Use "==0" instead of "!strcmp" etc
[openssl.git] / crypto / x509v3 / v3_ncons.c
1 /* v3_ncons.c */
2 /*
3  * Written by Dr Stephen N Henson (steve@openssl.org) for the OpenSSL
4  * project.
5  */
6 /* ====================================================================
7  * Copyright (c) 2003 The OpenSSL Project.  All rights reserved.
8  *
9  * Redistribution and use in source and binary forms, with or without
10  * modification, are permitted provided that the following conditions
11  * are met:
12  *
13  * 1. Redistributions of source code must retain the above copyright
14  *    notice, this list of conditions and the following disclaimer.
15  *
16  * 2. Redistributions in binary form must reproduce the above copyright
17  *    notice, this list of conditions and the following disclaimer in
18  *    the documentation and/or other materials provided with the
19  *    distribution.
20  *
21  * 3. All advertising materials mentioning features or use of this
22  *    software must display the following acknowledgment:
23  *    "This product includes software developed by the OpenSSL Project
24  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
25  *
26  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
27  *    endorse or promote products derived from this software without
28  *    prior written permission. For written permission, please contact
29  *    licensing@OpenSSL.org.
30  *
31  * 5. Products derived from this software may not be called "OpenSSL"
32  *    nor may "OpenSSL" appear in their names without prior written
33  *    permission of the OpenSSL Project.
34  *
35  * 6. Redistributions of any form whatsoever must retain the following
36  *    acknowledgment:
37  *    "This product includes software developed by the OpenSSL Project
38  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
39  *
40  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
41  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
43  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
44  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
45  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
46  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
47  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
49  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
50  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
51  * OF THE POSSIBILITY OF SUCH DAMAGE.
52  * ====================================================================
53  *
54  * This product includes cryptographic software written by Eric Young
55  * (eay@cryptsoft.com).  This product includes software written by Tim
56  * Hudson (tjh@cryptsoft.com).
57  *
58  */
59
60 #include <stdio.h>
61 #include "cryptlib.h"
62 #include <openssl/asn1t.h>
63 #include <openssl/conf.h>
64 #include <openssl/x509v3.h>
65
66 #include "internal/x509_int.h"
67
68 static void *v2i_NAME_CONSTRAINTS(const X509V3_EXT_METHOD *method,
69                                   X509V3_CTX *ctx,
70                                   STACK_OF(CONF_VALUE) *nval);
71 static int i2r_NAME_CONSTRAINTS(const X509V3_EXT_METHOD *method, void *a,
72                                 BIO *bp, int ind);
73 static int do_i2r_name_constraints(const X509V3_EXT_METHOD *method,
74                                    STACK_OF(GENERAL_SUBTREE) *trees, BIO *bp,
75                                    int ind, char *name);
76 static int print_nc_ipadd(BIO *bp, ASN1_OCTET_STRING *ip);
77
78 static int nc_match(GENERAL_NAME *gen, NAME_CONSTRAINTS *nc);
79 static int nc_match_single(GENERAL_NAME *sub, GENERAL_NAME *gen);
80 static int nc_dn(X509_NAME *sub, X509_NAME *nm);
81 static int nc_dns(ASN1_IA5STRING *sub, ASN1_IA5STRING *dns);
82 static int nc_email(ASN1_IA5STRING *sub, ASN1_IA5STRING *eml);
83 static int nc_uri(ASN1_IA5STRING *uri, ASN1_IA5STRING *base);
84 static int nc_ip(ASN1_OCTET_STRING *ip, ASN1_OCTET_STRING *base);
85
86 const X509V3_EXT_METHOD v3_name_constraints = {
87     NID_name_constraints, 0,
88     ASN1_ITEM_ref(NAME_CONSTRAINTS),
89     0, 0, 0, 0,
90     0, 0,
91     0, v2i_NAME_CONSTRAINTS,
92     i2r_NAME_CONSTRAINTS, 0,
93     NULL
94 };
95
96 ASN1_SEQUENCE(GENERAL_SUBTREE) = {
97         ASN1_SIMPLE(GENERAL_SUBTREE, base, GENERAL_NAME),
98         ASN1_IMP_OPT(GENERAL_SUBTREE, minimum, ASN1_INTEGER, 0),
