Sanity check DES_enc_write buffer length
[openssl.git] / crypto / evp / e_aes.c
1 /* ====================================================================
2  * Copyright (c) 2001-2014 The OpenSSL Project.  All rights reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions
6  * are met:
7  *
8  * 1. Redistributions of source code must retain the above copyright
9  *    notice, this list of conditions and the following disclaimer.
10  *
11  * 2. Redistributions in binary form must reproduce the above copyright
12  *    notice, this list of conditions and the following disclaimer in
13  *    the documentation and/or other materials provided with the
14  *    distribution.
15  *
16  * 3. All advertising materials mentioning features or use of this
17  *    software must display the following acknowledgment:
18  *    "This product includes software developed by the OpenSSL Project
19  *    for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
20  *
21  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
22  *    endorse or promote products derived from this software without
23  *    prior written permission. For written permission, please contact
24  *    openssl-core@openssl.org.
25  *
26  * 5. Products derived from this software may not be called "OpenSSL"
27  *    nor may "OpenSSL" appear in their names without prior written
28  *    permission of the OpenSSL Project.
29  *
30  * 6. Redistributions of any form whatsoever must retain the following
31  *    acknowledgment:
32  *    "This product includes software developed by the OpenSSL Project
33  *    for use in the OpenSSL Toolkit (http://www.openssl.org/)"
34  *
35  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
36  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
37  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
38  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
39  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
40  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
41  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
42  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
43  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
44  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
45  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
46  * OF THE POSSIBILITY OF SUCH DAMAGE.
47  * ====================================================================
48  *
49  */
50
51 #include <openssl/opensslconf.h>
52 #ifndef OPENSSL_NO_AES
53 # include <openssl/evp.h>
54 # include <openssl/err.h>
55 # include <string.h>
56 # include <assert.h>
57 # include <openssl/aes.h>
58 # include "evp_locl.h"
59 # include "modes_lcl.h"
60 # include <openssl/rand.h>
61
62 typedef struct {
63     union {
64         double align;
65         AES_KEY ks;
66     } ks;
67     block128_f block;
68     union {
69         cbc128_f cbc;
70         ctr128_f ctr;
71     } stream;
72 } EVP_AES_KEY;
73
74 typedef struct {
75     union {
76         double align;
77         AES_KEY ks;
78     } ks;                       /* AES key schedule to use */
79     int key_set;                /* Set if key initialised */
80     int iv_set;                 /* Set if an iv is set */
81     GCM128_CONTEXT gcm;
82     unsigned char *iv;          /* Temporary IV store */
83     int ivlen;                  /* IV length */
84     int taglen;
85     int iv_gen;                 /* It is OK to generate IVs */
86     int tls_aad_len;            /* TLS AAD length */
87     ctr128_f ctr;
88 } EVP_AES_GCM_CTX;
89
90 typedef struct {
91     union {
92         double align;
93         AES_KEY ks;
94     } ks1, ks2;                 /* AES key schedules to use */
95     XTS128_CONTEXT xts;
96     void (*stream) (const unsigned char *in,
97                     unsigned char *out, size_t length,
98                     const AES_KEY *key1, const AES_KEY *key2,
99                     const unsigned char iv[16]);
100 } EVP_AES_XTS_CTX;
101
102 typedef struct {
103     union {
104         double align;
105         AES_KEY ks;
106     } ks;                       /* AES key schedule to use */
107     int key_set;                /* Set if key initialised */
108     int iv_set;                 /* Set if an iv is set */
109     int tag_set;                /* Set if tag is valid */
110     int len_set;                /* Set if message length set */
111     int L, M;                   /* L and M parameters from RFC3610 */
112     CCM128_CONTEXT ccm;
113     ccm128_f str;
114 } EVP_AES_CCM_CTX;
115
116 # ifndef OPENSSL_NO_OCB
117 typedef struct {
118     union {
119         double align;
120         AES_KEY ks;
121     } ksenc;                    /* AES key schedule to use for encryption */
122     union {
123         double align;
124         AES_KEY ks;
125     } ksdec;                    /* AES key schedule to use for decryption */
126     int key_set;                /* Set if key initialised */
127     int iv_set;                 /* Set if an iv is set */
128     OCB128_CONTEXT ocb;
129     unsigned char *iv;          /* Temporary IV store */
130     unsigned char tag[16];
131     unsigned char data_buf[16]; /* Store partial data blocks */
132     unsigned char aad_buf[16];  /* Store partial AAD blocks */
133     int data_buf_len;
134     int aad_buf_len;
135     int ivlen;                  /* IV length */
136     int taglen;
137 } EVP_AES_OCB_CTX;
138 # endif
139
140 # define MAXBITCHUNK     ((size_t)1<<(sizeof(size_t)*8-4))
141
142 # ifdef VPAES_ASM
143 int vpaes_set_encrypt_key(const unsigned char *userKey, int bits,
144                           AES_KEY *key);
145 int vpaes_set_decrypt_key(const unsigned char *userKey, int bits,
146                           AES_KEY *key);
147
148 void vpaes_encrypt(const unsigned char *in, unsigned char *out,
149                    const AES_KEY *key);
150 void vpaes_decrypt(const unsigned char *in, unsigned char *out,
151                    const AES_KEY *key);
152
153 void vpaes_cbc_encrypt(const unsigned char *in,
154                        unsigned char *out,
155                        size_t length,
156                        const AES_KEY *key, unsigned char *ivec, int enc);
157 # endif
158 # ifdef BSAES_ASM
159 void bsaes_cbc_encrypt(const unsigned char *in, unsigned char *out,
160                        size_t length, const AES_KEY *key,
161                        unsigned char ivec[16], int enc);
162 void bsaes_ctr32_encrypt_blocks(const unsigned char *in, unsigned char *out,
163                                 size_t len, const AES_KEY *key,
164                                 const unsigned char ivec[16]);
165 void bsaes_xts_encrypt(const unsigned char *inp, unsigned char *out,
166                        size_t len, const AES_KEY *key1,
167                        const AES_KEY *key2, const unsigned char iv[16]);
168 void bsaes_xts_decrypt(const unsigned char *inp, unsigned char *out,
169                        size_t len, const AES_KEY *key1,
170                        const AES_KEY *key2, const unsigned char iv[16]);
171 # endif
172 # ifdef AES_CTR_ASM
173 void AES_ctr32_encrypt(const unsigned char *in, unsigned char *out,
174                        size_t blocks, const AES_KEY *key,
175                        const unsigned char ivec[AES_BLOCK_SIZE]);
176 # endif
177 # ifdef AES_XTS_ASM
178 void AES_xts_encrypt(const char *inp, char *out, size_t len,
179                      const AES_KEY *key1, const AES_KEY *key2,
180                      const unsigned char iv[16]);
181 void AES_xts_decrypt(const char *inp, char *out, size_t len,
182                      const AES_KEY *key1, const AES_KEY *key2,
183                      const unsigned char iv[16]);
184 # endif
185
186 # if     defined(OPENSSL_CPUID_OBJ) && (defined(__powerpc__) || defined(__ppc__) || defined(_ARCH_PPC))
187 #  include "ppc_arch.h"
188 #  ifdef VPAES_ASM
189 #   define VPAES_CAPABLE (OPENSSL_ppccap_P & PPC_ALTIVEC)
190 #  endif
191 #  define HWAES_CAPABLE  (OPENSSL_ppccap_P & PPC_CRYPTO207)
192 #  define HWAES_set_encrypt_key aes_p8_set_encrypt_key
193 #  define HWAES_set_decrypt_key aes_p8_set_decrypt_key
194 #  define HWAES_encrypt aes_p8_encrypt
195 #  define HWAES_decrypt aes_p8_decrypt
196 #  define HWAES_cbc_encrypt aes_p8_cbc_encrypt
197 #  define HWAES_ctr32_encrypt_blocks aes_p8_ctr32_encrypt_blocks
198 # endif
199
200 # if     defined(AES_ASM) && !defined(I386_ONLY) &&      (  \
201         ((defined(__i386)       || defined(__i386__)    || \
202           defined(_M_IX86)) && defined(OPENSSL_IA32_SSE2))|| \
203         defined(__x86_64)       || defined(__x86_64__)  || \
204         defined(_M_AMD64)       || defined(_M_X64)      || \
205         defined(__INTEL__)                              )
206
207 extern unsigned int OPENSSL_ia32cap_P[];
208
209 #  ifdef VPAES_ASM
210 #   define VPAES_CAPABLE   (OPENSSL_ia32cap_P[1]&(1<<(41-32)))
211 #  endif
212 #  ifdef BSAES_ASM
213 #   define BSAES_CAPABLE   (OPENSSL_ia32cap_P[1]&(1<<(41-32)))
214 #  endif
215 /*
216  * AES-NI section
217  */
218 #  define AESNI_CAPABLE   (OPENSSL_ia32cap_P[1]&(1<<(57-32)))
219
220 int aesni_set_encrypt_key(const unsigned char *userKey, int bits,
221                           AES_KEY *key);
222 int aesni_set_decrypt_key(const unsigned char *userKey, int bits,
223                           AES_KEY *key);
224
225 void aesni_encrypt(const unsigned char *in, unsigned char *out,
226                    const AES_KEY *key);
227 void aesni_decrypt(const unsigned char *in, unsigned char *out,
228                    const AES_KEY *key);
229
230 void aesni_ecb_encrypt(const unsigned char *in,
231                        unsigned char *out,
232                        size_t length, const AES_KEY *key, int enc);
233 void aesni_cbc_encrypt(const unsigned char *in,
234                        unsigned char *out,
235                        size_t length,
236                        const AES_KEY *key, unsigned char *ivec, int enc);
237
238 void aesni_ctr32_encrypt_blocks(const unsigned char *in,
239                                 unsigned char *out,
240                                 size_t blocks,
241                                 const void *key, const unsigned char *ivec);
242
243 void aesni_xts_encrypt(const unsigned char *in,
244                        unsigned char *out,
245                        size_t length,
246                        const AES_KEY *key1, const AES_KEY *key2,
247                        const unsigned char iv[16]);
248
249 void aesni_xts_decrypt(const unsigned char *in,
250                        unsigned char *out,
251                        size_t length,
252                        const AES_KEY *key1, const AES_KEY *key2,
253                        const unsigned char iv[16]);
254
255 void aesni_ccm64_encrypt_blocks(const unsigned char *in,
256                                 unsigned char *out,
257                                 size_t blocks,
258                                 const void *key,
259                                 const unsigned char ivec[16],
260                                 unsigned char cmac[16]);
261
262 void aesni_ccm64_decrypt_blocks(const unsigned char *in,
263                                 unsigned char *out,
264                                 size_t blocks,
265                                 const void *key,
266                                 const unsigned char ivec[16],
267                                 unsigned char cmac[16]);
268
269 #  if defined(__x86_64) || defined(__x86_64__) || defined(_M_AMD64) || defined(_M_X64)
270 size_t aesni_gcm_encrypt(const unsigned char *in,
271                          unsigned char *out,
272                          size_t len,
273                          const void *key, unsigned char ivec[16], u64 *Xi);
274 #   define AES_gcm_encrypt aesni_gcm_encrypt
275 size_t aesni_gcm_decrypt(const unsigned char *in,
276                          unsigned char *out,
277                          size_t len,
278                          const void *key, unsigned char ivec[16], u64 *Xi);
279 #   define AES_gcm_decrypt aesni_gcm_decrypt
280 void gcm_ghash_avx(u64 Xi[2], const u128 Htable[16], const u8 *in,
281                    size_t len);
282 #   define AES_GCM_ASM(gctx)       (gctx->ctr==aesni_ctr32_encrypt_blocks && \
283                                  gctx->gcm.ghash==gcm_ghash_avx)
284 #   define AES_GCM_ASM2(gctx)      (gctx->gcm.block==(block128_f)aesni_encrypt && \
285                                  gctx->gcm.ghash==gcm_ghash_avx)
286 #   undef AES_GCM_ASM2          /* minor size optimization */
287 #  endif
288
289 static int aesni_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
290                           const unsigned char *iv, int enc)
291 {
292     int ret, mode;
293     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
294
295     mode = ctx->cipher->flags & EVP_CIPH_MODE;
296     if ((mode == EVP_CIPH_ECB_MODE || mode == EVP_CIPH_CBC_MODE)
297         && !enc) {
298         ret = aesni_set_decrypt_key(key, ctx->key_len * 8, ctx->cipher_data);
299         dat->block = (block128_f) aesni_decrypt;
300         dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
301             (cbc128_f) aesni_cbc_encrypt : NULL;
302     } else {
303         ret = aesni_set_encrypt_key(key, ctx->key_len * 8, ctx->cipher_data);
304         dat->block = (block128_f) aesni_encrypt;
305         if (mode == EVP_CIPH_CBC_MODE)
306             dat->stream.cbc = (cbc128_f) aesni_cbc_encrypt;
307         else if (mode == EVP_CIPH_CTR_MODE)
308             dat->stream.ctr = (ctr128_f) aesni_ctr32_encrypt_blocks;
309         else
310             dat->stream.cbc = NULL;
311     }
312
313     if (ret < 0) {
314         EVPerr(EVP_F_AESNI_INIT_KEY, EVP_R_AES_KEY_SETUP_FAILED);
315         return 0;
316     }
317
318     return 1;
319 }
320
321 static int aesni_cbc_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
322                             const unsigned char *in, size_t len)
323 {
324     aesni_cbc_encrypt(in, out, len, ctx->cipher_data, ctx->iv, ctx->encrypt);
325
326     return 1;
327 }
328
329 static int aesni_ecb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
330                             const unsigned char *in, size_t len)
331 {
332     size_t bl = ctx->cipher->block_size;
333
334     if (len < bl)
335         return 1;
336
337     aesni_ecb_encrypt(in, out, len, ctx->cipher_data, ctx->encrypt);
338
339     return 1;
340 }
341
342 #  define aesni_ofb_cipher aes_ofb_cipher
343 static int aesni_ofb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
344                             const unsigned char *in, size_t len);
345
346 #  define aesni_cfb_cipher aes_cfb_cipher
347 static int aesni_cfb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
348                             const unsigned char *in, size_t len);
349
350 #  define aesni_cfb8_cipher aes_cfb8_cipher
351 static int aesni_cfb8_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
352                              const unsigned char *in, size_t len);
353
354 #  define aesni_cfb1_cipher aes_cfb1_cipher
355 static int aesni_cfb1_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
356                              const unsigned char *in, size_t len);
357
358 #  define aesni_ctr_cipher aes_ctr_cipher
359 static int aesni_ctr_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
360                             const unsigned char *in, size_t len);
361
362 static int aesni_gcm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
363                               const unsigned char *iv, int enc)
364 {
365     EVP_AES_GCM_CTX *gctx = ctx->cipher_data;
366     if (!iv && !key)
367         return 1;
368     if (key) {
369         aesni_set_encrypt_key(key, ctx->key_len * 8, &gctx->ks.ks);
370         CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks, (block128_f) aesni_encrypt);
371         gctx->ctr = (ctr128_f) aesni_ctr32_encrypt_blocks;
372         /*
373          * If we have an iv can set it directly, otherwise use saved IV.
