4f8f44d52720be24701b432ca0182572d7c1514c
[openssl.git] / providers / implementations / keymgmt / ec_kmgmt.c
1 /*
2  * Copyright 2020 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the Apache License 2.0 (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /*
11  * ECDH/ECDSA low level APIs are deprecated for public use, but still ok for
12  * internal use.
13  */
14 #include "internal/deprecated.h"
15
16 #include <openssl/core_numbers.h>
17 #include <openssl/core_names.h>
18 #include <openssl/bn.h>
19 #include <openssl/objects.h>
20 #include <openssl/params.h>
21 #include "crypto/bn.h"
22 #include "crypto/ec.h"
23 #include "internal/param_build.h"
24 #include "prov/implementations.h"
25 #include "prov/providercommon.h"
26 #include "prov/provider_ctx.h"
27
28 static OSSL_OP_keymgmt_new_fn ec_newdata;
29 static OSSL_OP_keymgmt_free_fn ec_freedata;
30 static OSSL_OP_keymgmt_get_params_fn ec_get_params;
31 static OSSL_OP_keymgmt_gettable_params_fn ec_gettable_params;
32 static OSSL_OP_keymgmt_set_params_fn ec_set_params;
33 static OSSL_OP_keymgmt_settable_params_fn ec_settable_params;
34 static OSSL_OP_keymgmt_has_fn ec_has;
35 static OSSL_OP_keymgmt_match_fn ec_match;
36 static OSSL_OP_keymgmt_validate_fn ec_validate;
37 static OSSL_OP_keymgmt_import_fn ec_import;
38 static OSSL_OP_keymgmt_import_types_fn ec_import_types;
39 static OSSL_OP_keymgmt_export_fn ec_export;
40 static OSSL_OP_keymgmt_export_types_fn ec_export_types;
41 static OSSL_OP_keymgmt_query_operation_name_fn ec_query_operation_name;
42
43 #define EC_POSSIBLE_SELECTIONS                 \
44     (OSSL_KEYMGMT_SELECT_KEYPAIR | OSSL_KEYMGMT_SELECT_ALL_PARAMETERS )
45
46 static
47 const char *ec_query_operation_name(int operation_id)
48 {
49     switch (operation_id) {
50     case OSSL_OP_KEYEXCH:
51         return "ECDH";
52     case OSSL_OP_SIGNATURE:
53         return "ECDSA";
54     }
55     return NULL;
56 }
57
58 static ossl_inline
59 int params_to_domparams(EC_KEY *ec, const OSSL_PARAM params[])
60 {
61     const OSSL_PARAM *param_ec_name;
62     EC_GROUP *ecg = NULL;
63     char *curve_name = NULL;
64     int ok = 0;
65
66     if (ec == NULL)
67         return 0;
68
69     param_ec_name = OSSL_PARAM_locate_const(params, OSSL_PKEY_PARAM_EC_NAME);
70     if (param_ec_name == NULL) {
71         /* explicit parameters */
72
73         /*
74          * TODO(3.0): should we support explicit parameters curves?
75          */
76         return 0;
77     } else {
78         /* named curve */
79         int curve_nid;
80
81         if (!OSSL_PARAM_get_utf8_string(param_ec_name, &curve_name, 0)
82                 || curve_name == NULL
83                 || (curve_nid = ec_curve_name2nid(curve_name)) == NID_undef)
84             goto err;
85
86         if ((ecg = EC_GROUP_new_by_curve_name_ex(ec_key_get_libctx(ec),
87                                                  curve_nid)) == NULL)
88             goto err;
89     }
90
91     if (!EC_KEY_set_group(ec, ecg))
92         goto err;
93
94     /*
95      * TODO(3.0): if the group has changed, should we invalidate the private and
96      * public key?