99         ASN1_IMP_OPT(GENERAL_SUBTREE, maximum, ASN1_INTEGER, 1)
100 } ASN1_SEQUENCE_END(GENERAL_SUBTREE)
101
102 ASN1_SEQUENCE(NAME_CONSTRAINTS) = {
103         ASN1_IMP_SEQUENCE_OF_OPT(NAME_CONSTRAINTS, permittedSubtrees,
104                                                         GENERAL_SUBTREE, 0),
105         ASN1_IMP_SEQUENCE_OF_OPT(NAME_CONSTRAINTS, excludedSubtrees,
106                                                         GENERAL_SUBTREE, 1),
107 } ASN1_SEQUENCE_END(NAME_CONSTRAINTS)
108
109
110 IMPLEMENT_ASN1_ALLOC_FUNCTIONS(GENERAL_SUBTREE)
111 IMPLEMENT_ASN1_ALLOC_FUNCTIONS(NAME_CONSTRAINTS)
112
113 static void *v2i_NAME_CONSTRAINTS(const X509V3_EXT_METHOD *method,
114                                   X509V3_CTX *ctx, STACK_OF(CONF_VALUE) *nval)
115 {
116     int i;
117     CONF_VALUE tval, *val;
118     STACK_OF(GENERAL_SUBTREE) **ptree = NULL;
119     NAME_CONSTRAINTS *ncons = NULL;
120     GENERAL_SUBTREE *sub = NULL;
121
122     ncons = NAME_CONSTRAINTS_new();
123     if (!ncons)
124         goto memerr;
125     for (i = 0; i < sk_CONF_VALUE_num(nval); i++) {
126         val = sk_CONF_VALUE_value(nval, i);
127         if (strncmp(val->name, "permitted", 9) == 0 && val->name[9]) {
128             ptree = &ncons->permittedSubtrees;
129             tval.name = val->name + 10;
130         } else if (strncmp(val->name, "excluded", 8) == 0 && val->name[8]) {
131             ptree = &ncons->excludedSubtrees;
132             tval.name = val->name + 9;
133         } else {
134             X509V3err(X509V3_F_V2I_NAME_CONSTRAINTS, X509V3_R_INVALID_SYNTAX);
135             goto err;
136         }
137         tval.value = val->value;
138         sub = GENERAL_SUBTREE_new();
139         if (!v2i_GENERAL_NAME_ex(sub->base, method, ctx, &tval, 1))
140             goto err;
141         if (!*ptree)
142             *ptree = sk_GENERAL_SUBTREE_new_null();
143         if (!*ptree || !sk_GENERAL_SUBTREE_push(*ptree, sub))
144             goto memerr;
145         sub = NULL;
146     }
147
148     return ncons;
149
150  memerr:
151     X509V3err(X509V3_F_V2I_NAME_CONSTRAINTS, ERR_R_MALLOC_FAILURE);
152  err:
153     NAME_CONSTRAINTS_free(ncons);
154     GENERAL_SUBTREE_free(sub);
155
156     return NULL;
157 }
158
159 static int i2r_NAME_CONSTRAINTS(const X509V3_EXT_METHOD *method, void *a,
160                                 BIO *bp, int ind)
161 {
162     NAME_CONSTRAINTS *ncons = a;
163     do_i2r_name_constraints(method, ncons->permittedSubtrees,
164                             bp, ind, "Permitted");
165     do_i2r_name_constraints(method, ncons->excludedSubtrees,
166                             bp, ind, "Excluded");
167     return 1;
168 }
169
170 static int do_i2r_name_constraints(const X509V3_EXT_METHOD *method,
171                                    STACK_OF(GENERAL_SUBTREE) *trees,
172                                    BIO *bp, int ind, char *name)
173 {
174     GENERAL_SUBTREE *tree;
175     int i;
176     if (sk_GENERAL_SUBTREE_num(trees) > 0)
177         BIO_printf(bp, "%*s%s:\n", ind, "", name);
178     for (i = 0; i < sk_GENERAL_SUBTREE_num(trees); i++) {
179         tree = sk_GENERAL_SUBTREE_value(trees, i);
180         BIO_printf(bp, "%*s", ind + 2, "");
181         if (tree->base->type == GEN_IPADD)
182             print_nc_ipadd(bp, tree->base->d.ip);
183         else
184             GENERAL_NAME_print(bp, tree->base);
185         BIO_puts(bp, "\n");
186     }
187     return 1;
188 }
189
190 static int print_nc_ipadd(BIO *bp, ASN1_OCTET_STRING *ip)
191 {
192     int i, len;
193     unsigned char *p;
194     p = ip->data;
195     len = ip->length;
196     BIO_puts(bp, "IP:");
197     if (len == 8) {
198         BIO_printf(bp, "%d.%d.%d.%d/%d.%d.%d.%d",
199                    p[0], p[1], p[2], p[3], p[4], p[5], p[6], p[7]);
200     } else if (len == 32) {
201         for (i = 0; i < 16; i++) {
202             BIO_printf(bp, "%X", p[0] << 8 | p[1]);
203             p += 2;
204             if (i == 7)
205                 BIO_puts(bp, "/");
206             else if (i != 15)
207                 BIO_puts(bp, ":");
208         }
209     } else
210         BIO_printf(bp, "IP Address:<invalid>");
211     return 1;
212 }
213
214 /*-
215  * Check a certificate conforms to a specified set of constraints.
