Split out PSK preamble and RSA from process CKE code
[openssl.git] / ssl / statem / statem_srvr.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50
51 #include <stdio.h>
52 #include "../ssl_locl.h"
53 #include "statem_locl.h"
54 #include "internal/constant_time_locl.h"
55 #include <openssl/buffer.h>
56 #include <openssl/rand.h>
57 #include <openssl/objects.h>
58 #include <openssl/evp.h>
59 #include <openssl/hmac.h>
60 #include <openssl/x509.h>
61 #include <openssl/dh.h>
62 #include <openssl/bn.h>
63 #include <openssl/md5.h>
64
65 static STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
66                                                       PACKET *cipher_suites,
67                                                       STACK_OF(SSL_CIPHER) **skp,
68                                                       int sslv2format, int *al);
69
70 /*
71  * server_read_transition() encapsulates the logic for the allowed handshake
72  * state transitions when the server is reading messages from the client. The
73  * message type that the client has sent is provided in |mt|. The current state
74  * is in |s->statem.hand_state|.
75  *
76  *  Valid return values are:
77  *  1: Success (transition allowed)
78  *  0: Error (transition not allowed)
79  */
80 int ossl_statem_server_read_transition(SSL *s, int mt)
81 {
82     OSSL_STATEM *st = &s->statem;
83
84     switch(st->hand_state) {
85     case TLS_ST_BEFORE:
86     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
87         if (mt == SSL3_MT_CLIENT_HELLO) {
88             st->hand_state = TLS_ST_SR_CLNT_HELLO;
89             return 1;
90         }
91         break;
92
93     case TLS_ST_SW_SRVR_DONE:
94         /*
95          * If we get a CKE message after a ServerDone then either
96          * 1) We didn't request a Certificate
97          * OR
98          * 2) If we did request one then
99          *      a) We allow no Certificate to be returned
100          *      AND
101          *      b) We are running SSL3 (in TLS1.0+ the client must return a 0
102          *         list if we requested a certificate)
103          */
104         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
105             if (s->s3->tmp.cert_request) {
106                 if (s->version == SSL3_VERSION) {
107                     if ((s->verify_mode & SSL_VERIFY_PEER)
108                         && (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
109                         /*
110                          * This isn't an unexpected message as such - we're just
111                          * not going to accept it because we require a client
112                          * cert.
113                          */
114                         ssl3_send_alert(s, SSL3_AL_FATAL,
115                                         SSL3_AD_HANDSHAKE_FAILURE);
116                         SSLerr(SSL_F_READ_STATE_MACHINE,
117                                SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
118                         return 0;
119                     }
120                     st->hand_state = TLS_ST_SR_KEY_EXCH;
121                     return 1;
122                 }
123             } else {
124                 st->hand_state = TLS_ST_SR_KEY_EXCH;
125                 return 1;
126             }
127         } else if (s->s3->tmp.cert_request) {
128             if (mt == SSL3_MT_CERTIFICATE) {
129                 st->hand_state = TLS_ST_SR_CERT;
130                 return 1;
131             }
132         }
133         break;
134
135     case TLS_ST_SR_CERT:
136         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
137             st->hand_state = TLS_ST_SR_KEY_EXCH;
138             return 1;
139         }
140         break;
141
142     case TLS_ST_SR_KEY_EXCH:
143         /*
144          * We should only process a CertificateVerify message if we have
145          * received a Certificate from the client. If so then |s->session->peer|
146          * will be non NULL. In some instances a CertificateVerify message is
147          * not required even if the peer has sent a Certificate (e.g. such as in
148          * the case of static DH). In that case |st->no_cert_verify| should be
149          * set.
150          */
151         if (s->session->peer == NULL || st->no_cert_verify) {
152             if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
153                 /*
154                  * For the ECDH ciphersuites when the client sends its ECDH
155                  * pub key in a certificate, the CertificateVerify message is
156                  * not sent. Also for GOST ciphersuites when the client uses
157                  * its key from the certificate for key exchange.
