g10/ecdh.c

   1 /* ecdh.c - ECDH public key operations used in public key glue code
   2  *      Copyright (C) 2010, 2011 Free Software Foundation, Inc.
   3  *
   4  * This file is part of GnuPG.
   5  *
   6  * GnuPG is free software; you can redistribute it and/or modify
   7  * it under the terms of the GNU General Public License as published by
   8  * the Free Software Foundation; either version 3 of the License, or
   9  * (at your option) any later version.
  10  *
  11  * GnuPG is distributed in the hope that it will be useful,
  12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  14  * GNU General Public License for more details.
  15  *
  16  * You should have received a copy of the GNU General Public License
  17  * along with this program; if not, see <http://www.gnu.org/licenses/>.
  18  */
  19
  20 #include <config.h>
  21 #include <stdio.h>
  22 #include <stdlib.h>
  23 #include <string.h>
  24 #include <errno.h>
  25 #include <assert.h>
  26
  27 #include "gpg.h"
  28 #include "util.h"
  29 #include "pkglue.h"
  30 #include "main.h"
  31 #include "options.h"
  32
  33 /* A table with the default KEK parameters used by GnuPG.  */
  34 static const struct
  35 {
  36   unsigned int qbits;
  37   int openpgp_hash_id;   /* KEK digest algorithm. */
  38   int openpgp_cipher_id; /* KEK cipher algorithm. */
  39 } kek_params_table[] =
  40   /* Note: Must be sorted by ascending values for QBITS.  */
  41   {
  42     { 256, DIGEST_ALGO_SHA256, CIPHER_ALGO_AES    },
  43     { 384, DIGEST_ALGO_SHA384, CIPHER_ALGO_AES256 },
  44
  45     /* Note: 528 is 521 rounded to the 8 bit boundary */
  46     { 528, DIGEST_ALGO_SHA512, CIPHER_ALGO_AES256 }
  47   };
  48
  49
  50
  51 /* Return KEK parameters as an opaque MPI The caller must free the
  52    returned value.  Returns NULL and sets ERRNO on error.  */
  53 gcry_mpi_t
  54 pk_ecdh_default_params (unsigned int qbits)
  55 {
  56   byte *kek_params;
  57   int i;
  58
  59   kek_params = xtrymalloc (4);
  60   if (!kek_params)
  61     return NULL;
  62   kek_params[0] = 3; /* Number of bytes to follow. */
  63   kek_params[1] = 1; /* Version for KDF+AESWRAP.   */
  64
  65   /* Search for matching KEK parameter.  Defaults to the strongest
  66      possible choices.  Performance is not an issue here, only
  67      interoperability.  */
  68   for (i=0; i < DIM (kek_params_table); i++)
  69     {
  70       if (kek_params_table[i].qbits >= qbits
  71           || i+1 == DIM (kek_params_table))
  72         {
  73           kek_params[2] = kek_params_table[i].openpgp_hash_id;
  74           kek_params[3] = kek_params_table[i].openpgp_cipher_id;
  75           break;
  76         }
  77     }
  78   assert (i < DIM (kek_params_table));
  79   if (DBG_CRYPTO)
  80     log_printhex ("ECDH KEK params are", kek_params, sizeof(kek_params) );
  81
  82   return gcry_mpi_set_opaque (NULL, kek_params, 4 * 8);
  83 }
  84
  85
  86 /* Encrypts/decrypts DATA using a key derived from the ECC shared
  87    point SHARED_MPI using the FIPS SP 800-56A compliant method
  88    key_derivation+key_wrapping.  If IS_ENCRYPT is true the function
  89    encrypts; if false, it decrypts.  PKEY is the public key and PK_FP
  90    the fingerprint of this public key.  On success the result is
  91    stored at R_RESULT; on failure NULL is stored at R_RESULT and an
  92    error code returned.  */
  93 gpg_error_t
  94 pk_ecdh_encrypt_with_shared_point (int is_encrypt, gcry_mpi_t shared_mpi,
  95                                    const byte pk_fp[MAX_FINGERPRINT_LEN],
  96                                    gcry_mpi_t data, gcry_mpi_t *pkey,
  97                                    gcry_mpi_t *r_result)
  98 {
  99   gpg_error_t err;
 100   byte *secret_x;
 101   int secret_x_size;
 102   unsigned int nbits;
 103   const unsigned char *kek_params;
 104   size_t kek_params_size;
 105   int kdf_hash_algo;
 106   int kdf_encr_algo;
 107   unsigned char message[256];
 108   size_t message_size;
 109
 110   *r_result = NULL;
 111
