crypto/rand/rand_lib.c

   1 /*
   2  * Copyright 1995-2018 The OpenSSL Project Authors. All Rights Reserved.
   3  *
   4  * Licensed under the OpenSSL license (the "License").  You may not use
   5  * this file except in compliance with the License.  You can obtain a copy
   6  * in the file LICENSE in the source distribution or at
   7  * https://www.openssl.org/source/license.html
   8  */
   9
  10 #include <stdio.h>
  11 #include <time.h>
  12 #include "internal/cryptlib.h"
  13 #include <openssl/opensslconf.h>
  14 #include "internal/rand_int.h"
  15 #include <openssl/engine.h>
  16 #include "internal/thread_once.h"
  17 #include "rand_lcl.h"
  18 #ifdef OPENSSL_SYS_UNIX
  19 # include <sys/types.h>
  20 # include <unistd.h>
  21 # include <sys/time.h>
  22 #endif
  23 #include "e_os.h"
  24
  25 /* Macro to convert two thirty two bit values into a sixty four bit one */
  26 #define TWO32TO64(a, b) ((((uint64_t)(a)) << 32) + (b))
  27
  28 /*
  29  * Check for the existence and support of POSIX timers.  The standard
  30  * says that the _POSIX_TIMERS macro will have a positive value if they
  31  * are available.
  32  *
  33  * However, we want an additional constraint: that the timer support does
  34  * not require an extra library dependency.  Early versions of glibc
  35  * require -lrt to be specified on the link line to access the timers,
  36  * so this needs to be checked for.
  37  *
  38  * It is worse because some libraries define __GLIBC__ but don't
  39  * support the version testing macro (e.g. uClibc).  This means
  40  * an extra check is needed.
  41  *
  42  * The final condition is:
  43  *      "have posix timers and either not glibc or glibc without -lrt"
  44  *
  45  * The nested #if sequences are required to avoid using a parameterised
  46  * macro that might be undefined.
  47  */
  48 #undef OSSL_POSIX_TIMER_OKAY
  49 #if defined(_POSIX_TIMERS) && _POSIX_TIMERS > 0
  50 # if defined(__GLIBC__)
  51 #  if defined(__GLIBC_PREREQ)
  52 #   if __GLIBC_PREREQ(2, 17)
  53 #    define OSSL_POSIX_TIMER_OKAY
  54 #   endif
  55 #  endif
  56 # else
  57 #  define OSSL_POSIX_TIMER_OKAY
  58 # endif
  59 #endif
  60
  61 #ifndef OPENSSL_NO_ENGINE
  62 /* non-NULL if default_RAND_meth is ENGINE-provided */
  63 static ENGINE *funct_ref;
  64 static CRYPTO_RWLOCK *rand_engine_lock;
  65 #endif
  66 static CRYPTO_RWLOCK *rand_meth_lock;
  67 static const RAND_METHOD *default_RAND_meth;
  68 static CRYPTO_ONCE rand_init = CRYPTO_ONCE_STATIC_INIT;
  69
  70 int rand_fork_count;
  71
  72 #ifdef OPENSSL_RAND_SEED_RDTSC
  73 /*
  74  * IMPORTANT NOTE:  It is not currently possible to use this code
  75  * because we are not sure about the amount of randomness it provides.
  76  * Some SP900 tests have been run, but there is internal skepticism.
  77  * So for now this code is not used.
  78  */
  79 # error "RDTSC enabled?  Should not be possible!"
  80
  81 /*
  82  * Acquire entropy from high-speed clock
  83  *
  84  * Since we get some randomness from the low-order bits of the
  85  * high-speed clock, it can help.
  86  *
  87  * Returns the total entropy count, if it exceeds the requested
  88  * entropy count. Otherwise, returns an entropy count of 0.
