crypto/evp/e_des3.c

   1 /* crypto/evp/e_des3.c */
   2 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
   3  * All rights reserved.
   4  *
   5  * This package is an SSL implementation written
   6  * by Eric Young (eay@cryptsoft.com).
   7  * The implementation was written so as to conform with Netscapes SSL.
   8  *
   9  * This library is free for commercial and non-commercial use as long as
  10  * the following conditions are aheared to.  The following conditions
  11  * apply to all code found in this distribution, be it the RC4, RSA,
  12  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
  13  * included with this distribution is covered by the same copyright terms
  14  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
  15  *
  16  * Copyright remains Eric Young's, and as such any Copyright notices in
  17  * the code are not to be removed.
  18  * If this package is used in a product, Eric Young should be given attribution
  19  * as the author of the parts of the library used.
  20  * This can be in the form of a textual message at program startup or
  21  * in documentation (online or textual) provided with the package.
  22  *
  23  * Redistribution and use in source and binary forms, with or without
  24  * modification, are permitted provided that the following conditions
  25  * are met:
  26  * 1. Redistributions of source code must retain the copyright
  27  *    notice, this list of conditions and the following disclaimer.
  28  * 2. Redistributions in binary form must reproduce the above copyright
  29  *    notice, this list of conditions and the following disclaimer in the
  30  *    documentation and/or other materials provided with the distribution.
  31  * 3. All advertising materials mentioning features or use of this software
  32  *    must display the following acknowledgement:
  33  *    "This product includes cryptographic software written by
  34  *     Eric Young (eay@cryptsoft.com)"
  35  *    The word 'cryptographic' can be left out if the rouines from the library
  36  *    being used are not cryptographic related :-).
  37  * 4. If you include any Windows specific code (or a derivative thereof) from
  38  *    the apps directory (application code) you must include an acknowledgement:
  39  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
  40  *
  41  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
  42  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  43  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  44  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
  45  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  46  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  47  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  49  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  50  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  51  * SUCH DAMAGE.
  52  *
  53  * The licence and distribution terms for any publically available version or
  54  * derivative of this code cannot be changed.  i.e. this code cannot simply be
  55  * copied and put under another distribution licence
  56  * [including the GNU Public Licence.]
  57  */
  58
  59 #include <stdio.h>
  60 #include "cryptlib.h"
  61 #ifndef OPENSSL_NO_DES
  62 #include <openssl/evp.h>
  63 #include <openssl/objects.h>
  64 #include "evp_locl.h"
  65 #include <openssl/des.h>
  66 #include <openssl/rand.h>
  67
  68 /* Block use of implementations in FIPS mode */
  69 #undef EVP_CIPH_FLAG_FIPS
  70 #define EVP_CIPH_FLAG_FIPS      0
  71
  72 typedef struct
  73         {
  74         union { double align; DES_key_schedule ks[3]; } ks;
  75         union {
  76                 void (*cbc)(const void *,void *,size_t,const void *,void *);
  77         } stream;
  78         } DES_EDE_KEY;
  79 #define ks1 ks.ks[0]
  80 #define ks2 ks.ks[1]
  81 #define ks3 ks.ks[2]
  82
  83 #if defined(AES_ASM) && (defined(__sparc) || defined(__sparc__))
  84 /* ---------^^^ this is not a typo, just a way to detect that
  85  * assembler support was in general requested... */
  86 #include "sparc_arch.h"
  87
  88 extern unsigned int OPENSSL_sparcv9cap_P[];
  89
  90 #define SPARC_DES_CAPABLE       (OPENSSL_sparcv9cap_P[1] & CFR_DES)
  91
