crypto/cmac/cmac.c

   1 /*
   2  * Copyright 2010-2020 The OpenSSL Project Authors. All Rights Reserved.
   3  *
   4  * Licensed under the Apache License 2.0 (the "License").  You may not use
   5  * this file except in compliance with the License.  You can obtain a copy
   6  * in the file LICENSE in the source distribution or at
   7  * https://www.openssl.org/source/license.html
   8  */
   9
  10 /*
  11  * CMAC low level APIs are deprecated for public use, but still ok for internal
  12  * use.
  13  */
  14 #include "internal/deprecated.h"
  15
  16 #include <stdio.h>
  17 #include <stdlib.h>
  18 #include <string.h>
  19 #include "internal/cryptlib.h"
  20 #include <openssl/cmac.h>
  21 #include <openssl/err.h>
  22
  23 struct CMAC_CTX_st {
  24     /* Cipher context to use */
  25     EVP_CIPHER_CTX *cctx;
  26     /* Keys k1 and k2 */
  27     unsigned char k1[EVP_MAX_BLOCK_LENGTH];
  28     unsigned char k2[EVP_MAX_BLOCK_LENGTH];
  29     /* Temporary block */
  30     unsigned char tbl[EVP_MAX_BLOCK_LENGTH];
  31     /* Last (possibly partial) block */
  32     unsigned char last_block[EVP_MAX_BLOCK_LENGTH];
  33     /* Number of bytes in last block: -1 means context not initialised */
  34     int nlast_block;
  35 };
  36
  37 /* Make temporary keys K1 and K2 */
  38
  39 static void make_kn(unsigned char *k1, const unsigned char *l, int bl)
  40 {
  41     int i;
  42     unsigned char c = l[0], carry = c >> 7, cnext;
  43
  44     /* Shift block to left, including carry */
  45     for (i = 0; i < bl - 1; i++, c = cnext)
  46         k1[i] = (c << 1) | ((cnext = l[i + 1]) >> 7);
  47
  48     /* If MSB set fixup with R */
  49     k1[i] = (c << 1) ^ ((0 - carry) & (bl == 16 ? 0x87 : 0x1b));
  50 }
  51
  52 CMAC_CTX *CMAC_CTX_new(void)
  53 {
  54     CMAC_CTX *ctx;
  55
  56     if ((ctx = OPENSSL_malloc(sizeof(*ctx))) == NULL) {
  57         CRYPTOerr(CRYPTO_F_CMAC_CTX_NEW, ERR_R_MALLOC_FAILURE);
  58         return NULL;
  59     }
  60     ctx->cctx = EVP_CIPHER_CTX_new();
  61     if (ctx->cctx == NULL) {
  62         OPENSSL_free(ctx);
  63         return NULL;
  64     }
  65     ctx->nlast_block = -1;
  66     return ctx;
  67 }
  68
  69 void CMAC_CTX_cleanup(CMAC_CTX *ctx)
  70 {
  71     EVP_CIPHER_CTX_reset(ctx->cctx);
  72     OPENSSL_cleanse(ctx->tbl, EVP_MAX_BLOCK_LENGTH);
  73     OPENSSL_cleanse(ctx->k1, EVP_MAX_BLOCK_LENGTH);
  74     OPENSSL_cleanse(ctx->k2, EVP_MAX_BLOCK_LENGTH);
  75     OPENSSL_cleanse(ctx->last_block, EVP_MAX_BLOCK_LENGTH);
  76     ctx->nlast_block = -1;
  77 }
  78
  79 EVP_CIPHER_CTX *CMAC_CTX_get0_cipher_ctx(CMAC_CTX *ctx)
  80 {
  81     return ctx->cctx;
  82 }
  83
  84 void CMAC_CTX_free(CMAC_CTX *ctx)
  85 {
  86     if (!ctx)
  87         return;
  88     CMAC_CTX_cleanup(ctx);
  89     EVP_CIPHER_CTX_free(ctx->cctx);
  90     OPENSSL_free(ctx);
  91 }
  92
  93 int CMAC_CTX_copy(CMAC_CTX *out, const CMAC_CTX *in)
  94 {
  95     int bl;
  96
  97     if (in->nlast_block == -1)
  98         return 0;
  99     if ((bl = EVP_CIPHER_CTX_block_size(in->cctx)) < 0)
 100         return 0;
 101     if (!EVP_CIPHER_CTX_copy(out->cctx, in->cctx))
 102         return 0;
 103     memcpy(out->k1, in->k1, bl);
 104     memcpy(out->k2, in->k2, bl);
 105     memcpy(out->tbl, in->tbl, bl);
 106     memcpy(out->last_block, in->last_block, bl);
 107     out->nlast_block = in->nlast_block;
 108     return 1;
 109 }
 110
 111 int CMAC_Init(CMAC_CTX *ctx, const void *key, size_t keylen,
 112               const EVP_CIPHER *cipher, ENGINE *impl)
 113 {
 114     static const unsigned char zero_iv[EVP_MAX_BLOCK_LENGTH] = { 0 };
 115
 116     /* All zeros means restart */
 117     if (!key && !cipher && !impl && keylen == 0) {
 118         /* Not initialised */
 119         if (ctx->nlast_block == -1)
 120             return 0;
 121         if (!EVP_EncryptInit_ex(ctx->cctx, NULL, NULL, NULL, zero_iv))
 122             return 0;
 123         memset(ctx->tbl, 0, EVP_CIPHER_CTX_block_size(ctx->cctx));
 124         ctx->nlast_block = 0;
 125         return 1;
 126     }