  89  */
  90 size_t rand_acquire_entropy_from_tsc(RAND_POOL *pool)
  91 {
  92     unsigned char c;
  93     int i;
  94
  95     if ((OPENSSL_ia32cap_P[0] & (1 << 4)) != 0) {
  96         for (i = 0; i < TSC_READ_COUNT; i++) {
  97             c = (unsigned char)(OPENSSL_rdtsc() & 0xFF);
  98             rand_pool_add(pool, &c, 1, 4);
  99         }
 100     }
 101     return rand_pool_entropy_available(pool);
 102 }
 103 #endif
 104
 105 #ifdef OPENSSL_RAND_SEED_RDCPU
 106 size_t OPENSSL_ia32_rdseed_bytes(unsigned char *buf, size_t len);
 107 size_t OPENSSL_ia32_rdrand_bytes(unsigned char *buf, size_t len);
 108
 109 extern unsigned int OPENSSL_ia32cap_P[];
 110
 111 /*
 112  * Acquire entropy using Intel-specific cpu instructions
 113  *
 114  * Uses the RDSEED instruction if available, otherwise uses
 115  * RDRAND if available.
 116  *
 117  * For the differences between RDSEED and RDRAND, and why RDSEED
 118  * is the preferred choice, see https://goo.gl/oK3KcN
 119  *
 120  * Returns the total entropy count, if it exceeds the requested
 121  * entropy count. Otherwise, returns an entropy count of 0.
 122  */
 123 size_t rand_acquire_entropy_from_cpu(RAND_POOL *pool)
 124 {
 125     size_t bytes_needed;
 126     unsigned char *buffer;
 127
 128     bytes_needed = rand_pool_bytes_needed(pool, 8 /*entropy_per_byte*/);
 129     if (bytes_needed > 0) {
 130         buffer = rand_pool_add_begin(pool, bytes_needed);
 131
 132         if (buffer != NULL) {
 133             /* Whichever comes first, use RDSEED, RDRAND or nothing */
 134             if ((OPENSSL_ia32cap_P[2] & (1 << 18)) != 0) {
 135                 if (OPENSSL_ia32_rdseed_bytes(buffer, bytes_needed)
 136                     == bytes_needed) {
 137                     rand_pool_add_end(pool, bytes_needed, 8 * bytes_needed);
 138                 }
 139             } else if ((OPENSSL_ia32cap_P[1] & (1 << (62 - 32))) != 0) {
 140                 if (OPENSSL_ia32_rdrand_bytes(buffer, bytes_needed)
 141                     == bytes_needed) {
 142                     rand_pool_add_end(pool, bytes_needed, 8 * bytes_needed);
 143                 }
 144             } else {
 145                 rand_pool_add_end(pool, 0, 0);
 146             }
 147         }
 148     }
 149
 150     return rand_pool_entropy_available(pool);
 151 }
 152 #endif
 153
 154
 155 /*
 156  * Implements the get_entropy() callback (see RAND_DRBG_set_callbacks())
 157  *
 158  * If the DRBG has a parent, then the required amount of entropy input
 159  * is fetched using the parent's RAND_DRBG_generate().
 160  *
 161  * Otherwise, the entropy is polled from the system entropy sources
 162  * using rand_pool_acquire_entropy().
 163  *
 164  * If a random pool has been added to the DRBG using RAND_add(), then
 165  * its entropy will be used up first.