158                  */
159                 st->hand_state = TLS_ST_SR_CHANGE;
160                 return 1;
161             }
162         } else {
163             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
164                 st->hand_state = TLS_ST_SR_CERT_VRFY;
165                 return 1;
166             }
167         }
168         break;
169
170     case TLS_ST_SR_CERT_VRFY:
171         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
172             st->hand_state = TLS_ST_SR_CHANGE;
173             return 1;
174         }
175         break;
176
177     case TLS_ST_SR_CHANGE:
178 #ifndef OPENSSL_NO_NEXTPROTONEG
179         if (s->s3->next_proto_neg_seen) {
180             if (mt == SSL3_MT_NEXT_PROTO) {
181                 st->hand_state = TLS_ST_SR_NEXT_PROTO;
182                 return 1;
183             }
184         } else {
185 #endif
186             if (mt == SSL3_MT_FINISHED) {
187                 st->hand_state = TLS_ST_SR_FINISHED;
188                 return 1;
189             }
190 #ifndef OPENSSL_NO_NEXTPROTONEG
191         }
192 #endif
193         break;
194
195 #ifndef OPENSSL_NO_NEXTPROTONEG
196     case TLS_ST_SR_NEXT_PROTO:
197         if (mt == SSL3_MT_FINISHED) {
198             st->hand_state = TLS_ST_SR_FINISHED;
199             return 1;
200         }
201         break;
202 #endif
203
204     case TLS_ST_SW_FINISHED:
205         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
206             st->hand_state = TLS_ST_SR_CHANGE;
207             return 1;
208         }
209         break;
210
211     default:
212         break;
213     }
214
215     /* No valid transition found */
216     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
217     SSLerr(SSL_F_READ_STATE_MACHINE, SSL_R_UNEXPECTED_MESSAGE);
218     return 0;
219 }
220
221 /*
222  * Should we send a ServerKeyExchange message?
223  *
224  * Valid return values are:
225  *   1: Yes
226  *   0: No
227  */
228 static int send_server_key_exchange(SSL *s)
229 {
230     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
231
232     /*
233      * only send a ServerKeyExchange if DH or fortezza but we have a
234      * sign only certificate PSK: may send PSK identity hints For
235      * ECC ciphersuites, we send a serverKeyExchange message only if
236      * the cipher suite is either ECDH-anon or ECDHE. In other cases,
237      * the server certificate contains the server's public key for
238      * key exchange.
239      */
240     if (alg_k & (SSL_kDHE|SSL_kECDHE)
241         /*
242          * PSK: send ServerKeyExchange if PSK identity hint if
243          * provided
244          */
245 #ifndef OPENSSL_NO_PSK
246         /* Only send SKE if we have identity hint for plain PSK */
247         || ((alg_k & (SSL_kPSK | SSL_kRSAPSK))
248             && s->cert->psk_identity_hint)
249         /* For other PSK always send SKE */
250         || (alg_k & (SSL_PSK & (SSL_kDHEPSK | SSL_kECDHEPSK)))
251 #endif
252 #ifndef OPENSSL_NO_SRP
253         /* SRP: send ServerKeyExchange */
254         || (alg_k & SSL_kSRP)
255 #endif
256        ) {
257         return 1;
258     }
259
260     return 0;
261 }
262
263 /*
264  * Should we send a CertificateRequest message?
265  *
266  * Valid return values are:
267  *   1: Yes
268  *   0: No
269  */
270 static int send_certificate_request(SSL *s)
271 {
272     if (
273            /* don't request cert unless asked for it: */
274            s->verify_mode & SSL_VERIFY_PEER
275            /*
276             * if SSL_VERIFY_CLIENT_ONCE is set, don't request cert
277             * during re-negotiation:
278             */
279            && ((s->session->peer == NULL) ||
280                !(s->verify_mode & SSL_VERIFY_CLIENT_ONCE))
281            /*
282             * never request cert in anonymous ciphersuites (see
283             * section "Certificate request" in SSL 3 drafts and in
284             * RFC 2246):
285             */
286            && (!(s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL)
287            /*
288             * ... except when the application insists on
289             * verification (against the specs, but statem_clnt.c accepts
290             * this for SSL 3)
291             */
292                || (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT))
293            /* don't request certificate for SRP auth */
294            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aSRP)
295            /*
296             * With normal PSK Certificates and Certificate Requests
297             * are omitted
298             */
299            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aPSK)) {
300         return 1;
301     }
302
303     return 0;
304 }
305
306 /*
307  * server_write_transition() works out what handshake state to move to next
308  * when the server is writing messages to be sent to the client.