 112   nbits = pubkey_nbits (PUBKEY_ALGO_ECDH, pkey);
 113   if (!nbits)
 114     return gpg_error (GPG_ERR_TOO_SHORT);
 115
 116   {
 117     size_t nbytes;
 118
 119     /* Extract x component of the shared point: this is the actual
 120        shared secret. */
 121     nbytes = (mpi_get_nbits (pkey[1] /* public point */)+7)/8;
 122     secret_x = xtrymalloc_secure (nbytes);
 123     if (!secret_x)
 124       return gpg_error_from_syserror ();
 125
 126     err = gcry_mpi_print (GCRYMPI_FMT_USG, secret_x, nbytes,
 127                           &nbytes, shared_mpi);
 128     if (err)
 129       {
 130         xfree (secret_x);
 131         log_error ("ECDH ephemeral export of shared point failed: %s\n",
 132                    gpg_strerror (err));
 133         return err;
 134       }
 135
 136     secret_x_size = (nbits+7)/8;
 137     assert (nbytes > secret_x_size);
 138     memmove (secret_x, secret_x+1, secret_x_size);
 139     memset (secret_x+secret_x_size, 0, nbytes-secret_x_size);
 140
 141     if (DBG_CRYPTO)
 142       log_printhex ("ECDH shared secret X is:", secret_x, secret_x_size );
 143   }
 144
 145   /*** We have now the shared secret bytes in secret_x. ***/
 146
 147   /* At this point we are done with PK encryption and the rest of the
 148    * function uses symmetric key encryption techniques to protect the
 149    * input DATA.  The following two sections will simply replace
 150    * current secret_x with a value derived from it.  This will become
 151    * a KEK.
 152    */
 153   if (!gcry_mpi_get_flag (pkey[2], GCRYMPI_FLAG_OPAQUE))
 154     {
 155       xfree (secret_x);
 156       return gpg_error (GPG_ERR_BUG);
 157     }
 158   kek_params = gcry_mpi_get_opaque (pkey[2], &nbits);
 159   kek_params_size = (nbits+7)/8;
 160
 161   if (DBG_CRYPTO)
 162     log_printhex ("ecdh KDF params:", kek_params, kek_params_size);
 163
 164   /* Expect 4 bytes  03 01 hash_alg symm_alg.  */
 165   if (kek_params_size != 4 || kek_params[0] != 3 || kek_params[1] != 1)
 166     {
 167       xfree (secret_x);
 168       return gpg_error (GPG_ERR_BAD_PUBKEY);
 169     }
 170
 171   kdf_hash_algo = kek_params[2];
 172   kdf_encr_algo = kek_params[3];
 173
 174   if (DBG_CRYPTO)
 175     log_debug ("ecdh KDF algorithms %s+%s with aeswrap\n",
 176                openpgp_md_algo_name (kdf_hash_algo),
 177                openpgp_cipher_algo_name (kdf_encr_algo));
 178
 179   if (kdf_hash_algo != GCRY_MD_SHA256
 180       && kdf_hash_algo != GCRY_MD_SHA384
 181       && kdf_hash_algo != GCRY_MD_SHA512)
 182     {
 183       xfree (secret_x);
 184       return gpg_error (GPG_ERR_BAD_PUBKEY);
 185     }
 186   if (kdf_encr_algo != CIPHER_ALGO_AES
 187       && kdf_encr_algo != CIPHER_ALGO_AES192
 188       && kdf_encr_algo != CIPHER_ALGO_AES256)
 189     {
 190       xfree (secret_x);
 191       return gpg_error (GPG_ERR_BAD_PUBKEY);
 192     }
 193
 194   /* Build kdf_params.  */
 195   {
 196     IOBUF obuf;
 197
 198     obuf = iobuf_temp();
 199     /* variable-length field 1, curve name OID */
 200     err = gpg_mpi_write_nohdr (obuf, pkey[0]);
 201     /* fixed-length field 2 */
 202     iobuf_put (obuf, PUBKEY_ALGO_ECDH);
 203     /* variable-length field 3, KDF params */
 204     err = (err ? err : gpg_mpi_write_nohdr (obuf, pkey[2]));
 205     /* fixed-length field 4 */
 206     iobuf_write (obuf, "Anonymous Sender    ", 20);
 207     /* fixed-length field 5, recipient fp */
 208     iobuf_write (obuf, pk_fp, 20);
 209
 210     message_size = iobuf_temp_to_buffer (obuf, message, sizeof message);
 211     iobuf_close (obuf);
 212     if (err)
 213       {
 214         xfree (secret_x);
 215         return err;
 216       }
 217
 218     if(DBG_CRYPTO)
 219       log_printhex ("ecdh KDF message params are:", message, message_size);
 220   }
 221
 222   /* Derive a KEK (key wrapping key) using MESSAGE and SECRET_X. */
 223   {
 224     gcry_md_hd_t h;
 225     int old_size;
 226
 227     err = gcry_md_open (&h, kdf_hash_algo, 0);
 228     if (err)
 229       {
 230         log_error ("gcry_md_open failed for kdf_hash_algo %d: %s",