  92 void    des_t4_key_expand(const void *key, DES_key_schedule *ks);
  93 void    des_t4_ede3_cbc_encrypt(const void *inp,void *out,size_t len,
  94                                 DES_key_schedule *ks,unsigned char iv[8]);
  95 void    des_t4_ede3_cbc_decrypt(const void *inp,void *out,size_t len,
  96                                 DES_key_schedule *ks,unsigned char iv[8]);
  97 #endif
  98
  99 static int des_ede_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
 100                             const unsigned char *iv,int enc);
 101
 102 static int des_ede3_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
 103                              const unsigned char *iv,int enc);
 104
 105 static int des3_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr);
 106
 107 #define data(ctx) ((DES_EDE_KEY *)(ctx)->cipher_data)
 108
 109 /* Because of various casts and different args can't use IMPLEMENT_BLOCK_CIPHER */
 110
 111 static int des_ede_ecb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 112                               const unsigned char *in, size_t inl)
 113 {
 114         BLOCK_CIPHER_ecb_loop()
 115                 DES_ecb3_encrypt((const_DES_cblock *)(in + i),
 116                                  (DES_cblock *)(out + i),
 117                                  &data(ctx)->ks1, &data(ctx)->ks2,
 118                                  &data(ctx)->ks3,
 119                                  ctx->encrypt);
 120         return 1;
 121 }
 122
 123 static int des_ede_ofb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 124                               const unsigned char *in, size_t inl)
 125 {
 126         while (inl>=EVP_MAXCHUNK)
 127                 {
 128                 DES_ede3_ofb64_encrypt(in, out, (long)EVP_MAXCHUNK,
 129                                &data(ctx)->ks1, &data(ctx)->ks2, &data(ctx)->ks3,
 130                                (DES_cblock *)ctx->iv, &ctx->num);
 131                 inl-=EVP_MAXCHUNK;
 132                 in +=EVP_MAXCHUNK;
 133                 out+=EVP_MAXCHUNK;
 134                 }
 135         if (inl)
 136                 DES_ede3_ofb64_encrypt(in, out, (long)inl,
 137                                 &data(ctx)->ks1, &data(ctx)->ks2, &data(ctx)->ks3,
 138                                (DES_cblock *)ctx->iv, &ctx->num);
 139
 140         return 1;
 141 }
 142
 143 static int des_ede_cbc_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 144                               const unsigned char *in, size_t inl)
 145 {
 146         DES_EDE_KEY *dat = data(ctx);
 147
 148 #ifdef KSSL_DEBUG
 149         {
 150         int i;
 151         fprintf(stderr,"des_ede_cbc_cipher(ctx=%p, buflen=%d)\n", ctx, ctx->buf_len);
 152         fprintf(stderr,"\t iv= ");
 153         for(i=0;i<8;i++)
 154                 fprintf(stderr,"%02X",ctx->iv[i]);
 155         fprintf(stderr,"\n");
 156         }
 157 #endif    /* KSSL_DEBUG */
 158         if (dat->stream.cbc)
 159                 {
 160                 (*dat->stream.cbc)(in,out,inl,&dat->ks,ctx->iv);
 161                 return 1;
 162                 }
 163
 164         while (inl>=EVP_MAXCHUNK)
 165                 {
 166                 DES_ede3_cbc_encrypt(in, out, (long)EVP_MAXCHUNK,
 167                              &dat->ks1, &dat->ks2, &dat->ks3,
 168                              (DES_cblock *)ctx->iv, ctx->encrypt);
 169                 inl-=EVP_MAXCHUNK;
 170                 in +=EVP_MAXCHUNK;
 171                 out+=EVP_MAXCHUNK;
 172                 }
 173         if (inl)
 174                 DES_ede3_cbc_encrypt(in, out, (long)inl,
 175                              &dat->ks1, &dat->ks2, &dat->ks3,
 176                              (DES_cblock *)ctx->iv, ctx->encrypt);
 177         return 1;
 178 }
 179
 180 static int des_ede_cfb64_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 181                               const unsigned char *in, size_t inl)
 182 {
 183         while (inl>=EVP_MAXCHUNK)
 184                 {
 185                 DES_ede3_cfb64_encrypt(in, out, (long)EVP_MAXCHUNK,
 186                                &data(ctx)->ks1, &data(ctx)->ks2, &data(ctx)->ks3,
 187                                (DES_cblock *)ctx->iv, &ctx->num, ctx->encrypt);
 188                 inl-=EVP_MAXCHUNK;