97      */
98
99     ok = 1;
100
101  err:
102     OPENSSL_free(curve_name);
103     EC_GROUP_free(ecg);
104     return ok;
105 }
106
107 static ossl_inline
108 int domparams_to_params(const EC_KEY *ec, OSSL_PARAM_BLD *tmpl)
109 {
110     const EC_GROUP *ecg;
111     int curve_nid;
112
113     if (ec == NULL)
114         return 0;
115
116     ecg = EC_KEY_get0_group(ec);
117     if (ecg == NULL)
118         return 0;
119
120     curve_nid = EC_GROUP_get_curve_name(ecg);
121
122     if (curve_nid == NID_undef) {
123         /* explicit parameters */
124
125         /*
126          * TODO(3.0): should we support explicit parameters curves?
127          */
128         return 0;
129     } else {
130         /* named curve */
131         const char *curve_name = NULL;
132
133         if ((curve_name = ec_curve_nid2name(curve_nid)) == NULL)
134             return 0;
135
136         if (!ossl_param_bld_push_utf8_string(tmpl, OSSL_PKEY_PARAM_EC_NAME,
137                                              curve_name, 0))
138             return 0;
139     }
140
141     return 1;
142 }
143
144 /*
145  * Callers of params_to_key MUST make sure that params_to_domparams has been
146  * called before!
147  *
148  * This function only imports the bare keypair, domain parameters and other
149  * parameters are imported separately, and domain parameters are required to
150  * define a keypair.
151  */
152 static ossl_inline
153 int params_to_key(EC_KEY *ec, const OSSL_PARAM params[], int include_private)
154 {
155     const OSSL_PARAM *param_priv_key, *param_pub_key;
156     BN_CTX *ctx = NULL;
157     BIGNUM *priv_key = NULL;
158     unsigned char *pub_key = NULL;
159     size_t pub_key_len;
160     const EC_GROUP *ecg = NULL;
161     EC_POINT *pub_point = NULL;
162     int ok = 0;
163
164     ecg = EC_KEY_get0_group(ec);
165     if (ecg == NULL)
166         return 0;
167
168     param_priv_key =
169         OSSL_PARAM_locate_const(params, OSSL_PKEY_PARAM_PRIV_KEY);
170     param_pub_key =
171         OSSL_PARAM_locate_const(params, OSSL_PKEY_PARAM_PUB_KEY);
172
173     ctx = BN_CTX_new_ex(ec_key_get_libctx(ec));
174     if (ctx == NULL)
175         goto err;
176     /*
177      * We want to have at least a public key either way, so we end up
178      * requiring it unconditionally.
179      */
180     if (param_pub_key == NULL
181             || !OSSL_PARAM_get_octet_string(param_pub_key,
182                                             (void **)&pub_key, 0, &pub_key_len)
183             || (pub_point = EC_POINT_new(ecg)) == NULL
184             || !EC_POINT_oct2point(ecg, pub_point,
185                                    pub_key, pub_key_len, ctx))
186         goto err;
187
188     if (param_priv_key != NULL && include_private) {
189         int fixed_top;
190         const BIGNUM *order;
191
192         /*
193          * Key import/export should never leak the bit length of the secret
194          * scalar in the key.
195          *
196          * For this reason, on export we use padded BIGNUMs with fixed length.
197          *
198          * When importing we also should make sure that, even if short lived,
199          * the newly created BIGNUM is marked with the BN_FLG_CONSTTIME flag as
200          * soon as possible, so that any processing of this BIGNUM might opt for
201          * constant time implementations in the backend.
202          *
203          * Setting the BN_FLG_CONSTTIME flag alone is never enough, we also have
204          * to preallocate the BIGNUM internal buffer to a fixed public size big
205          * enough that operations performed during the processing never trigger
206          * a realloc which would leak the size of the scalar through memory
207          * accesses.
208          *
209          * Fixed Length
210          * ------------
211          *
212          * The order of the large prime subgroup of the curve is our choice for
213          * a fixed public size, as that is generally the upper bound for
214          * generating a private key in EC cryptosystems and should fit all valid
215          * secret scalars.
216          *
217          * For padding on export we just use the bit length of the order
218          * converted to bytes (rounding up).