374          */
375         if (iv == NULL && gctx->iv_set)
376             iv = gctx->iv;
377         if (iv) {
378             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
379             gctx->iv_set = 1;
380         }
381         gctx->key_set = 1;
382     } else {
383         /* If key set use IV, otherwise copy */
384         if (gctx->key_set)
385             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
386         else
387             memcpy(gctx->iv, iv, gctx->ivlen);
388         gctx->iv_set = 1;
389         gctx->iv_gen = 0;
390     }
391     return 1;
392 }
393
394 #  define aesni_gcm_cipher aes_gcm_cipher
395 static int aesni_gcm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
396                             const unsigned char *in, size_t len);
397
398 static int aesni_xts_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
399                               const unsigned char *iv, int enc)
400 {
401     EVP_AES_XTS_CTX *xctx = ctx->cipher_data;
402     if (!iv && !key)
403         return 1;
404
405     if (key) {
406         /* key_len is two AES keys */
407         if (enc) {
408             aesni_set_encrypt_key(key, ctx->key_len * 4, &xctx->ks1.ks);
409             xctx->xts.block1 = (block128_f) aesni_encrypt;
410             xctx->stream = aesni_xts_encrypt;
411         } else {
412             aesni_set_decrypt_key(key, ctx->key_len * 4, &xctx->ks1.ks);
413             xctx->xts.block1 = (block128_f) aesni_decrypt;
414             xctx->stream = aesni_xts_decrypt;
415         }
416
417         aesni_set_encrypt_key(key + ctx->key_len / 2,
418                               ctx->key_len * 4, &xctx->ks2.ks);
419         xctx->xts.block2 = (block128_f) aesni_encrypt;
420
421         xctx->xts.key1 = &xctx->ks1;
422     }
423
424     if (iv) {
425         xctx->xts.key2 = &xctx->ks2;
426         memcpy(ctx->iv, iv, 16);
427     }
428
429     return 1;
430 }
431
432 #  define aesni_xts_cipher aes_xts_cipher
433 static int aesni_xts_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
434                             const unsigned char *in, size_t len);
435
436 static int aesni_ccm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
437                               const unsigned char *iv, int enc)
438 {
439     EVP_AES_CCM_CTX *cctx = ctx->cipher_data;
440     if (!iv && !key)
441         return 1;
442     if (key) {
443         aesni_set_encrypt_key(key, ctx->key_len * 8, &cctx->ks.ks);
444         CRYPTO_ccm128_init(&cctx->ccm, cctx->M, cctx->L,
445                            &cctx->ks, (block128_f) aesni_encrypt);
446         cctx->str = enc ? (ccm128_f) aesni_ccm64_encrypt_blocks :
447             (ccm128_f) aesni_ccm64_decrypt_blocks;
448         cctx->key_set = 1;
449     }
450     if (iv) {
451         memcpy(ctx->iv, iv, 15 - cctx->L);
452         cctx->iv_set = 1;
453     }
454     return 1;
455 }
456
457 #  define aesni_ccm_cipher aes_ccm_cipher
458 static int aesni_ccm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
459                             const unsigned char *in, size_t len);
460
461 #  ifndef OPENSSL_NO_OCB
462 static int aesni_ocb_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
463                               const unsigned char *iv, int enc)
464 {
465     EVP_AES_OCB_CTX *octx = ctx->cipher_data;
466     if (!iv && !key)
467         return 1;
468     if (key) {
469         do {
470             /*
471              * We set both the encrypt and decrypt key here because decrypt
472              * needs both. We could possibly optimise to remove setting the
473              * decrypt for an encryption operation.
474              */
475             aesni_set_encrypt_key(key, ctx->key_len * 8, &octx->ksenc.ks);
476             aesni_set_decrypt_key(key, ctx->key_len * 8, &octx->ksdec.ks);
477             if (!CRYPTO_ocb128_init(&octx->ocb,
478                                     &octx->ksenc.ks, &octx->ksdec.ks,
479                                     (block128_f) aesni_encrypt,
480                                     (block128_f) aesni_decrypt))
481                 return 0;
482         }
483         while (0);
484
485         /*
486          * If we have an iv we can set it directly, otherwise use saved IV.
487          */
488         if (iv == NULL && octx->iv_set)
489             iv = octx->iv;
490         if (iv) {
491             if (CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen)
492                 != 1)
493                 return 0;
494             octx->iv_set = 1;
495         }
496         octx->key_set = 1;
497     } else {
498         /* If key set use IV, otherwise copy */
499         if (octx->key_set)
500             CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen);
501         else
502             memcpy(octx->iv, iv, octx->ivlen);
503         octx->iv_set = 1;
504     }
505     return 1;
506 }
507
508 #   define aesni_ocb_cipher aes_ocb_cipher
509 static int aesni_ocb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
510                             const unsigned char *in, size_t len);
511 #  endif                        /* OPENSSL_NO_OCB */
512
513 #  define BLOCK_CIPHER_generic(nid,keylen,blocksize,ivlen,nmode,mode,MODE,flags) \
514 static const EVP_CIPHER aesni_##keylen##_##mode = { \
515         nid##_##keylen##_##nmode,blocksize,keylen/8,ivlen, \
516         flags|EVP_CIPH_##MODE##_MODE,   \
517         aesni_init_key,                 \
518         aesni_##mode##_cipher,          \
519         NULL,                           \
520         sizeof(EVP_AES_KEY),            \
521         NULL,NULL,NULL,NULL }; \
522 static const EVP_CIPHER aes_##keylen##_##mode = { \
523         nid##_##keylen##_##nmode,blocksize,     \
524         keylen/8,ivlen, \
525         flags|EVP_CIPH_##MODE##_MODE,   \
526         aes_init_key,                   \
527         aes_##mode##_cipher,            \
528         NULL,                           \
529         sizeof(EVP_AES_KEY),            \
530         NULL,NULL,NULL,NULL }; \
531 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
532 { return AESNI_CAPABLE?&aesni_##keylen##_##mode:&aes_##keylen##_##mode; }
533
534 #  define BLOCK_CIPHER_custom(nid,keylen,blocksize,ivlen,mode,MODE,flags) \
535 static const EVP_CIPHER aesni_##keylen##_##mode = { \
536         nid##_##keylen##_##mode,blocksize, \
537         (EVP_CIPH_##MODE##_MODE==EVP_CIPH_XTS_MODE?2:1)*keylen/8, ivlen, \
538         flags|EVP_CIPH_##MODE##_MODE,   \
539         aesni_##mode##_init_key,        \
540         aesni_##mode##_cipher,          \
541         aes_##mode##_cleanup,           \
542         sizeof(EVP_AES_##MODE##_CTX),   \
543         NULL,NULL,aes_##mode##_ctrl,NULL }; \
544 static const EVP_CIPHER aes_##keylen##_##mode = { \
545         nid##_##keylen##_##mode,blocksize, \
546         (EVP_CIPH_##MODE##_MODE==EVP_CIPH_XTS_MODE?2:1)*keylen/8, ivlen, \
547         flags|EVP_CIPH_##MODE##_MODE,   \
548         aes_##mode##_init_key,          \
549         aes_##mode##_cipher,            \
550         aes_##mode##_cleanup,           \
551         sizeof(EVP_AES_##MODE##_CTX),   \
552         NULL,NULL,aes_##mode##_ctrl,NULL }; \
553 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
554 { return AESNI_CAPABLE?&aesni_##keylen##_##mode:&aes_##keylen##_##mode; }
555
556 # elif   defined(AES_ASM) && (defined(__sparc) || defined(__sparc__))
557
558 #  include "sparc_arch.h"
559
560 extern unsigned int OPENSSL_sparcv9cap_P[];
561
562 #  define SPARC_AES_CAPABLE       (OPENSSL_sparcv9cap_P[1] & CFR_AES)
563
564 void aes_t4_set_encrypt_key(const unsigned char *key, int bits, AES_KEY *ks);
565 void aes_t4_set_decrypt_key(const unsigned char *key, int bits, AES_KEY *ks);
566 void aes_t4_encrypt(const unsigned char *in, unsigned char *out,
567                     const AES_KEY *key);
568 void aes_t4_decrypt(const unsigned char *in, unsigned char *out,
569                     const AES_KEY *key);
570 /*
571  * Key-length specific subroutines were chosen for following reason.
572  * Each SPARC T4 core can execute up to 8 threads which share core's
573  * resources. Loading as much key material to registers allows to
574  * minimize references to shared memory interface, as well as amount
575  * of instructions in inner loops [much needed on T4]. But then having
576  * non-key-length specific routines would require conditional branches
577  * either in inner loops or on subroutines' entries. Former is hardly
578  * acceptable, while latter means code size increase to size occupied
579  * by multiple key-length specfic subroutines, so why fight?