309  */
310 WRITE_TRAN ossl_statem_server_write_transition(SSL *s)
311 {
312     OSSL_STATEM *st = &s->statem;
313
314     switch(st->hand_state) {
315         case TLS_ST_BEFORE:
316             /* Just go straight to trying to read from the client */;
317             return WRITE_TRAN_FINISHED;
318
319         case TLS_ST_OK:
320             /* We must be trying to renegotiate */
321             st->hand_state = TLS_ST_SW_HELLO_REQ;
322             return WRITE_TRAN_CONTINUE;
323
324         case TLS_ST_SW_HELLO_REQ:
325             st->hand_state = TLS_ST_OK;
326             ossl_statem_set_in_init(s, 0);
327             return WRITE_TRAN_CONTINUE;
328
329         case TLS_ST_SR_CLNT_HELLO:
330             if (SSL_IS_DTLS(s) && !s->d1->cookie_verified
331                     && (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE))
332                 st->hand_state = DTLS_ST_SW_HELLO_VERIFY_REQUEST;
333             else
334                 st->hand_state = TLS_ST_SW_SRVR_HELLO;
335             return WRITE_TRAN_CONTINUE;
336
337         case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
338             return WRITE_TRAN_FINISHED;
339
340         case TLS_ST_SW_SRVR_HELLO:
341             if (s->hit) {
342                 if (s->tlsext_ticket_expected)
343                     st->hand_state = TLS_ST_SW_SESSION_TICKET;
344                 else
345                     st->hand_state = TLS_ST_SW_CHANGE;
346             } else {
347                 /* Check if it is anon DH or anon ECDH, */
348                 /* normal PSK or SRP */
349                 if (!(s->s3->tmp.new_cipher->algorithm_auth &
350                      (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
351                     st->hand_state = TLS_ST_SW_CERT;
352                 } else if (send_server_key_exchange(s)) {
353                     st->hand_state = TLS_ST_SW_KEY_EXCH;
354                 } else if (send_certificate_request(s)) {
355                     st->hand_state = TLS_ST_SW_CERT_REQ;
356                 } else {
357                     st->hand_state = TLS_ST_SW_SRVR_DONE;
358                 }
359             }
360             return WRITE_TRAN_CONTINUE;
361
362         case TLS_ST_SW_CERT:
363             if (s->tlsext_status_expected) {
364                 st->hand_state = TLS_ST_SW_CERT_STATUS;
365                 return WRITE_TRAN_CONTINUE;
366             }
367             /* Fall through */
368
369         case TLS_ST_SW_CERT_STATUS:
370             if (send_server_key_exchange(s)) {
371                 st->hand_state = TLS_ST_SW_KEY_EXCH;
372                 return WRITE_TRAN_CONTINUE;
373             }
374             /* Fall through */
375
376         case TLS_ST_SW_KEY_EXCH:
377             if (send_certificate_request(s)) {
378                 st->hand_state = TLS_ST_SW_CERT_REQ;
379                 return WRITE_TRAN_CONTINUE;
380             }
381             /* Fall through */
382
383         case TLS_ST_SW_CERT_REQ:
384             st->hand_state = TLS_ST_SW_SRVR_DONE;
385             return WRITE_TRAN_CONTINUE;
386
387         case TLS_ST_SW_SRVR_DONE:
388             return WRITE_TRAN_FINISHED;
389
390         case TLS_ST_SR_FINISHED:
391             if (s->hit) {
392                 st->hand_state = TLS_ST_OK;
393                 ossl_statem_set_in_init(s, 0);
394                 return WRITE_TRAN_CONTINUE;
395             } else if (s->tlsext_ticket_expected) {
396                 st->hand_state = TLS_ST_SW_SESSION_TICKET;
397             } else {
398                 st->hand_state = TLS_ST_SW_CHANGE;
399             }
400             return WRITE_TRAN_CONTINUE;
401
402         case TLS_ST_SW_SESSION_TICKET:
403             st->hand_state = TLS_ST_SW_CHANGE;
404             return WRITE_TRAN_CONTINUE;
405
406         case TLS_ST_SW_CHANGE:
407             st->hand_state = TLS_ST_SW_FINISHED;
408             return WRITE_TRAN_CONTINUE;
409
410         case TLS_ST_SW_FINISHED:
411             if (s->hit) {
412                 return WRITE_TRAN_FINISHED;
413             }
414             st->hand_state = TLS_ST_OK;
415             ossl_statem_set_in_init(s, 0);
416             return WRITE_TRAN_CONTINUE;
417
418         default:
419             /* Shouldn't happen */
420             return WRITE_TRAN_ERROR;
421     }
422 }
423
424 /*
425  * Perform any pre work that needs to be done prior to sending a message from
426  * the server to the client.
