Reorganise state machine files
[openssl.git] / ssl / d1_lib.c
1 /* ssl/d1_lib.c */
2 /*
3  * DTLS implementation written by Nagendra Modadugu
4  * (nagendra@cs.stanford.edu) for the OpenSSL project 2005.
5  */
6 /* ====================================================================
7  * Copyright (c) 1999-2005 The OpenSSL Project.  All rights reserved.
8  *
9  * Redistribution and use in source and binary forms, with or without
10  * modification, are permitted provided that the following conditions
11  * are met:
12  *
13  * 1. Redistributions of source code must retain the above copyright
14  *    notice, this list of conditions and the following disclaimer.
15  *
16  * 2. Redistributions in binary form must reproduce the above copyright
17  *    notice, this list of conditions and the following disclaimer in
18  *    the documentation and/or other materials provided with the
19  *    distribution.
20  *
21  * 3. All advertising materials mentioning features or use of this
22  *    software must display the following acknowledgment:
23  *    "This product includes software developed by the OpenSSL Project
24  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
25  *
26  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
27  *    endorse or promote products derived from this software without
28  *    prior written permission. For written permission, please contact
29  *    openssl-core@OpenSSL.org.
30  *
31  * 5. Products derived from this software may not be called "OpenSSL"
32  *    nor may "OpenSSL" appear in their names without prior written
33  *    permission of the OpenSSL Project.
34  *
35  * 6. Redistributions of any form whatsoever must retain the following
36  *    acknowledgment:
37  *    "This product includes software developed by the OpenSSL Project
38  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
39  *
40  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
41  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
43  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
44  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
45  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
46  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
47  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
49  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
50  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
51  * OF THE POSSIBILITY OF SUCH DAMAGE.
52  * ====================================================================
53  *
54  * This product includes cryptographic software written by Eric Young
55  * (eay@cryptsoft.com).  This product includes software written by Tim
56  * Hudson (tjh@cryptsoft.com).
57  *
58  */
59
60 #include <stdio.h>
61 #define USE_SOCKETS
62 #include <openssl/objects.h>
63 #include <openssl/rand.h>
64 #include "ssl_locl.h"
65
66 #if defined(OPENSSL_SYS_VMS)
67 # include <sys/timeb.h>
68 #elif defined(OPENSSL_SYS_NETWARE) && !defined(_WINSOCK2API_)
69 # include <sys/timeval.h>
70 #elif defined(OPENSSL_SYS_VXWORKS)
71 # include <sys/times.h>
72 #elif !defined(OPENSSL_SYS_WIN32)
73 # include <sys/time.h>
74 #endif
75
76 static void get_current_time(struct timeval *t);
77 static int dtls1_set_handshake_header(SSL *s, int type, unsigned long len);
78 static int dtls1_handshake_write(SSL *s);
79 int dtls1_listen(SSL *s, struct sockaddr *client);
80
81 /* XDTLS:  figure out the right values */
82 static const unsigned int g_probable_mtu[] = { 1500, 512, 256 };
83
84 const SSL3_ENC_METHOD DTLSv1_enc_data = {
85     tls1_enc,
86     tls1_mac,
87     tls1_setup_key_block,
88     tls1_generate_master_secret,
89     tls1_change_cipher_state,
90     tls1_final_finish_mac,
91     TLS1_FINISH_MAC_LENGTH,
92     tls1_cert_verify_mac,
93     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
94     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
95     tls1_alert_code,
96     tls1_export_keying_material,
97     SSL_ENC_FLAG_DTLS | SSL_ENC_FLAG_EXPLICIT_IV,
98     DTLS1_HM_HEADER_LENGTH,
99     dtls1_set_handshake_header,
100     dtls1_handshake_write
101 };
102
103 const SSL3_ENC_METHOD DTLSv1_2_enc_data = {
104     tls1_enc,
105     tls1_mac,
106     tls1_setup_key_block,
107     tls1_generate_master_secret,
108     tls1_change_cipher_state,
109     tls1_final_finish_mac,
110     TLS1_FINISH_MAC_LENGTH,
111     tls1_cert_verify_mac,
112     TLS_MD_CLIENT_FINISH_CONST, TLS_MD_CLIENT_FINISH_CONST_SIZE,
113     TLS_MD_SERVER_FINISH_CONST, TLS_MD_SERVER_FINISH_CONST_SIZE,
114     tls1_alert_code,
115     tls1_export_keying_material,
116     SSL_ENC_FLAG_DTLS | SSL_ENC_FLAG_EXPLICIT_IV | SSL_ENC_FLAG_SIGALGS
117         | SSL_ENC_FLAG_SHA256_PRF | SSL_ENC_FLAG_TLS1_2_CIPHERS,
118     DTLS1_HM_HEADER_LENGTH,
119     dtls1_set_handshake_header,
120     dtls1_handshake_write
121 };
122
123 long dtls1_default_timeout(void)
124 {
125     /*
126      * 2 hours, the 24 hours mentioned in the DTLSv1 spec is way too long for
127      * http, the cache would over fill
128      */
129     return (60 * 60 * 2);
130 }
131
132 int dtls1_new(SSL *s)
133 {
134     DTLS1_STATE *d1;
135
136     if (!DTLS_RECORD_LAYER_new(&s->rlayer)) {
137         return 0;
138     }
139     
140     if (!ssl3_new(s))
141         return (0);
142     if ((d1 = OPENSSL_zalloc(sizeof(*d1))) == NULL) {