580  */
581 void aes128_t4_cbc_encrypt(const unsigned char *in, unsigned char *out,
582                            size_t len, const AES_KEY *key,
583                            unsigned char *ivec);
584 void aes128_t4_cbc_decrypt(const unsigned char *in, unsigned char *out,
585                            size_t len, const AES_KEY *key,
586                            unsigned char *ivec);
587 void aes192_t4_cbc_encrypt(const unsigned char *in, unsigned char *out,
588                            size_t len, const AES_KEY *key,
589                            unsigned char *ivec);
590 void aes192_t4_cbc_decrypt(const unsigned char *in, unsigned char *out,
591                            size_t len, const AES_KEY *key,
592                            unsigned char *ivec);
593 void aes256_t4_cbc_encrypt(const unsigned char *in, unsigned char *out,
594                            size_t len, const AES_KEY *key,
595                            unsigned char *ivec);
596 void aes256_t4_cbc_decrypt(const unsigned char *in, unsigned char *out,
597                            size_t len, const AES_KEY *key,
598                            unsigned char *ivec);
599 void aes128_t4_ctr32_encrypt(const unsigned char *in, unsigned char *out,
600                              size_t blocks, const AES_KEY *key,
601                              unsigned char *ivec);
602 void aes192_t4_ctr32_encrypt(const unsigned char *in, unsigned char *out,
603                              size_t blocks, const AES_KEY *key,
604                              unsigned char *ivec);
605 void aes256_t4_ctr32_encrypt(const unsigned char *in, unsigned char *out,
606                              size_t blocks, const AES_KEY *key,
607                              unsigned char *ivec);
608 void aes128_t4_xts_encrypt(const unsigned char *in, unsigned char *out,
609                            size_t blocks, const AES_KEY *key1,
610                            const AES_KEY *key2, const unsigned char *ivec);
611 void aes128_t4_xts_decrypt(const unsigned char *in, unsigned char *out,
612                            size_t blocks, const AES_KEY *key1,
613                            const AES_KEY *key2, const unsigned char *ivec);
614 void aes256_t4_xts_encrypt(const unsigned char *in, unsigned char *out,
615                            size_t blocks, const AES_KEY *key1,
616                            const AES_KEY *key2, const unsigned char *ivec);
617 void aes256_t4_xts_decrypt(const unsigned char *in, unsigned char *out,
618                            size_t blocks, const AES_KEY *key1,
619                            const AES_KEY *key2, const unsigned char *ivec);
620
621 static int aes_t4_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
622                            const unsigned char *iv, int enc)
623 {
624     int ret, mode, bits;
625     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
626
627     mode = ctx->cipher->flags & EVP_CIPH_MODE;
628     bits = ctx->key_len * 8;
629     if ((mode == EVP_CIPH_ECB_MODE || mode == EVP_CIPH_CBC_MODE)
630         && !enc) {
631         ret = 0;
632         aes_t4_set_decrypt_key(key, bits, ctx->cipher_data);
633         dat->block = (block128_f) aes_t4_decrypt;
634         switch (bits) {
635         case 128:
636             dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
637                 (cbc128_f) aes128_t4_cbc_decrypt : NULL;
638             break;
639         case 192:
640             dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
641                 (cbc128_f) aes192_t4_cbc_decrypt : NULL;
642             break;
643         case 256:
644             dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
645                 (cbc128_f) aes256_t4_cbc_decrypt : NULL;
646             break;
647         default:
648             ret = -1;
649         }
650     } else {
651         ret = 0;
652         aes_t4_set_encrypt_key(key, bits, ctx->cipher_data);
653         dat->block = (block128_f) aes_t4_encrypt;
654         switch (bits) {
655         case 128:
656             if (mode == EVP_CIPH_CBC_MODE)
657                 dat->stream.cbc = (cbc128_f) aes128_t4_cbc_encrypt;
658             else if (mode == EVP_CIPH_CTR_MODE)
659                 dat->stream.ctr = (ctr128_f) aes128_t4_ctr32_encrypt;
660             else
661                 dat->stream.cbc = NULL;
662             break;
663         case 192:
664             if (mode == EVP_CIPH_CBC_MODE)
665                 dat->stream.cbc = (cbc128_f) aes192_t4_cbc_encrypt;
666             else if (mode == EVP_CIPH_CTR_MODE)
667                 dat->stream.ctr = (ctr128_f) aes192_t4_ctr32_encrypt;
668             else
669                 dat->stream.cbc = NULL;
670             break;
671         case 256:
672             if (mode == EVP_CIPH_CBC_MODE)
673                 dat->stream.cbc = (cbc128_f) aes256_t4_cbc_encrypt;
674             else if (mode == EVP_CIPH_CTR_MODE)
675                 dat->stream.ctr = (ctr128_f) aes256_t4_ctr32_encrypt;
676             else
677                 dat->stream.cbc = NULL;
678             break;
679         default:
680             ret = -1;
681         }
682     }
683
684     if (ret < 0) {
685         EVPerr(EVP_F_AES_T4_INIT_KEY, EVP_R_AES_KEY_SETUP_FAILED);
686         return 0;
687     }
688
689     return 1;
690 }
691
692 #  define aes_t4_cbc_cipher aes_cbc_cipher
693 static int aes_t4_cbc_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
694                              const unsigned char *in, size_t len);
695
696 #  define aes_t4_ecb_cipher aes_ecb_cipher
697 static int aes_t4_ecb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
698                              const unsigned char *in, size_t len);
699
700 #  define aes_t4_ofb_cipher aes_ofb_cipher
701 static int aes_t4_ofb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
702                              const unsigned char *in, size_t len);
703
704 #  define aes_t4_cfb_cipher aes_cfb_cipher
705 static int aes_t4_cfb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
706                              const unsigned char *in, size_t len);
707
708 #  define aes_t4_cfb8_cipher aes_cfb8_cipher
709 static int aes_t4_cfb8_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
710                               const unsigned char *in, size_t len);
711
712 #  define aes_t4_cfb1_cipher aes_cfb1_cipher
713 static int aes_t4_cfb1_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
714                               const unsigned char *in, size_t len);
715
716 #  define aes_t4_ctr_cipher aes_ctr_cipher
717 static int aes_t4_ctr_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
718                              const unsigned char *in, size_t len);
719
720 static int aes_t4_gcm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
721                                const unsigned char *iv, int enc)
722 {
723     EVP_AES_GCM_CTX *gctx = ctx->cipher_data;
724     if (!iv && !key)
725         return 1;
726     if (key) {
727         int bits = ctx->key_len * 8;
728         aes_t4_set_encrypt_key(key, bits, &gctx->ks.ks);
729         CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks,
730                            (block128_f) aes_t4_encrypt);
731         switch (bits) {
732         case 128:
733             gctx->ctr = (ctr128_f) aes128_t4_ctr32_encrypt;
734             break;
735         case 192:
736             gctx->ctr = (ctr128_f) aes192_t4_ctr32_encrypt;
737             break;
738         case 256:
739             gctx->ctr = (ctr128_f) aes256_t4_ctr32_encrypt;
740             break;
741         default:
742             return 0;
743         }
744         /*
745          * If we have an iv can set it directly, otherwise use saved IV.
746          */
747         if (iv == NULL && gctx->iv_set)
748             iv = gctx->iv;
749         if (iv) {
750             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
751             gctx->iv_set = 1;
752         }
753         gctx->key_set = 1;
754     } else {
755         /* If key set use IV, otherwise copy */
756         if (gctx->key_set)
757             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
758         else
759             memcpy(gctx->iv, iv, gctx->ivlen);
760         gctx->iv_set = 1;
761         gctx->iv_gen = 0;
762     }
763     return 1;
764 }
765
766 #  define aes_t4_gcm_cipher aes_gcm_cipher
767 static int aes_t4_gcm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
768                              const unsigned char *in, size_t len);
769
770 static int aes_t4_xts_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
771                                const unsigned char *iv, int enc)
772 {
773     EVP_AES_XTS_CTX *xctx = ctx->cipher_data;
774     if (!iv && !key)
775         return 1;
776
777     if (key) {
778         int bits = ctx->key_len * 4;
779         xctx->stream = NULL;
780         /* key_len is two AES keys */
781         if (enc) {
782             aes_t4_set_encrypt_key(key, bits, &xctx->ks1.ks);
783             xctx->xts.block1 = (block128_f) aes_t4_encrypt;
784             switch (bits) {
785             case 128:
786                 xctx->stream = aes128_t4_xts_encrypt;
787                 break;
788             case 256:
789                 xctx->stream = aes256_t4_xts_encrypt;
790                 break;
791             default:
792                 return 0;
793             }
794         } else {
795             aes_t4_set_decrypt_key(key, ctx->key_len * 4, &xctx->ks1.ks);
796             xctx->xts.block1 = (block128_f) aes_t4_decrypt;
797             switch (bits) {
798             case 128:
799                 xctx->stream = aes128_t4_xts_decrypt;
800                 break;
801             case 256:
802                 xctx->stream = aes256_t4_xts_decrypt;
803                 break;
804             default:
805                 return 0;
806             }
807         }
808
809         aes_t4_set_encrypt_key(key + ctx->key_len / 2,
810                                ctx->key_len * 4, &xctx->ks2.ks);
811         xctx->xts.block2 = (block128_f) aes_t4_encrypt;
812
813         xctx->xts.key1 = &xctx->ks1;
814     }
815
816     if (iv) {
817         xctx->xts.key2 = &xctx->ks2;
818         memcpy(ctx->iv, iv, 16);
819     }
820
821     return 1;
822 }
823
824 #  define aes_t4_xts_cipher aes_xts_cipher
825 static int aes_t4_xts_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
826                              const unsigned char *in, size_t len);
827
828 static int aes_t4_ccm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
829                                const unsigned char *iv, int enc)
830 {
831     EVP_AES_CCM_CTX *cctx = ctx->cipher_data;
832     if (!iv && !key)
833         return 1;
834     if (key) {
835         int bits = ctx->key_len * 8;
836         aes_t4_set_encrypt_key(key, bits, &cctx->ks.ks);
837         CRYPTO_ccm128_init(&cctx->ccm, cctx->M, cctx->L,
838                            &cctx->ks, (block128_f) aes_t4_encrypt);
839         cctx->str = NULL;
840         cctx->key_set = 1;
841     }
842     if (iv) {
843         memcpy(ctx->iv, iv, 15 - cctx->L);
844         cctx->iv_set = 1;
845     }
846     return 1;
847 }
848
849 #  define aes_t4_ccm_cipher aes_ccm_cipher
850 static int aes_t4_ccm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
851                              const unsigned char *in, size_t len);
852
853 #  ifndef OPENSSL_NO_OCB
854 static int aes_t4_ocb_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
855                                const unsigned char *iv, int enc)
856 {
857     EVP_AES_OCB_CTX *octx = ctx->cipher_data;
858     if (!iv && !key)
859         return 1;
860     if (key) {
861         do {
862             /*
863              * We set both the encrypt and decrypt key here because decrypt
864              * needs both. We could possibly optimise to remove setting the
865              * decrypt for an encryption operation.
866              */
867             aes_t4_set_encrypt_key(key, ctx->key_len * 8, &octx->ksenc.ks);
868             aes_t4_set_decrypt_key(key, ctx->key_len * 8, &octx->ksdec.ks);
869             if (!CRYPTO_ocb128_init(&octx->ocb,
870                                     &octx->ksenc.ks, &octx->ksdec.ks,
871                                     (block128_f) aes_t4_encrypt,
872                                     (block128_f) aes_t4_decrypt))
873                 return 0;
874         }
875         while (0);
876
877         /*
878          * If we have an iv we can set it directly, otherwise use saved IV.
