f6d7e87f12d2028d6b96f7a53de90652ec42b7b9
[openssl.git] / crypto / evp / evp_enc.c
1 /*
2  * Copyright 1995-2020 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the Apache License 2.0 (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdio.h>
11 #include <assert.h>
12 #include "internal/cryptlib.h"
13 #include <openssl/evp.h>
14 #include <openssl/err.h>
15 #include <openssl/rand.h>
16 #include <openssl/rand_drbg.h>
17 #include <openssl/engine.h>
18 #include <openssl/params.h>
19 #include <openssl/core_names.h>
20 #include "crypto/evp.h"
21 #include "internal/provider.h"
22 #include "evp_local.h"
23
24 int EVP_CIPHER_CTX_reset(EVP_CIPHER_CTX *ctx)
25 {
26     if (ctx == NULL)
27         return 1;
28
29     if (ctx->cipher == NULL || ctx->cipher->prov == NULL)
30         goto legacy;
31
32     if (ctx->provctx != NULL) {
33         if (ctx->cipher->freectx != NULL)
34             ctx->cipher->freectx(ctx->provctx);
35         ctx->provctx = NULL;
36     }
37     if (ctx->fetched_cipher != NULL)
38         EVP_CIPHER_free(ctx->fetched_cipher);
39     memset(ctx, 0, sizeof(*ctx));
40
41     return 1;
42
43     /* TODO(3.0): Remove legacy code below */
44  legacy:
45
46     if (ctx->cipher != NULL) {
47         if (ctx->cipher->cleanup && !ctx->cipher->cleanup(ctx))
48             return 0;
49         /* Cleanse cipher context data */
50         if (ctx->cipher_data && ctx->cipher->ctx_size)
51             OPENSSL_cleanse(ctx->cipher_data, ctx->cipher->ctx_size);
52     }
53     OPENSSL_free(ctx->cipher_data);
54 #if !defined(OPENSSL_NO_ENGINE) && !defined(FIPS_MODE)
55     ENGINE_finish(ctx->engine);
56 #endif
57     memset(ctx, 0, sizeof(*ctx));
58     return 1;
59 }
60
61 EVP_CIPHER_CTX *EVP_CIPHER_CTX_new(void)
62 {
63     return OPENSSL_zalloc(sizeof(EVP_CIPHER_CTX));
64 }
65
66 void EVP_CIPHER_CTX_free(EVP_CIPHER_CTX *ctx)
67 {
68     EVP_CIPHER_CTX_reset(ctx);
69     OPENSSL_free(ctx);
70 }
71
72 int EVP_CipherInit(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,
73                    const unsigned char *key, const unsigned char *iv, int enc)
74 {
75     if (cipher != NULL)
76         EVP_CIPHER_CTX_reset(ctx);
77     return EVP_CipherInit_ex(ctx, cipher, NULL, key, iv, enc);
78 }
79
80 int EVP_CipherInit_ex(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,
81                       ENGINE *impl, const unsigned char *key,
82                       const unsigned char *iv, int enc)
83 {
84 #if !defined(OPENSSL_NO_ENGINE) && !defined(FIPS_MODE)
85     ENGINE *tmpimpl = NULL;
86 #endif
87     const EVP_CIPHER *tmpcipher;
88
89     /*
90      * enc == 1 means we are encrypting.
91      * enc == 0 means we are decrypting.
92      * enc == -1 means, use the previously initialised value for encrypt/decrypt
93      */
94     if (enc == -1) {
95         enc = ctx->encrypt;
96     } else {
97         if (enc)
98             enc = 1;
99         ctx->encrypt = enc;
100     }
101
102     if (cipher == NULL && ctx->cipher == NULL) {
103         EVPerr(EVP_F_EVP_CIPHERINIT_EX, EVP_R_NO_CIPHER_SET);
104         return 0;
105     }
106
107     /* TODO(3.0): Legacy work around code below. Remove this */
108
109 #if !defined(OPENSSL_NO_ENGINE) && !defined(FIPS_MODE)
110     /*
111      * Whether it's nice or not, "Inits" can be used on "Final"'d contexts so
112      * this context may already have an ENGINE! Try to avoid releasing the
113      * previous handle, re-querying for an ENGINE, and having a
114      * reinitialisation, when it may all be unnecessary.
115      */
116     if (ctx->engine && ctx->cipher
117         && (cipher == NULL || cipher->nid == ctx->cipher->nid))
118         goto skip_to_init;
119
120     if (cipher != NULL && impl == NULL) {
121          /* Ask if an ENGINE is reserved for this job */
122         tmpimpl = ENGINE_get_cipher_engine(cipher->nid);
123     }
124 #endif
125
126     /*
127      * If there are engines involved then we should use legacy handling for now.
128      */
129     if (ctx->engine != NULL
130 #if !defined(OPENSSL_NO_ENGINE) && !defined(FIPS_MODE)
131             || tmpimpl != NULL
132 #endif
133             || impl != NULL) {
134         if (ctx->cipher == ctx->fetched_cipher)
135             ctx->cipher = NULL;
136         EVP_CIPHER_free(ctx->fetched_cipher);
137         ctx->fetched_cipher = NULL;
138         goto legacy;
139     }
140
141     tmpcipher = (cipher == NULL) ? ctx->cipher : cipher;
142
143     if (tmpcipher->prov == NULL) {
144         switch(tmpcipher->nid) {
145         case NID_undef:
146         case NID_aes_256_ecb:
147         case NID_aes_192_ecb:
148         case NID_aes_128_ecb:
149         case NID_aes_256_cbc:
150         case NID_aes_192_cbc:
151         case NID_aes_128_cbc:
152         case NID_aes_256_ofb128:
153         case NID_aes_192_ofb128:
154         case NID_aes_128_ofb128:
155         case NID_aes_256_cfb128:
156         case NID_aes_192_cfb128:
157         case NID_aes_128_cfb128:
158         case NID_aes_256_cfb1:
159         case NID_aes_192_cfb1:
160         case NID_aes_128_cfb1:
161         case NID_aes_256_cfb8:
162         case NID_aes_192_cfb8:
163         case NID_aes_128_cfb8:
164         case NID_aes_256_ctr:
165         case NID_aes_192_ctr:
166         case NID_aes_128_ctr:
167         case NID_aes_128_xts:
168         case NID_aes_256_xts:
169         case NID_aes_256_ocb:
170         case NID_aes_192_ocb:
171         case NID_aes_128_ocb:
172         case NID_aes_256_gcm:
173         case NID_aes_192_gcm:
174         case NID_aes_128_gcm:
175         case NID_aes_256_siv:
176         case NID_aes_192_siv:
177         case NID_aes_128_siv:
178         case NID_aes_256_cbc_hmac_sha256:
179         case NID_aes_128_cbc_hmac_sha256:
180         case NID_aes_256_cbc_hmac_sha1:
181         case NID_aes_128_cbc_hmac_sha1:
182         case NID_id_aes256_wrap:
183         case NID_id_aes256_wrap_pad:
184         case NID_id_aes192_wrap:
185         case NID_id_aes192_wrap_pad:
186         case NID_id_aes128_wrap:
187         case NID_id_aes128_wrap_pad:
188         case NID_aria_256_gcm:
189         case NID_aria_192_gcm:
190         case NID_aria_128_gcm:
191         case NID_aes_256_ccm:
192         case NID_aes_192_ccm:
193         case NID_aes_128_ccm:
194         case NID_aria_256_ccm:
195         case NID_aria_192_ccm:
196         case NID_aria_128_ccm:
197         case NID_aria_256_ecb:
198         case NID_aria_192_ecb:
199         case NID_aria_128_ecb:
200         case NID_aria_256_cbc:
201         case NID_aria_192_cbc:
202         case NID_aria_128_cbc:
203         case NID_aria_256_ofb128:
204         case NID_aria_192_ofb128:
205         case NID_aria_128_ofb128:
206         case NID_aria_256_cfb128:
207         case NID_aria_192_cfb128:
208         case NID_aria_128_cfb128:
209         case NID_aria_256_cfb1:
210         case NID_aria_192_cfb1:
211         case NID_aria_128_cfb1:
212         case NID_aria_256_cfb8:
213         case NID_aria_192_cfb8:
214         case NID_aria_128_cfb8:
215         case NID_aria_256_ctr:
216         case NID_aria_192_ctr:
217         case NID_aria_128_ctr:
218         case NID_camellia_256_ecb:
219         case NID_camellia_192_ecb:
220         case NID_camellia_128_ecb:
221         case NID_camellia_256_cbc:
222         case NID_camellia_192_cbc:
223         case NID_camellia_128_cbc:
224         case NID_camellia_256_ofb128:
225         case NID_camellia_192_ofb128:
