crypto/ecdsa/ecs_ossl.c

   1 /* crypto/ecdsa/ecs_ossl.c */
   2 /*
   3  * Written by Nils Larsch for the OpenSSL project
   4  */
   5 /* ====================================================================
   6  * Copyright (c) 1998-2004 The OpenSSL Project.  All rights reserved.
   7  *
   8  * Redistribution and use in source and binary forms, with or without
   9  * modification, are permitted provided that the following conditions
  10  * are met:
  11  *
  12  * 1. Redistributions of source code must retain the above copyright
  13  *    notice, this list of conditions and the following disclaimer.
  14  *
  15  * 2. Redistributions in binary form must reproduce the above copyright
  16  *    notice, this list of conditions and the following disclaimer in
  17  *    the documentation and/or other materials provided with the
  18  *    distribution.
  19  *
  20  * 3. All advertising materials mentioning features or use of this
  21  *    software must display the following acknowledgment:
  22  *    "This product includes software developed by the OpenSSL Project
  23  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
  24  *
  25  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
  26  *    endorse or promote products derived from this software without
  27  *    prior written permission. For written permission, please contact
  28  *    openssl-core@OpenSSL.org.
  29  *
  30  * 5. Products derived from this software may not be called "OpenSSL"
  31  *    nor may "OpenSSL" appear in their names without prior written
  32  *    permission of the OpenSSL Project.
  33  *
  34  * 6. Redistributions of any form whatsoever must retain the following
  35  *    acknowledgment:
  36  *    "This product includes software developed by the OpenSSL Project
  37  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
  38  *
  39  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
  40  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  41  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
  42  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
  43  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
  44  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
  45  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
  46  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  47  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
  48  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
  49  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
  50  * OF THE POSSIBILITY OF SUCH DAMAGE.
  51  * ====================================================================
  52  *
  53  * This product includes cryptographic software written by Eric Young
  54  * (eay@cryptsoft.com).  This product includes software written by Tim
  55  * Hudson (tjh@cryptsoft.com).
  56  *
  57  */
  58
  59 #include "ecs_locl.h"
  60 #include <openssl/err.h>
  61 #include <openssl/obj_mac.h>
  62 #include <openssl/bn.h>
  63
  64 static ECDSA_SIG *ecdsa_do_sign(const unsigned char *dgst, int dlen,
  65                                 const BIGNUM *, const BIGNUM *,
  66                                 EC_KEY *eckey);
  67 static int ecdsa_sign_setup(EC_KEY *eckey, BN_CTX *ctx_in, BIGNUM **kinvp,
  68                             BIGNUM **rp);
  69 static int ecdsa_do_verify(const unsigned char *dgst, int dgst_len,
  70                            const ECDSA_SIG *sig, EC_KEY *eckey);
  71
  72 static ECDSA_METHOD openssl_ecdsa_meth = {
  73     "OpenSSL ECDSA method",
  74     ecdsa_do_sign,
  75     ecdsa_sign_setup,
  76     ecdsa_do_verify,
  77 #if 0
  78     NULL,                       /* init */
  79     NULL,                       /* finish */
  80 #endif
  81     0,                          /* flags */
  82     NULL                        /* app_data */
  83 };
  84
  85 const ECDSA_METHOD *ECDSA_OpenSSL(void)
  86 {
  87     return &openssl_ecdsa_meth;
  88 }
  89
  90 static int ecdsa_sign_setup(EC_KEY *eckey, BN_CTX *ctx_in, BIGNUM **kinvp,
  91                             BIGNUM **rp)
  92 {
  93     BN_CTX *ctx = NULL;
  94     BIGNUM *k = NULL, *r = NULL, *order = NULL, *X = NULL;
  95     EC_POINT *tmp_point = NULL;
  96     const EC_GROUP *group;
  97     int ret = 0;
  98
  99     if (eckey == NULL || (group = EC_KEY_get0_group(eckey)) == NULL) {
 100         ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_PASSED_NULL_PARAMETER);
 101         return 0;
 102     }
 103
 104     if (ctx_in == NULL) {
 105         if ((ctx = BN_CTX_new()) == NULL) {
 106             ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_MALLOC_FAILURE);
 107             return 0;
 108         }
 109     } else
 110         ctx = ctx_in;
 111
 112     k = BN_new();               /* this value is later returned in *kinvp */
 113     r = BN_new();               /* this value is later returned in *rp */
 114     order = BN_new();
 115     X = BN_new();
 116     if (!k || !r || !order || !X) {
 117         ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_MALLOC_FAILURE);
 118         goto err;
 119     }
 120     if ((tmp_point = EC_POINT_new(group)) == NULL) {
 121         ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_EC_LIB);
 122         goto err;
 123     }
 124     if (!EC_GROUP_get_order(group, order, ctx)) {
 125         ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_EC_LIB);
 126         goto err;
 127     }
 128
 129     do {
 130         /* get random k */
 131         do
 132             if (!BN_rand_range(k, order)) {
 133                 ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP,
 134                          ECDSA_R_RANDOM_NUMBER_GENERATION_FAILED);
 135                 goto err;
 136             }
 137         while (BN_is_zero(k)) ;
 138
 139         /*
 140          * We do not want timing information to leak the length of k, so we
 141          * compute G*k using an equivalent scalar of fixed bit-length.