879          */
880         if (iv == NULL && octx->iv_set)
881             iv = octx->iv;
882         if (iv) {
883             if (CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen)
884                 != 1)
885                 return 0;
886             octx->iv_set = 1;
887         }
888         octx->key_set = 1;
889     } else {
890         /* If key set use IV, otherwise copy */
891         if (octx->key_set)
892             CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen);
893         else
894             memcpy(octx->iv, iv, octx->ivlen);
895         octx->iv_set = 1;
896     }
897     return 1;
898 }
899
900 #   define aes_t4_ocb_cipher aes_ocb_cipher
901 static int aes_t4_ocb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
902                              const unsigned char *in, size_t len);
903 #  endif                        /* OPENSSL_NO_OCB */
904
905 #  define BLOCK_CIPHER_generic(nid,keylen,blocksize,ivlen,nmode,mode,MODE,flags) \
906 static const EVP_CIPHER aes_t4_##keylen##_##mode = { \
907         nid##_##keylen##_##nmode,blocksize,keylen/8,ivlen, \
908         flags|EVP_CIPH_##MODE##_MODE,   \
909         aes_t4_init_key,                \
910         aes_t4_##mode##_cipher,         \
911         NULL,                           \
912         sizeof(EVP_AES_KEY),            \
913         NULL,NULL,NULL,NULL }; \
914 static const EVP_CIPHER aes_##keylen##_##mode = { \
915         nid##_##keylen##_##nmode,blocksize,     \
916         keylen/8,ivlen, \
917         flags|EVP_CIPH_##MODE##_MODE,   \
918         aes_init_key,                   \
919         aes_##mode##_cipher,            \
920         NULL,                           \
921         sizeof(EVP_AES_KEY),            \
922         NULL,NULL,NULL,NULL }; \
923 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
924 { return SPARC_AES_CAPABLE?&aes_t4_##keylen##_##mode:&aes_##keylen##_##mode; }
925
926 #  define BLOCK_CIPHER_custom(nid,keylen,blocksize,ivlen,mode,MODE,flags) \
927 static const EVP_CIPHER aes_t4_##keylen##_##mode = { \
928         nid##_##keylen##_##mode,blocksize, \
929         (EVP_CIPH_##MODE##_MODE==EVP_CIPH_XTS_MODE?2:1)*keylen/8, ivlen, \
930         flags|EVP_CIPH_##MODE##_MODE,   \
931         aes_t4_##mode##_init_key,       \
932         aes_t4_##mode##_cipher,         \
933         aes_##mode##_cleanup,           \
934         sizeof(EVP_AES_##MODE##_CTX),   \
935         NULL,NULL,aes_##mode##_ctrl,NULL }; \
936 static const EVP_CIPHER aes_##keylen##_##mode = { \
937         nid##_##keylen##_##mode,blocksize, \
938         (EVP_CIPH_##MODE##_MODE==EVP_CIPH_XTS_MODE?2:1)*keylen/8, ivlen, \
939         flags|EVP_CIPH_##MODE##_MODE,   \
940         aes_##mode##_init_key,          \
941         aes_##mode##_cipher,            \
942         aes_##mode##_cleanup,           \
943         sizeof(EVP_AES_##MODE##_CTX),   \
944         NULL,NULL,aes_##mode##_ctrl,NULL }; \
945 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
946 { return SPARC_AES_CAPABLE?&aes_t4_##keylen##_##mode:&aes_##keylen##_##mode; }
947
948 # else
949
950 #  define BLOCK_CIPHER_generic(nid,keylen,blocksize,ivlen,nmode,mode,MODE,flags) \
951 static const EVP_CIPHER aes_##keylen##_##mode = { \
952         nid##_##keylen##_##nmode,blocksize,keylen/8,ivlen, \
953         flags|EVP_CIPH_##MODE##_MODE,   \
954         aes_init_key,                   \
955         aes_##mode##_cipher,            \
956         NULL,                           \
957         sizeof(EVP_AES_KEY),            \
958         NULL,NULL,NULL,NULL }; \
959 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
960 { return &aes_##keylen##_##mode; }
961
962 #  define BLOCK_CIPHER_custom(nid,keylen,blocksize,ivlen,mode,MODE,flags) \
963 static const EVP_CIPHER aes_##keylen##_##mode = { \
964         nid##_##keylen##_##mode,blocksize, \
965         (EVP_CIPH_##MODE##_MODE==EVP_CIPH_XTS_MODE?2:1)*keylen/8, ivlen, \
966         flags|EVP_CIPH_##MODE##_MODE,   \
967         aes_##mode##_init_key,          \
968         aes_##mode##_cipher,            \
969         aes_##mode##_cleanup,           \
970         sizeof(EVP_AES_##MODE##_CTX),   \
971         NULL,NULL,aes_##mode##_ctrl,NULL }; \
972 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
973 { return &aes_##keylen##_##mode; }
974
975 # endif
976
977 # if defined(OPENSSL_CPUID_OBJ) && (defined(__arm__) || defined(__arm) || defined(__aarch64__))
978 #  include "arm_arch.h"
979 #  if __ARM_MAX_ARCH__>=7
980 #   if defined(BSAES_ASM)
981 #    define BSAES_CAPABLE (OPENSSL_armcap_P & ARMV7_NEON)
982 #   endif
983 #   if defined(VPAES_ASM)
984 #    define VPAES_CAPABLE (OPENSSL_armcap_P & ARMV7_NEON)
985 #   endif
986 #   define HWAES_CAPABLE (OPENSSL_armcap_P & ARMV8_AES)
987 #   define HWAES_set_encrypt_key aes_v8_set_encrypt_key
988 #   define HWAES_set_decrypt_key aes_v8_set_decrypt_key
989 #   define HWAES_encrypt aes_v8_encrypt
990 #   define HWAES_decrypt aes_v8_decrypt
991 #   define HWAES_cbc_encrypt aes_v8_cbc_encrypt
992 #   define HWAES_ctr32_encrypt_blocks aes_v8_ctr32_encrypt_blocks
993 #  endif
994 # endif
995
996 # if defined(HWAES_CAPABLE)
997 int HWAES_set_encrypt_key(const unsigned char *userKey, const int bits,
998                           AES_KEY *key);
999 int HWAES_set_decrypt_key(const unsigned char *userKey, const int bits,
1000                           AES_KEY *key);
1001 void HWAES_encrypt(const unsigned char *in, unsigned char *out,
1002                    const AES_KEY *key);
1003 void HWAES_decrypt(const unsigned char *in, unsigned char *out,
1004                    const AES_KEY *key);
1005 void HWAES_cbc_encrypt(const unsigned char *in, unsigned char *out,
1006                        size_t length, const AES_KEY *key,
1007                        unsigned char *ivec, const int enc);
1008 void HWAES_ctr32_encrypt_blocks(const unsigned char *in, unsigned char *out,
1009                                 size_t len, const AES_KEY *key,
1010                                 const unsigned char ivec[16]);
1011 # endif
1012
1013 # define BLOCK_CIPHER_generic_pack(nid,keylen,flags)             \
1014         BLOCK_CIPHER_generic(nid,keylen,16,16,cbc,cbc,CBC,flags|EVP_CIPH_FLAG_DEFAULT_ASN1)     \
1015         BLOCK_CIPHER_generic(nid,keylen,16,0,ecb,ecb,ECB,flags|EVP_CIPH_FLAG_DEFAULT_ASN1)      \
1016         BLOCK_CIPHER_generic(nid,keylen,1,16,ofb128,ofb,OFB,flags|EVP_CIPH_FLAG_DEFAULT_ASN1)   \
1017         BLOCK_CIPHER_generic(nid,keylen,1,16,cfb128,cfb,CFB,flags|EVP_CIPH_FLAG_DEFAULT_ASN1)   \
1018         BLOCK_CIPHER_generic(nid,keylen,1,16,cfb1,cfb1,CFB,flags)       \
1019         BLOCK_CIPHER_generic(nid,keylen,1,16,cfb8,cfb8,CFB,flags)       \
1020         BLOCK_CIPHER_generic(nid,keylen,1,16,ctr,ctr,CTR,flags)
1021
1022 static int aes_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
1023                         const unsigned char *iv, int enc)
1024 {
1025     int ret, mode;
1026     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1027
1028     mode = ctx->cipher->flags & EVP_CIPH_MODE;
1029     if ((mode == EVP_CIPH_ECB_MODE || mode == EVP_CIPH_CBC_MODE)
1030         && !enc)
1031 # ifdef HWAES_CAPABLE
1032         if (HWAES_CAPABLE) {
1033             ret = HWAES_set_decrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1034             dat->block = (block128_f) HWAES_decrypt;
1035             dat->stream.cbc = NULL;
1036 #  ifdef HWAES_cbc_encrypt
1037             if (mode == EVP_CIPH_CBC_MODE)
1038                 dat->stream.cbc = (cbc128_f) HWAES_cbc_encrypt;
1039 #  endif
1040         } else
1041 # endif
1042 # ifdef BSAES_CAPABLE
1043         if (BSAES_CAPABLE && mode == EVP_CIPH_CBC_MODE) {
1044             ret = AES_set_decrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1045             dat->block = (block128_f) AES_decrypt;
1046             dat->stream.cbc = (cbc128_f) bsaes_cbc_encrypt;
1047         } else
1048 # endif
1049 # ifdef VPAES_CAPABLE
1050         if (VPAES_CAPABLE) {
1051             ret = vpaes_set_decrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1052             dat->block = (block128_f) vpaes_decrypt;
1053             dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
1054                 (cbc128_f) vpaes_cbc_encrypt : NULL;
1055         } else
1056 # endif
1057         {
1058             ret = AES_set_decrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1059             dat->block = (block128_f) AES_decrypt;
1060             dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
1061                 (cbc128_f) AES_cbc_encrypt : NULL;
1062     } else
1063 # ifdef HWAES_CAPABLE
1064     if (HWAES_CAPABLE) {
1065         ret = HWAES_set_encrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1066         dat->block = (block128_f) HWAES_encrypt;
1067         dat->stream.cbc = NULL;
1068 #  ifdef HWAES_cbc_encrypt
1069         if (mode == EVP_CIPH_CBC_MODE)
1070             dat->stream.cbc = (cbc128_f) HWAES_cbc_encrypt;
1071         else
1072 #  endif
1073 #  ifdef HWAES_ctr32_encrypt_blocks
1074         if (mode == EVP_CIPH_CTR_MODE)
1075             dat->stream.ctr = (ctr128_f) HWAES_ctr32_encrypt_blocks;
1076         else
1077 #  endif
1078             (void)0;            /* terminate potentially open 'else' */
1079     } else
1080 # endif
1081 # ifdef BSAES_CAPABLE
1082     if (BSAES_CAPABLE && mode == EVP_CIPH_CTR_MODE) {
1083         ret = AES_set_encrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1084         dat->block = (block128_f) AES_encrypt;
1085         dat->stream.ctr = (ctr128_f) bsaes_ctr32_encrypt_blocks;
1086     } else
1087 # endif
1088 # ifdef VPAES_CAPABLE
1089     if (VPAES_CAPABLE) {
1090         ret = vpaes_set_encrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1091         dat->block = (block128_f) vpaes_encrypt;
1092         dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
1093             (cbc128_f) vpaes_cbc_encrypt : NULL;
1094     } else
1095 # endif
1096     {
1097         ret = AES_set_encrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1098         dat->block = (block128_f) AES_encrypt;
1099         dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
1100             (cbc128_f) AES_cbc_encrypt : NULL;
1101 # ifdef AES_CTR_ASM
1102         if (mode == EVP_CIPH_CTR_MODE)
1103             dat->stream.ctr = (ctr128_f) AES_ctr32_encrypt;
1104 # endif
1105     }
1106
1107     if (ret < 0) {
1108         EVPerr(EVP_F_AES_INIT_KEY, EVP_R_AES_KEY_SETUP_FAILED);
1109         return 0;
1110     }
1111
1112     return 1;
1113 }
1114
1115 static int aes_cbc_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1116                           const unsigned char *in, size_t len)
1117 {
1118     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1119
1120     if (dat->stream.cbc)
1121         (*dat->stream.cbc) (in, out, len, &dat->ks, ctx->iv, ctx->encrypt);
1122     else if (ctx->encrypt)
1123         CRYPTO_cbc128_encrypt(in, out, len, &dat->ks, ctx->iv, dat->block);
1124     else
1125         CRYPTO_cbc128_decrypt(in, out, len, &dat->ks, ctx->iv, dat->block);
1126
1127     return 1;
1128 }
1129
1130 static int aes_ecb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1131                           const unsigned char *in, size_t len)
1132 {
1133     size_t bl = ctx->cipher->block_size;
1134     size_t i;
1135     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1136
1137     if (len < bl)
1138         return 1;
1139
1140     for (i = 0, len -= bl; i <= len; i += bl)
1141         (*dat->block) (in + i, out + i, &dat->ks);
1142
1143     return 1;
1144 }
1145
1146 static int aes_ofb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1147                           const unsigned char *in, size_t len)
1148 {
1149     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1150
1151     CRYPTO_ofb128_encrypt(in, out, len, &dat->ks,
1152                           ctx->iv, &ctx->num, dat->block);
1153     return 1;
1154 }
1155
1156 static int aes_cfb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1157                           const unsigned char *in, size_t len)
1158 {
1159     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1160
1161     CRYPTO_cfb128_encrypt(in, out, len, &dat->ks,
1162                           ctx->iv, &ctx->num, ctx->encrypt, dat->block);
1163     return 1;
1164 }
1165
1166 static int aes_cfb8_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1167                            const unsigned char *in, size_t len)
1168 {
1169     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1170
1171     CRYPTO_cfb128_8_encrypt(in, out, len, &dat->ks,
1172                             ctx->iv, &ctx->num, ctx->encrypt, dat->block);
1173     return 1;
1174 }
1175
1176 static int aes_cfb1_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1177                            const unsigned char *in, size_t len)
1178 {
1179     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1180
1181     if (ctx->flags & EVP_CIPH_FLAG_LENGTH_BITS) {
1182         CRYPTO_cfb128_1_encrypt(in, out, len, &dat->ks,
1183                                 ctx->iv, &ctx->num, ctx->encrypt, dat->block);
1184         return 1;
1185     }
1186
1187     while (len >= MAXBITCHUNK) {
1188         CRYPTO_cfb128_1_encrypt(in, out, MAXBITCHUNK * 8, &dat->ks,
1189                                 ctx->iv, &ctx->num, ctx->encrypt, dat->block);
1190         len -= MAXBITCHUNK;
1191     }
1192     if (len)
1193         CRYPTO_cfb128_1_encrypt(in, out, len * 8, &dat->ks,
1194                                 ctx->iv, &ctx->num, ctx->encrypt, dat->block);
1195
1196     return 1;
1197 }
1198
1199 static int aes_ctr_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1200                           const unsigned char *in, size_t len)
1201 {
1202     unsigned int num = ctx->num;
1203     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1204
1205     if (dat->stream.ctr)
1206         CRYPTO_ctr128_encrypt_ctr32(in, out, len, &dat->ks,
1207                                     ctx->iv, ctx->buf, &num, dat->stream.ctr);
1208     else
1209         CRYPTO_ctr128_encrypt(in, out, len, &dat->ks,
1210                               ctx->iv, ctx->buf, &num, dat->block);
1211     ctx->num = (size_t)num;
1212     return 1;
1213 }
1214
1215 BLOCK_CIPHER_generic_pack(NID_aes, 128, 0)
1216     BLOCK_CIPHER_generic_pack(NID_aes, 192, 0)
1217     BLOCK_CIPHER_generic_pack(NID_aes, 256, 0)
1218
1219 static int aes_gcm_cleanup(EVP_CIPHER_CTX *c)
1220 {
1221     EVP_AES_GCM_CTX *gctx = c->cipher_data;
1222     OPENSSL_cleanse(&gctx->gcm, sizeof(gctx->gcm));
1223     if (gctx->iv != c->iv)
1224         OPENSSL_free(gctx->iv);
1225     return 1;
1226 }
1227
1228 /* increment counter (64-bit int) by 1 */
1229 static void ctr64_inc(unsigned char *counter)
1230 {
1231     int n = 8;
1232     unsigned char c;
1233
1234     do {
1235         --n;
1236         c = counter[n];
1237         ++c;
1238         counter[n] = c;
1239         if (c)
1240             return;
1241     } while (n);
1242 }
1243
1244 static int aes_gcm_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr)
1245 {
1246     EVP_AES_GCM_CTX *gctx = c->cipher_data;
1247     switch (type) {
1248     case EVP_CTRL_INIT:
1249         gctx->key_set = 0;
1250         gctx->iv_set = 0;
1251         gctx->ivlen = c->cipher->iv_len;
1252         gctx->iv = c->iv;
1253         gctx->taglen = -1;
1254         gctx->iv_gen = 0;
1255         gctx->tls_aad_len = -1;
1256         return 1;
1257
1258     case EVP_CTRL_AEAD_SET_IVLEN:
1259         if (arg <= 0)
1260             return 0;
1261         /* Allocate memory for IV if needed */
1262         if ((arg > EVP_MAX_IV_LENGTH) && (arg > gctx->ivlen)) {
1263             if (gctx->iv != c->iv)
1264                 OPENSSL_free(gctx->iv);
1265             gctx->iv = OPENSSL_malloc(arg);
1266             if (!gctx->iv)
1267                 return 0;
1268         }
1269         gctx->ivlen = arg;
1270         return 1;
1271
1272     case EVP_CTRL_AEAD_SET_TAG:
1273         if (arg <= 0 || arg > 16 || c->encrypt)
1274             return 0;
1275         memcpy(c->buf, ptr, arg);
1276         gctx->taglen = arg;
1277         return 1;
1278
1279     case EVP_CTRL_AEAD_GET_TAG:
1280         if (arg <= 0 || arg > 16 || !c->encrypt || gctx->taglen < 0)
1281             return 0;
1282         memcpy(ptr, c->buf, arg);
1283         return 1;
1284
1285     case EVP_CTRL_GCM_SET_IV_FIXED:
1286         /* Special case: -1 length restores whole IV */
1287         if (arg == -1) {
1288             memcpy(gctx->iv, ptr, gctx->ivlen);
1289             gctx->iv_gen = 1;
1290             return 1;
1291         }
1292         /*
1293          * Fixed field must be at least 4 bytes and invocation field at least
1294          * 8.