226         case NID_camellia_128_ofb128:
227         case NID_camellia_256_cfb128:
228         case NID_camellia_192_cfb128:
229         case NID_camellia_128_cfb128:
230         case NID_camellia_256_cfb1:
231         case NID_camellia_192_cfb1:
232         case NID_camellia_128_cfb1:
233         case NID_camellia_256_cfb8:
234         case NID_camellia_192_cfb8:
235         case NID_camellia_128_cfb8:
236         case NID_camellia_256_ctr:
237         case NID_camellia_192_ctr:
238         case NID_camellia_128_ctr:
239         case NID_des_ede3_cbc:
240         case NID_des_ede3_ecb:
241         case NID_des_ede3_ofb64:
242         case NID_des_ede3_cfb64:
243         case NID_des_ede3_cfb8:
244         case NID_des_ede3_cfb1:
245         case NID_des_ede_cbc:
246         case NID_des_ede_ecb:
247         case NID_des_ede_ofb64:
248         case NID_des_ede_cfb64:
249         case NID_desx_cbc:
250         case NID_des_cbc:
251         case NID_des_ecb:
252         case NID_des_cfb1:
253         case NID_des_cfb8:
254         case NID_des_cfb64:
255         case NID_des_ofb64:
256         case NID_id_smime_alg_CMS3DESwrap:
257         case NID_bf_cbc:
258         case NID_bf_ecb:
259         case NID_bf_cfb64:
260         case NID_bf_ofb64:
261         case NID_idea_cbc:
262         case NID_idea_ecb:
263         case NID_idea_cfb64:
264         case NID_idea_ofb64:
265         case NID_cast5_cbc:
266         case NID_cast5_ecb:
267         case NID_cast5_cfb64:
268         case NID_cast5_ofb64:
269         case NID_seed_cbc:
270         case NID_seed_ecb:
271         case NID_seed_cfb128:
272         case NID_seed_ofb128:
273         case NID_sm4_cbc:
274         case NID_sm4_ecb:
275         case NID_sm4_ctr:
276         case NID_sm4_cfb128:
277         case NID_sm4_ofb128:
278         case NID_rc4:
279         case NID_rc4_40:
280         case NID_rc5_cbc:
281         case NID_rc5_ecb:
282         case NID_rc5_cfb64:
283         case NID_rc5_ofb64:
284         case NID_rc2_cbc:
285         case NID_rc2_40_cbc:
286         case NID_rc2_64_cbc:
287         case NID_rc2_cfb64:
288         case NID_rc2_ofb64:
289         case NID_chacha20:
290         case NID_chacha20_poly1305:
291         case NID_rc4_hmac_md5:
292             break;
293         default:
294             goto legacy;
295         }
296     }
297
298     /*
299      * Ensure a context left lying around from last time is cleared
300      * (legacy code)
301      */
302     if (cipher != NULL && ctx->cipher != NULL) {
303         OPENSSL_clear_free(ctx->cipher_data, ctx->cipher->ctx_size);
304         ctx->cipher_data = NULL;
305     }
306
307
308     /* TODO(3.0): Start of non-legacy code below */
309
310     /* Ensure a context left lying around from last time is cleared */
311     if (cipher != NULL && ctx->cipher != NULL) {
312         unsigned long flags = ctx->flags;
313
314         EVP_CIPHER_CTX_reset(ctx);
315         /* Restore encrypt and flags */
316         ctx->encrypt = enc;
317         ctx->flags = flags;
318     }
319
320     if (cipher == NULL)
321         cipher = ctx->cipher;
322
323     if (cipher->prov == NULL) {
324 #ifdef FIPS_MODE
325         /* We only do explicit fetches inside the FIPS module */
326         EVPerr(EVP_F_EVP_CIPHERINIT_EX, EVP_R_INITIALIZATION_ERROR);
327         return 0;
328 #else
329         EVP_CIPHER *provciph =
330             EVP_CIPHER_fetch(NULL,
331                              cipher->nid == NID_undef ? "NULL"
332                                                       : OBJ_nid2sn(cipher->nid),
333                              "");
334
335         if (provciph == NULL) {
336             EVPerr(EVP_F_EVP_CIPHERINIT_EX, EVP_R_INITIALIZATION_ERROR);
337             return 0;
338         }
339         cipher = provciph;
340         EVP_CIPHER_free(ctx->fetched_cipher);
341         ctx->fetched_cipher = provciph;
342 #endif
343     }
344
345     ctx->cipher = cipher;
346     if (ctx->provctx == NULL) {
347         ctx->provctx = ctx->cipher->newctx(ossl_provider_ctx(cipher->prov));
348         if (ctx->provctx == NULL) {
349             EVPerr(EVP_F_EVP_CIPHERINIT_EX, EVP_R_INITIALIZATION_ERROR);
350             return 0;
351         }
352     }
353
354     if ((ctx->flags & EVP_CIPH_NO_PADDING) != 0) {
355         /*
356          * If this ctx was already set up for no padding then we need to tell
357          * the new cipher about it.
358          */
359         if (!EVP_CIPHER_CTX_set_padding(ctx, 0))
360             return 0;
361     }
362
363     if (enc) {
364         if (ctx->cipher->einit == NULL) {
365             EVPerr(EVP_F_EVP_CIPHERINIT_EX, EVP_R_INITIALIZATION_ERROR);
366             return 0;
367         }
368
369         return ctx->cipher->einit(ctx->provctx,
370                                   key,
371                                   key == NULL ? 0
372                                               : EVP_CIPHER_CTX_key_length(ctx),
373                                   iv,
374                                   iv == NULL ? 0
375                                              : EVP_CIPHER_CTX_iv_length(ctx));
376     }
377
378     if (ctx->cipher->dinit == NULL) {
379         EVPerr(EVP_F_EVP_CIPHERINIT_EX, EVP_R_INITIALIZATION_ERROR);
380         return 0;
381     }
382
383     return ctx->cipher->dinit(ctx->provctx,
384                               key,
385                               key == NULL ? 0
386                                           : EVP_CIPHER_CTX_key_length(ctx),
387                               iv,
388                               iv == NULL ? 0
389                                          : EVP_CIPHER_CTX_iv_length(ctx));
390
391     /* TODO(3.0): Remove legacy code below */
392  legacy:
393
394     if (cipher != NULL) {
395         /*
396          * Ensure a context left lying around from last time is cleared (we
397          * previously attempted to avoid this if the same ENGINE and
398          * EVP_CIPHER could be used).
399          */
400         if (ctx->cipher) {
401             unsigned long flags = ctx->flags;
402             EVP_CIPHER_CTX_reset(ctx);
403             /* Restore encrypt and flags */
404             ctx->encrypt = enc;
405             ctx->flags = flags;
406         }
407 #if !defined(OPENSSL_NO_ENGINE) && !defined(FIPS_MODE)
408         if (impl != NULL) {
409             if (!ENGINE_init(impl)) {
410                 EVPerr(EVP_F_EVP_CIPHERINIT_EX, EVP_R_INITIALIZATION_ERROR);
411                 return 0;
412             }
413         } else {
414             impl = tmpimpl;
415         }
416         if (impl != NULL) {
417             /* There's an ENGINE for this job ... (apparently) */
418             const EVP_CIPHER *c = ENGINE_get_cipher(impl, cipher->nid);
419
420             if (c == NULL) {
421                 /*
422                  * One positive side-effect of US's export control history,
423                  * is that we should at least be able to avoid using US
424                  * misspellings of "initialisation"?
425                  */
426                 EVPerr(EVP_F_EVP_CIPHERINIT_EX, EVP_R_INITIALIZATION_ERROR);
427                 return 0;
428             }
429             /* We'll use the ENGINE's private cipher definition */
430             cipher = c;
431             /*
432              * Store the ENGINE functional reference so we know 'cipher' came
433              * from an ENGINE and we need to release it when done.