219          *
220          * For preallocating the BIGNUM storage we look at the number of "words"
221          * required for the internal representation of the order, and we
222          * preallocate 2 extra "words" in case any of the subsequent processing
223          * might temporarily overflow the order length.
224          */
225         order = EC_GROUP_get0_order(ecg);
226         if (order == NULL || BN_is_zero(order))
227             goto err;
228
229         fixed_top = bn_get_top(order) + 2;
230
231         if ((priv_key = BN_secure_new()) == NULL)
232             goto err;
233         if (bn_wexpand(priv_key, fixed_top) == NULL)
234             goto err;
235         BN_set_flags(priv_key, BN_FLG_CONSTTIME);
236
237         if (!OSSL_PARAM_get_BN(param_priv_key, &priv_key))
238             goto err;
239     }
240
241     if (priv_key != NULL
242             && !EC_KEY_set_private_key(ec, priv_key))
243         goto err;
244
245     if (!EC_KEY_set_public_key(ec, pub_point))
246         goto err;
247
248     ok = 1;
249
250  err:
251     BN_CTX_free(ctx);
252     BN_clear_free(priv_key);
253     OPENSSL_free(pub_key);
254     EC_POINT_free(pub_point);
255     return ok;
256 }
257
258 /*
259  * Callers of key_to_params MUST make sure that domparams_to_params is also
260  * called!
261  *
262  * This function only exports the bare keypair, domain parameters and other
263  * parameters are exported separately.
264  */
265 static ossl_inline
266 int key_to_params(const EC_KEY *eckey, OSSL_PARAM_BLD *tmpl, int include_private)
267 {
268     const BIGNUM *priv_key = NULL;
269     const EC_POINT *pub_point = NULL;
270     const EC_GROUP *ecg = NULL;
271     unsigned char *pub_key = NULL;
272     size_t pub_key_len = 0;
273     int ret = 0;
274
275     if (eckey == NULL)
276         return 0;
277
278     ecg = EC_KEY_get0_group(eckey);
279     priv_key = EC_KEY_get0_private_key(eckey);
280     pub_point = EC_KEY_get0_public_key(eckey);
281
282     /* group and public_key must be present, priv_key is optional */
283     if (ecg == NULL || pub_point == NULL)
284         return 0;
285     if ((pub_key_len = EC_POINT_point2buf(ecg, pub_point,
286                                           POINT_CONVERSION_COMPRESSED,
287                                           &pub_key, NULL)) == 0)
288         return 0;
289
290     if (!ossl_param_bld_push_octet_string(tmpl,
291                                           OSSL_PKEY_PARAM_PUB_KEY,
292                                           pub_key, pub_key_len))
293         goto err;
294
295     if (priv_key != NULL && include_private) {
296         size_t sz;
297         int ecbits;
298
299         /*
300          * Key import/export should never leak the bit length of the secret
301          * scalar in the key.
302          *
303          * For this reason, on export we use padded BIGNUMs with fixed length.
304          *
305          * When importing we also should make sure that, even if short lived,
306          * the newly created BIGNUM is marked with the BN_FLG_CONSTTIME flag as
307          * soon as possible, so that any processing of this BIGNUM might opt for
308          * constant time implementations in the backend.
309          *
310          * Setting the BN_FLG_CONSTTIME flag alone is never enough, we also have
311          * to preallocate the BIGNUM internal buffer to a fixed public size big
312          * enough that operations performed during the processing never trigger
313          * a realloc which would leak the size of the scalar through memory
314          * accesses.
315          *
316          * Fixed Length
317          * ------------
318          *
319          * The order of the large prime subgroup of the curve is our choice for
320          * a fixed public size, as that is generally the upper bound for
321          * generating a private key in EC cryptosystems and should fit all valid
322          * secret scalars.
323          *
324          * For padding on export we just use the bit length of the order
325          * converted to bytes (rounding up).