143         ssl3_free(s);
144         return (0);
145     }
146
147     d1->buffered_messages = pqueue_new();
148     d1->sent_messages = pqueue_new();
149
150     if (s->server) {
151         d1->cookie_len = sizeof(s->d1->cookie);
152     }
153
154     d1->link_mtu = 0;
155     d1->mtu = 0;
156
157     if (!d1->buffered_messages || !d1->sent_messages) {
158         pqueue_free(d1->buffered_messages);
159         pqueue_free(d1->sent_messages);
160         OPENSSL_free(d1);
161         ssl3_free(s);
162         return (0);
163     }
164
165     s->d1 = d1;
166     s->method->ssl_clear(s);
167     return (1);
168 }
169
170 static void dtls1_clear_queues(SSL *s)
171 {
172     pitem *item = NULL;
173     hm_fragment *frag = NULL;
174
175     while ((item = pqueue_pop(s->d1->buffered_messages)) != NULL) {
176         frag = (hm_fragment *)item->data;
177         dtls1_hm_fragment_free(frag);
178         pitem_free(item);
179     }
180
181     while ((item = pqueue_pop(s->d1->sent_messages)) != NULL) {
182         frag = (hm_fragment *)item->data;
183         dtls1_hm_fragment_free(frag);
184         pitem_free(item);
185     }
186 }
187
188 void dtls1_free(SSL *s)
189 {
190     DTLS_RECORD_LAYER_free(&s->rlayer);
191
192     ssl3_free(s);
193
194     dtls1_clear_queues(s);
195
196     pqueue_free(s->d1->buffered_messages);
197     pqueue_free(s->d1->sent_messages);
198
199     OPENSSL_free(s->d1);
200     s->d1 = NULL;
201 }
202
203 void dtls1_clear(SSL *s)
204 {
205     pqueue buffered_messages;
206     pqueue sent_messages;
207     unsigned int mtu;
208     unsigned int link_mtu;
209
210     DTLS_RECORD_LAYER_clear(&s->rlayer);
211
212     if (s->d1) {
213         buffered_messages = s->d1->buffered_messages;
214         sent_messages = s->d1->sent_messages;
215         mtu = s->d1->mtu;
216         link_mtu = s->d1->link_mtu;
217
218         dtls1_clear_queues(s);
219
220         memset(s->d1, 0, sizeof(*s->d1));
221
222         if (s->server) {
223             s->d1->cookie_len = sizeof(s->d1->cookie);
224         }
225
226         if (SSL_get_options(s) & SSL_OP_NO_QUERY_MTU) {
227             s->d1->mtu = mtu;
228             s->d1->link_mtu = link_mtu;
229         }
230
231         s->d1->buffered_messages = buffered_messages;
232         s->d1->sent_messages = sent_messages;
233     }
234
235     ssl3_clear(s);
236     if (s->options & SSL_OP_CISCO_ANYCONNECT)
237         s->client_version = s->version = DTLS1_BAD_VER;
238     else if (s->method->version == DTLS_ANY_VERSION)
239         s->version = DTLS1_2_VERSION;
240     else
241         s->version = s->method->version;
242 }
243
244 long dtls1_ctrl(SSL *s, int cmd, long larg, void *parg)
245 {
246     int ret = 0;
247
248     switch (cmd) {
249     case DTLS_CTRL_GET_TIMEOUT:
250         if (dtls1_get_timeout(s, (struct timeval *)parg) != NULL) {
251             ret = 1;
252         }
253         break;
254     case DTLS_CTRL_HANDLE_TIMEOUT:
255         ret = dtls1_handle_timeout(s);
256         break;
257     case DTLS_CTRL_LISTEN:
258         ret = dtls1_listen(s, parg);
259         break;
260     case SSL_CTRL_CHECK_PROTO_VERSION:
261         /*
262          * For library-internal use; checks that the current protocol is the
263          * highest enabled version (according to s->ctx->method, as version
264          * negotiation may have changed s->method).
265          */
266         if (s->version == s->ctx->method->version)
267             return 1;
268         /*
269          * Apparently we're using a version-flexible SSL_METHOD (not at its
270          * highest protocol version).
271          */
272         if (s->ctx->method->version == DTLS_method()->version) {
273 #if DTLS_MAX_VERSION != DTLS1_2_VERSION
274 # error Code needs update for DTLS_method() support beyond DTLS1_2_VERSION.
275 #endif
276             if (!(s->options & SSL_OP_NO_DTLSv1_2))
277                 return s->version == DTLS1_2_VERSION;
278             if (!(s->options & SSL_OP_NO_DTLSv1))
279                 return s->version == DTLS1_VERSION;
280         }
281         return 0;               /* Unexpected state; fail closed. */
282     case DTLS_CTRL_SET_LINK_MTU:
283         if (larg < (long)dtls1_link_min_mtu())
284             return 0;
285         s->d1->link_mtu = larg;
286         return 1;
287     case DTLS_CTRL_GET_LINK_MIN_MTU:
288         return (long)dtls1_link_min_mtu();
289     case SSL_CTRL_SET_MTU:
290         /*
291          *  We may not have a BIO set yet so can't call dtls1_min_mtu()
292          *  We'll have to make do with dtls1_link_min_mtu() and max overhead
293          */
294         if (larg < (long)dtls1_link_min_mtu() - DTLS1_MAX_MTU_OVERHEAD)
295             return 0;
296         s->d1->mtu = larg;
297         return larg;
298     default:
299         ret = ssl3_ctrl(s, cmd, larg, parg);
300         break;
301     }
302     return (ret);
303 }
304
305 /*
306  * As it's impossible to use stream ciphers in "datagram" mode, this
307  * simple filter is designed to disengage them in DTLS. Unfortunately
308  * there is no universal way to identify stream SSL_CIPHER, so we have
309  * to explicitly list their SSL_* codes. Currently RC4 is the only one
310  * available, but if new ones emerge, they will have to be added...
