Update copyright
[gnupg.git] / g10 / seskey.c
1 /* seskey.c -  make sesssion keys etc.
2  * Copyright (C) 1998, 1999, 2000, 2001, 2002, 2003, 2004,
3  *               2006 Free Software Foundation, Inc.
4  *
5  * This file is part of GnuPG.
6  *
7  * GnuPG is free software; you can redistribute it and/or modify
8  * it under the terms of the GNU General Public License as published by
9  * the Free Software Foundation; either version 2 of the License, or
10  * (at your option) any later version.
11  *
12  * GnuPG is distributed in the hope that it will be useful,
13  * but WITHOUT ANY WARRANTY; without even the implied warranty of
14  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15  * GNU General Public License for more details.
16  *
17  * You should have received a copy of the GNU General Public License
18  * along with this program; if not, write to the Free Software
19  * Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301,
20  * USA.
21  */
22
23 #include <config.h>
24 #include <stdio.h>
25 #include <stdlib.h>
26 #include <string.h>
27 #include <assert.h>
28 #include "util.h"
29 #include "cipher.h"
30 #include "mpi.h"
31 #include "main.h"
32 #include "i18n.h"
33
34
35 /****************
36  * Make a session key and put it into DEK
37  */
38 void
39 make_session_key( DEK *dek )
40 {
41     CIPHER_HANDLE chd;
42     int i, rc;
43
44     dek->keylen = cipher_get_keylen( dek->algo ) / 8;
45
46     chd = cipher_open( dek->algo, CIPHER_MODE_AUTO_CFB, 1 );
47     randomize_buffer( dek->key, dek->keylen, 1 );
48     for(i=0; i < 16; i++ ) {
49         rc = cipher_setkey( chd, dek->key, dek->keylen );
50         if( !rc ) {
51             cipher_close( chd );
52             return;
53         }
54         log_info(_("weak key created - retrying\n") );
55         /* Renew the session key until we get a non-weak key. */
56         randomize_buffer( dek->key, dek->keylen, 1 );
57     }
58     log_fatal(_(
59             "cannot avoid weak key for symmetric cipher; tried %d times!\n"),
60                   i);
61 }
62
63
64 /****************
65  * Encode the session key. NBITS is the number of bits which should be used
66  * for packing the session key.
67  * returns: A mpi with the session key (caller must free)
68  */
69 MPI
70 encode_session_key( DEK *dek, unsigned nbits )
71 {
72     int nframe = (nbits+7) / 8;
73     byte *p;
74     byte *frame;
75     int i,n;
76     u16 csum;
77     MPI a;
78
79     /* the current limitation is that we can only use a session key
80      * whose length is a multiple of BITS_PER_MPI_LIMB
81      * I think we can live with that.
82      */
83     if( dek->keylen + 7 > nframe || !nframe )
84         log_bug("can't encode a %d bit key in a %d bits frame\n",
85                     dek->keylen*8, nbits );
86
87     /* We encode the session key in this way:
88      *
89      *     0  2  RND(n bytes)  0  A  DEK(k bytes)  CSUM(2 bytes)
90      *
91      * (But how can we store the leading 0 - the external representaion
92      *  of MPIs doesn't allow leading zeroes =:-)
93      *
94      * RND are non-zero random bytes.
95      * A   is the cipher algorithm
96      * DEK is the encryption key (session key) length k depends on the
97      *     cipher algorithm (20 is used with blowfish160).
98      * CSUM is the 16 bit checksum over the DEK
99      */
100     csum = 0;
101     for( p = dek->key, i=0; i < dek->keylen; i++ )
102         csum += *p++;
103
104     frame = xmalloc_secure( nframe );
105     n = 0;
106     frame[n++] = 0;
107     frame[n++] = 2;
108     i = nframe - 6 - dek->keylen;
109     assert( i > 0 );
110     p = get_random_bits( i*8, 1, 1 );
111     /* replace zero bytes by new values */
112     for(;;) {
113         int j, k;
114         byte *pp;
115
116         /* count the zero bytes */
117         for(j=k=0; j < i; j++ )
118             if( !p[j] )
119                 k++;
120         if( !k )
121             break; /* okay: no zero bytes */
122         k += k/128 + 3; /* better get some more */
123         pp = get_random_bits( k*8, 1, 1);
124         for(j=0; j < i && k ;) {
125             if( !p[j] )
126                 p[j] = pp[--k];
127             if (p[j])
128               j++;
129         }
130         xfree(pp);
131     }
132     memcpy( frame+n, p, i );
133     xfree(p);
134     n += i;
135     frame[n++] = 0;
136     frame[n++] = dek->algo;
137     memcpy( frame+n, dek->key, dek->keylen ); n += dek->keylen;
138     frame[n++] = csum >>8;
139     frame[n++] = csum;
140     assert( n == nframe );
141     a = mpi_alloc_secure( (nframe+BYTES_PER_MPI_LIMB-1) / BYTES_PER_MPI_LIMB );
142     mpi_set_buffer( a, frame, nframe, 0 );
143     xfree(frame);
144     return a;
145 }
146
147
148 static MPI
149 do_encode_md( MD_HANDLE md, int algo, size_t len, unsigned nbits,
150               const byte *asn, size_t asnlen )
151 {
152     int nframe = (nbits+7) / 8;
153     byte *frame;
154     int i,n;
155     MPI a;
156
157     if( len + asnlen + 4  > nframe )
158         log_bug("can't encode a %d bit MD into a %d bits frame\n",
159                     (int)(len*8), (int)nbits);
160
161     /* We encode the MD in this way:
162      *
163      *     0  1 PAD(n bytes)   0  ASN(asnlen bytes)  MD(len bytes)
164      *
165      * PAD consists of FF bytes.