 189                 in +=EVP_MAXCHUNK;
 190                 out+=EVP_MAXCHUNK;
 191                 }
 192         if (inl)
 193                 DES_ede3_cfb64_encrypt(in, out, (long)inl,
 194                                &data(ctx)->ks1, &data(ctx)->ks2, &data(ctx)->ks3,
 195                                (DES_cblock *)ctx->iv, &ctx->num, ctx->encrypt);
 196         return 1;
 197 }
 198
 199 /* Although we have a CFB-r implementation for 3-DES, it doesn't pack the right
 200    way, so wrap it here */
 201 static int des_ede3_cfb1_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 202                                 const unsigned char *in, size_t inl)
 203     {
 204     size_t n;
 205     unsigned char c[1],d[1];
 206
 207     for(n=0 ; n < inl ; ++n)
 208         {
 209         c[0]=(in[n/8]&(1 << (7-n%8))) ? 0x80 : 0;
 210         DES_ede3_cfb_encrypt(c,d,1,1,
 211                              &data(ctx)->ks1,&data(ctx)->ks2,&data(ctx)->ks3,
 212                              (DES_cblock *)ctx->iv,ctx->encrypt);
 213         out[n/8]=(out[n/8]&~(0x80 >> (unsigned int)(n%8))) |
 214                  ((d[0]&0x80) >> (unsigned int)(n%8));
 215         }
 216
 217     return 1;
 218     }
 219
 220 static int des_ede3_cfb8_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 221                                 const unsigned char *in, size_t inl)
 222     {
 223     while (inl>=EVP_MAXCHUNK)
 224         {
 225         DES_ede3_cfb_encrypt(in,out,8,(long)EVP_MAXCHUNK,
 226                          &data(ctx)->ks1,&data(ctx)->ks2,&data(ctx)->ks3,
 227                          (DES_cblock *)ctx->iv,ctx->encrypt);
 228         inl-=EVP_MAXCHUNK;
 229         in +=EVP_MAXCHUNK;
 230         out+=EVP_MAXCHUNK;
 231         }
 232     if (inl)
 233         DES_ede3_cfb_encrypt(in,out,8,(long)inl,
 234                         &data(ctx)->ks1,&data(ctx)->ks2,&data(ctx)->ks3,
 235                         (DES_cblock *)ctx->iv,ctx->encrypt);
 236     return 1;
 237     }
 238
 239 BLOCK_CIPHER_defs(des_ede, DES_EDE_KEY, NID_des_ede, 8, 16, 8, 64,
 240                         EVP_CIPH_RAND_KEY|EVP_CIPH_FLAG_DEFAULT_ASN1,
 241                         des_ede_init_key, NULL, NULL, NULL,
 242                         des3_ctrl)
 243
 244 #define des_ede3_cfb64_cipher des_ede_cfb64_cipher
 245 #define des_ede3_ofb_cipher des_ede_ofb_cipher
 246 #define des_ede3_cbc_cipher des_ede_cbc_cipher
 247 #define des_ede3_ecb_cipher des_ede_ecb_cipher
 248
 249 BLOCK_CIPHER_defs(des_ede3, DES_EDE_KEY, NID_des_ede3, 8, 24, 8, 64,
 250                 EVP_CIPH_RAND_KEY|EVP_CIPH_FLAG_FIPS|EVP_CIPH_FLAG_DEFAULT_ASN1,
 251                   des_ede3_init_key, NULL, NULL, NULL,
 252                   des3_ctrl)
 253
 254 BLOCK_CIPHER_def_cfb(des_ede3,DES_EDE_KEY,NID_des_ede3,24,8,1,
 255                 EVP_CIPH_RAND_KEY|EVP_CIPH_FLAG_FIPS|EVP_CIPH_FLAG_DEFAULT_ASN1,
 256                         des_ede3_init_key, NULL, NULL, NULL,
 257                         des3_ctrl)
 258
 259 BLOCK_CIPHER_def_cfb(des_ede3,DES_EDE_KEY,NID_des_ede3,24,8,8,
 260                 EVP_CIPH_RAND_KEY|EVP_CIPH_FLAG_FIPS|EVP_CIPH_FLAG_DEFAULT_ASN1,
 261                         des_ede3_init_key, NULL, NULL, NULL,
 262                         des3_ctrl)
 263
 264 static int des_ede_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
 265                             const unsigned char *iv, int enc)
 266         {
 267         DES_cblock *deskey = (DES_cblock *)key;
 268         DES_EDE_KEY *dat = data(ctx);
 269
 270         dat->stream.cbc = NULL;
 271 #if defined(SPARC_DES_CAPABLE)
 272         if (SPARC_DES_CAPABLE)
 273                 {
 274                 int mode = ctx->cipher->flags & EVP_CIPH_MODE;
 275
 276                 if (mode == EVP_CIPH_CBC_MODE)
 277                         {
 278                         des_t4_key_expand(&deskey[0],&dat->ks1);
 279                         des_t4_key_expand(&deskey[1],&dat->ks2);
 280                         memcpy(&dat->ks3,&dat->ks1,sizeof(dat->ks1));
 281                         dat->stream.cbc = enc ? des_t4_ede3_cbc_encrypt :
 282                                                 des_t4_ede3_cbc_decrypt;
 283                         return 1;
 284                         }