311  */
312 const SSL_CIPHER *dtls1_get_cipher(unsigned int u)
313 {
314     const SSL_CIPHER *ciph = ssl3_get_cipher(u);
315
316     if (ciph != NULL) {
317         if (ciph->algorithm_enc == SSL_RC4)
318             return NULL;
319     }
320
321     return ciph;
322 }
323
324 void dtls1_start_timer(SSL *s)
325 {
326 #ifndef OPENSSL_NO_SCTP
327     /* Disable timer for SCTP */
328     if (BIO_dgram_is_sctp(SSL_get_wbio(s))) {
329         memset(&s->d1->next_timeout, 0, sizeof(s->d1->next_timeout));
330         return;
331     }
332 #endif
333
334     /* If timer is not set, initialize duration with 1 second */
335     if (s->d1->next_timeout.tv_sec == 0 && s->d1->next_timeout.tv_usec == 0) {
336         s->d1->timeout_duration = 1;
337     }
338
339     /* Set timeout to current time */
340     get_current_time(&(s->d1->next_timeout));
341
342     /* Add duration to current time */
343     s->d1->next_timeout.tv_sec += s->d1->timeout_duration;
344     BIO_ctrl(SSL_get_rbio(s), BIO_CTRL_DGRAM_SET_NEXT_TIMEOUT, 0,
345              &(s->d1->next_timeout));
346 }
347
348 struct timeval *dtls1_get_timeout(SSL *s, struct timeval *timeleft)
349 {
350     struct timeval timenow;
351
352     /* If no timeout is set, just return NULL */
353     if (s->d1->next_timeout.tv_sec == 0 && s->d1->next_timeout.tv_usec == 0) {
354         return NULL;
355     }
356
357     /* Get current time */
358     get_current_time(&timenow);
359
360     /* If timer already expired, set remaining time to 0 */
361     if (s->d1->next_timeout.tv_sec < timenow.tv_sec ||
362         (s->d1->next_timeout.tv_sec == timenow.tv_sec &&
363          s->d1->next_timeout.tv_usec <= timenow.tv_usec)) {
364         memset(timeleft, 0, sizeof(*timeleft));
365         return timeleft;
366     }
367
368     /* Calculate time left until timer expires */
369     memcpy(timeleft, &(s->d1->next_timeout), sizeof(struct timeval));
370     timeleft->tv_sec -= timenow.tv_sec;
371     timeleft->tv_usec -= timenow.tv_usec;
372     if (timeleft->tv_usec < 0) {
373         timeleft->tv_sec--;
374         timeleft->tv_usec += 1000000;
375     }
376
377     /*
378      * If remaining time is less than 15 ms, set it to 0 to prevent issues
379      * because of small devergences with socket timeouts.
380      */
381     if (timeleft->tv_sec == 0 && timeleft->tv_usec < 15000) {
382         memset(timeleft, 0, sizeof(*timeleft));
383     }
384
385     return timeleft;
386 }
387
388 int dtls1_is_timer_expired(SSL *s)
389 {
390     struct timeval timeleft;
391
392     /* Get time left until timeout, return false if no timer running */
393     if (dtls1_get_timeout(s, &timeleft) == NULL) {
394         return 0;
395     }
396
397     /* Return false if timer is not expired yet */
398     if (timeleft.tv_sec > 0 || timeleft.tv_usec > 0) {
399         return 0;
400     }
401
402     /* Timer expired, so return true */
403     return 1;
404 }
405
406 void dtls1_double_timeout(SSL *s)
407 {
408     s->d1->timeout_duration *= 2;
409     if (s->d1->timeout_duration > 60)
410         s->d1->timeout_duration = 60;
411     dtls1_start_timer(s);
412 }
413
414 void dtls1_stop_timer(SSL *s)
415 {
416     /* Reset everything */
417     memset(&s->d1->timeout, 0, sizeof(s->d1->timeout));
418     memset(&s->d1->next_timeout, 0, sizeof(s->d1->next_timeout));
419     s->d1->timeout_duration = 1;
420     BIO_ctrl(SSL_get_rbio(s), BIO_CTRL_DGRAM_SET_NEXT_TIMEOUT, 0,
421              &(s->d1->next_timeout));
422     /* Clear retransmission buffer */
423     dtls1_clear_record_buffer(s);
424 }
425
426 int dtls1_check_timeout_num(SSL *s)
427 {
428     unsigned int mtu;
429
430     s->d1->timeout.num_alerts++;
431
432     /* Reduce MTU after 2 unsuccessful retransmissions */
433     if (s->d1->timeout.num_alerts > 2
434         && !(SSL_get_options(s) & SSL_OP_NO_QUERY_MTU)) {
435         mtu =
436             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_GET_FALLBACK_MTU, 0,
437                      NULL);
438         if (mtu < s->d1->mtu)
439             s->d1->mtu = mtu;
440     }
441
442     if (s->d1->timeout.num_alerts > DTLS1_TMO_ALERT_COUNT) {
443         /* fail the connection, enough alerts have been sent */
444         SSLerr(SSL_F_DTLS1_CHECK_TIMEOUT_NUM, SSL_R_READ_TIMEOUT_EXPIRED);
445         return -1;
446     }
447
448     return 0;
449 }
450
451 int dtls1_handle_timeout(SSL *s)
