  * GNU General Public License for more details.
26  *
27  * You should have received a copy of the GNU General Public License
28  * along with this program; if not, see <http://www.gnu.org/licenses/>.
29  */
30
31 #include <config.h>
32 #include <stdlib.h>
33 #include <errno.h>
34 #include <ctype.h>
35 #include <assert.h>
36
37 #include "util.h"
38
39
40 /* A table with all our supported OpenPGP curves.  */
41 static struct {
42   const char *name;   /* Standard name.  */
43   const char *oidstr; /* IETF formatted OID.  */
44   unsigned int nbits; /* Nominla bit length of the curve.  */
45   const char *alias;  /* NULL or alternative name of the curve.  */
46 } oidtable[] = {
47
48   { "Ed25519",         "1.3.6.1.4.1.11591.15.1", 255, "ed25519" },
49
50   { "NIST P-256",      "1.2.840.10045.3.1.7",    256, "nistp256" },
51   { "NIST P-384",      "1.3.132.0.34",           384, "nistp384" },
52   { "NIST P-521",      "1.3.132.0.35",           521, "nistp521" },
53
54   { "brainpoolP256r1", "1.3.36.3.3.2.8.1.1.7",   256 },
55   { "brainpoolP384r1", "1.3.36.3.3.2.8.1.1.11",  384 },
56   { "brainpoolP512r1", "1.3.36.3.3.2.8.1.1.13",  512 },
57
58   { "secp256k1",       "1.3.132.0.10",           256 },
59
60   { NULL, NULL, 0}
61 };
62
63
64 /* The OID for Curve Ed25519 in OpenPGP format.  */
65 static const char oid_ed25519[] =
66   { 0x09, 0x2b, 0x06, 0x01, 0x04, 0x01, 0xda, 0x47, 0x0f, 0x01 };
67
68
69 /* Helper for openpgp_oid_from_str.  */
70 static size_t
71 make_flagged_int (unsigned long value, char *buf, size_t buflen)
72 {
73   int more = 0;
74   int shift;
75
76   /* fixme: figure out the number of bits in an ulong and start with
77      that value as shift (after making it a multiple of 7) a more
78      straigtforward implementation is to do it in reverse order using
79      a temporary buffer - saves a lot of compares */
80   for (more=0, shift=28; shift > 0; shift -= 7)
81     {
82       if (more || value >= (1<<shift))
83         {
84           buf[buflen++] = 0x80 | (value >> shift);
85           value -= (value >> shift) << shift;
86           more = 1;
87         }
88     }
89   buf[buflen++] = value;
90   return buflen;
91 }
92
93
94 /* Convert the OID given in dotted decimal form in STRING to an DER
95  * encoding and store it as an opaque value at R_MPI.  The format of
96  * the DER encoded is not a regular ASN.1 object but the modified
97  * format as used by OpenPGP for the ECC curve description.  On error
98  * the function returns and error code an NULL is stored at R_BUG.
99  * Note that scanning STRING stops at the first white space
100  * character.  */
101 gpg_error_t
102 openpgp_oid_from_str (const char *string, gcry_mpi_t *r_mpi)
103 {
104   unsigned char *buf;
105   size_t buflen;
106   unsigned long val1, val;
107   const char *endp;
108   int arcno;
109
110   *r_mpi = NULL;
111
112   if (!string || !*string)
113     return gpg_error (GPG_ERR_INV_VALUE);
114
115   /* We can safely assume that the encoded OID is shorter than the string. */
116   buf = xtrymalloc (1 + strlen (string) + 2);
117   if (!buf)
118     return gpg_error_from_syserror ();
119   /* Save the first byte for the length.  */
120   buflen = 1;
121
122   val1 = 0; /* Avoid compiler warning.  */
123   arcno = 0;
124   do {
125     arcno++;
126     val = strtoul (string, (char**)&endp, 10);
127     if (!digitp (string) || !(*endp == '.' || !*endp))
128       {
129         xfree (buf);
130         return gpg_error (GPG_ERR_INV_OID_STRING);
131       }
132     if (*endp == '.')