 231                    kdf_hash_algo, gpg_strerror (err));
 232         xfree (secret_x);
 233         return err;
 234       }
 235     gcry_md_write(h, "\x00\x00\x00\x01", 4);      /* counter = 1 */
 236     gcry_md_write(h, secret_x, secret_x_size);    /* x of the point X */
 237     gcry_md_write(h, message, message_size);/* KDF parameters */
 238
 239     gcry_md_final (h);
 240
 241     assert( gcry_md_get_algo_dlen (kdf_hash_algo) >= 32 );
 242
 243     memcpy (secret_x, gcry_md_read (h, kdf_hash_algo),
 244             gcry_md_get_algo_dlen (kdf_hash_algo));
 245     gcry_md_close (h);
 246
 247     old_size = secret_x_size;
 248     assert( old_size >= gcry_cipher_get_algo_keylen( kdf_encr_algo ) );
 249     secret_x_size = gcry_cipher_get_algo_keylen( kdf_encr_algo );
 250     assert( secret_x_size <= gcry_md_get_algo_dlen (kdf_hash_algo) );
 251
 252     /* We could have allocated more, so clean the tail before returning.  */
 253     memset (secret_x+secret_x_size, 0, old_size - secret_x_size);
 254     if (DBG_CRYPTO)
 255       log_printhex ("ecdh KEK is:", secret_x, secret_x_size );
 256   }
 257
 258   /* And, finally, aeswrap with key secret_x.  */
 259   {
 260     gcry_cipher_hd_t hd;
 261     size_t nbytes;
 262
 263     byte *data_buf;
 264     int data_buf_size;
 265
 266     gcry_mpi_t result;
 267
 268     err = gcry_cipher_open (&hd, kdf_encr_algo, GCRY_CIPHER_MODE_AESWRAP, 0);
 269     if (err)
 270       {
 271         log_error ("ecdh failed to initialize AESWRAP: %s\n",
 272                    gpg_strerror (err));
 273         xfree (secret_x);
 274         return err;
 275       }
 276
 277     err = gcry_cipher_setkey (hd, secret_x, secret_x_size);
 278     xfree (secret_x);
 279     secret_x = NULL;
 280     if (err)
 281       {
 282         gcry_cipher_close (hd);
 283         log_error ("ecdh failed in gcry_cipher_setkey: %s\n",
 284                    gpg_strerror (err));
 285         return err;
 286       }
 287
 288     data_buf_size = (gcry_mpi_get_nbits(data)+7)/8;
 289     if ((data_buf_size & 7) != (is_encrypt ? 0 : 1))
 290       {
 291         log_error ("can't use a shared secret of %d bytes for ecdh\n",
 292                    data_buf_size);
 293         return gpg_error (GPG_ERR_BAD_DATA);
 294       }
 295
 296     data_buf = xtrymalloc_secure( 1 + 2*data_buf_size + 8);
 297     if (!data_buf)
 298       {
 299         err = gpg_error_from_syserror ();
 300         gcry_cipher_close (hd);
 301         return err;
 302       }
 303
 304     if (is_encrypt)
 305       {
 306         byte *in = data_buf+1+data_buf_size+8;
 307
 308         /* Write data MPI into the end of data_buf. data_buf is size
 309            aeswrap data.  */
 310         err = gcry_mpi_print (GCRYMPI_FMT_USG, in,
 311                              data_buf_size, &nbytes, data/*in*/);
 312         if (err)
 313           {
 314             log_error ("ecdh failed to export DEK: %s\n", gpg_strerror (err));
 315             gcry_cipher_close (hd);
 316             xfree (data_buf);
 317             return err;
 318           }
 319
 320         if (DBG_CRYPTO)
 321           log_printhex ("ecdh encrypting  :", in, data_buf_size );
 322
 323         err = gcry_cipher_encrypt (hd, data_buf+1, data_buf_size+8,
 324                                    in, data_buf_size);
 325         memset (in, 0, data_buf_size);
 326         gcry_cipher_close (hd);
 327         if (err)
 328           {
 329             log_error ("ecdh failed in gcry_cipher_encrypt: %s\n",
 330                        gpg_strerror (err));
 331             xfree (data_buf);
 332             return err;
 333           }
 334         data_buf[0] = data_buf_size+8;
 335
 336         if (DBG_CRYPTO)
 337           log_printhex ("ecdh encrypted to:", data_buf+1, data_buf[0] );
 338
 339         result = gcry_mpi_set_opaque (NULL, data_buf, 8 * (1+data_buf[0]));
 340         if (!result)
 341           {
 342             err = gpg_error_from_syserror ();
 343             xfree (data_buf);