166      */
167     frame = md_is_secure(md)? xmalloc_secure( nframe ) : xmalloc( nframe );
168     n = 0;
169     frame[n++] = 0;
170     frame[n++] = 1; /* block type */
171     i = nframe - len - asnlen -3 ;
172     assert( i > 1 );
173     memset( frame+n, 0xff, i ); n += i;
174     frame[n++] = 0;
175     memcpy( frame+n, asn, asnlen ); n += asnlen;
176     memcpy( frame+n, md_read(md, algo), len ); n += len;
177     assert( n == nframe );
178     a = md_is_secure(md)?
179          mpi_alloc_secure( (nframe+BYTES_PER_MPI_LIMB-1) / BYTES_PER_MPI_LIMB )
180          : mpi_alloc( (nframe+BYTES_PER_MPI_LIMB-1) / BYTES_PER_MPI_LIMB );
181     mpi_set_buffer( a, frame, nframe, 0 );
182     xfree(frame);
183
184     /* Note that PGP before version 2.3 encoded the MD as:
185      *
186      *   0   1   MD(16 bytes)   0   PAD(n bytes)   1
187      *
188      * The MD is always 16 bytes here because it's always MD5.  We do
189      * not support pre-v2.3 signatures, but I'm including this comment
190      * so the information is easily found in the future.
191      */
192
193     return a;
194 }
195
196
197 /****************
198  * Encode a message digest into an MPI.
199  * If it's for a DSA signature, make sure that the hash is large
200  * enough to fill up q.  If the hash is too big, take the leftmost
201  * bits.
202  */
203 MPI
204 encode_md_value( PKT_public_key *pk, PKT_secret_key *sk,
205                  MD_HANDLE md, int hash_algo )
206 {
207   MPI frame;
208
209   assert(hash_algo);
210   assert(pk || sk);
211
212   if((pk?pk->pubkey_algo:sk->pubkey_algo) == PUBKEY_ALGO_DSA)
213     {
214       /* It's a DSA signature, so find out the size of q. */
215
216       unsigned int qbytes=mpi_get_nbits(pk?pk->pkey[1]:sk->skey[1]);
217
218       /* Make sure it is a multiple of 8 bits. */
219
220       if(qbytes%8)
221         {
222           log_error(_("DSA requires the hash length to be a"
223                       " multiple of 8 bits\n"));
224           return NULL;
225         }
226
227       /* Don't allow any q smaller than 160 bits.  This might need a
228          revisit as the DSA2 design firms up, but for now, we don't
229          want someone to issue signatures from a key with a 16-bit q
230          or something like that, which would look correct but allow
231          trivial forgeries.  Yes, I know this rules out using MD5 with
232          DSA. ;) */
233
234       if(qbytes<160)
235         {
236           log_error(_("DSA key %s uses an unsafe (%u bit) hash\n"),
237                     pk?keystr_from_pk(pk):keystr_from_sk(sk),qbytes);
238           return NULL;
239         }
240
241       qbytes/=8;
242
243       /* Check if we're too short.  Too long is safe as we'll
244          automatically left-truncate. */
245
246       if(md_digest_length(hash_algo) < qbytes)
247         {
248           log_error(_("DSA key %s requires a %u bit or larger hash\n"),
249                     pk?keystr_from_pk(pk):keystr_from_sk(sk),qbytes*8);
250           return NULL;
251         }
252
253       frame = md_is_secure(md)? mpi_alloc_secure((qbytes+BYTES_PER_MPI_LIMB-1)
254                                                  / BYTES_PER_MPI_LIMB )
255         : mpi_alloc((qbytes+BYTES_PER_MPI_LIMB-1) / BYTES_PER_MPI_LIMB );
256
257       mpi_set_buffer( frame, md_read(md, hash_algo), qbytes, 0 );
258     }
259   else
260     {
261       const byte *asn;
262       size_t asnlen,mdlen;
263
264       asn = md_asn_oid( hash_algo, &asnlen, &mdlen );
265       frame = do_encode_md( md, hash_algo, mdlen,
266                             mpi_get_nbits(pk?pk->pkey[0]:sk->skey[0]),
267                             asn, asnlen );
268     }
269
270   return frame;
271 }