 166  */
 167 size_t rand_drbg_get_entropy(RAND_DRBG *drbg,
 168                              unsigned char **pout,
 169                              int entropy, size_t min_len, size_t max_len,
 170                              int prediction_resistance)
 171 {
 172     size_t ret = 0;
 173     size_t entropy_available = 0;
 174     RAND_POOL *pool;
 175
 176     if (drbg->parent && drbg->strength > drbg->parent->strength) {
 177         /*
 178          * We currently don't support the algorithm from NIST SP 800-90C
 179          * 10.1.2 to use a weaker DRBG as source
 180          */
 181         RANDerr(RAND_F_RAND_DRBG_GET_ENTROPY, RAND_R_PARENT_STRENGTH_TOO_WEAK);
 182         return 0;
 183     }
 184
 185     pool = rand_pool_new(entropy, min_len, max_len);
 186     if (pool == NULL)
 187         return 0;
 188
 189     if (drbg->pool) {
 190         rand_pool_add(pool,
 191                       rand_pool_buffer(drbg->pool),
 192                       rand_pool_length(drbg->pool),
 193                       rand_pool_entropy(drbg->pool));
 194         rand_pool_free(drbg->pool);
 195         drbg->pool = NULL;
 196     }
 197
 198     if (drbg->parent) {
 199         size_t bytes_needed = rand_pool_bytes_needed(pool, 8);
 200         unsigned char *buffer = rand_pool_add_begin(pool, bytes_needed);
 201
 202         if (buffer != NULL) {
 203             size_t bytes = 0;
 204
 205             /*
 206              * Get random from parent, include our state as additional input.
 207              * Our lock is already held, but we need to lock our parent before
 208              * generating bits from it. (Note: taking the lock will be a no-op
 209              * if locking if drbg->parent->lock == NULL.)
 210              */
 211             rand_drbg_lock(drbg->parent);
 212             if (RAND_DRBG_generate(drbg->parent,
 213                                    buffer, bytes_needed,
 214                                    prediction_resistance,
 215                                    (unsigned char *)drbg, sizeof(*drbg)) != 0)
 216                 bytes = bytes_needed;
 217             rand_drbg_unlock(drbg->parent);
 218
 219             rand_pool_add_end(pool, bytes, 8 * bytes);
 220             entropy_available = rand_pool_entropy_available(pool);
 221         }
 222
 223     } else {
 224         if (prediction_resistance) {
 225             /*
 226              * We don't have any entropy sources that comply with the NIST
 227              * standard to provide prediction resistance (see NIST SP 800-90C,
 228              * Section 5.4).
 229              */
 230             RANDerr(RAND_F_RAND_DRBG_GET_ENTROPY,
 231                     RAND_R_PREDICTION_RESISTANCE_NOT_SUPPORTED);
 232             goto err;
 233         }
 234
 235         /* Get entropy by polling system entropy sources. */
 236         entropy_available = rand_pool_acquire_entropy(pool);
 237     }
 238
 239     if (entropy_available > 0) {
 240         ret   = rand_pool_length(pool);
 241         *pout = rand_pool_detach(pool);
 242     }
 243
 244  err:
 245     rand_pool_free(pool);
 246     return ret;
 247 }
 248
 249 /*
 250  * Find a suitable source of time.  Start with the highest resolution source
 251  * and work down to the slower ones.  This is added as additional data and
 252  * isn't counted as randomness, so any result is acceptable.