 127     /* Initialise context */
 128     if (cipher && !EVP_EncryptInit_ex(ctx->cctx, cipher, impl, NULL, NULL))
 129         return 0;
 130     /* Non-NULL key means initialisation complete */
 131     if (key) {
 132         int bl;
 133
 134         if (!EVP_CIPHER_CTX_cipher(ctx->cctx))
 135             return 0;
 136         if (!EVP_CIPHER_CTX_set_key_length(ctx->cctx, keylen))
 137             return 0;
 138         if (!EVP_EncryptInit_ex(ctx->cctx, NULL, NULL, key, zero_iv))
 139             return 0;
 140         if ((bl = EVP_CIPHER_CTX_block_size(ctx->cctx)) < 0)
 141             return 0;
 142         if (!EVP_Cipher(ctx->cctx, ctx->tbl, zero_iv, bl))
 143             return 0;
 144         make_kn(ctx->k1, ctx->tbl, bl);
 145         make_kn(ctx->k2, ctx->k1, bl);
 146         OPENSSL_cleanse(ctx->tbl, bl);
 147         /* Reset context again ready for first data block */
 148         if (!EVP_EncryptInit_ex(ctx->cctx, NULL, NULL, NULL, zero_iv))
 149             return 0;
 150         /* Zero tbl so resume works */
 151         memset(ctx->tbl, 0, bl);
 152         ctx->nlast_block = 0;
 153     }
 154     return 1;
 155 }
 156
 157 int CMAC_Update(CMAC_CTX *ctx, const void *in, size_t dlen)
 158 {
 159     const unsigned char *data = in;
 160     int bl;
 161
 162     if (ctx->nlast_block == -1)
 163         return 0;
 164     if (dlen == 0)
 165         return 1;
 166     if ((bl = EVP_CIPHER_CTX_block_size(ctx->cctx)) < 0)
 167         return 0;
 168     /* Copy into partial block if we need to */
 169     if (ctx->nlast_block > 0) {
 170         size_t nleft;
 171
 172         nleft = bl - ctx->nlast_block;
 173         if (dlen < nleft)
 174             nleft = dlen;
 175         memcpy(ctx->last_block + ctx->nlast_block, data, nleft);
 176         dlen -= nleft;
 177         ctx->nlast_block += nleft;
 178         /* If no more to process return */
 179         if (dlen == 0)
 180             return 1;
 181         data += nleft;
 182         /* Else not final block so encrypt it */
 183         if (!EVP_Cipher(ctx->cctx, ctx->tbl, ctx->last_block, bl))
 184             return 0;
 185     }
 186     /* Encrypt all but one of the complete blocks left */
 187     while (dlen > (size_t)bl) {
 188         if (!EVP_Cipher(ctx->cctx, ctx->tbl, data, bl))
 189             return 0;
 190         dlen -= bl;
 191         data += bl;
 192     }
 193     /* Copy any data left to last block buffer */
 194     memcpy(ctx->last_block, data, dlen);
 195     ctx->nlast_block = dlen;
 196     return 1;
 197
 198 }
 199
 200 int CMAC_Final(CMAC_CTX *ctx, unsigned char *out, size_t *poutlen)
 201 {
 202     int i, bl, lb;
 203
 204     if (ctx->nlast_block == -1)
 205         return 0;
 206     if ((bl = EVP_CIPHER_CTX_block_size(ctx->cctx)) < 0)
 207         return 0;
 208     if (poutlen != NULL)
 209         *poutlen = (size_t)bl;
 210     if (!out)
 211         return 1;
 212     lb = ctx->nlast_block;
 213     /* Is last block complete? */
 214     if (lb == bl) {
 215         for (i = 0; i < bl; i++)
 216             out[i] = ctx->last_block[i] ^ ctx->k1[i];
 217     } else {
 218         ctx->last_block[lb] = 0x80;
 219         if (bl - lb > 1)
 220             memset(ctx->last_block + lb + 1, 0, bl - lb - 1);
 221         for (i = 0; i < bl; i++)
 222             out[i] = ctx->last_block[i] ^ ctx->k2[i];
 223     }
 224     if (!EVP_Cipher(ctx->cctx, out, out, bl)) {
 225         OPENSSL_cleanse(out, bl);
 226         return 0;
 227     }
 228     return 1;
 229 }
 230
 231 int CMAC_resume(CMAC_CTX *ctx)
 232 {
 233     if (ctx->nlast_block == -1)
 234         return 0;
 235     /*
 236      * The buffer "tbl" contains the last fully encrypted block which is the
 237      * last IV (or all zeroes if no last encrypted block). The last block has
 238      * not been modified since CMAC_final(). So reinitialising using the last
 239      * decrypted block will allow CMAC to continue after calling
 240      * CMAC_Final().
 241      */
 242     return EVP_EncryptInit_ex(ctx->cctx, NULL, NULL, NULL, ctx->tbl);
 243 }