452 {
453     /* if no timer is expired, don't do anything */
454     if (!dtls1_is_timer_expired(s)) {
455         return 0;
456     }
457
458     dtls1_double_timeout(s);
459
460     if (dtls1_check_timeout_num(s) < 0)
461         return -1;
462
463     s->d1->timeout.read_timeouts++;
464     if (s->d1->timeout.read_timeouts > DTLS1_TMO_READ_COUNT) {
465         s->d1->timeout.read_timeouts = 1;
466     }
467 #ifndef OPENSSL_NO_HEARTBEATS
468     if (s->tlsext_hb_pending) {
469         s->tlsext_hb_pending = 0;
470         return dtls1_heartbeat(s);
471     }
472 #endif
473
474     dtls1_start_timer(s);
475     return dtls1_retransmit_buffered_messages(s);
476 }
477
478 static void get_current_time(struct timeval *t)
479 {
480 #if defined(_WIN32)
481     SYSTEMTIME st;
482     union {
483         unsigned __int64 ul;
484         FILETIME ft;
485     } now;
486
487     GetSystemTime(&st);
488     SystemTimeToFileTime(&st, &now.ft);
489 # ifdef  __MINGW32__
490     now.ul -= 116444736000000000ULL;
491 # else
492     now.ul -= 116444736000000000UI64; /* re-bias to 1/1/1970 */
493 # endif
494     t->tv_sec = (long)(now.ul / 10000000);
495     t->tv_usec = ((int)(now.ul % 10000000)) / 10;
496 #elif defined(OPENSSL_SYS_VMS)
497     struct timeb tb;
498     ftime(&tb);
499     t->tv_sec = (long)tb.time;
500     t->tv_usec = (long)tb.millitm * 1000;
501 #else
502     gettimeofday(t, NULL);
503 #endif
504 }
505
506
507 #define LISTEN_SUCCESS              2
508 #define LISTEN_SEND_VERIFY_REQUEST  1
509
510
511 int dtls1_listen(SSL *s, struct sockaddr *client)
512 {
513     int next, n, ret = 0, clearpkt = 0;
514     unsigned char cookie[DTLS1_COOKIE_LENGTH];
515     unsigned char seq[SEQ_NUM_SIZE];
516     unsigned char *data, *p, *buf;
517     unsigned long reclen, fragoff, fraglen, msglen;
518     unsigned int rectype, versmajor, msgseq, msgtype, clientvers, cookielen;
519     BIO *rbio, *wbio;
520     BUF_MEM *bufm;
521     struct sockaddr_storage tmpclient;
522     PACKET pkt, msgpkt, msgpayload, session, cookiepkt;
523
524     /* Ensure there is no state left over from a previous invocation */
525     if (!SSL_clear(s))
526         return -1;
527
528     ERR_clear_error();
529
530     rbio = SSL_get_rbio(s);
531     wbio = SSL_get_wbio(s);
532
533     if(!rbio || !wbio) {
534         SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_BIO_NOT_SET);
535         return -1;
536     }
537
538     /*
539      * We only peek at incoming ClientHello's until we're sure we are going to
540      * to respond with a HelloVerifyRequest. If its a ClientHello with a valid
541      * cookie then we leave it in the BIO for dtls1_accept to handle.
542      */
543     BIO_ctrl(SSL_get_rbio(s), BIO_CTRL_DGRAM_SET_PEEK_MODE, 1, NULL);
544
545     /*
546      * Note: This check deliberately excludes DTLS1_BAD_VER because that version
547      * requires the MAC to be calculated *including* the first ClientHello
548      * (without the cookie). Since DTLSv1_listen is stateless that cannot be
549      * supported. DTLS1_BAD_VER must use cookies in a stateful manner (e.g. via
550      * SSL_accept)
551      */
552     if ((s->version & 0xff00) != (DTLS1_VERSION & 0xff00)) {
553         SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_UNSUPPORTED_SSL_VERSION);
554         return -1;
555     }
556
557     if (s->init_buf == NULL) {
558         if ((bufm = BUF_MEM_new()) == NULL) {
559             SSLerr(SSL_F_DTLS1_LISTEN, ERR_R_MALLOC_FAILURE);
560             return -1;
561         }
562
563         if (!BUF_MEM_grow(bufm, SSL3_RT_MAX_PLAIN_LENGTH)) {
564             BUF_MEM_free(bufm);
565             SSLerr(SSL_F_DTLS1_LISTEN, ERR_R_MALLOC_FAILURE);
566             return -1;
567         }
568         s->init_buf = bufm;
569     }
570     buf = (unsigned char *)s->init_buf->data;
571
572     do {
573         /* Get a packet */
574
575         clear_sys_error();
576         /*
577          * Technically a ClientHello could be SSL3_RT_MAX_PLAIN_LENGTH
578          * + DTLS1_RT_HEADER_LENGTH bytes long. Normally init_buf does not store
579          * the record header as well, but we do here. We've set up init_buf to
580          * be the standard size for simplicity. In practice we shouldn't ever
581          * receive a ClientHello as long as this. If we do it will get dropped
582          * in the record length check below.