434              */
435             ctx->engine = impl;
436         } else {
437             ctx->engine = NULL;
438         }
439 #endif
440
441         ctx->cipher = cipher;
442         if (ctx->cipher->ctx_size) {
443             ctx->cipher_data = OPENSSL_zalloc(ctx->cipher->ctx_size);
444             if (ctx->cipher_data == NULL) {
445                 ctx->cipher = NULL;
446                 EVPerr(EVP_F_EVP_CIPHERINIT_EX, ERR_R_MALLOC_FAILURE);
447                 return 0;
448             }
449         } else {
450             ctx->cipher_data = NULL;
451         }
452         ctx->key_len = cipher->key_len;
453         /* Preserve wrap enable flag, zero everything else */
454         ctx->flags &= EVP_CIPHER_CTX_FLAG_WRAP_ALLOW;
455         if (ctx->cipher->flags & EVP_CIPH_CTRL_INIT) {
456             if (!EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_INIT, 0, NULL)) {
457                 ctx->cipher = NULL;
458                 EVPerr(EVP_F_EVP_CIPHERINIT_EX, EVP_R_INITIALIZATION_ERROR);
459                 return 0;
460             }
461         }
462     }
463 #if !defined(OPENSSL_NO_ENGINE) && !defined(FIPS_MODE)
464  skip_to_init:
465 #endif
466     if (ctx->cipher == NULL)
467         return 0;
468
469     /* we assume block size is a power of 2 in *cryptUpdate */
470     OPENSSL_assert(ctx->cipher->block_size == 1
471                    || ctx->cipher->block_size == 8
472                    || ctx->cipher->block_size == 16);
473
474     if (!(ctx->flags & EVP_CIPHER_CTX_FLAG_WRAP_ALLOW)
475         && EVP_CIPHER_CTX_mode(ctx) == EVP_CIPH_WRAP_MODE) {
476         EVPerr(EVP_F_EVP_CIPHERINIT_EX, EVP_R_WRAP_MODE_NOT_ALLOWED);
477         return 0;
478     }
479
480     if (!(EVP_CIPHER_flags(EVP_CIPHER_CTX_cipher(ctx)) & EVP_CIPH_CUSTOM_IV)) {
481         switch (EVP_CIPHER_CTX_mode(ctx)) {
482
483         case EVP_CIPH_STREAM_CIPHER:
484         case EVP_CIPH_ECB_MODE:
485             break;
486
487         case EVP_CIPH_CFB_MODE:
488         case EVP_CIPH_OFB_MODE:
489
490             ctx->num = 0;
491             /* fall-through */
492
493         case EVP_CIPH_CBC_MODE:
494
495             OPENSSL_assert(EVP_CIPHER_CTX_iv_length(ctx) <=
496                            (int)sizeof(ctx->iv));
497             if (iv)
498                 memcpy(ctx->oiv, iv, EVP_CIPHER_CTX_iv_length(ctx));
499             memcpy(ctx->iv, ctx->oiv, EVP_CIPHER_CTX_iv_length(ctx));
500             break;
501
502         case EVP_CIPH_CTR_MODE:
503             ctx->num = 0;
504             /* Don't reuse IV for CTR mode */
505             if (iv)
506                 memcpy(ctx->iv, iv, EVP_CIPHER_CTX_iv_length(ctx));
507             break;
508
509         default:
510             return 0;
511         }
512     }
513
514     if (key || (ctx->cipher->flags & EVP_CIPH_ALWAYS_CALL_INIT)) {
515         if (!ctx->cipher->init(ctx, key, iv, enc))
516             return 0;
517     }
518     ctx->buf_len = 0;
519     ctx->final_used = 0;
520     ctx->block_mask = ctx->cipher->block_size - 1;
521     return 1;
522 }
523
524 int EVP_CipherUpdate(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl,
525                      const unsigned char *in, int inl)
526 {
527     if (ctx->encrypt)
528         return EVP_EncryptUpdate(ctx, out, outl, in, inl);
529     else
530         return EVP_DecryptUpdate(ctx, out, outl, in, inl);
531 }
532
533 int EVP_CipherFinal_ex(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl)
534 {
535     if (ctx->encrypt)
536         return EVP_EncryptFinal_ex(ctx, out, outl);
537     else
538         return EVP_DecryptFinal_ex(ctx, out, outl);
539 }
540
541 int EVP_CipherFinal(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl)
542 {
543     if (ctx->encrypt)
544         return EVP_EncryptFinal(ctx, out, outl);
545     else
546         return EVP_DecryptFinal(ctx, out, outl);
547 }
548
549 int EVP_EncryptInit(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,
550                     const unsigned char *key, const unsigned char *iv)
551 {
552     return EVP_CipherInit(ctx, cipher, key, iv, 1);
553 }
554
555 int EVP_EncryptInit_ex(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,
556                        ENGINE *impl, const unsigned char *key,
557                        const unsigned char *iv)
558 {
559     return EVP_CipherInit_ex(ctx, cipher, impl, key, iv, 1);
560 }
561
562 int EVP_DecryptInit(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,
563                     const unsigned char *key, const unsigned char *iv)
564 {
565     return EVP_CipherInit(ctx, cipher, key, iv, 0);
566 }
567
568 int EVP_DecryptInit_ex(EVP_CIPHER_CTX *ctx, const EVP_CIPHER *cipher,
569                        ENGINE *impl, const unsigned char *key,
570                        const unsigned char *iv)
571 {
572     return EVP_CipherInit_ex(ctx, cipher, impl, key, iv, 0);
573 }
574
575 /*
576  * According to the letter of standard difference between pointers
577  * is specified to be valid only within same object. This makes
578  * it formally challenging to determine if input and output buffers
579  * are not partially overlapping with standard pointer arithmetic.
580  */
581 #ifdef PTRDIFF_T
582 # undef PTRDIFF_T
583 #endif
584 #if defined(OPENSSL_SYS_VMS) && __INITIAL_POINTER_SIZE==64
585 /*
586  * Then we have VMS that distinguishes itself by adhering to
587  * sizeof(size_t)==4 even in 64-bit builds, which means that
588  * difference between two pointers might be truncated to 32 bits.
589  * In the context one can even wonder how comparison for
590  * equality is implemented. To be on the safe side we adhere to
591  * PTRDIFF_T even for comparison for equality.
592  */
593 # define PTRDIFF_T uint64_t
594 #else
595 # define PTRDIFF_T size_t
596 #endif
597
598 int is_partially_overlapping(const void *ptr1, const void *ptr2, int len)
599 {
600     PTRDIFF_T diff = (PTRDIFF_T)ptr1-(PTRDIFF_T)ptr2;
601     /*
602      * Check for partially overlapping buffers. [Binary logical
603      * operations are used instead of boolean to minimize number
604      * of conditional branches.]