326          *
327          * For preallocating the BIGNUM storage we look at the number of "words"
328          * required for the internal representation of the order, and we
329          * preallocate 2 extra "words" in case any of the subsequent processing
330          * might temporarily overflow the order length.
331          */
332         ecbits = EC_GROUP_order_bits(ecg);
333         if (ecbits <= 0)
334             goto err;
335         sz = (ecbits + 7 ) / 8;
336         if (!ossl_param_bld_push_BN_pad(tmpl,
337                                         OSSL_PKEY_PARAM_PRIV_KEY,
338                                         priv_key, sz))
339             goto err;
340     }
341
342     ret = 1;
343
344  err:
345     OPENSSL_free(pub_key);
346     return ret;
347 }
348
349 static ossl_inline
350 int ec_set_param_ecdh_cofactor_mode(EC_KEY *ec, const OSSL_PARAM *p)
351 {
352     const EC_GROUP *ecg = EC_KEY_get0_group(ec);
353     const BIGNUM *cofactor;
354     int mode;
355
356     if (!OSSL_PARAM_get_int(p, &mode))
357         return 0;
358
359     /*
360      * mode can be only 0 for disable, or 1 for enable here.
361      *
362      * This is in contrast with the same parameter on an ECDH EVP_PKEY_CTX that
363      * also supports mode == -1 with the meaning of "reset to the default for
364      * the associated key".
365      */
366     if (mode < 0 || mode > 1)
367         return 0;
368
369     if ((cofactor = EC_GROUP_get0_cofactor(ecg)) == NULL )
370         return 0;
371
372     /* ECDH cofactor mode has no effect if cofactor is 1 */
373     if (BN_is_one(cofactor))
374         return 1;
375
376     if (mode == 1)
377         EC_KEY_set_flags(ec, EC_FLAG_COFACTOR_ECDH);
378     else if (mode == 0)
379         EC_KEY_clear_flags(ec, EC_FLAG_COFACTOR_ECDH);
380
381     return 1;
382 }
383
384 static ossl_inline
385 int params_to_otherparams(EC_KEY *ec, const OSSL_PARAM params[])
386 {
387     const OSSL_PARAM *p;
388
389     if (ec == NULL)
390         return 0;
391
392     p = OSSL_PARAM_locate_const(params, OSSL_PKEY_PARAM_USE_COFACTOR_ECDH);
393     if (p != NULL && !ec_set_param_ecdh_cofactor_mode(ec, p))
394         return 0;
395
396     return 1;
397 }
398
399 static ossl_inline
400 int otherparams_to_params(const EC_KEY *ec, OSSL_PARAM_BLD *tmpl)
401 {
402     int ecdh_cofactor_mode = 0;
403
404     if (ec == NULL)
405         return 0;
406
407     ecdh_cofactor_mode =
408         (EC_KEY_get_flags(ec) & EC_FLAG_COFACTOR_ECDH) ? 1 : 0;
409     if (!ossl_param_bld_push_int(tmpl,
410                 OSSL_PKEY_PARAM_USE_COFACTOR_ECDH,
411                 ecdh_cofactor_mode))
412         return 0;
413
414     return 1;
415 }
416
417 static
418 void *ec_newdata(void *provctx)
419 {
420     return EC_KEY_new_ex(PROV_LIBRARY_CONTEXT_OF(provctx));
421 }
422
423 static
424 void ec_freedata(void *keydata)
425 {
426     EC_KEY_free(keydata);
427 }
428
429 static
430 int ec_has(void *keydata, int selection)
431 {
432     EC_KEY *ec = keydata;
433     int ok = 0;
434
435     if (ec != NULL) {
436         if ((selection & EC_POSSIBLE_SELECTIONS) != 0)
437             ok = 1;
438
439         if ((selection & OSSL_KEYMGMT_SELECT_PUBLIC_KEY) != 0)
440             ok = ok && (EC_KEY_get0_public_key(ec) != NULL);
441         if ((selection & OSSL_KEYMGMT_SELECT_PRIVATE_KEY) != 0)
442             ok = ok && (EC_KEY_get0_private_key(ec) != NULL);
443         if ((selection & OSSL_KEYMGMT_SELECT_DOMAIN_PARAMETERS) != 0)
444             ok = ok && (EC_KEY_get0_group(ec) != NULL);
445         /*
446          * We consider OSSL_KEYMGMT_SELECT_OTHER_PARAMETERS to always be
447          * available, so no extra check is needed other than the previous one
448          * against EC_POSSIBLE_SELECTIONS.