1295          */
1296         if ((arg < 4) || (gctx->ivlen - arg) < 8)
1297             return 0;
1298         if (arg)
1299             memcpy(gctx->iv, ptr, arg);
1300         if (c->encrypt && RAND_bytes(gctx->iv + arg, gctx->ivlen - arg) <= 0)
1301             return 0;
1302         gctx->iv_gen = 1;
1303         return 1;
1304
1305     case EVP_CTRL_GCM_IV_GEN:
1306         if (gctx->iv_gen == 0 || gctx->key_set == 0)
1307             return 0;
1308         CRYPTO_gcm128_setiv(&gctx->gcm, gctx->iv, gctx->ivlen);
1309         if (arg <= 0 || arg > gctx->ivlen)
1310             arg = gctx->ivlen;
1311         memcpy(ptr, gctx->iv + gctx->ivlen - arg, arg);
1312         /*
1313          * Invocation field will be at least 8 bytes in size and so no need
1314          * to check wrap around or increment more than last 8 bytes.
1315          */
1316         ctr64_inc(gctx->iv + gctx->ivlen - 8);
1317         gctx->iv_set = 1;
1318         return 1;
1319
1320     case EVP_CTRL_GCM_SET_IV_INV:
1321         if (gctx->iv_gen == 0 || gctx->key_set == 0 || c->encrypt)
1322             return 0;
1323         memcpy(gctx->iv + gctx->ivlen - arg, ptr, arg);
1324         CRYPTO_gcm128_setiv(&gctx->gcm, gctx->iv, gctx->ivlen);
1325         gctx->iv_set = 1;
1326         return 1;
1327
1328     case EVP_CTRL_AEAD_TLS1_AAD:
1329         /* Save the AAD for later use */
1330         if (arg != 13)
1331             return 0;
1332         memcpy(c->buf, ptr, arg);
1333         gctx->tls_aad_len = arg;
1334         {
1335             unsigned int len = c->buf[arg - 2] << 8 | c->buf[arg - 1];
1336             /* Correct length for explicit IV */
1337             len -= EVP_GCM_TLS_EXPLICIT_IV_LEN;
1338             /* If decrypting correct for tag too */
1339             if (!c->encrypt)
1340                 len -= EVP_GCM_TLS_TAG_LEN;
1341             c->buf[arg - 2] = len >> 8;
1342             c->buf[arg - 1] = len & 0xff;
1343         }
1344         /* Extra padding: tag appended to record */
1345         return EVP_GCM_TLS_TAG_LEN;
1346
1347     case EVP_CTRL_COPY:
1348         {
1349             EVP_CIPHER_CTX *out = ptr;
1350             EVP_AES_GCM_CTX *gctx_out = out->cipher_data;
1351             if (gctx->gcm.key) {
1352                 if (gctx->gcm.key != &gctx->ks)
1353                     return 0;
1354                 gctx_out->gcm.key = &gctx_out->ks;
1355             }
1356             if (gctx->iv == c->iv)
1357                 gctx_out->iv = out->iv;
1358             else {
1359                 gctx_out->iv = OPENSSL_malloc(gctx->ivlen);
1360                 if (!gctx_out->iv)
1361                     return 0;
1362                 memcpy(gctx_out->iv, gctx->iv, gctx->ivlen);
1363             }
1364             return 1;
1365         }
1366
1367     default:
1368         return -1;
1369
1370     }
1371 }
1372
1373 static int aes_gcm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
1374                             const unsigned char *iv, int enc)
1375 {
1376     EVP_AES_GCM_CTX *gctx = ctx->cipher_data;
1377     if (!iv && !key)
1378         return 1;
1379     if (key) {
1380         do {
1381 # ifdef HWAES_CAPABLE
1382             if (HWAES_CAPABLE) {
1383                 HWAES_set_encrypt_key(key, ctx->key_len * 8, &gctx->ks.ks);
1384                 CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks,
1385                                    (block128_f) HWAES_encrypt);
1386 #  ifdef HWAES_ctr32_encrypt_blocks
1387                 gctx->ctr = (ctr128_f) HWAES_ctr32_encrypt_blocks;
1388 #  else
1389                 gctx->ctr = NULL;
1390 #  endif
1391                 break;
1392             } else
1393 # endif
1394 # ifdef BSAES_CAPABLE
1395             if (BSAES_CAPABLE) {
1396                 AES_set_encrypt_key(key, ctx->key_len * 8, &gctx->ks.ks);
1397                 CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks,
1398                                    (block128_f) AES_encrypt);
1399                 gctx->ctr = (ctr128_f) bsaes_ctr32_encrypt_blocks;
1400                 break;
1401             } else
1402 # endif
1403 # ifdef VPAES_CAPABLE
1404             if (VPAES_CAPABLE) {
1405                 vpaes_set_encrypt_key(key, ctx->key_len * 8, &gctx->ks.ks);
1406                 CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks,
1407                                    (block128_f) vpaes_encrypt);
1408                 gctx->ctr = NULL;
1409                 break;
1410             } else
1411 # endif
1412                 (void)0;        /* terminate potentially open 'else' */
1413
1414             AES_set_encrypt_key(key, ctx->key_len * 8, &gctx->ks.ks);
1415             CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks,
1416                                (block128_f) AES_encrypt);
1417 # ifdef AES_CTR_ASM
1418             gctx->ctr = (ctr128_f) AES_ctr32_encrypt;
1419 # else
1420             gctx->ctr = NULL;
1421 # endif
1422         } while (0);
1423
1424         /*
1425          * If we have an iv can set it directly, otherwise use saved IV.
1426          */
1427         if (iv == NULL && gctx->iv_set)
1428             iv = gctx->iv;
1429         if (iv) {
1430             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
1431             gctx->iv_set = 1;
1432         }
1433         gctx->key_set = 1;
1434     } else {
1435         /* If key set use IV, otherwise copy */
1436         if (gctx->key_set)
1437             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
1438         else
1439             memcpy(gctx->iv, iv, gctx->ivlen);
1440         gctx->iv_set = 1;
1441         gctx->iv_gen = 0;
1442     }
1443     return 1;
1444 }
1445
1446 /*
1447  * Handle TLS GCM packet format. This consists of the last portion of the IV
1448  * followed by the payload and finally the tag. On encrypt generate IV,
1449  * encrypt payload and write the tag. On verify retrieve IV, decrypt payload
1450  * and verify tag.
1451  */
1452
1453 static int aes_gcm_tls_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1454                               const unsigned char *in, size_t len)
1455 {
1456     EVP_AES_GCM_CTX *gctx = ctx->cipher_data;
1457     int rv = -1;
1458     /* Encrypt/decrypt must be performed in place */
1459     if (out != in
1460         || len < (EVP_GCM_TLS_EXPLICIT_IV_LEN + EVP_GCM_TLS_TAG_LEN))
1461         return -1;
1462     /*
1463      * Set IV from start of buffer or generate IV and write to start of
1464      * buffer.
1465      */
1466     if (EVP_CIPHER_CTX_ctrl(ctx, ctx->encrypt ?