216  * Return values:
217  *  X509_V_OK: All constraints obeyed.
218  *  X509_V_ERR_PERMITTED_VIOLATION: Permitted subtree violation.
219  *  X509_V_ERR_EXCLUDED_VIOLATION: Excluded subtree violation.
220  *  X509_V_ERR_SUBTREE_MINMAX: Min or max values present and matching type.
221  *  X509_V_ERR_UNSUPPORTED_CONSTRAINT_TYPE:  Unsupported constraint type.
222  *  X509_V_ERR_UNSUPPORTED_CONSTRAINT_SYNTAX: bad unsupported constraint syntax.
223  *  X509_V_ERR_UNSUPPORTED_NAME_SYNTAX: bad or unsupported syntax of name
224  */
225
226 int NAME_CONSTRAINTS_check(X509 *x, NAME_CONSTRAINTS *nc)
227 {
228     int r, i;
229     X509_NAME *nm;
230
231     nm = X509_get_subject_name(x);
232
233     if (X509_NAME_entry_count(nm) > 0) {
234         GENERAL_NAME gntmp;
235         gntmp.type = GEN_DIRNAME;
236         gntmp.d.directoryName = nm;
237
238         r = nc_match(&gntmp, nc);
239
240         if (r != X509_V_OK)
241             return r;
242
243         gntmp.type = GEN_EMAIL;
244
245         /* Process any email address attributes in subject name */
246
247         for (i = -1;;) {
248             X509_NAME_ENTRY *ne;
249             i = X509_NAME_get_index_by_NID(nm, NID_pkcs9_emailAddress, i);
250             if (i == -1)
251                 break;
252             ne = X509_NAME_get_entry(nm, i);
253             gntmp.d.rfc822Name = X509_NAME_ENTRY_get_data(ne);
254             if (gntmp.d.rfc822Name->type != V_ASN1_IA5STRING)
255                 return X509_V_ERR_UNSUPPORTED_NAME_SYNTAX;
256
257             r = nc_match(&gntmp, nc);
258
259             if (r != X509_V_OK)
260                 return r;
261         }
262
263     }
264
265     for (i = 0; i < sk_GENERAL_NAME_num(x->altname); i++) {
266         GENERAL_NAME *gen = sk_GENERAL_NAME_value(x->altname, i);
267         r = nc_match(gen, nc);
268         if (r != X509_V_OK)
269             return r;
270     }
271
272     return X509_V_OK;
273
274 }
275
276 static int nc_match(GENERAL_NAME *gen, NAME_CONSTRAINTS *nc)
277 {
278     GENERAL_SUBTREE *sub;
279     int i, r, match = 0;
280
281     /*
282      * Permitted subtrees: if any subtrees exist of matching the type at
283      * least one subtree must match.