449          */
450     }
451     return ok;
452 }
453
454 static int ec_match(const void *keydata1, const void *keydata2, int selection)
455 {
456     const EC_KEY *ec1 = keydata1;
457     const EC_KEY *ec2 = keydata2;
458     const EC_GROUP *group_a = EC_KEY_get0_group(ec1);
459     const EC_GROUP *group_b = EC_KEY_get0_group(ec2);
460     int ok = 1;
461
462     if ((selection & OSSL_KEYMGMT_SELECT_DOMAIN_PARAMETERS) != 0)
463         ok = ok && group_a != NULL && group_b != NULL
464             && EC_GROUP_cmp(group_a, group_b, NULL) == 0;
465     if ((selection & OSSL_KEYMGMT_SELECT_PRIVATE_KEY) != 0) {
466         const BIGNUM *pa = EC_KEY_get0_private_key(ec1);
467         const BIGNUM *pb = EC_KEY_get0_private_key(ec2);
468
469         ok = ok && BN_cmp(pa, pb) == 0;
470     }
471     if ((selection & OSSL_KEYMGMT_SELECT_PUBLIC_KEY) != 0) {
472         const EC_POINT *pa = EC_KEY_get0_public_key(ec1);
473         const EC_POINT *pb = EC_KEY_get0_public_key(ec2);
474
475         ok = ok && EC_POINT_cmp(group_b, pa, pb, NULL);
476     }
477     return ok;
478 }
479
480 static
481 int ec_import(void *keydata, int selection, const OSSL_PARAM params[])
482 {
483     EC_KEY *ec = keydata;
484     int ok = 1;
485
486     if (ec == NULL)
487         return 0;
488
489     /*
490      * In this implementation, we can export/import only keydata in the
491      * following combinations:
492      *   - domain parameters only
493      *   - public key with associated domain parameters (+optional other params)
494      *   - private key with associated public key and domain parameters
495      *         (+optional other params)
496      *
497      * This means:
498      *   - domain parameters must always be requested
499      *   - private key must be requested alongside public key
500      *   - other parameters must be requested only alongside a key
501      */
502     if ((selection & OSSL_KEYMGMT_SELECT_DOMAIN_PARAMETERS) == 0)
503         return 0;
504     if ((selection & OSSL_KEYMGMT_SELECT_PRIVATE_KEY) != 0
505             && (selection & OSSL_KEYMGMT_SELECT_PUBLIC_KEY) == 0)
506         return 0;
507     if ((selection & OSSL_KEYMGMT_SELECT_OTHER_PARAMETERS) != 0
508             && (selection & OSSL_KEYMGMT_SELECT_KEYPAIR) == 0)
509         return 0;
510
511     if ((selection & OSSL_KEYMGMT_SELECT_DOMAIN_PARAMETERS) != 0)
512         ok = ok && params_to_domparams(ec, params);
513     if ((selection & OSSL_KEYMGMT_SELECT_KEYPAIR) != 0) {
514         int include_private =
515             selection & OSSL_KEYMGMT_SELECT_PRIVATE_KEY ? 1 : 0;
516
517         ok = ok && params_to_key(ec, params, include_private);
518     }
519     if ((selection & OSSL_KEYMGMT_SELECT_OTHER_PARAMETERS) != 0)
520         ok = ok && params_to_otherparams(ec, params);
521
522     return ok;
523 }
524
525 static
526 int ec_export(void *keydata, int selection, OSSL_CALLBACK *param_cb,
527               void *cbarg)
528 {
529     EC_KEY *ec = keydata;