1467                             EVP_CTRL_GCM_IV_GEN : EVP_CTRL_GCM_SET_IV_INV,
1468                             EVP_GCM_TLS_EXPLICIT_IV_LEN, out) <= 0)
1469         goto err;
1470     /* Use saved AAD */
1471     if (CRYPTO_gcm128_aad(&gctx->gcm, ctx->buf, gctx->tls_aad_len))
1472         goto err;
1473     /* Fix buffer and length to point to payload */
1474     in += EVP_GCM_TLS_EXPLICIT_IV_LEN;
1475     out += EVP_GCM_TLS_EXPLICIT_IV_LEN;
1476     len -= EVP_GCM_TLS_EXPLICIT_IV_LEN + EVP_GCM_TLS_TAG_LEN;
1477     if (ctx->encrypt) {
1478         /* Encrypt payload */
1479         if (gctx->ctr) {
1480             size_t bulk = 0;
1481 # if defined(AES_GCM_ASM)
1482             if (len >= 32 && AES_GCM_ASM(gctx)) {
1483                 if (CRYPTO_gcm128_encrypt(&gctx->gcm, NULL, NULL, 0))
1484                     return -1;
1485
1486                 bulk = AES_gcm_encrypt(in, out, len,
1487                                        gctx->gcm.key,
1488                                        gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1489                 gctx->gcm.len.u[1] += bulk;
1490             }
1491 # endif
1492             if (CRYPTO_gcm128_encrypt_ctr32(&gctx->gcm,
1493                                             in + bulk,
1494                                             out + bulk,
1495                                             len - bulk, gctx->ctr))
1496                 goto err;
1497         } else {
1498             size_t bulk = 0;
1499 # if defined(AES_GCM_ASM2)
1500             if (len >= 32 && AES_GCM_ASM2(gctx)) {
1501                 if (CRYPTO_gcm128_encrypt(&gctx->gcm, NULL, NULL, 0))
1502                     return -1;
1503
1504                 bulk = AES_gcm_encrypt(in, out, len,
1505                                        gctx->gcm.key,
1506                                        gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1507                 gctx->gcm.len.u[1] += bulk;
1508             }
1509 # endif
1510             if (CRYPTO_gcm128_encrypt(&gctx->gcm,
1511                                       in + bulk, out + bulk, len - bulk))
1512                 goto err;
1513         }
1514         out += len;
1515         /* Finally write tag */
1516         CRYPTO_gcm128_tag(&gctx->gcm, out, EVP_GCM_TLS_TAG_LEN);
1517         rv = len + EVP_GCM_TLS_EXPLICIT_IV_LEN + EVP_GCM_TLS_TAG_LEN;
1518     } else {
1519         /* Decrypt */
1520         if (gctx->ctr) {
1521             size_t bulk = 0;
1522 # if defined(AES_GCM_ASM)
1523             if (len >= 16 && AES_GCM_ASM(gctx)) {
1524                 if (CRYPTO_gcm128_decrypt(&gctx->gcm, NULL, NULL, 0))
1525                     return -1;
1526
1527                 bulk = AES_gcm_decrypt(in, out, len,
1528                                        gctx->gcm.key,
1529                                        gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1530                 gctx->gcm.len.u[1] += bulk;
1531             }
1532 # endif
1533             if (CRYPTO_gcm128_decrypt_ctr32(&gctx->gcm,
1534                                             in + bulk,
1535                                             out + bulk,
1536                                             len - bulk, gctx->ctr))
1537                 goto err;
1538         } else {
1539             size_t bulk = 0;
1540 # if defined(AES_GCM_ASM2)
1541             if (len >= 16 && AES_GCM_ASM2(gctx)) {
1542                 if (CRYPTO_gcm128_decrypt(&gctx->gcm, NULL, NULL, 0))
1543                     return -1;
1544
1545                 bulk = AES_gcm_decrypt(in, out, len,
1546                                        gctx->gcm.key,
1547                                        gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1548                 gctx->gcm.len.u[1] += bulk;
1549             }
1550 # endif
1551             if (CRYPTO_gcm128_decrypt(&gctx->gcm,
1552                                       in + bulk, out + bulk, len - bulk))
1553                 goto err;
1554         }
1555         /* Retrieve tag */
1556         CRYPTO_gcm128_tag(&gctx->gcm, ctx->buf, EVP_GCM_TLS_TAG_LEN);
1557         /* If tag mismatch wipe buffer */
1558         if (memcmp(ctx->buf, in + len, EVP_GCM_TLS_TAG_LEN)) {
1559             OPENSSL_cleanse(out, len);
1560             goto err;
1561         }
1562         rv = len;
1563     }
1564
1565  err:
1566     gctx->iv_set = 0;
1567     gctx->tls_aad_len = -1;
1568     return rv;
1569 }
1570
1571 static int aes_gcm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1572                           const unsigned char *in, size_t len)
1573 {
1574     EVP_AES_GCM_CTX *gctx = ctx->cipher_data;
1575     /* If not set up, return error */
1576     if (!gctx->key_set)
1577         return -1;
1578
1579     if (gctx->tls_aad_len >= 0)
1580         return aes_gcm_tls_cipher(ctx, out, in, len);
1581
1582     if (!gctx->iv_set)
1583         return -1;
1584     if (in) {
1585         if (out == NULL) {
1586             if (CRYPTO_gcm128_aad(&gctx->gcm, in, len))
1587                 return -1;
1588         } else if (ctx->encrypt) {
1589             if (gctx->ctr) {
1590                 size_t bulk = 0;
1591 # if defined(AES_GCM_ASM)
1592                 if (len >= 32 && AES_GCM_ASM(gctx)) {
1593                     size_t res = (16 - gctx->gcm.mres) % 16;
1594
1595                     if (CRYPTO_gcm128_encrypt(&gctx->gcm, in, out, res))
1596                         return -1;
1597
1598                     bulk = AES_gcm_encrypt(in + res,
1599                                            out + res, len - res,
1600                                            gctx->gcm.key, gctx->gcm.Yi.c,
1601                                            gctx->gcm.Xi.u);
1602                     gctx->gcm.len.u[1] += bulk;
1603                     bulk += res;
1604                 }
1605 # endif
1606                 if (CRYPTO_gcm128_encrypt_ctr32(&gctx->gcm,
1607                                                 in + bulk,
1608                                                 out + bulk,
1609                                                 len - bulk, gctx->ctr))
1610                     return -1;
1611             } else {
1612                 size_t bulk = 0;
1613 # if defined(AES_GCM_ASM2)
1614                 if (len >= 32 && AES_GCM_ASM2(gctx)) {
1615                     size_t res = (16 - gctx->gcm.mres) % 16;
1616
1617                     if (CRYPTO_gcm128_encrypt(&gctx->gcm, in, out, res))
1618                         return -1;
1619
1620                     bulk = AES_gcm_encrypt(in + res,
1621                                            out + res, len - res,
1622                                            gctx->gcm.key, gctx->gcm.Yi.c,
1623                                            gctx->gcm.Xi.u);
1624                     gctx->gcm.len.u[1] += bulk;
1625                     bulk += res;
1626                 }
1627 # endif
1628                 if (CRYPTO_gcm128_encrypt(&gctx->gcm,
1629                                           in + bulk, out + bulk, len - bulk))
1630                     return -1;
1631             }
1632         } else {
1633             if (gctx->ctr) {
1634                 size_t bulk = 0;
1635 # if defined(AES_GCM_ASM)
1636                 if (len >= 16 && AES_GCM_ASM(gctx)) {
1637                     size_t res = (16 - gctx->gcm.mres) % 16;
1638
1639                     if (CRYPTO_gcm128_decrypt(&gctx->gcm, in, out, res))
1640                         return -1;
1641
1642                     bulk = AES_gcm_decrypt(in + res,
1643                                            out + res, len - res,
1644                                            gctx->gcm.key,
1645                                            gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1646                     gctx->gcm.len.u[1] += bulk;
1647                     bulk += res;
1648                 }
1649 # endif
1650                 if (CRYPTO_gcm128_decrypt_ctr32(&gctx->gcm,
1651                                                 in + bulk,
1652                                                 out + bulk,
1653                                                 len - bulk, gctx->ctr))
1654                     return -1;
1655             } else {
1656                 size_t bulk = 0;
1657 # if defined(AES_GCM_ASM2)
1658                 if (len >= 16 && AES_GCM_ASM2(gctx)) {
1659                     size_t res = (16 - gctx->gcm.mres) % 16;
1660
1661                     if (CRYPTO_gcm128_decrypt(&gctx->gcm, in, out, res))
1662                         return -1;
1663
1664                     bulk = AES_gcm_decrypt(in + res,
1665                                            out + res, len - res,
1666                                            gctx->gcm.key,
1667                                            gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1668                     gctx->gcm.len.u[1] += bulk;
1669                     bulk += res;
1670                 }
1671 # endif
1672                 if (CRYPTO_gcm128_decrypt(&gctx->gcm,
1673                                           in + bulk, out + bulk, len - bulk))
1674                     return -1;
1675             }
1676         }
1677         return len;
1678     } else {
1679         if (!ctx->encrypt) {
1680             if (gctx->taglen < 0)
1681                 return -1;
1682             if (CRYPTO_gcm128_finish(&gctx->gcm, ctx->buf, gctx->taglen) != 0)
1683                 return -1;
1684             gctx->iv_set = 0;
1685             return 0;
1686         }
1687         CRYPTO_gcm128_tag(&gctx->gcm, ctx->buf, 16);
1688         gctx->taglen = 16;
1689         /* Don't reuse the IV */
1690         gctx->iv_set = 0;
1691         return 0;
1692     }
1693
1694 }
1695
1696 # define CUSTOM_FLAGS    (EVP_CIPH_FLAG_DEFAULT_ASN1 \
1697                 | EVP_CIPH_CUSTOM_IV | EVP_CIPH_FLAG_CUSTOM_CIPHER \
1698                 | EVP_CIPH_ALWAYS_CALL_INIT | EVP_CIPH_CTRL_INIT \
1699                 | EVP_CIPH_CUSTOM_COPY)
1700
1701 BLOCK_CIPHER_custom(NID_aes, 128, 1, 12, gcm, GCM,
1702                     EVP_CIPH_FLAG_AEAD_CIPHER | CUSTOM_FLAGS)
1703     BLOCK_CIPHER_custom(NID_aes, 192, 1, 12, gcm, GCM,
1704                     EVP_CIPH_FLAG_AEAD_CIPHER | CUSTOM_FLAGS)
1705     BLOCK_CIPHER_custom(NID_aes, 256, 1, 12, gcm, GCM,
1706                     EVP_CIPH_FLAG_AEAD_CIPHER | CUSTOM_FLAGS)
1707
1708 static int aes_xts_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr)
1709 {
1710     EVP_AES_XTS_CTX *xctx = c->cipher_data;
1711     if (type == EVP_CTRL_COPY) {
1712         EVP_CIPHER_CTX *out = ptr;
1713         EVP_AES_XTS_CTX *xctx_out = out->cipher_data;
1714         if (xctx->xts.key1) {
1715             if (xctx->xts.key1 != &xctx->ks1)
1716                 return 0;
1717             xctx_out->xts.key1 = &xctx_out->ks1;
1718         }
1719         if (xctx->xts.key2) {
1720             if (xctx->xts.key2 != &xctx->ks2)
1721                 return 0;
1722             xctx_out->xts.key2 = &xctx_out->ks2;
1723         }
1724         return 1;
1725     } else if (type != EVP_CTRL_INIT)
1726         return -1;
1727     /* key1 and key2 are used as an indicator both key and IV are set */
1728     xctx->xts.key1 = NULL;
1729     xctx->xts.key2 = NULL;
1730     return 1;
1731 }
1732
1733 static int aes_xts_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
1734                             const unsigned char *iv, int enc)
1735 {
1736     EVP_AES_XTS_CTX *xctx = ctx->cipher_data;
1737     if (!iv && !key)
1738         return 1;
1739
1740     if (key)
1741         do {
1742 # ifdef AES_XTS_ASM
1743             xctx->stream = enc ? AES_xts_encrypt : AES_xts_decrypt;
1744 # else
1745             xctx->stream = NULL;
1746 # endif
1747             /* key_len is two AES keys */
1748 # ifdef HWAES_CAPABLE
1749             if (HWAES_CAPABLE) {
1750                 if (enc) {