605      */
606     int overlapped = (len > 0) & (diff != 0) & ((diff < (PTRDIFF_T)len) |
607                                                 (diff > (0 - (PTRDIFF_T)len)));
608
609     return overlapped;
610 }
611
612 static int evp_EncryptDecryptUpdate(EVP_CIPHER_CTX *ctx,
613                                     unsigned char *out, int *outl,
614                                     const unsigned char *in, int inl)
615 {
616     int i, j, bl, cmpl = inl;
617
618     if (EVP_CIPHER_CTX_test_flags(ctx, EVP_CIPH_FLAG_LENGTH_BITS))
619         cmpl = (cmpl + 7) / 8;
620
621     bl = ctx->cipher->block_size;
622
623     if (ctx->cipher->flags & EVP_CIPH_FLAG_CUSTOM_CIPHER) {
624         /* If block size > 1 then the cipher will have to do this check */
625         if (bl == 1 && is_partially_overlapping(out, in, cmpl)) {
626             EVPerr(EVP_F_EVP_ENCRYPTDECRYPTUPDATE, EVP_R_PARTIALLY_OVERLAPPING);
627             return 0;
628         }
629
630         i = ctx->cipher->do_cipher(ctx, out, in, inl);
631         if (i < 0)
632             return 0;
633         else
634             *outl = i;
635         return 1;
636     }
637
638     if (inl <= 0) {
639         *outl = 0;
640         return inl == 0;
641     }
642     if (is_partially_overlapping(out + ctx->buf_len, in, cmpl)) {
643         EVPerr(EVP_F_EVP_ENCRYPTDECRYPTUPDATE, EVP_R_PARTIALLY_OVERLAPPING);
644         return 0;
645     }
646
647     if (ctx->buf_len == 0 && (inl & (ctx->block_mask)) == 0) {
648         if (ctx->cipher->do_cipher(ctx, out, in, inl)) {
649             *outl = inl;
650             return 1;
651         } else {
652             *outl = 0;
653             return 0;
654         }
655     }
656     i = ctx->buf_len;
657     OPENSSL_assert(bl <= (int)sizeof(ctx->buf));
658     if (i != 0) {
659         if (bl - i > inl) {
660             memcpy(&(ctx->buf[i]), in, inl);
661             ctx->buf_len += inl;
662             *outl = 0;
663             return 1;
664         } else {
665             j = bl - i;
666             memcpy(&(ctx->buf[i]), in, j);
667             inl -= j;
668             in += j;
669             if (!ctx->cipher->do_cipher(ctx, out, ctx->buf, bl))
670                 return 0;
671             out += bl;
672             *outl = bl;
673         }
674     } else
675         *outl = 0;
676     i = inl & (bl - 1);
677     inl -= i;
678     if (inl > 0) {
679         if (!ctx->cipher->do_cipher(ctx, out, in, inl))
680             return 0;
681         *outl += inl;
682     }
683
684     if (i != 0)
685         memcpy(ctx->buf, &(in[inl]), i);
686     ctx->buf_len = i;
687     return 1;
688 }
689
690
691 int EVP_EncryptUpdate(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl,
692                       const unsigned char *in, int inl)
693 {
694     int ret;
695     size_t soutl;
696     int blocksize;
697
698     /* Prevent accidental use of decryption context when encrypting */
699     if (!ctx->encrypt) {
700         EVPerr(EVP_F_EVP_ENCRYPTUPDATE, EVP_R_INVALID_OPERATION);
701         return 0;
702     }
703
704     if (ctx->cipher == NULL) {
705         EVPerr(EVP_F_EVP_ENCRYPTUPDATE, EVP_R_NO_CIPHER_SET);
706         return 0;
707     }
708
709     if (ctx->cipher->prov == NULL)
710         goto legacy;
711
712     blocksize = EVP_CIPHER_CTX_block_size(ctx);
713
714     if (ctx->cipher->cupdate == NULL  || blocksize < 1) {
715         EVPerr(EVP_F_EVP_ENCRYPTUPDATE, EVP_R_UPDATE_ERROR);
716         return 0;
717     }
718     ret = ctx->cipher->cupdate(ctx->provctx, out, &soutl,
719                                inl + (blocksize == 1 ? 0 : blocksize), in,
720                                (size_t)inl);
721
722     if (ret) {
723         if (soutl > INT_MAX) {
724             EVPerr(EVP_F_EVP_ENCRYPTUPDATE, EVP_R_UPDATE_ERROR);
725             return 0;
726         }
727         *outl = soutl;
728     }
729
730     return ret;
731
732     /* TODO(3.0): Remove legacy code below */
733  legacy:
734
735     return evp_EncryptDecryptUpdate(ctx, out, outl, in, inl);
736 }
737
738 int EVP_EncryptFinal(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl)
739 {
740     int ret;
741     ret = EVP_EncryptFinal_ex(ctx, out, outl);
742     return ret;
743 }
744
745 int EVP_EncryptFinal_ex(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl)
746 {
747     int n, ret;
748     unsigned int i, b, bl;
749     size_t soutl;
750     int blocksize;
751
752     /* Prevent accidental use of decryption context when encrypting */
753     if (!ctx->encrypt) {
754         EVPerr(EVP_F_EVP_ENCRYPTFINAL_EX, EVP_R_INVALID_OPERATION);
755         return 0;
756     }
757
758     if (ctx->cipher == NULL) {
759         EVPerr(EVP_F_EVP_ENCRYPTFINAL_EX, EVP_R_NO_CIPHER_SET);
760         return 0;
761     }
762     if (ctx->cipher->prov == NULL)
763         goto legacy;
764
765     blocksize = EVP_CIPHER_CTX_block_size(ctx);
766
767     if (blocksize < 1 || ctx->cipher->cfinal == NULL) {
768         EVPerr(EVP_F_EVP_ENCRYPTFINAL_EX, EVP_R_FINAL_ERROR);
769         return 0;
770     }
771
772     ret = ctx->cipher->cfinal(ctx->provctx, out, &soutl,
773                               blocksize == 1 ? 0 : blocksize);
774
775     if (ret) {
776         if (soutl > INT_MAX) {
777             EVPerr(EVP_F_EVP_ENCRYPTFINAL_EX, EVP_R_FINAL_ERROR);
778             return 0;
779         }
780         *outl = soutl;
781     }
782
783     return ret;
784
785     /* TODO(3.0): Remove legacy code below */
786  legacy:
787
788     if (ctx->cipher->flags & EVP_CIPH_FLAG_CUSTOM_CIPHER) {
789         ret = ctx->cipher->do_cipher(ctx, out, NULL, 0);
790         if (ret < 0)
791             return 0;
792         else
793             *outl = ret;
794         return 1;
795     }
796
797     b = ctx->cipher->block_size;
798     OPENSSL_assert(b <= sizeof(ctx->buf));
799     if (b == 1) {
800         *outl = 0;
801         return 1;
802     }
803     bl = ctx->buf_len;
804     if (ctx->flags & EVP_CIPH_NO_PADDING) {
805         if (bl) {
806             EVPerr(EVP_F_EVP_ENCRYPTFINAL_EX,
807                    EVP_R_DATA_NOT_MULTIPLE_OF_BLOCK_LENGTH);
808             return 0;
809         }
810         *outl = 0;
811         return 1;
812     }
813
814     n = b - bl;
815     for (i = bl; i < b; i++)
816         ctx->buf[i] = n;
817     ret = ctx->cipher->do_cipher(ctx, out, ctx->buf, b);
818
819     if (ret)
820         *outl = b;
821
822     return ret;
823 }
824
825 int EVP_DecryptUpdate(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl,
826                       const unsigned char *in, int inl)
827 {
828     int fix_len, cmpl = inl, ret;
829     unsigned int b;
830     size_t soutl;
831     int blocksize;
832
833     /* Prevent accidental use of encryption context when decrypting */
834     if (ctx->encrypt) {
835         EVPerr(EVP_F_EVP_DECRYPTUPDATE, EVP_R_INVALID_OPERATION);
836         return 0;
837     }
838
839     if (ctx->cipher == NULL) {
840         EVPerr(EVP_F_EVP_DECRYPTUPDATE, EVP_R_NO_CIPHER_SET);
841         return 0;
842     }
843     if (ctx->cipher->prov == NULL)
844         goto legacy;
845
846     blocksize = EVP_CIPHER_CTX_block_size(ctx);
847
848     if (ctx->cipher->cupdate == NULL || blocksize < 1) {
849         EVPerr(EVP_F_EVP_DECRYPTUPDATE, EVP_R_UPDATE_ERROR);
850         return 0;
851     }
852     ret = ctx->cipher->cupdate(ctx->provctx, out, &soutl,
853                                inl + (blocksize == 1 ? 0 : blocksize), in,
854                                (size_t)inl);
855
856     if (ret) {
857         if (soutl > INT_MAX) {
858             EVPerr(EVP_F_EVP_DECRYPTUPDATE, EVP_R_UPDATE_ERROR);
859             return 0;
860         }
861         *outl = soutl;
862     }
863
864     return ret;
865
866     /* TODO(3.0): Remove legacy code below */
867  legacy:
868
869     b = ctx->cipher->block_size;
870
871     if (EVP_CIPHER_CTX_test_flags(ctx, EVP_CIPH_FLAG_LENGTH_BITS))
872         cmpl = (cmpl + 7) / 8;
873
874     if (ctx->cipher->flags & EVP_CIPH_FLAG_CUSTOM_CIPHER) {