530     OSSL_PARAM_BLD tmpl;
531     OSSL_PARAM *params = NULL;
532     int ok = 1;
533
534     if (ec == NULL)
535         return 0;
536
537     /*
538      * In this implementation, we can export/import only keydata in the
539      * following combinations:
540      *   - domain parameters only
541      *   - public key with associated domain parameters (+optional other params)
542      *   - private key with associated public key and domain parameters
543      *         (+optional other params)
544      *
545      * This means:
546      *   - domain parameters must always be requested
547      *   - private key must be requested alongside public key
548      *   - other parameters must be requested only alongside a key
549      */
550     if ((selection & OSSL_KEYMGMT_SELECT_DOMAIN_PARAMETERS) == 0)
551         return 0;
552     if ((selection & OSSL_KEYMGMT_SELECT_PRIVATE_KEY) != 0
553             && (selection & OSSL_KEYMGMT_SELECT_PUBLIC_KEY) == 0)
554         return 0;
555     if ((selection & OSSL_KEYMGMT_SELECT_OTHER_PARAMETERS) != 0
556             && (selection & OSSL_KEYMGMT_SELECT_KEYPAIR) == 0)
557         return 0;
558
559     ossl_param_bld_init(&tmpl);
560
561     if ((selection & OSSL_KEYMGMT_SELECT_DOMAIN_PARAMETERS) != 0)
562         ok = ok && domparams_to_params(ec, &tmpl);
563     if ((selection & OSSL_KEYMGMT_SELECT_KEYPAIR) != 0) {
564         int include_private =
565             selection & OSSL_KEYMGMT_SELECT_PRIVATE_KEY ? 1 : 0;
566
567         ok = ok && key_to_params(ec, &tmpl, include_private);
568     }
569     if ((selection & OSSL_KEYMGMT_SELECT_OTHER_PARAMETERS) != 0)
570         ok = ok && otherparams_to_params(ec, &tmpl);
571
572     if (!ok
573         || (params = ossl_param_bld_to_param(&tmpl)) == NULL)
574         return 0;
575
576     ok = param_cb(params, cbarg);
577     ossl_param_bld_free(params);
578     return ok;
579 }
580
581 /* IMEXPORT = IMPORT + EXPORT */
582
583 # define EC_IMEXPORTABLE_DOM_PARAMETERS                          \
584     OSSL_PARAM_utf8_string(OSSL_PKEY_PARAM_EC_NAME, NULL, 0)
585 # define EC_IMEXPORTABLE_PUBLIC_KEY                              \
586     OSSL_PARAM_octet_string(OSSL_PKEY_PARAM_PUB_KEY, NULL, 0)
587 # define EC_IMEXPORTABLE_PRIVATE_KEY                             \
588     OSSL_PARAM_BN(OSSL_PKEY_PARAM_PRIV_KEY, NULL, 0)
589 # define EC_IMEXPORTABLE_OTHER_PARAMETERS                        \
590     OSSL_PARAM_int(OSSL_PKEY_PARAM_USE_COFACTOR_ECDH, NULL)
591
592 /*
593  * Include all the possible combinations of OSSL_PARAM arrays for
594  * ec_imexport_types().
595  *
596  * They are in a separate file as it is ~100 lines of unreadable and
597  * uninteresting machine generated stuff.
598  *
599  * TODO(3.0): the generated list looks quite ugly, as to cover all possible
600  * combinations of the bits in `selection`, it also includes combinations that
601  * are not really useful: we might want to consider alternatives to this
602  * solution.