1751                     HWAES_set_encrypt_key(key, ctx->key_len * 4,
1752                                           &xctx->ks1.ks);
1753                     xctx->xts.block1 = (block128_f) HWAES_encrypt;
1754                 } else {
1755                     HWAES_set_decrypt_key(key, ctx->key_len * 4,
1756                                           &xctx->ks1.ks);
1757                     xctx->xts.block1 = (block128_f) HWAES_decrypt;
1758                 }
1759
1760                 HWAES_set_encrypt_key(key + ctx->key_len / 2,
1761                                       ctx->key_len * 4, &xctx->ks2.ks);
1762                 xctx->xts.block2 = (block128_f) HWAES_encrypt;
1763
1764                 xctx->xts.key1 = &xctx->ks1;
1765                 break;
1766             } else
1767 # endif
1768 # ifdef BSAES_CAPABLE
1769             if (BSAES_CAPABLE)
1770                 xctx->stream = enc ? bsaes_xts_encrypt : bsaes_xts_decrypt;
1771             else
1772 # endif
1773 # ifdef VPAES_CAPABLE
1774             if (VPAES_CAPABLE) {
1775                 if (enc) {
1776                     vpaes_set_encrypt_key(key, ctx->key_len * 4,
1777                                           &xctx->ks1.ks);
1778                     xctx->xts.block1 = (block128_f) vpaes_encrypt;
1779                 } else {
1780                     vpaes_set_decrypt_key(key, ctx->key_len * 4,
1781                                           &xctx->ks1.ks);
1782                     xctx->xts.block1 = (block128_f) vpaes_decrypt;
1783                 }
1784
1785                 vpaes_set_encrypt_key(key + ctx->key_len / 2,
1786                                       ctx->key_len * 4, &xctx->ks2.ks);
1787                 xctx->xts.block2 = (block128_f) vpaes_encrypt;
1788
1789                 xctx->xts.key1 = &xctx->ks1;
1790                 break;
1791             } else
1792 # endif
1793                 (void)0;        /* terminate potentially open 'else' */
1794
1795             if (enc) {
1796                 AES_set_encrypt_key(key, ctx->key_len * 4, &xctx->ks1.ks);
1797                 xctx->xts.block1 = (block128_f) AES_encrypt;
1798             } else {
1799                 AES_set_decrypt_key(key, ctx->key_len * 4, &xctx->ks1.ks);
1800                 xctx->xts.block1 = (block128_f) AES_decrypt;
1801             }
1802
1803             AES_set_encrypt_key(key + ctx->key_len / 2,
1804                                 ctx->key_len * 4, &xctx->ks2.ks);
1805             xctx->xts.block2 = (block128_f) AES_encrypt;
1806
1807             xctx->xts.key1 = &xctx->ks1;
1808         } while (0);
1809
1810     if (iv) {
1811         xctx->xts.key2 = &xctx->ks2;
1812         memcpy(ctx->iv, iv, 16);
1813     }
1814
1815     return 1;
1816 }
1817
1818 static int aes_xts_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1819                           const unsigned char *in, size_t len)
1820 {
1821     EVP_AES_XTS_CTX *xctx = ctx->cipher_data;
1822     if (!xctx->xts.key1 || !xctx->xts.key2)
1823         return 0;
1824     if (!out || !in || len < AES_BLOCK_SIZE)
1825         return 0;
1826     if (xctx->stream)
1827         (*xctx->stream) (in, out, len,
1828                          xctx->xts.key1, xctx->xts.key2, ctx->iv);
1829     else if (CRYPTO_xts128_encrypt(&xctx->xts, ctx->iv, in, out, len,
1830                                    ctx->encrypt))
1831         return 0;
1832     return 1;
1833 }
1834
1835 # define aes_xts_cleanup NULL
1836
1837 # define XTS_FLAGS       (EVP_CIPH_FLAG_DEFAULT_ASN1 | EVP_CIPH_CUSTOM_IV \
1838                          | EVP_CIPH_ALWAYS_CALL_INIT | EVP_CIPH_CTRL_INIT \
1839                          | EVP_CIPH_CUSTOM_COPY)
1840
1841 BLOCK_CIPHER_custom(NID_aes, 128, 1, 16, xts, XTS, XTS_FLAGS)
1842     BLOCK_CIPHER_custom(NID_aes, 256, 1, 16, xts, XTS, XTS_FLAGS)
1843
1844 static int aes_ccm_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr)
1845 {
1846     EVP_AES_CCM_CTX *cctx = c->cipher_data;
1847     switch (type) {
1848     case EVP_CTRL_INIT:
1849         cctx->key_set = 0;
1850         cctx->iv_set = 0;
1851         cctx->L = 8;
1852         cctx->M = 12;
1853         cctx->tag_set = 0;
1854         cctx->len_set = 0;
1855         return 1;
1856
1857     case EVP_CTRL_AEAD_SET_IVLEN:
1858         arg = 15 - arg;
1859     case EVP_CTRL_CCM_SET_L:
1860         if (arg < 2 || arg > 8)
1861             return 0;
1862         cctx->L = arg;
1863         return 1;
1864
1865     case EVP_CTRL_AEAD_SET_TAG:
1866         if ((arg & 1) || arg < 4 || arg > 16)
1867             return 0;
1868         if ((c->encrypt && ptr) || (!c->encrypt && !ptr))
1869             return 0;
1870         if (ptr) {
1871             cctx->tag_set = 1;
1872             memcpy(c->buf, ptr, arg);
1873         }
1874         cctx->M = arg;
1875         return 1;
1876
1877     case EVP_CTRL_AEAD_GET_TAG:
1878         if (!c->encrypt || !cctx->tag_set)
1879             return 0;
1880         if (!CRYPTO_ccm128_tag(&cctx->ccm, ptr, (size_t)arg))
1881             return 0;
1882         cctx->tag_set = 0;
1883         cctx->iv_set = 0;
1884         cctx->len_set = 0;
1885         return 1;
1886
1887     case EVP_CTRL_COPY:
1888         {
1889             EVP_CIPHER_CTX *out = ptr;
1890             EVP_AES_CCM_CTX *cctx_out = out->cipher_data;
1891             if (cctx->ccm.key) {
1892                 if (cctx->ccm.key != &cctx->ks)
1893                     return 0;
1894                 cctx_out->ccm.key = &cctx_out->ks;
1895             }
1896             return 1;
1897         }
1898
1899     default:
1900         return -1;
1901
1902     }
1903 }
1904
1905 static int aes_ccm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
1906                             const unsigned char *iv, int enc)
1907 {
1908     EVP_AES_CCM_CTX *cctx = ctx->cipher_data;
1909     if (!iv && !key)
1910         return 1;
1911     if (key)
1912         do {
1913 # ifdef HWAES_CAPABLE
1914             if (HWAES_CAPABLE) {
1915                 HWAES_set_encrypt_key(key, ctx->key_len * 8, &cctx->ks.ks);
1916
1917                 CRYPTO_ccm128_init(&cctx->ccm, cctx->M, cctx->L,
1918                                    &cctx->ks, (block128_f) HWAES_encrypt);
1919                 cctx->str = NULL;
1920                 cctx->key_set = 1;
1921                 break;
1922             } else
1923 # endif
1924 # ifdef VPAES_CAPABLE
1925             if (VPAES_CAPABLE) {
1926                 vpaes_set_encrypt_key(key, ctx->key_len * 8, &cctx->ks.ks);
1927                 CRYPTO_ccm128_init(&cctx->ccm, cctx->M, cctx->L,
1928                                    &cctx->ks, (block128_f) vpaes_encrypt);
1929                 cctx->str = NULL;
1930                 cctx->key_set = 1;
1931                 break;
1932             }
1933 # endif
1934             AES_set_encrypt_key(key, ctx->key_len * 8, &cctx->ks.ks);
1935             CRYPTO_ccm128_init(&cctx->ccm, cctx->M, cctx->L,
1936                                &cctx->ks, (block128_f) AES_encrypt);
1937             cctx->str = NULL;
1938             cctx->key_set = 1;
1939         } while (0);
1940     if (iv) {
1941         memcpy(ctx->iv, iv, 15 - cctx->L);
1942         cctx->iv_set = 1;
1943     }
1944     return 1;
1945 }
1946
1947 static int aes_ccm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1948                           const unsigned char *in, size_t len)
1949 {
1950     EVP_AES_CCM_CTX *cctx = ctx->cipher_data;
1951     CCM128_CONTEXT *ccm = &cctx->ccm;
1952     /* If not set up, return error */
1953     if (!cctx->iv_set && !cctx->key_set)
1954         return -1;
1955     if (!ctx->encrypt && !cctx->tag_set)
1956         return -1;
1957     if (!out) {
1958         if (!in) {
1959             if (CRYPTO_ccm128_setiv(ccm, ctx->iv, 15 - cctx->L, len))
1960                 return -1;
1961             cctx->len_set = 1;
1962             return len;
1963         }
1964         /* If have AAD need message length */
1965         if (!cctx->len_set && len)
1966             return -1;
1967         CRYPTO_ccm128_aad(ccm, in, len);
1968         return len;
1969     }
1970     /* EVP_*Final() doesn't return any data */
1971     if (!in)
1972         return 0;
1973     /* If not set length yet do it */
1974     if (!cctx->len_set) {
1975         if (CRYPTO_ccm128_setiv(ccm, ctx->iv, 15 - cctx->L, len))
1976             return -1;
1977         cctx->len_set = 1;
1978     }
1979     if (ctx->encrypt) {
1980         if (cctx->str ? CRYPTO_ccm128_encrypt_ccm64(ccm, in, out, len,
1981                                                     cctx->str) :
1982             CRYPTO_ccm128_encrypt(ccm, in, out, len))
1983             return -1;
1984         cctx->tag_set = 1;
1985         return len;
1986     } else {
1987         int rv = -1;
1988         if (cctx->str ? !CRYPTO_ccm128_decrypt_ccm64(ccm, in, out, len,
1989                                                      cctx->str) :
1990             !CRYPTO_ccm128_decrypt(ccm, in, out, len)) {
1991             unsigned char tag[16];
1992             if (CRYPTO_ccm128_tag(ccm, tag, cctx->M)) {
1993                 if (!memcmp(tag, ctx->buf, cctx->M))
1994                     rv = len;
1995             }
1996         }
1997         if (rv == -1)
1998             OPENSSL_cleanse(out, len);
1999         cctx->iv_set = 0;
2000         cctx->tag_set = 0;
2001         cctx->len_set = 0;
2002         return rv;
2003     }
2004
2005 }
2006
2007 # define aes_ccm_cleanup NULL
2008
2009 BLOCK_CIPHER_custom(NID_aes, 128, 1, 12, ccm, CCM, CUSTOM_FLAGS)
2010     BLOCK_CIPHER_custom(NID_aes, 192, 1, 12, ccm, CCM, CUSTOM_FLAGS)
2011     BLOCK_CIPHER_custom(NID_aes, 256, 1, 12, ccm, CCM, CUSTOM_FLAGS)
2012
2013 typedef struct {
2014     union {
2015         double align;
2016         AES_KEY ks;
2017     } ks;
2018     /* Indicates if IV has been set */
2019     unsigned char *iv;
2020 } EVP_AES_WRAP_CTX;
2021
2022 static int aes_wrap_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
2023                              const unsigned char *iv, int enc)
2024 {
2025     EVP_AES_WRAP_CTX *wctx = ctx->cipher_data;
2026     if (!iv && !key)
2027         return 1;
2028     if (key) {
2029         if (ctx->encrypt)
2030             AES_set_encrypt_key(key, ctx->key_len * 8, &wctx->ks.ks);
2031         else
2032             AES_set_decrypt_key(key, ctx->key_len * 8, &wctx->ks.ks);
2033         if (!iv)
2034             wctx->iv = NULL;
2035     }
2036     if (iv) {
2037         memcpy(ctx->iv, iv, EVP_CIPHER_CTX_iv_length(ctx));
2038         wctx->iv = ctx->iv;
2039     }
2040     return 1;
2041 }
2042
2043 static int aes_wrap_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
2044                            const unsigned char *in, size_t inlen)
2045 {
2046     EVP_AES_WRAP_CTX *wctx = ctx->cipher_data;
2047     size_t rv;
2048     /* AES wrap with padding has IV length of 4, without padding 8 */
2049     int pad = EVP_CIPHER_CTX_iv_length(ctx) == 4;
2050     /* No final operation so always return zero length */
2051     if (!in)
2052         return 0;
2053     /* Input length must always be non-zero */
2054     if (!inlen)
2055         return -1;
2056     /* If decrypting need at least 16 bytes and multiple of 8 */
2057     if (!ctx->encrypt && (inlen < 16 || inlen & 0x7))
2058         return -1;
2059     /* If not padding input must be multiple of 8 */
2060     if (!pad && inlen & 0x7)
2061         return -1;
2062     if (!out) {
2063         if (ctx->encrypt) {
2064             /* If padding round up to multiple of 8 */
2065             if (pad)
2066                 inlen = (inlen + 7) / 8 * 8;
2067             /* 8 byte prefix */
2068             return inlen + 8;
2069         } else {
2070             /*
2071              * If not padding output will be exactly 8 bytes smaller than
2072              * input. If padding it will be at least 8 bytes smaller but we
2073              * don't know how much.