427  */
428 WORK_STATE ossl_statem_server_pre_work(SSL *s, WORK_STATE wst)
429 {
430     OSSL_STATEM *st = &s->statem;
431
432     switch(st->hand_state) {
433     case TLS_ST_SW_HELLO_REQ:
434         s->shutdown = 0;
435         if (SSL_IS_DTLS(s))
436             dtls1_clear_record_buffer(s);
437         break;
438
439     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
440         s->shutdown = 0;
441         if (SSL_IS_DTLS(s)) {
442             dtls1_clear_record_buffer(s);
443             /* We don't buffer this message so don't use the timer */
444             st->use_timer = 0;
445         }
446         break;
447
448     case TLS_ST_SW_SRVR_HELLO:
449         if (SSL_IS_DTLS(s)) {
450             /*
451              * Messages we write from now on should be bufferred and
452              * retransmitted if necessary, so we need to use the timer now
453              */
454             st->use_timer = 1;
455         }
456         break;
457
458     case TLS_ST_SW_SRVR_DONE:
459 #ifndef OPENSSL_NO_SCTP
460         if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s)))
461             return dtls_wait_for_dry(s);
462 #endif
463         return WORK_FINISHED_CONTINUE;
464
465     case TLS_ST_SW_SESSION_TICKET:
466         if (SSL_IS_DTLS(s)) {
467             /*
468              * We're into the last flight. We don't retransmit the last flight
469              * unless we need to, so we don't use the timer
470              */
471             st->use_timer = 0;
472         }
473         break;
474
475     case TLS_ST_SW_CHANGE:
476         s->session->cipher = s->s3->tmp.new_cipher;
477         if (!s->method->ssl3_enc->setup_key_block(s)) {
478             ossl_statem_set_error(s);
479             return WORK_ERROR;
480         }
481         if (SSL_IS_DTLS(s)) {
482             /*
483              * We're into the last flight. We don't retransmit the last flight
484              * unless we need to, so we don't use the timer. This might have
485              * already been set to 0 if we sent a NewSessionTicket message,
486              * but we'll set it again here in case we didn't.
487              */
488             st->use_timer = 0;
489         }
490         return WORK_FINISHED_CONTINUE;
491
492     case TLS_ST_OK:
493         return tls_finish_handshake(s, wst);
494
495     default:
496         /* No pre work to be done */
497         break;
498     }
499
500     return WORK_FINISHED_CONTINUE;
501 }
502
503 /*
504  * Perform any work that needs to be done after sending a message from the
505  * server to the client.
506  */
507 WORK_STATE ossl_statem_server_post_work(SSL *s, WORK_STATE wst)
508 {
509     OSSL_STATEM *st = &s->statem;
510
511     s->init_num = 0;
512
513     switch(st->hand_state) {
514     case TLS_ST_SW_HELLO_REQ:
515         if (statem_flush(s) != 1)
516             return WORK_MORE_A;
517         if (!ssl3_init_finished_mac(s)) {
518             ossl_statem_set_error(s);
519             return WORK_ERROR;
520         }
521         break;
522
523     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
524         if (statem_flush(s) != 1)
525             return WORK_MORE_A;
526         /* HelloVerifyRequest resets Finished MAC */
527         if (s->version != DTLS1_BAD_VER && !ssl3_init_finished_mac(s)) {
528             ossl_statem_set_error(s);
529             return WORK_ERROR;
530         }
531         /*
532          * The next message should be another ClientHello which we need to
533          * treat like it was the first packet
534          */
535         s->first_packet = 1;
536         break;
537
538     case TLS_ST_SW_SRVR_HELLO:
539 #ifndef OPENSSL_NO_SCTP
540         if (SSL_IS_DTLS(s) && s->hit) {
541             unsigned char sctpauthkey[64];
542             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
543
544             /*
545              * Add new shared key for SCTP-Auth, will be ignored if no
546              * SCTP used.