583          */
584         n = BIO_read(rbio, buf, SSL3_RT_MAX_PLAIN_LENGTH);
585
586         if (n <= 0) {
587             if(BIO_should_retry(rbio)) {
588                 /* Non-blocking IO */
589                 goto end;
590             }
591             return -1;
592         }
593
594         /* If we hit any problems we need to clear this packet from the BIO */
595         clearpkt = 1;
596
597         if (!PACKET_buf_init(&pkt, buf, n)) {
598             SSLerr(SSL_F_DTLS1_LISTEN, ERR_R_INTERNAL_ERROR);
599             return -1;
600         }
601
602         /*
603          * Parse the received record. If there are any problems with it we just
604          * dump it - with no alert. RFC6347 says this "Unlike TLS, DTLS is
605          * resilient in the face of invalid records (e.g., invalid formatting,
606          * length, MAC, etc.).  In general, invalid records SHOULD be silently
607          * discarded, thus preserving the association; however, an error MAY be
608          * logged for diagnostic purposes."
609          */
610
611         /* this packet contained a partial record, dump it */
612         if (n < DTLS1_RT_HEADER_LENGTH) {
613             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_RECORD_TOO_SMALL);
614             goto end;
615         }
616
617         if (s->msg_callback)
618             s->msg_callback(0, 0, SSL3_RT_HEADER, buf,
619                             DTLS1_RT_HEADER_LENGTH, s, s->msg_callback_arg);
620
621         /* Get the record header */
622         if (!PACKET_get_1(&pkt, &rectype)
623             || !PACKET_get_1(&pkt, &versmajor)) {
624             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_LENGTH_MISMATCH);
625             goto end;
626         }
627
628         if (rectype != SSL3_RT_HANDSHAKE)  {
629             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_UNEXPECTED_MESSAGE);
630             goto end;
631         }
632
633         /*
634          * Check record version number. We only check that the major version is
635          * the same.
636          */
637         if (versmajor != DTLS1_VERSION_MAJOR) {
638             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_BAD_PROTOCOL_VERSION_NUMBER);
639             goto end;
640         }
641
642         if (!PACKET_forward(&pkt, 1)
643             /* Save the sequence number: 64 bits, with top 2 bytes = epoch */
644             || !PACKET_copy_bytes(&pkt, seq, SEQ_NUM_SIZE)
645             || !PACKET_get_length_prefixed_2(&pkt, &msgpkt)
646             || PACKET_remaining(&pkt) != 0) {
647             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_LENGTH_MISMATCH);
648             goto end;
649         }
650
651         /* This is an initial ClientHello so the epoch has to be 0 */
652         if (seq[0] != 0 || seq[1] != 0) {
653             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_UNEXPECTED_MESSAGE);
654             goto end;
655         }
656
657         /* Get a pointer to the raw message for the later callback */
658         data = PACKET_data(&msgpkt);
659
660         /* Finished processing the record header, now process the message */
661         if (!PACKET_get_1(&msgpkt, &msgtype)
662             || !PACKET_get_net_3(&msgpkt, &msglen)
663             || !PACKET_get_net_2(&msgpkt, &msgseq)
664             || !PACKET_get_net_3(&msgpkt, &fragoff)
665             || !PACKET_get_net_3(&msgpkt, &fraglen)
666             || !PACKET_get_sub_packet(&msgpkt, &msgpayload, msglen)
667             || PACKET_remaining(&msgpkt) != 0) {
668             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_LENGTH_MISMATCH);
669             goto end;
670         }
671
672         if (msgtype != SSL3_MT_CLIENT_HELLO) {
673             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_UNEXPECTED_MESSAGE);
674             goto end;
675         }
676
677         /* Message sequence number can only be 0 or 1 */
678         if(msgseq > 2) {
679             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_INVALID_SEQUENCE_NUMBER);
680             goto end;
681         }
682
683         /* We don't support a fragmented ClientHello whilst listening */
684         if (fragoff != 0 || fraglen != msglen) {
685             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_FRAGMENTED_CLIENT_HELLO);
686             goto end;
687         }
688
689         if (s->msg_callback)
690             s->msg_callback(0, s->version, SSL3_RT_HANDSHAKE, data,
691                             msglen + DTLS1_HM_HEADER_LENGTH, s,
692                             s->msg_callback_arg);
693
694         if (!PACKET_get_net_2(&msgpayload, &clientvers)) {
695             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_LENGTH_MISMATCH);
696             goto end;
697         }
698
699         /*
700          * Verify client version is supported
701          */
702         if ((clientvers > (unsigned int)s->method->version &&
703                               s->method->version != DTLS_ANY_VERSION)) {
704             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_WRONG_VERSION_NUMBER);
705             goto end;
706         }
707
708         if (!PACKET_forward(&msgpayload, SSL3_RANDOM_SIZE)
709             || !PACKET_get_length_prefixed_1(&msgpayload, &session)
710             || !PACKET_get_length_prefixed_1(&msgpayload, &cookiepkt)) {
711             SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_LENGTH_MISMATCH);
712             goto end;
713         }
714
715         /*
716          * Check if we have a cookie or not. If not we need to send a
717          * HelloVerifyRequest.