 253  *
 254  * Returns 0 when we weren't able to find any time source
 255  */
 256 static uint64_t get_timer_bits(void)
 257 {
 258     uint64_t res = OPENSSL_rdtsc();
 259
 260     if (res != 0)
 261         return res;
 262 #if defined(_WIN32)
 263     {
 264         LARGE_INTEGER t;
 265         FILETIME ft;
 266
 267         if (QueryPerformanceCounter(&t) != 0)
 268             return t.QuadPart;
 269         GetSystemTimeAsFileTime(&ft);
 270         return TWO32TO64(ft.dwHighDateTime, ft.dwLowDateTime);
 271     }
 272 #elif defined(__sun) || defined(__hpux)
 273     return gethrtime();
 274 #elif defined(_AIX)
 275     {
 276         timebasestruct_t t;
 277
 278         read_wall_time(&t, TIMEBASE_SZ);
 279         return TWO32TO64(t.tb_high, t.tb_low);
 280     }
 281 #else
 282
 283 # if defined(OSSL_POSIX_TIMER_OKAY)
 284     {
 285         struct timespec ts;
 286         clockid_t cid;
 287
 288 #  ifdef CLOCK_BOOTTIME
 289         cid = CLOCK_BOOTTIME;
 290 #  elif defined(_POSIX_MONOTONIC_CLOCK)
 291         cid = CLOCK_MONOTONIC;
 292 #  else
 293         cid = CLOCK_REALTIME;
 294 #  endif
 295
 296         if (clock_gettime(cid, &ts) == 0)
 297             return TWO32TO64(ts.tv_sec, ts.tv_nsec);
 298     }
 299 # endif
 300 # if defined(__unix__) \
 301      || (defined(_POSIX_C_SOURCE) && _POSIX_C_SOURCE >= 200112L)
 302     {
 303         struct timeval tv;
 304
 305         if (gettimeofday(&tv, NULL) == 0)
 306             return TWO32TO64(tv.tv_sec, tv.tv_usec);
 307     }
 308 # endif
 309     {
 310         time_t t = time(NULL);
 311         if (t == (time_t)-1)
 312             return 0;
 313         return t;
 314     }
 315 #endif
 316 }
 317
 318 /*
 319  * Generate additional data that can be used for the drbg. The data does
 320  * not need to contain entropy, but it's useful if it contains at least
 321  * some bits that are unpredictable.
 322  *
 323  * Returns 0 on failure.
 324  *
 325  * On success it allocates a buffer at |*pout| and returns the length of
 326  * the data. The buffer should get freed using OPENSSL_secure_clear_free().
 327  */
 328 size_t rand_drbg_get_additional_data(unsigned char **pout, size_t max_len)
 329 {
 330     RAND_POOL *pool;
 331     CRYPTO_THREAD_ID thread_id;
 332     size_t len;
 333 #ifdef OPENSSL_SYS_UNIX
 334     pid_t pid;
 335 #elif defined(OPENSSL_SYS_WIN32)
 336     DWORD pid;
 337 #endif
 338     uint64_t tbits;
 339
 340     pool = rand_pool_new(0, 0, max_len);
 341     if (pool == NULL)
 342         return 0;
 343
 344 #ifdef OPENSSL_SYS_UNIX
 345     pid = getpid();
 346     rand_pool_add(pool, (unsigned char *)&pid, sizeof(pid), 0);
 347 #elif defined(OPENSSL_SYS_WIN32)
 348     pid = GetCurrentProcessId();
 349     rand_pool_add(pool, (unsigned char *)&pid, sizeof(pid), 0);
 350 #endif
 351
 352     thread_id = CRYPTO_THREAD_get_current_id();
 353     if (thread_id != 0)
 354         rand_pool_add(pool, (unsigned char *)&thread_id, sizeof(thread_id), 0);
 355
 356     tbits = get_timer_bits();
 357     if (tbits != 0)
 358         rand_pool_add(pool, (unsigned char *)&tbits, sizeof(tbits), 0);
 359
 360     /* TODO: Use RDSEED? */
 361
 362     len = rand_pool_length(pool);
 363     if (len != 0)
 364         *pout = rand_pool_detach(pool);
 365     rand_pool_free(pool);
 366
 367     return len;
 368 }
 369
 370 /*
 371  * Implements the cleanup_entropy() callback (see RAND_DRBG_set_callbacks())
 372  *
 373  */
 374 void rand_drbg_cleanup_entropy(RAND_DRBG *drbg,
 375                                unsigned char *out, size_t outlen)
 376 {
 377     OPENSSL_secure_clear_free(out, outlen);
 378 }
 379
 380 void rand_fork()
 381 {
 382     rand_fork_count++;
 383 }
 384
 385 DEFINE_RUN_ONCE_STATIC(do_rand_init)
 386 {
 387     int ret = 1;
 388
 389 #ifndef OPENSSL_NO_ENGINE
 390     rand_engine_lock = CRYPTO_THREAD_lock_new();
 391     ret &= rand_engine_lock != NULL;
 392 #endif
 393     rand_meth_lock = CRYPTO_THREAD_lock_new();
 394     ret &= rand_meth_lock != NULL;
 395
 396     return ret;
 397 }
 398
 399 void rand_cleanup_int(void)
 400 {
 401     const RAND_METHOD *meth = default_RAND_meth;
 402
 403     if (meth != NULL && meth->cleanup != NULL)
 404         meth->cleanup();
 405     RAND_set_rand_method(NULL);
 406 #ifndef OPENSSL_NO_ENGINE
 407     CRYPTO_THREAD_lock_free(rand_engine_lock);
 408 #endif
 409     CRYPTO_THREAD_lock_free(rand_meth_lock);
 410 }
 411
 412 /*
 413  * RAND_poll() reseeds the default RNG using random input
 414  *
 415  * The random input is obtained from polling various entropy
 416  * sources which depend on the operating system and are
 417  * configurable via the --with-rand-seed configure option.