875         if (b == 1 && is_partially_overlapping(out, in, cmpl)) {
876             EVPerr(EVP_F_EVP_DECRYPTUPDATE, EVP_R_PARTIALLY_OVERLAPPING);
877             return 0;
878         }
879
880         fix_len = ctx->cipher->do_cipher(ctx, out, in, inl);
881         if (fix_len < 0) {
882             *outl = 0;
883             return 0;
884         } else
885             *outl = fix_len;
886         return 1;
887     }
888
889     if (inl <= 0) {
890         *outl = 0;
891         return inl == 0;
892     }
893
894     if (ctx->flags & EVP_CIPH_NO_PADDING)
895         return evp_EncryptDecryptUpdate(ctx, out, outl, in, inl);
896
897     OPENSSL_assert(b <= sizeof(ctx->final));
898
899     if (ctx->final_used) {
900         /* see comment about PTRDIFF_T comparison above */
901         if (((PTRDIFF_T)out == (PTRDIFF_T)in)
902             || is_partially_overlapping(out, in, b)) {
903             EVPerr(EVP_F_EVP_DECRYPTUPDATE, EVP_R_PARTIALLY_OVERLAPPING);
904             return 0;
905         }
906         memcpy(out, ctx->final, b);
907         out += b;
908         fix_len = 1;
909     } else
910         fix_len = 0;
911
912     if (!evp_EncryptDecryptUpdate(ctx, out, outl, in, inl))
913         return 0;
914
915     /*
916      * if we have 'decrypted' a multiple of block size, make sure we have a
917      * copy of this last block
918      */
919     if (b > 1 && !ctx->buf_len) {
920         *outl -= b;
921         ctx->final_used = 1;
922         memcpy(ctx->final, &out[*outl], b);
923     } else
924         ctx->final_used = 0;
925
926     if (fix_len)
927         *outl += b;
928
929     return 1;
930 }
931
932 int EVP_DecryptFinal(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl)
933 {
934     int ret;
935     ret = EVP_DecryptFinal_ex(ctx, out, outl);
936     return ret;
937 }
938
939 int EVP_DecryptFinal_ex(EVP_CIPHER_CTX *ctx, unsigned char *out, int *outl)
940 {
941     int i, n;
942     unsigned int b;
943     size_t soutl;
944     int ret;
945     int blocksize;
946
947     /* Prevent accidental use of encryption context when decrypting */
948     if (ctx->encrypt) {
949         EVPerr(EVP_F_EVP_DECRYPTFINAL_EX, EVP_R_INVALID_OPERATION);
950         return 0;
951     }
952
953     if (ctx->cipher == NULL) {
954         EVPerr(EVP_F_EVP_DECRYPTFINAL_EX, EVP_R_NO_CIPHER_SET);
955         return 0;
956     }
957
958     if (ctx->cipher->prov == NULL)
959         goto legacy;
960
961     blocksize = EVP_CIPHER_CTX_block_size(ctx);
962
963     if (blocksize < 1 || ctx->cipher->cfinal == NULL) {
964         EVPerr(EVP_F_EVP_DECRYPTFINAL_EX, EVP_R_FINAL_ERROR);
965         return 0;
966     }
967
968     ret = ctx->cipher->cfinal(ctx->provctx, out, &soutl,
969                               blocksize == 1 ? 0 : blocksize);
970
971     if (ret) {
972         if (soutl > INT_MAX) {
973             EVPerr(EVP_F_EVP_DECRYPTFINAL_EX, EVP_R_FINAL_ERROR);
974             return 0;
975         }
976         *outl = soutl;
977     }
978
979     return ret;
980
981     /* TODO(3.0): Remove legacy code below */
982  legacy:
983
984     *outl = 0;
985     if (ctx->cipher->flags & EVP_CIPH_FLAG_CUSTOM_CIPHER) {
986         i = ctx->cipher->do_cipher(ctx, out, NULL, 0);
987         if (i < 0)
988             return 0;
989         else
990             *outl = i;
991         return 1;
992     }
993
994     b = ctx->cipher->block_size;
995     if (ctx->flags & EVP_CIPH_NO_PADDING) {
996         if (ctx->buf_len) {
997             EVPerr(EVP_F_EVP_DECRYPTFINAL_EX,
998                    EVP_R_DATA_NOT_MULTIPLE_OF_BLOCK_LENGTH);
999             return 0;
1000         }
1001         *outl = 0;
1002         return 1;
1003     }
1004     if (b > 1) {
1005         if (ctx->buf_len || !ctx->final_used) {
1006             EVPerr(EVP_F_EVP_DECRYPTFINAL_EX, EVP_R_WRONG_FINAL_BLOCK_LENGTH);
1007             return 0;
1008         }
1009         OPENSSL_assert(b <= sizeof(ctx->final));
1010
1011         /*
1012          * The following assumes that the ciphertext has been authenticated.
1013          * Otherwise it provides a padding oracle.
1014          */
1015         n = ctx->final[b - 1];
1016         if (n == 0 || n > (int)b) {
1017             EVPerr(EVP_F_EVP_DECRYPTFINAL_EX, EVP_R_BAD_DECRYPT);
1018             return 0;
1019         }
1020         for (i = 0; i < n; i++) {
1021             if (ctx->final[--b] != n) {
1022                 EVPerr(EVP_F_EVP_DECRYPTFINAL_EX, EVP_R_BAD_DECRYPT);
1023                 return 0;
1024             }
1025         }
1026         n = ctx->cipher->block_size - n;
1027         for (i = 0; i < n; i++)
1028             out[i] = ctx->final[i];
1029         *outl = n;
1030     } else
1031         *outl = 0;
1032     return 1;
1033 }
1034
1035 int EVP_CIPHER_CTX_set_key_length(EVP_CIPHER_CTX *c, int keylen)
1036 {
1037     if (c->cipher->prov != NULL) {
1038         int ok;
1039         OSSL_PARAM params[2] = { OSSL_PARAM_END, OSSL_PARAM_END };
1040         size_t len = keylen;
1041
1042         if (EVP_CIPHER_CTX_key_length(c) == keylen)
1043             return 1;
1044
1045         /* Check the cipher actually understands this parameter */
1046         if (OSSL_PARAM_locate_const(EVP_CIPHER_settable_ctx_params(c->cipher),
1047                                     OSSL_CIPHER_PARAM_KEYLEN) == NULL)
1048             return 0;
1049
1050         params[0] = OSSL_PARAM_construct_size_t(OSSL_CIPHER_PARAM_KEYLEN, &len);
1051         ok = evp_do_ciph_ctx_setparams(c->cipher, c->provctx, params);
1052
1053         return ok > 0 ? 1 : 0;
1054     }
1055
1056     /* TODO(3.0) legacy code follows */
1057
1058     /*
1059      * Note there have never been any built-in ciphers that define this flag
1060      * since it was first introduced.
1061      */
1062     if (c->cipher->flags & EVP_CIPH_CUSTOM_KEY_LENGTH)
1063         return EVP_CIPHER_CTX_ctrl(c, EVP_CTRL_SET_KEY_LENGTH, keylen, NULL);
1064     if (EVP_CIPHER_CTX_key_length(c) == keylen)
1065         return 1;
1066     if ((keylen > 0) && (c->cipher->flags & EVP_CIPH_VARIABLE_LENGTH)) {
1067         c->key_len = keylen;
1068         return 1;
1069     }
1070     EVPerr(EVP_F_EVP_CIPHER_CTX_SET_KEY_LENGTH, EVP_R_INVALID_KEY_LENGTH);
1071     return 0;
1072 }
1073
1074 int EVP_CIPHER_CTX_set_padding(EVP_CIPHER_CTX *ctx, int pad)
1075 {
1076     int ok;
1077     OSSL_PARAM params[2] = { OSSL_PARAM_END, OSSL_PARAM_END };
1078     unsigned int pd = pad;
1079
1080     if (pad)
1081         ctx->flags &= ~EVP_CIPH_NO_PADDING;
1082     else
1083         ctx->flags |= EVP_CIPH_NO_PADDING;
1084
1085     params[0] = OSSL_PARAM_construct_uint(OSSL_CIPHER_PARAM_PADDING, &pd);
1086     ok = evp_do_ciph_ctx_setparams(ctx->cipher, ctx->provctx, params);
1087
1088     return ok != 0;
1089 }
1090
1091 int EVP_CIPHER_CTX_ctrl(EVP_CIPHER_CTX *ctx, int type, int arg, void *ptr)
1092 {
1093     int ret = EVP_CTRL_RET_UNSUPPORTED;
1094     int set_params = 1;
1095     size_t sz = arg;
1096     unsigned int i;
1097     OSSL_PARAM params[4] = {
1098         OSSL_PARAM_END, OSSL_PARAM_END, OSSL_PARAM_END, OSSL_PARAM_END
1099     };
1100
1101     if (ctx == NULL || ctx->cipher == NULL) {
1102         EVPerr(EVP_F_EVP_CIPHER_CTX_CTRL, EVP_R_NO_CIPHER_SET);
1103         return 0;
1104     }
1105
1106     if (ctx->cipher->prov == NULL)
1107         goto legacy;
1108
1109     switch (type) {
1110     case EVP_CTRL_SET_KEY_LENGTH:
1111         params[0] = OSSL_PARAM_construct_size_t(OSSL_CIPHER_PARAM_KEYLEN, &sz);
1112         break;
1113     case EVP_CTRL_RAND_KEY:      /* Used by DES */
1114         set_params = 0;
1115         params[0] =
1116             OSSL_PARAM_construct_octet_string(OSSL_CIPHER_PARAM_RANDOM_KEY,
1117                                               ptr, sz);
1118         break;
1119
1120     case EVP_CTRL_INIT:
1121         /*
1122          * TODO(3.0) EVP_CTRL_INIT is purely legacy, no provider counterpart
1123          * As a matter of fact, this should be dead code, but some caller
1124          * might still do a direct control call with this command, so...