284      */
285
286     for (i = 0; i < sk_GENERAL_SUBTREE_num(nc->permittedSubtrees); i++) {
287         sub = sk_GENERAL_SUBTREE_value(nc->permittedSubtrees, i);
288         if (gen->type != sub->base->type)
289             continue;
290         if (sub->minimum || sub->maximum)
291             return X509_V_ERR_SUBTREE_MINMAX;
292         /* If we already have a match don't bother trying any more */
293         if (match == 2)
294             continue;
295         if (match == 0)
296             match = 1;
297         r = nc_match_single(gen, sub->base);
298         if (r == X509_V_OK)
299             match = 2;
300         else if (r != X509_V_ERR_PERMITTED_VIOLATION)
301             return r;
302     }
303
304     if (match == 1)
305         return X509_V_ERR_PERMITTED_VIOLATION;
306
307     /* Excluded subtrees: must not match any of these */
308
309     for (i = 0; i < sk_GENERAL_SUBTREE_num(nc->excludedSubtrees); i++) {
310         sub = sk_GENERAL_SUBTREE_value(nc->excludedSubtrees, i);
311         if (gen->type != sub->base->type)
312             continue;
313         if (sub->minimum || sub->maximum)
314             return X509_V_ERR_SUBTREE_MINMAX;
315
316         r = nc_match_single(gen, sub->base);
317         if (r == X509_V_OK)
318             return X509_V_ERR_EXCLUDED_VIOLATION;
319         else if (r != X509_V_ERR_PERMITTED_VIOLATION)
320             return r;
321
322     }
323
324     return X509_V_OK;
325
326 }
327
328 static int nc_match_single(GENERAL_NAME *gen, GENERAL_NAME *base)
329 {
330     switch (base->type) {
331     case GEN_DIRNAME:
332         return nc_dn(gen->d.directoryName, base->d.directoryName);
333
334     case GEN_DNS:
335         return nc_dns(gen->d.dNSName, base->d.dNSName);
336
337     case GEN_EMAIL:
338         return nc_email(gen->d.rfc822Name, base->d.rfc822Name);
339
340     case GEN_URI:
341         return nc_uri(gen->d.uniformResourceIdentifier,
342                       base->d.uniformResourceIdentifier);
343
344     case GEN_IPADD:
345         return nc_ip(gen->d.iPAddress, base->d.iPAddress);
346
347     default:
348         return X509_V_ERR_UNSUPPORTED_CONSTRAINT_TYPE;
349     }
350
351 }
352
353 /*
354  * directoryName name constraint matching. The canonical encoding of
355  * X509_NAME makes this comparison easy. It is matched if the subtree is a
356  * subset of the name.
357  */
358
359 static int nc_dn(X509_NAME *nm, X509_NAME *base)
360 {
361     /* Ensure canonical encodings are up to date.  */
362     if (nm->modified && i2d_X509_NAME(nm, NULL) < 0)
363         return X509_V_ERR_OUT_OF_MEM;
364     if (base->modified && i2d_X509_NAME(base, NULL) < 0)
365         return X509_V_ERR_OUT_OF_MEM;
366     if (base->canon_enclen > nm->canon_enclen)
367         return X509_V_ERR_PERMITTED_VIOLATION;
368     if (memcmp(base->canon_enc, nm->canon_enc, base->canon_enclen))
369         return X509_V_ERR_PERMITTED_VIOLATION;
370     return X509_V_OK;
371 }
372
373 static int nc_dns(ASN1_IA5STRING *dns, ASN1_IA5STRING *base)
374 {
375     char *baseptr = (char *)base->data;
376     char *dnsptr = (char *)dns->data;
377     /* Empty matches everything */
378     if (!*baseptr)
379         return X509_V_OK;
380     /*
381      * Otherwise can add zero or more components on the left so compare RHS
382      * and if dns is longer and expect '.' as preceding character.
383      */
384     if (dns->length > base->length) {
385         dnsptr += dns->length - base->length;
386         if (*baseptr != '.' && dnsptr[-1] != '.')