 418  */
 419 int RAND_poll(void)
 420 {
 421     int ret = 0;
 422
 423     RAND_POOL *pool = NULL;
 424
 425     const RAND_METHOD *meth = RAND_get_rand_method();
 426
 427     if (meth == RAND_OpenSSL()) {
 428         /* fill random pool and seed the master DRBG */
 429         RAND_DRBG *drbg = RAND_DRBG_get0_master();
 430
 431         if (drbg == NULL)
 432             return 0;
 433
 434         rand_drbg_lock(drbg);
 435         ret = rand_drbg_restart(drbg, NULL, 0, 0);
 436         rand_drbg_unlock(drbg);
 437
 438         return ret;
 439
 440     } else {
 441         /* fill random pool and seed the current legacy RNG */
 442         pool = rand_pool_new(RAND_DRBG_STRENGTH,
 443                              RAND_DRBG_STRENGTH / 8,
 444                              DRBG_MINMAX_FACTOR * (RAND_DRBG_STRENGTH / 8));
 445         if (pool == NULL)
 446             return 0;
 447
 448         if (rand_pool_acquire_entropy(pool) == 0)
 449             goto err;
 450
 451         if (meth->add == NULL
 452             || meth->add(rand_pool_buffer(pool),
 453                          rand_pool_length(pool),
 454                          (rand_pool_entropy(pool) / 8.0)) == 0)
 455             goto err;
 456
 457         ret = 1;
 458     }
 459
 460 err:
 461     rand_pool_free(pool);
 462     return ret;
 463 }
 464
 465 /*
 466  * Allocate memory and initialize a new random pool
 467  */
 468
 469 RAND_POOL *rand_pool_new(int entropy, size_t min_len, size_t max_len)
 470 {
 471     RAND_POOL *pool = OPENSSL_zalloc(sizeof(*pool));
 472
 473     if (pool == NULL) {
 474         RANDerr(RAND_F_RAND_POOL_NEW, ERR_R_MALLOC_FAILURE);
 475         goto err;
 476     }
 477
 478     pool->min_len = min_len;
 479     pool->max_len = max_len;
 480
 481     pool->buffer = OPENSSL_secure_zalloc(pool->max_len);
 482     if (pool->buffer == NULL) {
 483         RANDerr(RAND_F_RAND_POOL_NEW, ERR_R_MALLOC_FAILURE);
 484         goto err;
 485     }
 486
 487     pool->requested_entropy = entropy;
 488
 489     return pool;
 490
 491 err:
 492     OPENSSL_free(pool);
 493     return NULL;
 494 }
 495
 496 /*
 497  * Free |pool|, securely erasing its buffer.
 498  */
 499 void rand_pool_free(RAND_POOL *pool)
 500 {
 501     if (pool == NULL)
 502         return;
 503
 504     OPENSSL_secure_clear_free(pool->buffer, pool->max_len);
 505     OPENSSL_free(pool);
 506 }
 507
 508 /*
 509  * Return the |pool|'s buffer to the caller (readonly).