 344             log_error ("ecdh failed to create an MPI: %s\n",
 345                        gpg_strerror (err));
 346             return err;
 347           }
 348
 349         *r_result = result;
 350       }
 351     else
 352       {
 353         byte *in;
 354         const void *p;
 355
 356         p = gcry_mpi_get_opaque (data, &nbits);
 357         nbytes = (nbits+7)/8;
 358         if (!p || nbytes > data_buf_size || !nbytes)
 359           {
 360             xfree (data_buf);
 361             return gpg_error (GPG_ERR_BAD_MPI);
 362           }
 363         memcpy (data_buf, p, nbytes);
 364         if (data_buf[0] != nbytes-1)
 365           {
 366             log_error ("ecdh inconsistent size\n");
 367             xfree (data_buf);
 368             return gpg_error (GPG_ERR_BAD_MPI);
 369           }
 370         in = data_buf+data_buf_size;
 371         data_buf_size = data_buf[0];
 372
 373         if (DBG_CRYPTO)
 374           log_printhex ("ecdh decrypting :", data_buf+1, data_buf_size);
 375
 376         err = gcry_cipher_decrypt (hd, in, data_buf_size, data_buf+1,
 377                                    data_buf_size);
 378         gcry_cipher_close (hd);
 379         if (err)
 380           {
 381             log_error ("ecdh failed in gcry_cipher_decrypt: %s\n",
 382                        gpg_strerror (err));
 383             xfree (data_buf);
 384             return err;
 385           }
 386
 387         data_buf_size -= 8;
 388
 389         if (DBG_CRYPTO)
 390           log_printhex ("ecdh decrypted to :", in, data_buf_size);
 391
 392         /* Padding is removed later.  */
 393         /* if (in[data_buf_size-1] > 8 ) */
 394         /*   { */
 395         /*     log_error ("ecdh failed at decryption: invalid padding." */
 396         /*                " 0x%02x > 8\n", in[data_buf_size-1] ); */
 397         /*     return gpg_error (GPG_ERR_BAD_KEY); */
 398         /*   } */
 399
 400         err = gcry_mpi_scan (&result, GCRYMPI_FMT_USG, in, data_buf_size, NULL);
 401         xfree (data_buf);
 402         if (err)
 403           {
 404             log_error ("ecdh failed to create a plain text MPI: %s\n",
 405                        gpg_strerror (err));
 406             return err;
 407           }
 408
 409         *r_result = result;
 410       }
 411   }
 412
 413   return err;
 414 }
 415
 416
 417 static gcry_mpi_t
 418 gen_k (unsigned nbits)
 419 {
 420   gcry_mpi_t k;
 421
 422   k = gcry_mpi_snew (nbits);
 423   if (DBG_CRYPTO)
 424     log_debug ("choosing a random k of %u bits\n", nbits);
 425
 426   gcry_mpi_randomize (k, nbits-1, GCRY_STRONG_RANDOM);
 427
 428   if (DBG_CRYPTO)
 429     {
 430       unsigned char *buffer;
 431       if (gcry_mpi_aprint (GCRYMPI_FMT_HEX, &buffer, NULL, k))
 432         BUG ();
 433       log_debug ("ephemeral scalar MPI #0: %s\n", buffer);
 434       gcry_free (buffer);
 435     }
 436
 437   return k;
 438 }
 439
 440
 441 /* Generate an ephemeral key for the public ECDH key in PKEY.  On
 442    success the generated key is stored at R_K; on failure NULL is
 443    stored at R_K and an error code returned.  */
 444 gpg_error_t
 445 pk_ecdh_generate_ephemeral_key (gcry_mpi_t *pkey, gcry_mpi_t *r_k)
 446 {
 447   unsigned int nbits;
 448   gcry_mpi_t k;
 449
 450   *r_k = NULL;
 451
 452   nbits = pubkey_nbits (PUBKEY_ALGO_ECDH, pkey);
 453   if (!nbits)
 454     return gpg_error (GPG_ERR_TOO_SHORT);
 455   k = gen_k (nbits);
 456   if (!k)
 457     BUG ();
 458
 459   *r_k = k;
 460   return 0;
 461 }
 462
 463
 464
 465 /* Perform ECDH decryption.   */
 466 int
 467 pk_ecdh_decrypt (gcry_mpi_t * result, const byte sk_fp[MAX_FINGERPRINT_LEN],
 468                  gcry_mpi_t data, gcry_mpi_t shared, gcry_mpi_t * skey)
 469 {
 470   if (!data)
 471     return gpg_error (GPG_ERR_BAD_MPI);
 472   return pk_ecdh_encrypt_with_shared_point (0 /*=decryption*/, shared,
 473                                             sk_fp, data/*encr data as an MPI*/,
 474                                             skey, result);
 475 }