crypto/rand/rand_lcl.h

   1 /*
   2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
   3  *
   4  * Licensed under the OpenSSL license (the "License").  You may not use
   5  * this file except in compliance with the License.  You can obtain a copy
   6  * in the file LICENSE in the source distribution or at
   7  * https://www.openssl.org/source/license.html
   8  */
   9
  10 #ifndef HEADER_RAND_LCL_H
  11 # define HEADER_RAND_LCL_H
  12
  13 # include <openssl/aes.h>
  14 # include <openssl/evp.h>
  15 # include <openssl/sha.h>
  16 # include <openssl/hmac.h>
  17 # include <openssl/ec.h>
  18 # include "internal/rand.h"
  19
  20 /*
  21  * Amount of randomness (in bytes) we want for initial seeding.
  22  * This is based on the fact that we use AES-128 as the CRBG, and
  23  * that we use the derivation function.  If either of those changes,
  24  * (see rand_init() in rand_lib.c), change this.
  25  */
  26 # define RANDOMNESS_NEEDED              16
  27
  28 /* How many times to read the TSC as a randomness source. */
  29 # define TSC_READ_COUNT                 4
  30
  31 /* Maximum amount of randomness to hold in RAND_BYTES_BUFFER. */
  32 # define MAX_RANDOMNESS_HELD            (4 * RANDOMNESS_NEEDED)
  33
  34 /* Maximum count allowed in reseeding */
  35 # define MAX_RESEED                     (1 << 24)
  36
  37 /* How often we call RAND_poll() in drbg_entropy_from_system */
  38 # define RAND_POLL_RETRIES 8
  39
  40 /* Max size of entropy, addin, etc. Larger than any reasonable value */
  41 # define DRBG_MAX_LENGTH                0x7ffffff0
  42
  43
  44 /* DRBG status values */
  45 typedef enum drbg_status_e {
  46     DRBG_UNINITIALISED,
  47     DRBG_READY,
  48     DRBG_RESEED,
  49     DRBG_ERROR
  50 } DRBG_STATUS;
  51
  52
  53 /*
  54  * A buffer of random bytes to be fed as "entropy" into the DRBG.  RAND_add()
  55  * adds data to the buffer, and the drbg_entropy_from_system() pulls data from
  56  * the buffer. We have a separate data structure because of the way the
  57  * API is defined; otherwise we'd run into deadlocks (RAND_bytes ->
  58  * RAND_DRBG_generate* -> drbg_entropy_from_system -> RAND_poll -> RAND_add ->
  59  * drbg_add*; the functions with an asterisk lock).
  60  */
  61 typedef struct rand_bytes_buffer_st {
  62     CRYPTO_RWLOCK *lock;
  63     unsigned char *buff;
  64     size_t size;
  65     size_t curr;
  66     int secure;
  67 } RAND_BYTES_BUFFER;
  68
  69 /*
  70  * The state of a DRBG AES-CTR.
  71  */
  72 typedef struct rand_drbg_ctr_st {
  73     AES_KEY ks;
  74     size_t keylen;
  75     unsigned char K[32];
  76     unsigned char V[16];
  77     /* Temp variables used by derivation function */
  78     AES_KEY df_ks;
  79     AES_KEY df_kxks;
  80     /* Temporary block storage used by ctr_df */
  81     unsigned char bltmp[16];
  82     size_t bltmp_pos;
  83     unsigned char KX[48];
  84 } RAND_DRBG_CTR;
  85
  86
  87 /*
  88  * The state of all types of DRBGs, even though we only have CTR mode
  89  * right now.
  90  */
  91 struct rand_drbg_st {
  92     CRYPTO_RWLOCK *lock;
  93     RAND_DRBG *parent;
  94     int nid; /* the underlying algorithm */
  95     int fork_count;
  96     unsigned short flags; /* various external flags */
  97     char filled;
  98     char secure;
  99     /*
 100      * This is a fixed-size buffer, but we malloc to make it a little
 101      * harder to find; a classic security/performance trade-off.
 102      */
 103     int size;
 104     unsigned char *randomness;
 105
 106     /* These parameters are setup by the per-type "init" function. */
 107     int strength;
 108     size_t max_request;
 109     size_t min_entropy, max_entropy;
 110     size_t min_nonce, max_nonce;
 111     size_t max_pers, max_adin;
 112     unsigned int reseed_counter;
 113     unsigned int reseed_interval;
 114     size_t seedlen;
 115     DRBG_STATUS state;
 116
 117     /* Application data, mainly used in the KATs. */
 118     CRYPTO_EX_DATA ex_data;
 119
 120     /* Implementation specific structures; was a union, but inline for now */
 121     RAND_DRBG_CTR ctr;
 122
 123     /* Callback functions.  See comments in rand_lib.c */
 124     RAND_DRBG_get_entropy_fn get_entropy;
 125     RAND_DRBG_cleanup_entropy_fn cleanup_entropy;
 126     RAND_DRBG_get_nonce_fn get_nonce;
 127     RAND_DRBG_cleanup_nonce_fn cleanup_nonce;
 128 };
 129
 130 /* The global RAND method, and the global buffer and DRBG instance. */
 131 extern RAND_METHOD rand_meth;
 132 extern RAND_BYTES_BUFFER rand_bytes;
 133 extern RAND_DRBG rand_drbg;
 134 extern RAND_DRBG priv_drbg;
 135
 136 /* How often we've forked (only incremented in child). */
 137 extern int rand_fork_count;
 138
 139 /* Hardware-based seeding functions. */
 140 void rand_read_tsc(RAND_poll_fn cb, void *arg);
 141 int rand_read_cpu(RAND_poll_fn cb, void *arg);
 142
 143 /* DRBG entropy callbacks. */
 144 void drbg_release_entropy(RAND_DRBG *drbg, unsigned char *out);
 145 size_t drbg_entropy_from_parent(RAND_DRBG *drbg,
 146                                 unsigned char **pout,
 147                                 int entropy, size_t min_len, size_t max_len);
 148 size_t drbg_entropy_from_system(RAND_DRBG *drbg,
 149                                 unsigned char **pout,
 150                                 int entropy, size_t min_len, size_t max_len);
 151
 152 /* DRBG functions implementing AES-CTR */
 153 int ctr_init(RAND_DRBG *drbg);
 154 int ctr_uninstantiate(RAND_DRBG *drbg);
 155 int ctr_instantiate(RAND_DRBG *drbg,
 156                     const unsigned char *ent, size_t entlen,
 157                     const unsigned char *nonce, size_t noncelen,
 158                     const unsigned char *pers, size_t perslen);
 159 int ctr_reseed(RAND_DRBG *drbg,
 160                const unsigned char *ent, size_t entlen,
 161                const unsigned char *adin, size_t adinlen);
 162 int ctr_generate(RAND_DRBG *drbg,
 163                  unsigned char *out, size_t outlen,
 164                  const unsigned char *adin, size_t adinlen);
 165
 166 #endif