387             return X509_V_ERR_PERMITTED_VIOLATION;
388     }
389
390     if (strcasecmp(baseptr, dnsptr))
391         return X509_V_ERR_PERMITTED_VIOLATION;
392
393     return X509_V_OK;
394
395 }
396
397 static int nc_email(ASN1_IA5STRING *eml, ASN1_IA5STRING *base)
398 {
399     const char *baseptr = (char *)base->data;
400     const char *emlptr = (char *)eml->data;
401
402     const char *baseat = strchr(baseptr, '@');
403     const char *emlat = strchr(emlptr, '@');
404     if (!emlat)
405         return X509_V_ERR_UNSUPPORTED_NAME_SYNTAX;
406     /* Special case: inital '.' is RHS match */
407     if (!baseat && (*baseptr == '.')) {
408         if (eml->length > base->length) {
409             emlptr += eml->length - base->length;
410             if (strcasecmp(baseptr, emlptr) == 0)
411                 return X509_V_OK;
412         }
413         return X509_V_ERR_PERMITTED_VIOLATION;
414     }
415
416     /* If we have anything before '@' match local part */
417
418     if (baseat) {
419         if (baseat != baseptr) {
420             if ((baseat - baseptr) != (emlat - emlptr))
421                 return X509_V_ERR_PERMITTED_VIOLATION;
422             /* Case sensitive match of local part */
423             if (strncmp(baseptr, emlptr, emlat - emlptr))
424                 return X509_V_ERR_PERMITTED_VIOLATION;
425         }
426         /* Position base after '@' */
427         baseptr = baseat + 1;
428     }
429     emlptr = emlat + 1;
430     /* Just have hostname left to match: case insensitive */
431     if (strcasecmp(baseptr, emlptr))
432         return X509_V_ERR_PERMITTED_VIOLATION;
433
434     return X509_V_OK;
435
436 }
437
438 static int nc_uri(ASN1_IA5STRING *uri, ASN1_IA5STRING *base)
439 {
440     const char *baseptr = (char *)base->data;
441     const char *hostptr = (char *)uri->data;
442     const char *p = strchr(hostptr, ':');
443     int hostlen;
444     /* Check for foo:// and skip past it */
445     if (!p || (p[1] != '/') || (p[2] != '/'))
446         return X509_V_ERR_UNSUPPORTED_NAME_SYNTAX;
447     hostptr = p + 3;
448
449     /* Determine length of hostname part of URI */
450
451     /* Look for a port indicator as end of hostname first */
452
453     p = strchr(hostptr, ':');
454     /* Otherwise look for trailing slash */
455     if (!p)
456         p = strchr(hostptr, '/');
457
458     if (!p)
459         hostlen = strlen(hostptr);
460     else
461         hostlen = p - hostptr;
462
463     if (hostlen == 0)
464         return X509_V_ERR_UNSUPPORTED_NAME_SYNTAX;
465
466     /* Special case: inital '.' is RHS match */
467     if (*baseptr == '.') {
468         if (hostlen > base->length) {
469             p = hostptr + hostlen - base->length;
470             if (strncasecmp(p, baseptr, base->length) == 0)
471                 return X509_V_OK;
472         }
473         return X509_V_ERR_PERMITTED_VIOLATION;
474     }
475
476     if ((base->length != (int)hostlen)
477         || strncasecmp(hostptr, baseptr, hostlen))
478         return X509_V_ERR_PERMITTED_VIOLATION;
479
480     return X509_V_OK;
481
482 }
483
484 static int nc_ip(ASN1_OCTET_STRING *ip, ASN1_OCTET_STRING *base)
485 {
486     int hostlen, baselen, i;
487     unsigned char *hostptr, *baseptr, *maskptr;
488     hostptr = ip->data;
489     hostlen = ip->length;
490     baseptr = base->data;
491     baselen = base->length;
492
493     /* Invalid if not IPv4 or IPv6 */
494     if (!((hostlen == 4) || (hostlen == 16)))
495         return X509_V_ERR_UNSUPPORTED_NAME_SYNTAX;
496     if (!((baselen == 8) || (baselen == 32)))
497         return X509_V_ERR_UNSUPPORTED_NAME_SYNTAX;
498
499     /* Do not match IPv4 with IPv6 */
500     if (hostlen * 2 != baselen)
501         return X509_V_ERR_PERMITTED_VIOLATION;
502
503     maskptr = base->data + hostlen;
504
505     /* Considering possible not aligned base ipAddress */
506     /* Not checking for wrong mask definition: i.e.: 255.0.255.0 */
507     for (i = 0; i < hostlen; i++)
508         if ((hostptr[i] & maskptr[i]) != (baseptr[i] & maskptr[i]))
509             return X509_V_ERR_PERMITTED_VIOLATION;
510
511     return X509_V_OK;
512
513 }