1125          * Legacy methods return 1 except for exceptional circumstances, so
1126          * we do the same here to not be disruptive.
1127          */
1128         return 1;
1129     case EVP_CTRL_SET_PIPELINE_OUTPUT_BUFS: /* Used by DASYNC */
1130     default:
1131         goto end;
1132     case EVP_CTRL_GET_IV:
1133         set_params = 0;
1134         params[0] = OSSL_PARAM_construct_octet_string(OSSL_CIPHER_PARAM_IV,
1135                                                       ptr, sz);
1136         break;
1137     case EVP_CTRL_AEAD_SET_IVLEN:
1138         if (arg < 0)
1139             return 0;
1140         params[0] = OSSL_PARAM_construct_size_t(OSSL_CIPHER_PARAM_IVLEN, &sz);
1141         break;
1142     case EVP_CTRL_AEAD_SET_IV_FIXED:
1143         params[0] = OSSL_PARAM_construct_octet_string(
1144                         OSSL_CIPHER_PARAM_AEAD_TLS1_IV_FIXED, ptr, sz);
1145         break;
1146     case EVP_CTRL_GCM_IV_GEN:
1147         set_params = 0;
1148         if (arg < 0)
1149             sz = 0; /* special case that uses the iv length */
1150         params[0] = OSSL_PARAM_construct_octet_string(
1151                         OSSL_CIPHER_PARAM_AEAD_TLS1_GET_IV_GEN, ptr, sz);
1152         break;
1153     case EVP_CTRL_GCM_SET_IV_INV:
1154         if (arg < 0)
1155             return 0;
1156         params[0] = OSSL_PARAM_construct_octet_string(
1157                         OSSL_CIPHER_PARAM_AEAD_TLS1_SET_IV_INV, ptr, sz);
1158         break;
1159     case EVP_CTRL_GET_RC5_ROUNDS:
1160         set_params = 0; /* Fall thru */
1161     case EVP_CTRL_SET_RC5_ROUNDS:
1162         if (arg < 0)
1163             return 0;
1164         i = (unsigned int)arg;
1165         params[0] = OSSL_PARAM_construct_uint(OSSL_CIPHER_PARAM_ROUNDS, &i);
1166         break;
1167     case EVP_CTRL_SET_SPEED:
1168         if (arg < 0)
1169             return 0;
1170         i = (unsigned int)arg;
1171         params[0] = OSSL_PARAM_construct_uint(OSSL_CIPHER_PARAM_SPEED, &i);
1172         break;
1173     case EVP_CTRL_AEAD_GET_TAG:
1174         set_params = 0; /* Fall thru */
1175     case EVP_CTRL_AEAD_SET_TAG:
1176         params[0] = OSSL_PARAM_construct_octet_string(OSSL_CIPHER_PARAM_AEAD_TAG,
1177                                                       ptr, sz);
1178         break;
1179     case EVP_CTRL_AEAD_TLS1_AAD:
1180         /* This one does a set and a get - since it returns a size */
1181         params[0] =
1182             OSSL_PARAM_construct_octet_string(OSSL_CIPHER_PARAM_AEAD_TLS1_AAD,
1183                                               ptr, sz);
1184         ret = evp_do_ciph_ctx_setparams(ctx->cipher, ctx->provctx, params);
1185         if (ret <= 0)
1186             goto end;
1187         params[0] =
1188             OSSL_PARAM_construct_size_t(OSSL_CIPHER_PARAM_AEAD_TLS1_AAD_PAD, &sz);
1189         ret = evp_do_ciph_ctx_getparams(ctx->cipher, ctx->provctx, params);
1190         if (ret <= 0)
1191             goto end;
1192         return sz;
1193 #ifndef OPENSSL_NO_RC2
1194     case EVP_CTRL_GET_RC2_KEY_BITS:
1195         set_params = 0; /* Fall thru */
1196     case EVP_CTRL_SET_RC2_KEY_BITS:
1197         params[0] = OSSL_PARAM_construct_size_t(OSSL_CIPHER_PARAM_RC2_KEYBITS, &sz);
1198         break;
1199 #endif /* OPENSSL_NO_RC2 */
1200 #if !defined(OPENSSL_NO_MULTIBLOCK)
1201     case EVP_CTRL_TLS1_1_MULTIBLOCK_MAX_BUFSIZE:
1202         params[0] = OSSL_PARAM_construct_size_t(
1203                 OSSL_CIPHER_PARAM_TLS1_MULTIBLOCK_MAX_SEND_FRAGMENT, &sz);
1204         ret = evp_do_ciph_ctx_setparams(ctx->cipher, ctx->provctx, params);
1205         if (ret <= 0)
1206             return 0;
1207
1208         params[0] = OSSL_PARAM_construct_size_t(
1209                 OSSL_CIPHER_PARAM_TLS1_MULTIBLOCK_MAX_BUFSIZE, &sz);
1210         params[1] = OSSL_PARAM_construct_end();
1211         ret = evp_do_ciph_ctx_getparams(ctx->cipher, ctx->provctx, params);
1212         if (ret <= 0)
1213             return 0;
1214         return sz;
1215     case EVP_CTRL_TLS1_1_MULTIBLOCK_AAD: {
1216         EVP_CTRL_TLS1_1_MULTIBLOCK_PARAM *p =
1217             (EVP_CTRL_TLS1_1_MULTIBLOCK_PARAM *)ptr;
1218
1219         if (arg < (int)sizeof(EVP_CTRL_TLS1_1_MULTIBLOCK_PARAM))
1220             return 0;
1221
1222         params[0] = OSSL_PARAM_construct_octet_string(
1223                 OSSL_CIPHER_PARAM_TLS1_MULTIBLOCK_AAD, (void*)p->inp, p->len);
1224         params[1] = OSSL_PARAM_construct_uint(
1225                 OSSL_CIPHER_PARAM_TLS1_MULTIBLOCK_INTERLEAVE, &p->interleave);
1226         ret = evp_do_ciph_ctx_setparams(ctx->cipher, ctx->provctx, params);
1227         if (ret <= 0)
1228             return ret;
1229         /* Retrieve the return values changed by the set */
1230         params[0] = OSSL_PARAM_construct_size_t(
1231                 OSSL_CIPHER_PARAM_TLS1_MULTIBLOCK_AAD_PACKLEN, &sz);
1232         params[1] = OSSL_PARAM_construct_uint(
1233                 OSSL_CIPHER_PARAM_TLS1_MULTIBLOCK_INTERLEAVE, &p->interleave);
1234         params[2] = OSSL_PARAM_construct_end();
1235         ret = evp_do_ciph_ctx_getparams(ctx->cipher, ctx->provctx, params);
1236         if (ret <= 0)
1237             return 0;
1238         return sz;
1239     }
1240     case EVP_CTRL_TLS1_1_MULTIBLOCK_ENCRYPT: {
1241         EVP_CTRL_TLS1_1_MULTIBLOCK_PARAM *p =
1242             (EVP_CTRL_TLS1_1_MULTIBLOCK_PARAM *)ptr;
1243
1244         params[0] = OSSL_PARAM_construct_octet_string(
1245                         OSSL_CIPHER_PARAM_TLS1_MULTIBLOCK_ENC, p->out, p->len);
1246
1247         params[1] = OSSL_PARAM_construct_octet_string(
1248                 OSSL_CIPHER_PARAM_TLS1_MULTIBLOCK_ENC_IN, (void*)p->inp,
1249                 p->len);
1250         params[2] = OSSL_PARAM_construct_uint(
1251                 OSSL_CIPHER_PARAM_TLS1_MULTIBLOCK_INTERLEAVE, &p->interleave);
1252         ret = evp_do_ciph_ctx_setparams(ctx->cipher, ctx->provctx, params);
1253         if (ret <= 0)
1254             return ret;
1255         params[0] = OSSL_PARAM_construct_size_t(
1256                         OSSL_CIPHER_PARAM_TLS1_MULTIBLOCK_ENC_LEN, &sz);
1257         params[1] = OSSL_PARAM_construct_end();
1258         ret = evp_do_ciph_ctx_getparams(ctx->cipher, ctx->provctx, params);