133       string = endp+1;
134
135     if (arcno == 1)
136       {
137         if (val > 2)
138           break; /* Not allowed, error catched below.  */
139         val1 = val;
140       }
141     else if (arcno == 2)
142       { /* Need to combine the first two arcs in one octet.  */
143         if (val1 < 2)
144           {
145             if (val > 39)
146               {
147                 xfree (buf);
148                 return gpg_error (GPG_ERR_INV_OID_STRING);
149               }
150             buf[buflen++] = val1*40 + val;
151           }
152         else
153           {
154             val += 80;
155             buflen = make_flagged_int (val, buf, buflen);
156           }
157       }
158     else
159       {
160         buflen = make_flagged_int (val, buf, buflen);
161       }
162   } while (*endp == '.');
163
164   if (arcno == 1 || buflen < 2 || buflen > 254 )
165     { /* It is not possible to encode only the first arc.  */
166       xfree (buf);
167       return gpg_error (GPG_ERR_INV_OID_STRING);
168     }
169
170   *buf = buflen - 1;
171   *r_mpi = gcry_mpi_set_opaque (NULL, buf, buflen * 8);
172   if (!*r_mpi)
173     {
174       xfree (buf);
175       return gpg_error_from_syserror ();
176     }
177   return 0;
178 }
179
180
181 /* Return a malloced string represenation of the OID in the opaque MPI
182    A.  In case of an error NULL is returned and ERRNO is set.  */
183 char *
184 openpgp_oid_to_str (gcry_mpi_t a)
185 {
186   const unsigned char *buf;
187   size_t length;
188   unsigned int lengthi;
189   char *string, *p;
190   int n = 0;
191   unsigned long val, valmask;
192
193   valmask = (unsigned long)0xfe << (8 * (sizeof (valmask) - 1));
194
195   if (!a || !gcry_mpi_get_flag (a, GCRYMPI_FLAG_OPAQUE))
196     {
197       gpg_err_set_errno (EINVAL);
198       return NULL;
199     }
200
201   buf = gcry_mpi_get_opaque (a, &lengthi);
202   length = (lengthi+7)/8;
203
204   /* The first bytes gives the length; check consistency.  */
205   if (!length || buf[0] != length -1)
206     {
207       gpg_err_set_errno (EINVAL);
208       return NULL;
209     }
210   /* Skip length byte.  */
211   length--;
212   buf++;
213
214   /* To calculate the length of the string we can safely assume an
215      upper limit of 3 decimal characters per byte.  Two extra bytes
216      account for the special first octect */
217   string = p = xtrymalloc (length*(1+3)+2+1);
218   if (!string)
219     return NULL;
220   if (!buf || !length)
221     {
222       *p = 0;
223       return string;
224     }
225
226   if (buf[0] < 40)
227     p += sprintf (p, "0.%d", buf[n]);
228   else if (buf[0] < 80)
229     p += sprintf (p, "1.%d", buf[n]-40);
230   else {
231     val = buf[n] & 0x7f;
232     while ( (buf[n]&0x80) && ++n < length )
233       {
234         if ( (val & valmask) )
235           goto badoid;  /* Overflow.  */
236         val <<= 7;
237         val |= buf[n] & 0x7f;
238       }
239     if (val < 80)
240       goto badoid;
241     val -= 80;
242     sprintf (p, "2.%lu", val);
243     p += strlen (p);
244   }
245   for (n++; n < length; n++)
246     {
247       val = buf[n] & 0x7f;
248       while ( (buf[n]&0x80) && ++n < length )
249         {
250           if ( (val & valmask) )
251             goto badoid;  /* Overflow.  */
252           val <<= 7;
253           val |= buf[n] & 0x7f;
254         }
255       sprintf (p, ".%lu", val);
256       p += strlen (p);
257     }
258
259   *p = 0;
260   return string;
261
262  badoid:
263   /* Return a special OID (gnu.gnupg.badoid) to indicate the error
264      case.  The OID is broken and thus we return one which can't do
265      any harm.  Formally this does not need to be a bad OID but an OID
266      with an arc that can't be represented in a 32 bit word is more
267      than likely corrupt.  */
268   xfree (string);
269   return xtrystrdup ("1.3.6.1.4.1.11591.2.12242973");
270 }
271
272
273
274 /* Return true if A represents the OID for Ed25519.  */
275 int
276 openpgp_oid_is_ed25519 (gcry_mpi_t a)
277 {
278   const unsigned char *buf;
279   unsigned int nbits;
280   size_t n;
281
282   if (!a || !gcry_mpi_get_flag (a, GCRYMPI_FLAG_OPAQUE))
283     return 0;
284
285   buf = gcry_mpi_get_opaque (a, &nbits);
286   n = (nbits+7)/8;
287   return (n == DIM (oid_ed25519)
288           && !memcmp (buf, oid_ed25519, DIM (oid_ed25519)));
289 }
290
291
292
293 /* Map the Libgcrypt ECC curve NAME to an OID.  If R_NBITS is not NULL
294    store the bit size of the curve there.  Returns NULL for unknown
295    curve names.  */
296 const char *
297 openpgp_curve_to_oid (const char *name, unsigned int *r_nbits)
298 {
299   int i;
300   unsigned int nbits = 0;
301   const char *oidstr = NULL;
302
303   if (name)
304     {
305       for (i=0; oidtable[i].name; i++)
306         if (!strcmp (oidtable[i].name, name)
307             || (oidtable[i].alias && !strcmp (oidtable[i].alias, name)))
308           {
309             oidstr = oidtable[i].oidstr;
310             nbits  = oidtable[i].nbits;
311             break;
312           }
313       if (!oidtable[i].name)
314         {
315           /* If not found assume the input is already an OID and check
316              whether we support it.  */
317           for (i=0; oidtable[i].name; i++)
318             if (!strcmp (name, oidtable[i].oidstr))
319               {
320                 oidstr = oidtable[i].oidstr;
321                 nbits  = oidtable[i].nbits;
322                 break;
323               }
324         }
325     }
326
327   if (r_nbits)
328     *r_nbits = nbits;
329   return oidstr;
330 }
331
332
333 /* Map an OpenPGP OID to the Libgcrypt curve NAME.  Returns "?" for
334    unknown curve names.  We prefer an alias name here which is more
335    suitable for printing.  */
336 const char *
337 openpgp_oid_to_curve (const char *oidstr)
338 {
339   int i;
340
341   if (!oidstr)
342     return "";
343
344   for (i=0; oidtable[i].name; i++)
345     if (!strcmp (oidtable[i].oidstr, oidstr))
346       return oidtable[i].alias? oidtable[i].alias : oidtable[i].name;
347
348   return "?";
349 }