 142          */
 143
 144         if (!BN_add(k, k, order))
 145             goto err;
 146         if (BN_num_bits(k) <= BN_num_bits(order))
 147             if (!BN_add(k, k, order))
 148                 goto err;
 149
 150         /* compute r the x-coordinate of generator * k */
 151         if (!EC_POINT_mul(group, tmp_point, k, NULL, NULL, ctx)) {
 152             ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_EC_LIB);
 153             goto err;
 154         }
 155         if (EC_METHOD_get_field_type(EC_GROUP_method_of(group)) ==
 156             NID_X9_62_prime_field) {
 157             if (!EC_POINT_get_affine_coordinates_GFp
 158                 (group, tmp_point, X, NULL, ctx)) {
 159                 ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_EC_LIB);
 160                 goto err;
 161             }
 162         }
 163 #ifndef OPENSSL_NO_EC2M
 164         else {                  /* NID_X9_62_characteristic_two_field */
 165
 166             if (!EC_POINT_get_affine_coordinates_GF2m(group,
 167                                                       tmp_point, X, NULL,
 168                                                       ctx)) {
 169                 ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_EC_LIB);
 170                 goto err;
 171             }
 172         }
 173 #endif
 174         if (!BN_nnmod(r, X, order, ctx)) {
 175             ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_BN_LIB);
 176             goto err;
 177         }
 178     }
 179     while (BN_is_zero(r));
 180
 181     /* compute the inverse of k */
 182     if (!BN_mod_inverse(k, k, order, ctx)) {
 183         ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_BN_LIB);
 184         goto err;
 185     }
 186     /* clear old values if necessary */
 187     if (*rp != NULL)
 188         BN_clear_free(*rp);
 189     if (*kinvp != NULL)
 190         BN_clear_free(*kinvp);
 191     /* save the pre-computed values  */
 192     *rp = r;
 193     *kinvp = k;
 194     ret = 1;
 195  err:
 196     if (!ret) {
 197         if (k != NULL)
 198             BN_clear_free(k);
 199         if (r != NULL)
 200             BN_clear_free(r);
 201     }
 202     if (ctx_in == NULL)
 203         BN_CTX_free(ctx);
 204     if (order != NULL)
 205         BN_free(order);
 206     if (tmp_point != NULL)
 207         EC_POINT_free(tmp_point);
 208     if (X)
 209         BN_clear_free(X);
 210     return (ret);
 211 }
 212
 213 static ECDSA_SIG *ecdsa_do_sign(const unsigned char *dgst, int dgst_len,
 214                                 const BIGNUM *in_kinv, const BIGNUM *in_r,
 215                                 EC_KEY *eckey)
 216 {
 217     int ok = 0, i;
 218     BIGNUM *kinv = NULL, *s, *m = NULL, *tmp = NULL, *order = NULL;
 219     const BIGNUM *ckinv;
 220     BN_CTX *ctx = NULL;
 221     const EC_GROUP *group;
 222     ECDSA_SIG *ret;
 223     ECDSA_DATA *ecdsa;
 224     const BIGNUM *priv_key;
 225
 226     ecdsa = ecdsa_check(eckey);
 227     group = EC_KEY_get0_group(eckey);
 228     priv_key = EC_KEY_get0_private_key(eckey);
 229
 230     if (group == NULL || priv_key == NULL || ecdsa == NULL) {
 231         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_PASSED_NULL_PARAMETER);
 232         return NULL;
 233     }
 234
 235     ret = ECDSA_SIG_new();
 236     if (!ret) {
 237         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_MALLOC_FAILURE);
 238         return NULL;
 239     }
 240     s = ret->s;
 241
 242     if ((ctx = BN_CTX_new()) == NULL || (order = BN_new()) == NULL ||
 243         (tmp = BN_new()) == NULL || (m = BN_new()) == NULL) {