2074              */
2075             return inlen - 8;
2076         }
2077     }
2078     if (pad) {
2079         if (ctx->encrypt)
2080             rv = CRYPTO_128_wrap_pad(&wctx->ks.ks, wctx->iv,
2081                                      out, in, inlen,
2082                                      (block128_f) AES_encrypt);
2083         else
2084             rv = CRYPTO_128_unwrap_pad(&wctx->ks.ks, wctx->iv,
2085                                        out, in, inlen,
2086                                        (block128_f) AES_decrypt);
2087     } else {
2088         if (ctx->encrypt)
2089             rv = CRYPTO_128_wrap(&wctx->ks.ks, wctx->iv,
2090                                  out, in, inlen, (block128_f) AES_encrypt);
2091         else
2092             rv = CRYPTO_128_unwrap(&wctx->ks.ks, wctx->iv,
2093                                    out, in, inlen, (block128_f) AES_decrypt);
2094     }
2095     return rv ? (int)rv : -1;
2096 }
2097
2098 # define WRAP_FLAGS      (EVP_CIPH_WRAP_MODE \
2099                 | EVP_CIPH_CUSTOM_IV | EVP_CIPH_FLAG_CUSTOM_CIPHER \
2100                 | EVP_CIPH_ALWAYS_CALL_INIT | EVP_CIPH_FLAG_DEFAULT_ASN1)
2101
2102 static const EVP_CIPHER aes_128_wrap = {
2103     NID_id_aes128_wrap,
2104     8, 16, 8, WRAP_FLAGS,
2105     aes_wrap_init_key, aes_wrap_cipher,
2106     NULL,
2107     sizeof(EVP_AES_WRAP_CTX),
2108     NULL, NULL, NULL, NULL
2109 };
2110
2111 const EVP_CIPHER *EVP_aes_128_wrap(void)
2112 {
2113     return &aes_128_wrap;
2114 }
2115
2116 static const EVP_CIPHER aes_192_wrap = {
2117     NID_id_aes192_wrap,
2118     8, 24, 8, WRAP_FLAGS,
2119     aes_wrap_init_key, aes_wrap_cipher,
2120     NULL,
2121     sizeof(EVP_AES_WRAP_CTX),
2122     NULL, NULL, NULL, NULL
2123 };
2124
2125 const EVP_CIPHER *EVP_aes_192_wrap(void)
2126 {
2127     return &aes_192_wrap;
2128 }
2129
2130 static const EVP_CIPHER aes_256_wrap = {
2131     NID_id_aes256_wrap,
2132     8, 32, 8, WRAP_FLAGS,
2133     aes_wrap_init_key, aes_wrap_cipher,
2134     NULL,
2135     sizeof(EVP_AES_WRAP_CTX),
2136     NULL, NULL, NULL, NULL
2137 };
2138
2139 const EVP_CIPHER *EVP_aes_256_wrap(void)
2140 {
2141     return &aes_256_wrap;
2142 }
2143
2144 static const EVP_CIPHER aes_128_wrap_pad = {
2145     NID_id_aes128_wrap_pad,
2146     8, 16, 4, WRAP_FLAGS,
2147     aes_wrap_init_key, aes_wrap_cipher,
2148     NULL,
2149     sizeof(EVP_AES_WRAP_CTX),
2150     NULL, NULL, NULL, NULL
2151 };
2152
2153 const EVP_CIPHER *EVP_aes_128_wrap_pad(void)
2154 {
2155     return &aes_128_wrap_pad;
2156 }
2157
2158 static const EVP_CIPHER aes_192_wrap_pad = {
2159     NID_id_aes192_wrap_pad,
2160     8, 24, 4, WRAP_FLAGS,
2161     aes_wrap_init_key, aes_wrap_cipher,
2162     NULL,
2163     sizeof(EVP_AES_WRAP_CTX),
2164     NULL, NULL, NULL, NULL
2165 };
2166
2167 const EVP_CIPHER *EVP_aes_192_wrap_pad(void)
2168 {
2169     return &aes_192_wrap_pad;
2170 }
2171
2172 static const EVP_CIPHER aes_256_wrap_pad = {
2173     NID_id_aes256_wrap_pad,
2174     8, 32, 4, WRAP_FLAGS,
2175     aes_wrap_init_key, aes_wrap_cipher,
2176     NULL,
2177     sizeof(EVP_AES_WRAP_CTX),
2178     NULL, NULL, NULL, NULL
2179 };
2180
2181 const EVP_CIPHER *EVP_aes_256_wrap_pad(void)
2182 {
2183     return &aes_256_wrap_pad;
2184 }
2185
2186 # ifndef OPENSSL_NO_OCB
2187 static int aes_ocb_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr)
2188 {
2189     EVP_AES_OCB_CTX *octx = c->cipher_data;
2190     EVP_CIPHER_CTX *newc;
2191     EVP_AES_OCB_CTX *new_octx;
2192
2193     switch (type) {
2194     case EVP_CTRL_INIT:
2195         octx->key_set = 0;
2196         octx->iv_set = 0;
2197         octx->ivlen = c->cipher->iv_len;
2198         octx->iv = c->iv;
2199         octx->taglen = 16;
2200         octx->data_buf_len = 0;
2201         octx->aad_buf_len = 0;
2202         return 1;
2203
2204     case EVP_CTRL_AEAD_SET_IVLEN:
2205         /* IV len must be 1 to 15 */
2206         if (arg <= 0 || arg > 15)
2207             return 0;
2208
2209         octx->ivlen = arg;
2210         return 1;
2211
2212     case EVP_CTRL_AEAD_SET_TAG:
2213         if (!ptr) {
2214             /* Tag len must be 0 to 16 */
2215             if (arg < 0 || arg > 16)
2216                 return 0;
2217
2218             octx->taglen = arg;
2219             return 1;
2220         }
2221         if (arg != octx->taglen || c->encrypt)
2222             return 0;
2223         memcpy(octx->tag, ptr, arg);
2224         return 1;
2225
2226     case EVP_CTRL_AEAD_GET_TAG:
2227         if (arg != octx->taglen || !c->encrypt)
2228             return 0;
2229
2230         memcpy(ptr, octx->tag, arg);
2231         return 1;
2232
2233     case EVP_CTRL_COPY:
2234         newc = (EVP_CIPHER_CTX *)ptr;
2235         new_octx = newc->cipher_data;
2236         return CRYPTO_ocb128_copy_ctx(&new_octx->ocb, &octx->ocb,
2237                                       &new_octx->ksenc.ks,
2238                                       &new_octx->ksdec.ks);
2239
2240     default:
2241         return -1;
2242
2243     }
2244 }
2245
2246 static int aes_ocb_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
2247                             const unsigned char *iv, int enc)
2248 {
2249     EVP_AES_OCB_CTX *octx = ctx->cipher_data;
2250     if (!iv && !key)
2251         return 1;
2252     if (key) {
2253         do {
2254             /*
2255              * We set both the encrypt and decrypt key here because decrypt
2256              * needs both. We could possibly optimise to remove setting the
2257              * decrypt for an encryption operation.
2258              */
2259 #  ifdef VPAES_CAPABLE
2260             if (VPAES_CAPABLE) {
2261                 vpaes_set_encrypt_key(key, ctx->key_len * 8, &octx->ksenc.ks);
2262                 vpaes_set_decrypt_key(key, ctx->key_len * 8, &octx->ksdec.ks);
2263                 if (!CRYPTO_ocb128_init(&octx->ocb,
2264                                         &octx->ksenc.ks, &octx->ksdec.ks,
2265                                         (block128_f) vpaes_encrypt,
2266                                         (block128_f) vpaes_decrypt))
2267                     return 0;
2268                 break;
2269             }
2270 #  endif
2271             AES_set_encrypt_key(key, ctx->key_len * 8, &octx->ksenc.ks);
2272             AES_set_decrypt_key(key, ctx->key_len * 8, &octx->ksdec.ks);
2273             if (!CRYPTO_ocb128_init(&octx->ocb,
2274                                     &octx->ksenc.ks, &octx->ksdec.ks,
2275                                     (block128_f) AES_encrypt,
2276                                     (block128_f) AES_decrypt))
2277                 return 0;
2278         }
2279         while (0);
2280
2281         /*
2282          * If we have an iv we can set it directly, otherwise use saved IV.
2283          */
2284         if (iv == NULL && octx->iv_set)
2285             iv = octx->iv;
2286         if (iv) {
2287             if (CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen)
2288                 != 1)
2289                 return 0;
2290             octx->iv_set = 1;
2291         }
2292         octx->key_set = 1;
2293     } else {
2294         /* If key set use IV, otherwise copy */
2295         if (octx->key_set)
2296             CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen);
2297         else
2298             memcpy(octx->iv, iv, octx->ivlen);
2299         octx->iv_set = 1;
2300     }
2301     return 1;
2302 }
2303
2304 static int aes_ocb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
2305                           const unsigned char *in, size_t len)
2306 {
2307     unsigned char *buf;
2308     int *buf_len;
2309     int written_len = 0;
2310     size_t trailing_len;
2311     EVP_AES_OCB_CTX *octx = ctx->cipher_data;
2312
2313     /* If IV or Key not set then return error */
2314     if (!octx->iv_set)
2315         return -1;
2316
2317     if (!octx->key_set)
2318         return -1;
2319
2320     if (in) {
2321         /*
2322          * Need to ensure we are only passing full blocks to low level OCB
2323          * routines. We do it here rather than in EVP_EncryptUpdate/
2324          * EVP_DecryptUpdate because we need to pass full blocks of AAD too
2325          * and those routines don't support that
2326          */
2327
2328         /* Are we dealing with AAD or normal data here? */
2329         if (out == NULL) {
2330             buf = octx->aad_buf;
2331             buf_len = &(octx->aad_buf_len);
2332         } else {
2333             buf = octx->data_buf;
2334             buf_len = &(octx->data_buf_len);
2335         }
2336
2337         /*
2338          * If we've got a partially filled buffer from a previous call then
2339          * use that data first
2340          */
2341         if (*buf_len) {
2342             unsigned int remaining;
2343
2344             remaining = 16 - (*buf_len);
2345             if (remaining > len) {
2346                 memcpy(buf + (*buf_len), in, len);
2347                 *(buf_len) += len;
2348                 return 0;
2349             }
2350             memcpy(buf + (*buf_len), in, remaining);
2351
2352             /*
2353              * If we get here we've filled the buffer, so process it
2354              */
2355             len -= remaining;
2356             in += remaining;
2357             if (out == NULL) {
2358                 if (!CRYPTO_ocb128_aad(&octx->ocb, buf, 16))
2359                     return -1;
2360             } else if (ctx->encrypt) {
2361                 if (!CRYPTO_ocb128_encrypt(&octx->ocb, buf, out, 16))
2362                     return -1;
2363             } else {
2364                 if (!CRYPTO_ocb128_decrypt(&octx->ocb, buf, out, 16))
2365                     return -1;
2366             }
2367             written_len = 16;
2368             *buf_len = 0;
2369         }
2370
2371         /* Do we have a partial block to handle at the end? */
2372         trailing_len = len % 16;
2373
2374         /*
2375          * If we've got some full blocks to handle, then process these first
2376          */
2377         if (len != trailing_len) {
2378             if (out == NULL) {
2379                 if (!CRYPTO_ocb128_aad(&octx->ocb, in, len - trailing_len))
2380                     return -1;
2381             } else if (ctx->encrypt) {
2382                 if (!CRYPTO_ocb128_encrypt
2383                     (&octx->ocb, in, out, len - trailing_len))
2384                     return -1;
2385             } else {
2386                 if (!CRYPTO_ocb128_decrypt
2387                     (&octx->ocb, in, out, len - trailing_len))
2388                     return -1;
2389             }
2390             written_len += len - trailing_len;
2391             in += len - trailing_len;
2392         }
2393
2394         /* Handle any trailing partial block */
2395         if (trailing_len) {
2396             memcpy(buf, in, trailing_len);
2397             *buf_len = trailing_len;
2398         }
2399
2400         return written_len;
2401     } else {
2402         /*
2403          * First of all empty the buffer of any partial block that we might
2404          * have been provided - both for data and AAD
2405          */
2406         if (octx->data_buf_len) {
2407             if (ctx->encrypt) {
2408                 if (!CRYPTO_ocb128_encrypt(&octx->ocb, octx->data_buf, out,
2409                                            octx->data_buf_len))
2410                     return -1;
2411             } else {
2412                 if (!CRYPTO_ocb128_decrypt(&octx->ocb, octx->data_buf, out,
2413                                            octx->data_buf_len))
2414                     return -1;
2415             }
2416             written_len = octx->data_buf_len;
2417             octx->data_buf_len = 0;
2418         }
2419         if (octx->aad_buf_len) {
2420             if (!CRYPTO_ocb128_aad
2421                 (&octx->ocb, octx->aad_buf, octx->aad_buf_len))
2422                 return -1;
2423             octx->aad_buf_len = 0;
2424         }
2425         /* If decrypting then verify */
2426         if (!ctx->encrypt) {
2427             if (octx->taglen < 0)
2428                 return -1;
2429             if (CRYPTO_ocb128_finish(&octx->ocb,
2430                                      octx->tag, octx->taglen) != 0)
2431                 return -1;
2432             octx->iv_set = 0;
2433             return written_len;
2434         }
2435         /* If encrypting then just get the tag */
2436         if (CRYPTO_ocb128_tag(&octx->ocb, octx->tag, 16) != 1)
2437             return -1;
2438         /* Don't reuse the IV */
2439         octx->iv_set = 0;
2440         return written_len;
2441     }
2442 }
2443
2444 static int aes_ocb_cleanup(EVP_CIPHER_CTX *c)
2445 {
2446     EVP_AES_OCB_CTX *octx = c->cipher_data;
2447     CRYPTO_ocb128_cleanup(&octx->ocb);
2448     return 1;
2449 }
2450
2451 BLOCK_CIPHER_custom(NID_aes, 128, 16, 12, ocb, OCB, CUSTOM_FLAGS)
2452     BLOCK_CIPHER_custom(NID_aes, 192, 16, 12, ocb, OCB, CUSTOM_FLAGS)
2453     BLOCK_CIPHER_custom(NID_aes, 256, 16, 12, ocb, OCB, CUSTOM_FLAGS)
2454 # endif                         /* OPENSSL_NO_OCB */
2455 #endif