718          */
719         if (PACKET_remaining(&cookiepkt) == 0) {
720             next = LISTEN_SEND_VERIFY_REQUEST;
721         } else {
722             /*
723              * We have a cookie, so lets check it.
724              */
725             if (s->ctx->app_verify_cookie_cb == NULL) {
726                 SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_NO_VERIFY_COOKIE_CALLBACK);
727                 /* This is fatal */
728                 return -1;
729             }
730             if (s->ctx->app_verify_cookie_cb(s, PACKET_data(&cookiepkt),
731                                              PACKET_remaining(&cookiepkt)) ==
732                 0) {
733                 /*
734                  * We treat invalid cookies in the same was as no cookie as
735                  * per RFC6347
736                  */
737                 next = LISTEN_SEND_VERIFY_REQUEST;
738             } else {
739                 /* Cookie verification succeeded */
740                 next = LISTEN_SUCCESS;
741             }
742         }
743
744         if (next == LISTEN_SEND_VERIFY_REQUEST) {
745             /*
746              * There was no cookie in the ClientHello so we need to send a
747              * HelloVerifyRequest. If this fails we do not worry about trying
748              * to resend, we just drop it.
749              */
750
751             /*
752              * Dump the read packet, we don't need it any more. Ignore return
753              * value
754              */
755             BIO_ctrl(SSL_get_rbio(s), BIO_CTRL_DGRAM_SET_PEEK_MODE, 0, NULL);
756             BIO_read(rbio, buf, SSL3_RT_MAX_PLAIN_LENGTH);
757             BIO_ctrl(SSL_get_rbio(s), BIO_CTRL_DGRAM_SET_PEEK_MODE, 1, NULL);
758
759             /* Generate the cookie */
760             if (s->ctx->app_gen_cookie_cb == NULL ||
761                 s->ctx->app_gen_cookie_cb(s, cookie, &cookielen) == 0 ||
762                 cookielen > 255) {
763                 SSLerr(SSL_F_DTLS1_LISTEN, SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
764                 /* This is fatal */
765                 return -1;
766             }
767
768             p = &buf[DTLS1_RT_HEADER_LENGTH];
769             msglen = dtls_raw_hello_verify_request(p + DTLS1_HM_HEADER_LENGTH,
770                                                    cookie, cookielen);
771
772             *p++ = DTLS1_MT_HELLO_VERIFY_REQUEST;
773
774             /* Message length */
775             l2n3(msglen, p);
776
777             /* Message sequence number is always 0 for a HelloVerifyRequest */
778             s2n(0, p);
779
780             /*
781              * We never fragment a HelloVerifyRequest, so fragment offset is 0
782              * and fragment length is message length
783              */
784             l2n3(0, p);
785             l2n3(msglen, p);
786
787             /* Set reclen equal to length of whole handshake message */
788             reclen = msglen + DTLS1_HM_HEADER_LENGTH;
789
790             /* Add the record header */
791             p = buf;
792
793             *(p++) = SSL3_RT_HANDSHAKE;
794             /*
795              * Special case: for hello verify request, client version 1.0 and we
796              * haven't decided which version to use yet send back using version
797              * 1.0 header: otherwise some clients will ignore it.
798              */
799             if (s->method->version == DTLS_ANY_VERSION) {
800                 *(p++) = DTLS1_VERSION >> 8;
801                 *(p++) = DTLS1_VERSION & 0xff;
802             } else {
803                 *(p++) = s->version >> 8;
804                 *(p++) = s->version & 0xff;
805             }
806
807             /*
808              * Record sequence number is always the same as in the received
809              * ClientHello
810              */
811             memcpy(p, seq, SEQ_NUM_SIZE);
812             p += SEQ_NUM_SIZE;
813
814             /* Length */
815             s2n(reclen, p);
816
817             /*
818              * Set reclen equal to length of whole record including record
819              * header
820              */
821             reclen += DTLS1_RT_HEADER_LENGTH;
822
823             if (s->msg_callback)
824                 s->msg_callback(1, 0, SSL3_RT_HEADER, buf,
825                                 DTLS1_RT_HEADER_LENGTH, s, s->msg_callback_arg);
826
827             /*
828              * This is unneccessary if rbio and wbio are one and the same - but
829              * maybe they're not.
830              */
831             if(BIO_dgram_get_peer(rbio, &tmpclient) <= 0
832                || BIO_dgram_set_peer(wbio, &tmpclient) <= 0) {
833                 SSLerr(SSL_F_DTLS1_LISTEN, ERR_R_INTERNAL_ERROR);
834                 goto end;
835             }
836
837             if (BIO_write(wbio, buf, reclen) < (int)reclen) {
838                 if(BIO_should_retry(wbio)) {
839                     /*
840                      * Non-blocking IO...but we're stateless, so we're just
841                      * going to drop this packet.
842                      */
843                     goto end;
844                 }
845                 return -1;
846             }
847
848             if (BIO_flush(wbio) <= 0) {
849                 if(BIO_should_retry(wbio)) {
850                     /*
851                      * Non-blocking IO...but we're stateless, so we're just
852                      * going to drop this packet.
853                      */
854                     goto end;
855                 }
856                 return -1;
857             }
858         }
859     } while (next != LISTEN_SUCCESS);
860
861     /*
862      * Set expected sequence numbers to continue the handshake.