603  */
604 #include "ec_kmgmt_imexport.inc"
605
606 static ossl_inline
607 const OSSL_PARAM *ec_imexport_types(int selection)
608 {
609     int type_select = 0;
610
611     if ((selection & OSSL_KEYMGMT_SELECT_PRIVATE_KEY) != 0)
612         type_select += 1;
613     if ((selection & OSSL_KEYMGMT_SELECT_PUBLIC_KEY) != 0)
614         type_select += 2;
615     if ((selection & OSSL_KEYMGMT_SELECT_DOMAIN_PARAMETERS) != 0)
616         type_select += 4;
617     if ((selection & OSSL_KEYMGMT_SELECT_OTHER_PARAMETERS) != 0)
618         type_select += 8;
619     return ec_types[type_select];
620 }
621
622 static
623 const OSSL_PARAM *ec_import_types(int selection)
624 {
625     return ec_imexport_types(selection);
626 }
627
628 static
629 const OSSL_PARAM *ec_export_types(int selection)
630 {
631     return ec_imexport_types(selection);
632 }
633
634 static
635 int ec_get_params(void *key, OSSL_PARAM params[])
636 {
637     EC_KEY *eck = key;
638     const EC_GROUP *ecg = NULL;
639     OSSL_PARAM *p;
640
641     ecg = EC_KEY_get0_group(eck);
642     if (ecg == NULL)
643         return 0;
644
645     if ((p = OSSL_PARAM_locate(params, OSSL_PKEY_PARAM_MAX_SIZE)) != NULL
646         && !OSSL_PARAM_set_int(p, ECDSA_size(eck)))
647         return 0;
648     if ((p = OSSL_PARAM_locate(params, OSSL_PKEY_PARAM_BITS)) != NULL
649         && !OSSL_PARAM_set_int(p, EC_GROUP_order_bits(ecg)))
650         return 0;
651     if ((p = OSSL_PARAM_locate(params, OSSL_PKEY_PARAM_SECURITY_BITS)) != NULL) {
652         int ecbits, sec_bits;
653
654         ecbits = EC_GROUP_order_bits(ecg);
655
656         /*
657          * The following estimates are based on the values published
658          * in Table 2 of "NIST Special Publication 800-57 Part 1 Revision 4"
659          * at http://dx.doi.org/10.6028/NIST.SP.800-57pt1r4 .
660          *
661          * Note that the above reference explicitly categorizes algorithms in a
662          * discrete set of values {80, 112, 128, 192, 256}, and that it is
663          * relevant only for NIST approved Elliptic Curves, while OpenSSL
664          * applies the same logic also to other curves.
665          *
666          * Classifications produced by other standardazing bodies might differ,
667          * so the results provided for "bits of security" by this provider are
668          * to be considered merely indicative, and it is the users'
669          * responsibility to compare these values against the normative
670          * references that may be relevant for their intent and purposes.
671          */
672         if (ecbits >= 512)
673             sec_bits = 256;
674         else if (ecbits >= 384)
675             sec_bits = 192;
676         else if (ecbits >= 256)
677             sec_bits = 128;
678         else if (ecbits >= 224)
679             sec_bits = 112;
680         else if (ecbits >= 160)
681             sec_bits = 80;
682         else
683             sec_bits = ecbits / 2;
684
685         if (!OSSL_PARAM_set_int(p, sec_bits))
686             return 0;
687     }
688
689     p = OSSL_PARAM_locate(params, OSSL_PKEY_PARAM_USE_COFACTOR_ECDH);
690     if (p != NULL) {
691         int ecdh_cofactor_mode = 0;
692
693         ecdh_cofactor_mode =