1259         if (ret <= 0)
1260             return 0;
1261         return sz;
1262     }
1263 #endif /* OPENSSL_NO_MULTIBLOCK */
1264     case EVP_CTRL_AEAD_SET_MAC_KEY:
1265         if (arg < 0)
1266             return -1;
1267         params[0] = OSSL_PARAM_construct_octet_string(
1268                 OSSL_CIPHER_PARAM_AEAD_MAC_KEY, ptr, sz);
1269         break;
1270     }
1271
1272     if (set_params)
1273         ret = evp_do_ciph_ctx_setparams(ctx->cipher, ctx->provctx, params);
1274     else
1275         ret = evp_do_ciph_ctx_getparams(ctx->cipher, ctx->provctx, params);
1276     goto end;
1277
1278 /* TODO(3.0): Remove legacy code below */
1279 legacy:
1280     if (ctx->cipher->ctrl == NULL) {
1281         EVPerr(EVP_F_EVP_CIPHER_CTX_CTRL, EVP_R_CTRL_NOT_IMPLEMENTED);
1282         return 0;
1283     }
1284
1285     ret = ctx->cipher->ctrl(ctx, type, arg, ptr);
1286
1287  end:
1288     if (ret == EVP_CTRL_RET_UNSUPPORTED) {
1289         EVPerr(EVP_F_EVP_CIPHER_CTX_CTRL,
1290                EVP_R_CTRL_OPERATION_NOT_IMPLEMENTED);
1291         return 0;
1292     }
1293     return ret;
1294 }
1295
1296 int EVP_CIPHER_get_params(EVP_CIPHER *cipher, OSSL_PARAM params[])
1297 {
1298     if (cipher != NULL && cipher->get_params != NULL)
1299         return cipher->get_params(params);
1300     return 0;
1301 }
1302
1303 int EVP_CIPHER_CTX_set_params(EVP_CIPHER_CTX *ctx, const OSSL_PARAM params[])
1304 {
1305     if (ctx->cipher != NULL && ctx->cipher->set_ctx_params != NULL)
1306         return ctx->cipher->set_ctx_params(ctx->provctx, params);
1307     return 0;
1308 }
1309
1310 int EVP_CIPHER_CTX_get_params(EVP_CIPHER_CTX *ctx, OSSL_PARAM params[])
1311 {
1312     if (ctx->cipher != NULL && ctx->cipher->get_ctx_params != NULL)
1313         return ctx->cipher->get_ctx_params(ctx->provctx, params);
1314     return 0;
1315 }
1316
1317 const OSSL_PARAM *EVP_CIPHER_gettable_params(const EVP_CIPHER *cipher)
1318 {
1319     if (cipher != NULL && cipher->gettable_params != NULL)
1320         return cipher->gettable_params();
1321     return NULL;
1322 }
1323
1324 const OSSL_PARAM *EVP_CIPHER_settable_ctx_params(const EVP_CIPHER *cipher)
1325 {
1326     if (cipher != NULL && cipher->settable_ctx_params != NULL)
1327         return cipher->settable_ctx_params();
1328     return NULL;
1329 }
1330
1331 const OSSL_PARAM *EVP_CIPHER_gettable_ctx_params(const EVP_CIPHER *cipher)
1332 {
1333     if (cipher != NULL && cipher->gettable_ctx_params != NULL)
1334         return cipher->gettable_ctx_params();
1335     return NULL;
1336 }
1337
1338 int EVP_CIPHER_CTX_rand_key(EVP_CIPHER_CTX *ctx, unsigned char *key)
1339 {
1340     if (ctx->cipher->flags & EVP_CIPH_RAND_KEY)
1341         return EVP_CIPHER_CTX_ctrl(ctx, EVP_CTRL_RAND_KEY, 0, key);
1342
1343 #ifdef FIPS_MODE
1344     return 0;
1345 #else
1346     {
1347         int kl;
1348
1349         kl = EVP_CIPHER_CTX_key_length(ctx);
1350         if (kl <= 0 || RAND_priv_bytes(key, kl) <= 0)
1351             return 0;
1352         return 1;
1353     }
1354 #endif /* FIPS_MODE */
1355 }
1356
1357 int EVP_CIPHER_CTX_copy(EVP_CIPHER_CTX *out, const EVP_CIPHER_CTX *in)
1358 {
1359     if ((in == NULL) || (in->cipher == NULL)) {
1360         EVPerr(EVP_F_EVP_CIPHER_CTX_COPY, EVP_R_INPUT_NOT_INITIALIZED);
1361         return 0;
1362     }
1363
1364     if (in->cipher->prov == NULL)
1365         goto legacy;
1366
1367     if (in->cipher->dupctx == NULL) {
1368         EVPerr(EVP_F_EVP_CIPHER_CTX_COPY, EVP_R_NOT_ABLE_TO_COPY_CTX);
1369         return 0;
1370     }
1371
1372     EVP_CIPHER_CTX_reset(out);
1373
1374     *out = *in;
1375     out->provctx = NULL;
1376
1377     if (in->fetched_cipher != NULL && !EVP_CIPHER_up_ref(in->fetched_cipher)) {
1378         out->fetched_cipher = NULL;
1379         return 0;
1380     }
1381
1382     out->provctx = in->cipher->dupctx(in->provctx);
1383     if (out->provctx == NULL) {
1384         EVPerr(EVP_F_EVP_CIPHER_CTX_COPY, EVP_R_NOT_ABLE_TO_COPY_CTX);
1385         return 0;
1386     }
1387
1388     return 1;
1389
1390     /* TODO(3.0): Remove legacy code below */
1391  legacy:
1392
1393 #if !defined(OPENSSL_NO_ENGINE) && !defined(FIPS_MODE)
1394     /* Make sure it's safe to copy a cipher context using an ENGINE */
1395     if (in->engine && !ENGINE_init(in->engine)) {
1396         EVPerr(EVP_F_EVP_CIPHER_CTX_COPY, ERR_R_ENGINE_LIB);
1397         return 0;
1398     }
1399 #endif
1400
1401     EVP_CIPHER_CTX_reset(out);
1402     memcpy(out, in, sizeof(*out));
1403
1404     if (in->cipher_data && in->cipher->ctx_size) {
1405         out->cipher_data = OPENSSL_malloc(in->cipher->ctx_size);
1406         if (out->cipher_data == NULL) {
1407             out->cipher = NULL;
1408             EVPerr(EVP_F_EVP_CIPHER_CTX_COPY, ERR_R_MALLOC_FAILURE);
1409             return 0;
1410         }
1411         memcpy(out->cipher_data, in->cipher_data, in->cipher->ctx_size);
1412     }
1413
1414     if (in->cipher->flags & EVP_CIPH_CUSTOM_COPY)
1415         if (!in->cipher->ctrl((EVP_CIPHER_CTX *)in, EVP_CTRL_COPY, 0, out)) {
1416             out->cipher = NULL;
1417             EVPerr(EVP_F_EVP_CIPHER_CTX_COPY, EVP_R_INITIALIZATION_ERROR);
1418             return 0;
1419         }
1420     return 1;
1421 }
1422
1423 EVP_CIPHER *evp_cipher_new(void)
1424 {
1425     EVP_CIPHER *cipher = OPENSSL_zalloc(sizeof(EVP_CIPHER));
1426
1427     if (cipher != NULL) {
1428         cipher->lock = CRYPTO_THREAD_lock_new();
1429         if (cipher->lock == NULL) {
1430             OPENSSL_free(cipher);
1431             return NULL;
1432         }
1433         cipher->refcnt = 1;
1434     }
1435     return cipher;
1436 }
1437
1438 /*
1439  * FIPS module note: since internal fetches will be entirely
1440  * provider based, we know that none of its code depends on legacy
1441  * NIDs or any functionality that use them.
1442  */
1443 #ifndef FIPS_MODE
1444 /* TODO(3.x) get rid of the need for legacy NIDs */
1445 static void set_legacy_nid(const char *name, void *vlegacy_nid)
1446 {
1447     int nid;
1448     int *legacy_nid = vlegacy_nid;
1449     /*
1450      * We use lowest level function to get the associated method, because
1451      * higher level functions such as EVP_get_cipherbyname() have changed
1452      * to look at providers too.