863      */
864     s->d1->handshake_read_seq = 1;
865     s->d1->handshake_write_seq = 1;
866     s->d1->next_handshake_write_seq = 1;
867     DTLS_RECORD_LAYER_set_write_sequence(&s->rlayer, seq);
868
869     /*
870      * We are doing cookie exchange, so make sure we set that option in the
871      * SSL object
872      */
873     SSL_set_options(s, SSL_OP_COOKIE_EXCHANGE);
874
875     /* Put us into the "init" state so that we don't get our state cleared */
876     statem_set_in_init(s, 1);
877
878     if(BIO_dgram_get_peer(rbio, client) <= 0) {
879         SSLerr(SSL_F_DTLS1_LISTEN, ERR_R_INTERNAL_ERROR);
880         return -1;
881     }
882
883     ret = 1;
884     clearpkt = 0;
885 end:
886     BIO_ctrl(SSL_get_rbio(s), BIO_CTRL_DGRAM_SET_PEEK_MODE, 0, NULL);
887     if (clearpkt) {
888         /* Dump this packet. Ignore return value */
889         BIO_read(rbio, buf, SSL3_RT_MAX_PLAIN_LENGTH);
890     }
891     return ret;
892 }
893
894 static int dtls1_set_handshake_header(SSL *s, int htype, unsigned long len)
895 {
896     unsigned char *p = (unsigned char *)s->init_buf->data;
897     dtls1_set_message_header(s, p, htype, len, 0, len);
898     s->init_num = (int)len + DTLS1_HM_HEADER_LENGTH;
899     s->init_off = 0;
900     /* Buffer the message to handle re-xmits */
901
902     if (!dtls1_buffer_message(s, 0))
903         return 0;
904
905     return 1;
906 }
907
908 static int dtls1_handshake_write(SSL *s)
909 {
910     return dtls1_do_write(s, SSL3_RT_HANDSHAKE);
911 }
912
913 #ifndef OPENSSL_NO_HEARTBEATS
914 int dtls1_process_heartbeat(SSL *s, unsigned char *p, unsigned int length)
915 {
916     unsigned char *pl;
917     unsigned short hbtype;
918     unsigned int payload;
919     unsigned int padding = 16;  /* Use minimum padding */
920
921     if (s->msg_callback)
922         s->msg_callback(0, s->version, TLS1_RT_HEARTBEAT,
923                         p, length, s, s->msg_callback_arg);
924
925     /* Read type and payload length first */
926     if (1 + 2 + 16 > length)
927         return 0;               /* silently discard */
928     if (length > SSL3_RT_MAX_PLAIN_LENGTH)
929         return 0;               /* silently discard per RFC 6520 sec. 4 */
930
931     hbtype = *p++;
932     n2s(p, payload);
933     if (1 + 2 + payload + 16 > length)
934         return 0;               /* silently discard per RFC 6520 sec. 4 */
935     pl = p;
936
937     if (hbtype == TLS1_HB_REQUEST) {
938         unsigned char *buffer, *bp;
939         unsigned int write_length = 1 /* heartbeat type */  +
940             2 /* heartbeat length */  +
941             payload + padding;
942         int r;
943
944         if (write_length > SSL3_RT_MAX_PLAIN_LENGTH)
945             return 0;
946
947         /*
948          * Allocate memory for the response, size is 1 byte message type,
949          * plus 2 bytes payload length, plus payload, plus padding
950          */
951         buffer = OPENSSL_malloc(write_length);
952         if (buffer == NULL)
953             return -1;
954         bp = buffer;
955
956         /* Enter response type, length and copy payload */
957         *bp++ = TLS1_HB_RESPONSE;
958         s2n(payload, bp);
959         memcpy(bp, pl, payload);
960         bp += payload;
961         /* Random padding */
962         if (RAND_bytes(bp, padding) <= 0) {
963             OPENSSL_free(buffer);
964             return -1;
965         }
966
967         r = dtls1_write_bytes(s, TLS1_RT_HEARTBEAT, buffer, write_length);
968
969         if (r >= 0 && s->msg_callback)
970             s->msg_callback(1, s->version, TLS1_RT_HEARTBEAT,
971                             buffer, write_length, s, s->msg_callback_arg);
972
973         OPENSSL_free(buffer);
974
975         if (r < 0)
976             return r;
977     } else if (hbtype == TLS1_HB_RESPONSE) {
978         unsigned int seq;
979
980         /*
981          * We only send sequence numbers (2 bytes unsigned int), and 16
982          * random bytes, so we just try to read the sequence number
983          */
984         n2s(pl, seq);
985
986         if (payload == 18 && seq == s->tlsext_hb_seq) {
987             dtls1_stop_timer(s);
988             s->tlsext_hb_seq++;
989             s->tlsext_hb_pending = 0;
990         }
991     }
992
993     return 0;
994 }
995
996 int dtls1_heartbeat(SSL *s)
997 {
998     unsigned char *buf, *p;
999     int ret = -1;
1000     unsigned int payload = 18;  /* Sequence number + random bytes */
1001     unsigned int padding = 16;  /* Use minimum padding */
1002
1003     /* Only send if peer supports and accepts HB requests... */
1004     if (!(s->tlsext_heartbeat & SSL_TLSEXT_HB_ENABLED) ||
1005         s->tlsext_heartbeat & SSL_TLSEXT_HB_DONT_SEND_REQUESTS) {
1006         SSLerr(SSL_F_DTLS1_HEARTBEAT, SSL_R_TLS_HEARTBEAT_PEER_DOESNT_ACCEPT);
1007         return -1;
1008     }
1009
1010     /* ...and there is none in flight yet... */
1011     if (s->tlsext_hb_pending) {
1012         SSLerr(SSL_F_DTLS1_HEARTBEAT, SSL_R_TLS_HEARTBEAT_PENDING);
1013         return -1;
1014     }
1015
1016     /* ...and no handshake in progress. */
1017     if (SSL_in_init(s) || s->in_handshake) {
1018         SSLerr(SSL_F_DTLS1_HEARTBEAT, SSL_R_UNEXPECTED_MESSAGE);
1019         return -1;
1020     }
1021
1022     /*
1023      * Check if padding is too long, payload and padding must not exceed 2^14
1024      * - 3 = 16381 bytes in total.