694             (EC_KEY_get_flags(eck) & EC_FLAG_COFACTOR_ECDH) ? 1 : 0;
695
696         if (!OSSL_PARAM_set_int(p, ecdh_cofactor_mode))
697             return 0;
698     }
699
700     return 1;
701 }
702
703 static const OSSL_PARAM ec_known_gettable_params[] = {
704     OSSL_PARAM_int(OSSL_PKEY_PARAM_BITS, NULL),
705     OSSL_PARAM_int(OSSL_PKEY_PARAM_SECURITY_BITS, NULL),
706     OSSL_PARAM_int(OSSL_PKEY_PARAM_MAX_SIZE, NULL),
707     OSSL_PARAM_int(OSSL_PKEY_PARAM_USE_COFACTOR_ECDH, NULL),
708     OSSL_PARAM_END
709 };
710
711 static
712 const OSSL_PARAM *ec_gettable_params(void)
713 {
714     return ec_known_gettable_params;
715 }
716
717 static const OSSL_PARAM ec_known_settable_params[] = {
718     OSSL_PARAM_int(OSSL_PKEY_PARAM_USE_COFACTOR_ECDH, NULL),
719     OSSL_PARAM_END
720 };
721
722 static
723 const OSSL_PARAM *ec_settable_params(void)
724 {
725     return ec_known_settable_params;
726 }
727
728 static
729 int ec_set_params(void *key, const OSSL_PARAM params[])
730 {
731     EC_KEY *eck = key;
732     const OSSL_PARAM *p;
733
734     p = OSSL_PARAM_locate_const(params, OSSL_PKEY_PARAM_USE_COFACTOR_ECDH);
735     if (p != NULL && !ec_set_param_ecdh_cofactor_mode(eck, p))
736         return 0;
737
738     return 1;
739 }
740
741 static
742 int ec_validate(void *keydata, int selection)
743 {
744     EC_KEY *eck = keydata;
745     int ok = 0;
746     BN_CTX *ctx = BN_CTX_new_ex(ec_key_get_libctx(eck));
747
748     if (ctx == NULL)
749         return 0;
750
751     if ((selection & EC_POSSIBLE_SELECTIONS) != 0)
752         ok = 1;
753
754     if ((selection & OSSL_KEYMGMT_SELECT_DOMAIN_PARAMETERS) != 0)
755         ok = ok && EC_GROUP_check(EC_KEY_get0_group(eck), ctx);
756
757     if ((selection & OSSL_KEYMGMT_SELECT_PUBLIC_KEY) != 0)
758         ok = ok && ec_key_public_check(eck, ctx);
759
760     if ((selection & OSSL_KEYMGMT_SELECT_PRIVATE_KEY) != 0)
761         ok = ok && ec_key_private_check(eck);
762
763     if ((selection & OSSL_KEYMGMT_SELECT_KEYPAIR) == OSSL_KEYMGMT_SELECT_KEYPAIR)
764         ok = ok && ec_key_pairwise_check(eck, ctx);
765
766     BN_CTX_free(ctx);
767     return ok;
768 }
769
770 const OSSL_DISPATCH ec_keymgmt_functions[] = {
771     { OSSL_FUNC_KEYMGMT_NEW, (void (*)(void))ec_newdata },
772     { OSSL_FUNC_KEYMGMT_FREE, (void (*)(void))ec_freedata },
773     { OSSL_FUNC_KEYMGMT_GET_PARAMS, (void (*) (void))ec_get_params },
774     { OSSL_FUNC_KEYMGMT_GETTABLE_PARAMS, (void (*) (void))ec_gettable_params },
775     { OSSL_FUNC_KEYMGMT_SET_PARAMS, (void (*) (void))ec_set_params },
776     { OSSL_FUNC_KEYMGMT_SETTABLE_PARAMS, (void (*) (void))ec_settable_params },
777     { OSSL_FUNC_KEYMGMT_HAS, (void (*)(void))ec_has },
778     { OSSL_FUNC_KEYMGMT_MATCH, (void (*)(void))ec_match },
779     { OSSL_FUNC_KEYMGMT_VALIDATE, (void (*)(void))ec_validate },
780     { OSSL_FUNC_KEYMGMT_IMPORT, (void (*)(void))ec_import },
781     { OSSL_FUNC_KEYMGMT_IMPORT_TYPES, (void (*)(void))ec_import_types },
782     { OSSL_FUNC_KEYMGMT_EXPORT, (void (*)(void))ec_export },
783     { OSSL_FUNC_KEYMGMT_EXPORT_TYPES, (void (*)(void))ec_export_types },
784     { OSSL_FUNC_KEYMGMT_QUERY_OPERATION_NAME,
785         (void (*)(void))ec_query_operation_name },
786     { 0, NULL }
787 };