 510  */
 511 const unsigned char *rand_pool_buffer(RAND_POOL *pool)
 512 {
 513     return pool->buffer;
 514 }
 515
 516 /*
 517  * Return the |pool|'s entropy to the caller.
 518  */
 519 size_t rand_pool_entropy(RAND_POOL *pool)
 520 {
 521     return pool->entropy;
 522 }
 523
 524 /*
 525  * Return the |pool|'s buffer length to the caller.
 526  */
 527 size_t rand_pool_length(RAND_POOL *pool)
 528 {
 529     return pool->len;
 530 }
 531
 532 /*
 533  * Detach the |pool| buffer and return it to the caller.
 534  * It's the responsibility of the caller to free the buffer
 535  * using OPENSSL_secure_clear_free().
 536  */
 537 unsigned char *rand_pool_detach(RAND_POOL *pool)
 538 {
 539     unsigned char *ret = pool->buffer;
 540     pool->buffer = NULL;
 541     return ret;
 542 }
 543
 544
 545 /*
 546  * If every byte of the input contains |entropy_per_bytes| bits of entropy,
 547  * how many bytes does one need to obtain at least |bits| bits of entropy?
 548  */
 549 #define ENTROPY_TO_BYTES(bits, entropy_per_bytes) \
 550     (((bits) + ((entropy_per_bytes) - 1))/(entropy_per_bytes))
 551
 552
 553 /*
 554  * Checks whether the |pool|'s entropy is available to the caller.
 555  * This is the case when entropy count and buffer length are high enough.
 556  * Returns
 557  *
 558  *  |entropy|  if the entropy count and buffer size is large enough
 559  *      0      otherwise
 560  */
 561 size_t rand_pool_entropy_available(RAND_POOL *pool)
 562 {
 563     if (pool->entropy < pool->requested_entropy)
 564         return 0;
 565
 566     if (pool->len < pool->min_len)
 567         return 0;
 568
 569     return pool->entropy;
 570 }
 571
 572 /*
 573  * Returns the (remaining) amount of entropy needed to fill
 574  * the random pool.
 575  */
 576
 577 size_t rand_pool_entropy_needed(RAND_POOL *pool)
 578 {
 579     if (pool->entropy < pool->requested_entropy)
 580         return pool->requested_entropy - pool->entropy;
 581
 582     return 0;
 583 }
 584
 585 /*
 586  * Returns the number of bytes needed to fill the pool, assuming
 587  * the input has 'entropy_per_byte' entropy bits per byte.
 588  * In case of an error, 0 is returned.
 589  */
 590
 591 size_t rand_pool_bytes_needed(RAND_POOL *pool, unsigned int entropy_per_byte)
 592 {
 593     size_t bytes_needed;
 594     size_t entropy_needed = rand_pool_entropy_needed(pool);
 595
 596     if (entropy_per_byte < 1 || entropy_per_byte > 8) {
 597         RANDerr(RAND_F_RAND_POOL_BYTES_NEEDED, RAND_R_ARGUMENT_OUT_OF_RANGE);
 598         return 0;
 599     }
 600
 601     bytes_needed = ENTROPY_TO_BYTES(entropy_needed, entropy_per_byte);
 602
 603     if (bytes_needed > pool->max_len - pool->len) {
 604         /* not enough space left */
 605         RANDerr(RAND_F_RAND_POOL_BYTES_NEEDED, RAND_R_RANDOM_POOL_OVERFLOW);
 606         return 0;
 607     }
 608
 609     if (pool->len < pool->min_len &&
 610         bytes_needed < pool->min_len - pool->len)
 611         /* to meet the min_len requirement */
 612         bytes_needed = pool->min_len - pool->len;
 613
 614     return bytes_needed;
 615 }
 616
 617 /* Returns the remaining number of bytes available */
 618 size_t rand_pool_bytes_remaining(RAND_POOL *pool)
 619 {
 620     return pool->max_len - pool->len;
 621 }
 622
 623 /*
 624  * Add random bytes to the random pool.