 285                 }
 286 #endif
 287 #ifdef EVP_CHECK_DES_KEY
 288         if (DES_set_key_checked(&deskey[0],&dat->ks1)
 289                 !! DES_set_key_checked(&deskey[1],&dat->ks2))
 290                 return 0;
 291 #else
 292         DES_set_key_unchecked(&deskey[0],&dat->ks1);
 293         DES_set_key_unchecked(&deskey[1],&dat->ks2);
 294 #endif
 295         memcpy(&dat->ks3,&dat->ks1,
 296                sizeof(dat->ks1));
 297         return 1;
 298         }
 299
 300 static int des_ede3_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
 301                              const unsigned char *iv, int enc)
 302         {
 303         DES_cblock *deskey = (DES_cblock *)key;
 304         DES_EDE_KEY *dat = data(ctx);
 305
 306 #ifdef KSSL_DEBUG
 307         {
 308         int i;
 309         fprintf(stderr,"des_ede3_init_key(ctx=%p)\n", ctx);
 310         fprintf(stderr,"\tKEY= ");
 311         for(i=0;i<24;i++) fprintf(stderr,"%02X",key[i]); fprintf(stderr,"\n");
 312         if (iv)
 313                 {
 314                 fprintf(stderr,"\t IV= ");
 315                 for(i=0;i<8;i++) fprintf(stderr,"%02X",iv[i]); fprintf(stderr,"\n");
 316                 }
 317         }
 318 #endif  /* KSSL_DEBUG */
 319
 320         dat->stream.cbc = NULL;
 321 #if defined(SPARC_DES_CAPABLE)
 322         if (SPARC_DES_CAPABLE)
 323                 {
 324                 int mode = ctx->cipher->flags & EVP_CIPH_MODE;
 325
 326                 if (mode == EVP_CIPH_CBC_MODE)
 327                         {
 328                         des_t4_key_expand(&deskey[0],&dat->ks1);
 329                         des_t4_key_expand(&deskey[1],&dat->ks2);
 330                         des_t4_key_expand(&deskey[2],&dat->ks3);
 331                         dat->stream.cbc = enc ? des_t4_ede3_cbc_encrypt :
 332                                                 des_t4_ede3_cbc_decrypt;
 333                         return 1;
 334                         }
 335                 }
 336 #endif
 337 #ifdef EVP_CHECK_DES_KEY
 338         if (DES_set_key_checked(&deskey[0],&dat->ks1)
 339                 || DES_set_key_checked(&deskey[1],&dat->ks2)
 340                 || DES_set_key_checked(&deskey[2],&dat->ks3))
 341                 return 0;
 342 #else
 343         DES_set_key_unchecked(&deskey[0],&dat->ks1);
 344         DES_set_key_unchecked(&deskey[1],&dat->ks2);
 345         DES_set_key_unchecked(&deskey[2],&dat->ks3);
 346 #endif
 347         return 1;
 348         }
 349
 350 static int des3_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr)
 351         {
 352
 353         DES_cblock *deskey = ptr;
 354
 355         switch(type)
 356                 {
 357         case EVP_CTRL_RAND_KEY:
 358                 if (RAND_bytes(ptr, c->key_len) <= 0)
 359                         return 0;
 360                 DES_set_odd_parity(deskey);
 361                 if (c->key_len >= 16)
 362                         DES_set_odd_parity(deskey + 1);
 363                 if (c->key_len >= 24)
 364                         DES_set_odd_parity(deskey + 2);
 365                 return 1;
 366
 367         default:
 368                 return -1;
 369                 }
 370         }
 371
 372 const EVP_CIPHER *EVP_des_ede(void)
 373 {
 374         return &des_ede_ecb;
 375 }
 376
 377 const EVP_CIPHER *EVP_des_ede3(void)
 378 {
 379         return &des_ede3_ecb;
 380 }
 381
 382 #ifndef OPENSSL_NO_SHA
 383
 384 #include <openssl/sha.h>
 385
 386 static const unsigned char wrap_iv[8] = {0x4a,0xdd,0xa2,0x2c,0x79,0xe8,0x21,0x05};
 387
 388 static int des_ede3_unwrap(EVP_CIPHER_CTX *ctx, unsigned char *out,
 389                                 const unsigned char *in, size_t inl)
 390         {
 391         unsigned char icv[8], iv[8], sha1tmp[SHA_DIGEST_LENGTH];
 392         int rv = -1;
 393         if (inl < 24)
 394                 return -1;
 395         if (!out)
 396                 return inl - 16;
 397         memcpy(ctx->iv, wrap_iv, 8);
 398         /* Decrypt first block which will end up as icv */
 399         des_ede_cbc_cipher(ctx, icv, in, 8);
 400         /* Decrypt central blocks */
 401         /* If decrypting in place move whole output along a block
 402          * so the next des_ede_cbc_cipher is in place.