 244         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_MALLOC_FAILURE);
 245         goto err;
 246     }
 247
 248     if (!EC_GROUP_get_order(group, order, ctx)) {
 249         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_EC_LIB);
 250         goto err;
 251     }
 252     i = BN_num_bits(order);
 253     /*
 254      * Need to truncate digest if it is too long: first truncate whole bytes.
 255      */
 256     if (8 * dgst_len > i)
 257         dgst_len = (i + 7) / 8;
 258     if (!BN_bin2bn(dgst, dgst_len, m)) {
 259         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_BN_LIB);
 260         goto err;
 261     }
 262     /* If still too long truncate remaining bits with a shift */
 263     if ((8 * dgst_len > i) && !BN_rshift(m, m, 8 - (i & 0x7))) {
 264         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_BN_LIB);
 265         goto err;
 266     }
 267     do {
 268         if (in_kinv == NULL || in_r == NULL) {
 269             if (!ECDSA_sign_setup(eckey, ctx, &kinv, &ret->r)) {
 270                 ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_ECDSA_LIB);
 271                 goto err;
 272             }
 273             ckinv = kinv;
 274         } else {
 275             ckinv = in_kinv;
 276             if (BN_copy(ret->r, in_r) == NULL) {
 277                 ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_MALLOC_FAILURE);
 278                 goto err;
 279             }
 280         }
 281
 282         if (!BN_mod_mul(tmp, priv_key, ret->r, order, ctx)) {
 283             ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_BN_LIB);
 284             goto err;
 285         }
 286         if (!BN_mod_add_quick(s, tmp, m, order)) {
 287             ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_BN_LIB);
 288             goto err;
 289         }
 290         if (!BN_mod_mul(s, s, ckinv, order, ctx)) {
 291             ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_BN_LIB);
 292             goto err;
 293         }
 294         if (BN_is_zero(s)) {
 295             /*
 296              * if kinv and r have been supplied by the caller don't to
 297              * generate new kinv and r values
 298              */
 299             if (in_kinv != NULL && in_r != NULL) {
 300                 ECDSAerr(ECDSA_F_ECDSA_DO_SIGN,
 301                          ECDSA_R_NEED_NEW_SETUP_VALUES);
 302                 goto err;
 303             }
 304         } else
 305             /* s != 0 => we have a valid signature */
 306             break;
 307     }
 308     while (1);
 309
 310     ok = 1;
 311  err:
 312     if (!ok) {
 313         ECDSA_SIG_free(ret);
 314         ret = NULL;
 315     }
 316     if (ctx)
 317         BN_CTX_free(ctx);
 318     if (m)
 319         BN_clear_free(m);
 320     if (tmp)
 321         BN_clear_free(tmp);
 322     if (order)
 323         BN_free(order);
 324     if (kinv)
 325         BN_clear_free(kinv);
 326     return ret;
 327 }
 328
 329 static int ecdsa_do_verify(const unsigned char *dgst, int dgst_len,
 330                            const ECDSA_SIG *sig, EC_KEY *eckey)
 331 {
 332     int ret = -1, i;
 333     BN_CTX *ctx;
 334     BIGNUM *order, *u1, *u2, *m, *X;
 335     EC_POINT *point = NULL;
 336     const EC_GROUP *group;
 337     const EC_POINT *pub_key;
 338
 339     /* check input values */
 340     if (eckey == NULL || (group = EC_KEY_get0_group(eckey)) == NULL ||
 341         (pub_key = EC_KEY_get0_public_key(eckey)) == NULL || sig == NULL) {
 342         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ECDSA_R_MISSING_PARAMETERS);
 343         return -1;
 344     }
 345