1453      */
1454     const void *legacy_method = OBJ_NAME_get(name, OBJ_NAME_TYPE_CIPHER_METH);
1455
1456     if (*legacy_nid == -1)       /* We found a clash already */
1457         return;
1458     if (legacy_method == NULL)
1459         return;
1460     nid = EVP_CIPHER_nid(legacy_method);
1461     if (*legacy_nid != NID_undef && *legacy_nid != nid) {
1462         *legacy_nid = -1;
1463         return;
1464     }
1465     *legacy_nid = nid;
1466 }
1467 #endif
1468
1469 static void *evp_cipher_from_dispatch(const int name_id,
1470                                       const OSSL_DISPATCH *fns,
1471                                       OSSL_PROVIDER *prov)
1472 {
1473     EVP_CIPHER *cipher = NULL;
1474     int fnciphcnt = 0, fnctxcnt = 0;
1475
1476     if ((cipher = evp_cipher_new()) == NULL) {
1477         EVPerr(0, ERR_R_MALLOC_FAILURE);
1478         return NULL;
1479     }
1480
1481 #ifndef FIPS_MODE
1482     /* TODO(3.x) get rid of the need for legacy NIDs */
1483     cipher->nid = NID_undef;
1484     evp_names_do_all(prov, name_id, set_legacy_nid, &cipher->nid);
1485     if (cipher->nid == -1) {
1486         ERR_raise(ERR_LIB_EVP, ERR_R_INTERNAL_ERROR);
1487         EVP_CIPHER_free(cipher);
1488         return NULL;
1489     }
1490 #endif
1491
1492     cipher->name_id = name_id;
1493
1494     for (; fns->function_id != 0; fns++) {
1495         switch (fns->function_id) {
1496         case OSSL_FUNC_CIPHER_NEWCTX:
1497             if (cipher->newctx != NULL)
1498                 break;
1499             cipher->newctx = OSSL_get_OP_cipher_newctx(fns);
1500             fnctxcnt++;
1501             break;
1502         case OSSL_FUNC_CIPHER_ENCRYPT_INIT:
1503             if (cipher->einit != NULL)
1504                 break;
1505             cipher->einit = OSSL_get_OP_cipher_encrypt_init(fns);
1506             fnciphcnt++;
1507             break;
1508         case OSSL_FUNC_CIPHER_DECRYPT_INIT:
1509             if (cipher->dinit != NULL)
1510                 break;
1511             cipher->dinit = OSSL_get_OP_cipher_decrypt_init(fns);
1512             fnciphcnt++;
1513             break;
1514         case OSSL_FUNC_CIPHER_UPDATE:
1515             if (cipher->cupdate != NULL)
1516                 break;
1517             cipher->cupdate = OSSL_get_OP_cipher_update(fns);
1518             fnciphcnt++;
1519             break;
1520         case OSSL_FUNC_CIPHER_FINAL:
1521             if (cipher->cfinal != NULL)
1522                 break;
1523             cipher->cfinal = OSSL_get_OP_cipher_final(fns);
1524             fnciphcnt++;
1525             break;
1526         case OSSL_FUNC_CIPHER_CIPHER:
1527             if (cipher->ccipher != NULL)
1528                 break;
1529             cipher->ccipher = OSSL_get_OP_cipher_cipher(fns);
1530             break;
1531         case OSSL_FUNC_CIPHER_FREECTX:
1532             if (cipher->freectx != NULL)
1533                 break;
1534             cipher->freectx = OSSL_get_OP_cipher_freectx(fns);
1535             fnctxcnt++;
1536             break;
1537         case OSSL_FUNC_CIPHER_DUPCTX:
1538             if (cipher->dupctx != NULL)
1539                 break;
1540             cipher->dupctx = OSSL_get_OP_cipher_dupctx(fns);
1541             break;
1542         case OSSL_FUNC_CIPHER_GET_PARAMS:
1543             if (cipher->get_params != NULL)
1544                 break;
1545             cipher->get_params = OSSL_get_OP_cipher_get_params(fns);
1546             break;
1547         case OSSL_FUNC_CIPHER_GET_CTX_PARAMS:
1548             if (cipher->get_ctx_params != NULL)
1549                 break;
1550             cipher->get_ctx_params = OSSL_get_OP_cipher_get_ctx_params(fns);
1551             break;
1552         case OSSL_FUNC_CIPHER_SET_CTX_PARAMS:
1553             if (cipher->set_ctx_params != NULL)
1554                 break;
1555             cipher->set_ctx_params = OSSL_get_OP_cipher_set_ctx_params(fns);
1556             break;
1557         case OSSL_FUNC_CIPHER_GETTABLE_PARAMS:
1558             if (cipher->gettable_params != NULL)
1559                 break;
1560             cipher->gettable_params = OSSL_get_OP_cipher_gettable_params(fns);
1561             break;
1562         case OSSL_FUNC_CIPHER_GETTABLE_CTX_PARAMS:
1563             if (cipher->gettable_ctx_params != NULL)
1564                 break;
1565             cipher->gettable_ctx_params =
1566                 OSSL_get_OP_cipher_gettable_ctx_params(fns);
1567             break;
1568         case OSSL_FUNC_CIPHER_SETTABLE_CTX_PARAMS:
1569             if (cipher->settable_ctx_params != NULL)
1570                 break;
1571             cipher->settable_ctx_params =
1572                 OSSL_get_OP_cipher_settable_ctx_params(fns);
1573             break;
1574         }
1575     }
1576     if ((fnciphcnt != 0 && fnciphcnt != 3 && fnciphcnt != 4)
1577             || (fnciphcnt == 0 && cipher->ccipher == NULL)
1578             || fnctxcnt != 2) {
1579         /*
1580          * In order to be a consistent set of functions we must have at least
1581          * a complete set of "encrypt" functions, or a complete set of "decrypt"
1582          * functions, or a single "cipher" function. In all cases we need both
1583          * the "newctx" and "freectx" functions.
1584          */
1585         EVP_CIPHER_free(cipher);
1586         EVPerr(EVP_F_EVP_CIPHER_FROM_DISPATCH, EVP_R_INVALID_PROVIDER_FUNCTIONS);
1587         return NULL;
1588     }
1589     cipher->prov = prov;
1590     if (prov != NULL)
1591         ossl_provider_up_ref(prov);
1592
1593     return cipher;
1594 }
1595
1596 static int evp_cipher_up_ref(void *cipher)
1597 {
1598     return EVP_CIPHER_up_ref(cipher);
1599 }
1600
1601 static void evp_cipher_free(void *cipher)
1602 {
1603     EVP_CIPHER_free(cipher);
1604 }
1605
1606 EVP_CIPHER *EVP_CIPHER_fetch(OPENSSL_CTX *ctx, const char *algorithm,
1607                              const char *properties)
1608 {
1609     EVP_CIPHER *cipher =
1610         evp_generic_fetch(ctx, OSSL_OP_CIPHER, algorithm, properties,
1611                           evp_cipher_from_dispatch, evp_cipher_up_ref,
1612                           evp_cipher_free);
1613
1614     if (cipher != NULL && !evp_cipher_cache_constants(cipher)) {
1615         EVP_CIPHER_free(cipher);
1616         cipher = NULL;
1617     }
1618     return cipher;
1619 }
1620
1621 int EVP_CIPHER_up_ref(EVP_CIPHER *cipher)
1622 {
1623     int ref = 0;
1624
1625     CRYPTO_UP_REF(&cipher->refcnt, &ref, cipher->lock);
1626     return 1;
1627 }
1628
1629 void EVP_CIPHER_free(EVP_CIPHER *cipher)
1630 {
1631     int i;
1632
1633     if (cipher == NULL)
1634         return;
1635
1636     CRYPTO_DOWN_REF(&cipher->refcnt, &i, cipher->lock);
1637     if (i > 0)
1638         return;
1639     ossl_provider_free(cipher->prov);
1640     CRYPTO_THREAD_lock_free(cipher->lock);
1641     OPENSSL_free(cipher);
1642 }
1643
1644 void EVP_CIPHER_do_all_provided(OPENSSL_CTX *libctx,
1645                                 void (*fn)(EVP_CIPHER *mac, void *arg),
1646                                 void *arg)
1647 {
1648     evp_generic_do_all(libctx, OSSL_OP_CIPHER,
1649                        (void (*)(void *, void *))fn, arg,
1650                        evp_cipher_from_dispatch, evp_cipher_free);
1651 }