 625  *
 626  * It is expected that the |buffer| contains |len| bytes of
 627  * random input which contains at least |entropy| bits of
 628  * randomness.
 629  *
 630  * Returns 1 if the added amount is adequate, otherwise 0
 631  */
 632 int rand_pool_add(RAND_POOL *pool,
 633                   const unsigned char *buffer, size_t len, size_t entropy)
 634 {
 635     if (len > pool->max_len - pool->len) {
 636         RANDerr(RAND_F_RAND_POOL_ADD, RAND_R_ENTROPY_INPUT_TOO_LONG);
 637         return 0;
 638     }
 639
 640     if (len > 0) {
 641         memcpy(pool->buffer + pool->len, buffer, len);
 642         pool->len += len;
 643         pool->entropy += entropy;
 644     }
 645
 646     return 1;
 647 }
 648
 649 /*
 650  * Start to add random bytes to the random pool in-place.
 651  *
 652  * Reserves the next |len| bytes for adding random bytes in-place
 653  * and returns a pointer to the buffer.
 654  * The caller is allowed to copy up to |len| bytes into the buffer.
 655  * If |len| == 0 this is considered a no-op and a NULL pointer
 656  * is returned without producing an error message.
 657  *
 658  * After updating the buffer, rand_pool_add_end() needs to be called
 659  * to finish the udpate operation (see next comment).
 660  */
 661 unsigned char *rand_pool_add_begin(RAND_POOL *pool, size_t len)
 662 {
 663     if (len == 0)
 664         return NULL;
 665
 666     if (len > pool->max_len - pool->len) {
 667         RANDerr(RAND_F_RAND_POOL_ADD_BEGIN, RAND_R_RANDOM_POOL_OVERFLOW);
 668         return NULL;
 669     }
 670
 671     return pool->buffer + pool->len;
 672 }
 673
 674 /*
 675  * Finish to add random bytes to the random pool in-place.
 676  *
 677  * Finishes an in-place update of the random pool started by
 678  * rand_pool_add_begin() (see previous comment).
 679  * It is expected that |len| bytes of random input have been added
 680  * to the buffer which contain at least |entropy| bits of randomness.
 681  * It is allowed to add less bytes than originally reserved.
 682  */
 683 int rand_pool_add_end(RAND_POOL *pool, size_t len, size_t entropy)
 684 {
 685     if (len > pool->max_len - pool->len) {
 686         RANDerr(RAND_F_RAND_POOL_ADD_END, RAND_R_RANDOM_POOL_OVERFLOW);
 687         return 0;
 688     }
 689
 690     if (len > 0) {
 691         pool->len += len;
 692         pool->entropy += entropy;
 693     }
 694
 695     return 1;
 696 }
 697
 698 int RAND_set_rand_method(const RAND_METHOD *meth)
 699 {
 700     if (!RUN_ONCE(&rand_init, do_rand_init))
 701         return 0;
 702
 703     CRYPTO_THREAD_write_lock(rand_meth_lock);
 704 #ifndef OPENSSL_NO_ENGINE
 705     ENGINE_finish(funct_ref);
 706     funct_ref = NULL;
 707 #endif
 708     default_RAND_meth = meth;
 709     CRYPTO_THREAD_unlock(rand_meth_lock);
 710     return 1;
 711 }
 712
 713 const RAND_METHOD *RAND_get_rand_method(void)
 714 {
 715     const RAND_METHOD *tmp_meth = NULL;
 716
 717     if (!RUN_ONCE(&rand_init, do_rand_init))
 718         return NULL;
 719
 720     CRYPTO_THREAD_write_lock(rand_meth_lock);
 721     if (default_RAND_meth == NULL) {
 722 #ifndef OPENSSL_NO_ENGINE
 723         ENGINE *e;
 724