 346     ctx = BN_CTX_new();
 347     if (!ctx) {
 348         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_MALLOC_FAILURE);
 349         return -1;
 350     }
 351     BN_CTX_start(ctx);
 352     order = BN_CTX_get(ctx);
 353     u1 = BN_CTX_get(ctx);
 354     u2 = BN_CTX_get(ctx);
 355     m = BN_CTX_get(ctx);
 356     X = BN_CTX_get(ctx);
 357     if (!X) {
 358         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 359         goto err;
 360     }
 361
 362     if (!EC_GROUP_get_order(group, order, ctx)) {
 363         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_EC_LIB);
 364         goto err;
 365     }
 366
 367     if (BN_is_zero(sig->r) || BN_is_negative(sig->r) ||
 368         BN_ucmp(sig->r, order) >= 0 || BN_is_zero(sig->s) ||
 369         BN_is_negative(sig->s) || BN_ucmp(sig->s, order) >= 0) {
 370         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ECDSA_R_BAD_SIGNATURE);
 371         ret = 0;                /* signature is invalid */
 372         goto err;
 373     }
 374     /* calculate tmp1 = inv(S) mod order */
 375     if (!BN_mod_inverse(u2, sig->s, order, ctx)) {
 376         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 377         goto err;
 378     }
 379     /* digest -> m */
 380     i = BN_num_bits(order);
 381     /*
 382      * Need to truncate digest if it is too long: first truncate whole bytes.
 383      */
 384     if (8 * dgst_len > i)
 385         dgst_len = (i + 7) / 8;
 386     if (!BN_bin2bn(dgst, dgst_len, m)) {
 387         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 388         goto err;
 389     }
 390     /* If still too long truncate remaining bits with a shift */
 391     if ((8 * dgst_len > i) && !BN_rshift(m, m, 8 - (i & 0x7))) {
 392         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 393         goto err;
 394     }
 395     /* u1 = m * tmp mod order */
 396     if (!BN_mod_mul(u1, m, u2, order, ctx)) {
 397         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 398         goto err;
 399     }
 400     /* u2 = r * w mod q */
 401     if (!BN_mod_mul(u2, sig->r, u2, order, ctx)) {
 402         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 403         goto err;
 404     }
 405
 406     if ((point = EC_POINT_new(group)) == NULL) {
 407         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_MALLOC_FAILURE);
 408         goto err;
 409     }
 410     if (!EC_POINT_mul(group, point, u1, pub_key, u2, ctx)) {
 411         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_EC_LIB);
 412         goto err;
 413     }
 414     if (EC_METHOD_get_field_type(EC_GROUP_method_of(group)) ==
 415         NID_X9_62_prime_field) {
 416         if (!EC_POINT_get_affine_coordinates_GFp(group, point, X, NULL, ctx)) {
 417             ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_EC_LIB);
 418             goto err;
 419         }
 420     }
 421 #ifndef OPENSSL_NO_EC2M
 422     else {                      /* NID_X9_62_characteristic_two_field */
 423
 424         if (!EC_POINT_get_affine_coordinates_GF2m(group, point, X, NULL, ctx)) {
 425             ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_EC_LIB);
 426             goto err;
 427         }
 428     }
 429 #endif
 430     if (!BN_nnmod(u1, X, order, ctx)) {
 431         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 432         goto err;
 433     }
 434     /*  if the signature is correct u1 is equal to sig->r */
 435     ret = (BN_ucmp(u1, sig->r) == 0);
 436  err:
 437     BN_CTX_end(ctx);
 438     BN_CTX_free(ctx);
 439     if (point)
 440         EC_POINT_free(point);
 441     return ret;
 442 }