1025      */
1026     OPENSSL_assert(payload + padding <= 16381);
1027
1028     /*-
1029      * Create HeartBeat message, we just use a sequence number
1030      * as payload to distuingish different messages and add
1031      * some random stuff.
1032      *  - Message Type, 1 byte
1033      *  - Payload Length, 2 bytes (unsigned int)
1034      *  - Payload, the sequence number (2 bytes uint)
1035      *  - Payload, random bytes (16 bytes uint)
1036      *  - Padding
1037      */
1038     buf = OPENSSL_malloc(1 + 2 + payload + padding);
1039     if (buf == NULL) {
1040         SSLerr(SSL_F_DTLS1_HEARTBEAT, ERR_R_MALLOC_FAILURE);
1041         return -1;
1042     }
1043     p = buf;
1044     /* Message Type */
1045     *p++ = TLS1_HB_REQUEST;
1046     /* Payload length (18 bytes here) */
1047     s2n(payload, p);
1048     /* Sequence number */
1049     s2n(s->tlsext_hb_seq, p);
1050     /* 16 random bytes */
1051     if (RAND_bytes(p, 16) <= 0) {
1052         SSLerr(SSL_F_DTLS1_HEARTBEAT, ERR_R_INTERNAL_ERROR);
1053         goto err;
1054     }
1055     p += 16;
1056     /* Random padding */
1057     if (RAND_bytes(p, padding) <= 0) {
1058         SSLerr(SSL_F_DTLS1_HEARTBEAT, ERR_R_INTERNAL_ERROR);
1059         goto err;
1060     }
1061
1062     ret = dtls1_write_bytes(s, TLS1_RT_HEARTBEAT, buf, 3 + payload + padding);
1063     if (ret >= 0) {
1064         if (s->msg_callback)
1065             s->msg_callback(1, s->version, TLS1_RT_HEARTBEAT,
1066                             buf, 3 + payload + padding,
1067                             s, s->msg_callback_arg);
1068
1069         dtls1_start_timer(s);
1070         s->tlsext_hb_pending = 1;
1071     }
1072
1073  err:
1074     OPENSSL_free(buf);
1075
1076     return ret;
1077 }
1078 #endif
1079
1080 int dtls1_shutdown(SSL *s)
1081 {
1082     int ret;
1083 #ifndef OPENSSL_NO_SCTP
1084     BIO *wbio;
1085
1086     wbio = SSL_get_wbio(s);
1087     if (wbio != NULL && BIO_dgram_is_sctp(wbio) &&
1088         !(s->shutdown & SSL_SENT_SHUTDOWN)) {
1089         ret = BIO_dgram_sctp_wait_for_dry(wbio);
1090         if (ret < 0)
1091             return -1;
1092
1093         if (ret == 0)
1094             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_SAVE_SHUTDOWN, 1,
1095                      NULL);
1096     }
1097 #endif
1098     ret = ssl3_shutdown(s);
1099 #ifndef OPENSSL_NO_SCTP
1100     BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_SAVE_SHUTDOWN, 0, NULL);
1101 #endif
1102     return ret;
1103 }
1104
1105 int dtls1_query_mtu(SSL *s)
1106 {
1107     if (s->d1->link_mtu) {
1108         s->d1->mtu =
1109             s->d1->link_mtu - BIO_dgram_get_mtu_overhead(SSL_get_wbio(s));
1110         s->d1->link_mtu = 0;
1111     }
1112
1113     /* AHA!  Figure out the MTU, and stick to the right size */
1114     if (s->d1->mtu < dtls1_min_mtu(s)) {
1115         if (!(SSL_get_options(s) & SSL_OP_NO_QUERY_MTU)) {
1116             s->d1->mtu =
1117                 BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_QUERY_MTU, 0, NULL);
1118
1119             /*
1120              * I've seen the kernel return bogus numbers when it doesn't know
1121              * (initial write), so just make sure we have a reasonable number
1122              */
1123             if (s->d1->mtu < dtls1_min_mtu(s)) {
1124                 /* Set to min mtu */
1125                 s->d1->mtu = dtls1_min_mtu(s);
1126                 BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SET_MTU,
1127                          s->d1->mtu, NULL);
1128             }
1129         } else
1130             return 0;
1131     }
1132     return 1;
1133 }
1134
1135 unsigned int dtls1_link_min_mtu(void)
1136 {
1137     return (g_probable_mtu[(sizeof(g_probable_mtu) /
1138                             sizeof(g_probable_mtu[0])) - 1]);
1139 }
1140
1141 unsigned int dtls1_min_mtu(SSL *s)
1142 {
1143     return dtls1_link_min_mtu() - BIO_dgram_get_mtu_overhead(SSL_get_wbio(s));
1144 }