 725         /* If we have an engine that can do RAND, use it. */
 726         if ((e = ENGINE_get_default_RAND()) != NULL
 727                 && (tmp_meth = ENGINE_get_RAND(e)) != NULL) {
 728             funct_ref = e;
 729             default_RAND_meth = tmp_meth;
 730         } else {
 731             ENGINE_finish(e);
 732             default_RAND_meth = &rand_meth;
 733         }
 734 #else
 735         default_RAND_meth = &rand_meth;
 736 #endif
 737     }
 738     tmp_meth = default_RAND_meth;
 739     CRYPTO_THREAD_unlock(rand_meth_lock);
 740     return tmp_meth;
 741 }
 742
 743 #ifndef OPENSSL_NO_ENGINE
 744 int RAND_set_rand_engine(ENGINE *engine)
 745 {
 746     const RAND_METHOD *tmp_meth = NULL;
 747
 748     if (!RUN_ONCE(&rand_init, do_rand_init))
 749         return 0;
 750
 751     if (engine != NULL) {
 752         if (!ENGINE_init(engine))
 753             return 0;
 754         tmp_meth = ENGINE_get_RAND(engine);
 755         if (tmp_meth == NULL) {
 756             ENGINE_finish(engine);
 757             return 0;
 758         }
 759     }
 760     CRYPTO_THREAD_write_lock(rand_engine_lock);
 761     /* This function releases any prior ENGINE so call it first */
 762     RAND_set_rand_method(tmp_meth);
 763     funct_ref = engine;
 764     CRYPTO_THREAD_unlock(rand_engine_lock);
 765     return 1;
 766 }
 767 #endif
 768
 769 void RAND_seed(const void *buf, int num)
 770 {
 771     const RAND_METHOD *meth = RAND_get_rand_method();
 772
 773     if (meth->seed != NULL)
 774         meth->seed(buf, num);
 775 }
 776
 777 void RAND_add(const void *buf, int num, double randomness)
 778 {
 779     const RAND_METHOD *meth = RAND_get_rand_method();
 780
 781     if (meth->add != NULL)
 782         meth->add(buf, num, randomness);
 783 }
 784
 785 /*
 786  * This function is not part of RAND_METHOD, so if we're not using
 787  * the default method, then just call RAND_bytes().  Otherwise make
 788  * sure we're instantiated and use the private DRBG.
 789  */
 790 int RAND_priv_bytes(unsigned char *buf, int num)
 791 {
 792     const RAND_METHOD *meth = RAND_get_rand_method();
 793     RAND_DRBG *drbg;
 794     int ret;
 795
 796     if (meth != RAND_OpenSSL())
 797         return RAND_bytes(buf, num);
 798
 799     drbg = RAND_DRBG_get0_private();
 800     if (drbg == NULL)
 801         return 0;
 802
 803     ret = RAND_DRBG_bytes(drbg, buf, num);
 804     return ret;
 805 }
 806
 807 int RAND_bytes(unsigned char *buf, int num)
 808 {
 809     const RAND_METHOD *meth = RAND_get_rand_method();
 810
 811     if (meth->bytes != NULL)
 812         return meth->bytes(buf, num);
 813     RANDerr(RAND_F_RAND_BYTES, RAND_R_FUNC_NOT_IMPLEMENTED);
 814     return -1;
 815 }
 816
 817 #if OPENSSL_API_COMPAT < 0x10100000L
 818 int RAND_pseudo_bytes(unsigned char *buf, int num)
 819 {
 820     const RAND_METHOD *meth = RAND_get_rand_method();
 821
 822     if (meth->pseudorand != NULL)
 823         return meth->pseudorand(buf, num);
 824     return -1;
 825 }
 826 #endif
 827
 828 int RAND_status(void)
 829 {
 830     const RAND_METHOD *meth = RAND_get_rand_method();
 831
 832     if (meth->status != NULL)
 833         return meth->status();
 834     return 0;
 835 }