 403          */
 404         if (out == in)
 405                 {
 406                 memmove(out, out + 8, inl - 8);
 407                 in -= 8;
 408                 }
 409         des_ede_cbc_cipher(ctx, out, in + 8, inl - 16);
 410         /* Decrypt final block which will be IV */
 411         des_ede_cbc_cipher(ctx, iv, in + inl - 8, 8);
 412         /* Reverse order of everything */
 413         BUF_reverse(icv, NULL, 8);
 414         BUF_reverse(out, NULL, inl - 16);
 415         BUF_reverse(ctx->iv, iv, 8);
 416         /* Decrypt again using new IV */
 417         des_ede_cbc_cipher(ctx, out, out, inl - 16);
 418         des_ede_cbc_cipher(ctx, icv, icv, 8);
 419         /* Work out SHA1 hash of first portion */
 420         SHA1(out, inl - 16, sha1tmp);
 421
 422         if (!CRYPTO_memcmp(sha1tmp, icv, 8))
 423                 rv = inl - 16;
 424         OPENSSL_cleanse(icv, 8);
 425         OPENSSL_cleanse(sha1tmp, SHA_DIGEST_LENGTH);
 426         OPENSSL_cleanse(iv, 8);
 427         OPENSSL_cleanse(ctx->iv, 8);
 428         if (rv == -1)
 429                 OPENSSL_cleanse(out, inl - 16);
 430
 431         return rv;
 432         }
 433
 434 static int des_ede3_wrap(EVP_CIPHER_CTX *ctx, unsigned char *out,
 435                                 const unsigned char *in, size_t inl)
 436         {
 437         unsigned char sha1tmp[SHA_DIGEST_LENGTH];
 438         if (!out)
 439                 return inl + 16;
 440         /* Copy input to output buffer + 8 so we have space for IV */
 441         memmove(out + 8, in, inl);
 442         /* Work out ICV */
 443         SHA1(in, inl, sha1tmp);
 444         memcpy(out + inl + 8, sha1tmp, 8);
 445         OPENSSL_cleanse(sha1tmp, SHA_DIGEST_LENGTH);
 446         /* Generate random IV */
 447         RAND_bytes(ctx->iv, 8);
 448         memcpy(out, ctx->iv, 8);
 449         /* Encrypt everything after IV in place */
 450         des_ede_cbc_cipher(ctx, out + 8, out + 8, inl + 8);
 451         BUF_reverse(out, NULL, inl + 16);
 452         memcpy(ctx->iv, wrap_iv, 8);
 453         des_ede_cbc_cipher(ctx, out, out, inl + 16);
 454         return inl + 16;
 455         }
 456
 457 static int des_ede3_wrap_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 458                                 const unsigned char *in, size_t inl)
 459         {
 460         /* Sanity check input length: we typically only wrap keys
 461          * so EVP_MAXCHUNK is more than will ever be needed. Also
 462          * input length must be a multiple of 8 bits.
 463          */
 464         if (inl >= EVP_MAXCHUNK || inl % 8)
 465                 return -1;
 466         if (ctx->encrypt)
 467                 return des_ede3_wrap(ctx, out, in, inl);
 468         else
 469                 return des_ede3_unwrap(ctx, out, in, inl);
 470         }
 471
 472 static const EVP_CIPHER des3_wrap = {
 473         NID_id_smime_alg_CMS3DESwrap,
 474         8, 24, 0,
 475         EVP_CIPH_WRAP_MODE|EVP_CIPH_CUSTOM_IV|EVP_CIPH_FLAG_CUSTOM_CIPHER
 476                 |EVP_CIPH_FLAG_DEFAULT_ASN1,
 477         des_ede3_init_key, des_ede3_wrap_cipher,
 478         NULL,
 479         sizeof(DES_EDE_KEY),
 480         NULL,NULL,NULL,NULL };
 481
 482
 483 const EVP_CIPHER *EVP_des_ede3_wrap(void)
 484         {
 485         return &des3_wrap;
 486         }
 487
 488 # endif
 489 #endif