547              */
548             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
549                    sizeof(DTLS1_SCTP_AUTH_LABEL));
550
551             if (SSL_export_keying_material(s, sctpauthkey,
552                     sizeof(sctpauthkey), labelbuffer,
553                     sizeof(labelbuffer), NULL, 0, 0) <= 0) {
554                 ossl_statem_set_error(s);
555                 return WORK_ERROR;
556             }
557
558             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
559                      sizeof(sctpauthkey), sctpauthkey);
560         }
561 #endif
562         break;
563
564     case TLS_ST_SW_CHANGE:
565 #ifndef OPENSSL_NO_SCTP
566         if (SSL_IS_DTLS(s) && !s->hit) {
567             /*
568              * Change to new shared key of SCTP-Auth, will be ignored if
569              * no SCTP used.
570              */
571             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
572                      0, NULL);
573         }
574 #endif
575         if (!s->method->ssl3_enc->change_cipher_state(s,
576                 SSL3_CHANGE_CIPHER_SERVER_WRITE)) {
577             ossl_statem_set_error(s);
578             return WORK_ERROR;
579         }
580
581         if (SSL_IS_DTLS(s))
582             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
583         break;
584
585     case TLS_ST_SW_SRVR_DONE:
586         if (statem_flush(s) != 1)
587             return WORK_MORE_A;
588         break;
589
590     case TLS_ST_SW_FINISHED:
591         if (statem_flush(s) != 1)
592             return WORK_MORE_A;
593 #ifndef OPENSSL_NO_SCTP
594         if (SSL_IS_DTLS(s) && s->hit) {
595             /*
596              * Change to new shared key of SCTP-Auth, will be ignored if
597              * no SCTP used.
598              */
599             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
600                      0, NULL);
601         }
602 #endif
603         break;
604
605     default:
606         /* No post work to be done */
607         break;
608     }
609
610     return WORK_FINISHED_CONTINUE;
611 }
612
613 /*
614  * Construct a message to be sent from the server to the client.
615  *
616  * Valid return values are:
617  *   1: Success
618  *   0: Error
619  */
620 int ossl_statem_server_construct_message(SSL *s)
621 {
622     OSSL_STATEM *st = &s->statem;
623
624     switch(st->hand_state) {
625     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
626         return dtls_construct_hello_verify_request(s);
627
628     case TLS_ST_SW_HELLO_REQ:
629         return tls_construct_hello_request(s);
630
631     case TLS_ST_SW_SRVR_HELLO:
632         return tls_construct_server_hello(s);
633
634     case TLS_ST_SW_CERT:
635         return tls_construct_server_certificate(s);
636
637     case TLS_ST_SW_KEY_EXCH:
638         return tls_construct_server_key_exchange(s);
639
640     case TLS_ST_SW_CERT_REQ:
641         return tls_construct_certificate_request(s);
642
643     case TLS_ST_SW_SRVR_DONE:
644         return tls_construct_server_done(s);
645
646     case TLS_ST_SW_SESSION_TICKET:
647         return tls_construct_new_session_ticket(s);
648
649     case TLS_ST_SW_CERT_STATUS:
650         return tls_construct_cert_status(s);
651
652     case TLS_ST_SW_CHANGE:
653         if (SSL_IS_DTLS(s))
654             return dtls_construct_change_cipher_spec(s);
655         else
656             return tls_construct_change_cipher_spec(s);
657
658     case TLS_ST_SW_FINISHED:
659         return tls_construct_finished(s,
660                                       s->method->
661                                       ssl3_enc->server_finished_label,
662                                       s->method->
663                                       ssl3_enc->server_finished_label_len);
664
665     default:
666         /* Shouldn't happen */
667         break;
668     }
669
670     return 0;
671 }
672
673 /*
674  * Maximum size (excluding the Handshake header) of a ClientHello message,
675  * calculated as follows:
676  *
677  *  2 + # client_version
678  *  32 + # only valid length for random
679  *  1 + # length of session_id
680  *  32 + # maximum size for session_id
681  *  2 + # length of cipher suites
682  *  2^16-2 + # maximum length of cipher suites array
683  *  1 + # length of compression_methods
684  *  2^8-1 + # maximum length of compression methods
685  *  2 + # length of extensions
686  *  2^16-1 # maximum length of extensions
687  */
688 #define CLIENT_HELLO_MAX_LENGTH         131396
689
690 #define CLIENT_KEY_EXCH_MAX_LENGTH      2048
691 #define NEXT_PROTO_MAX_LENGTH           514
692
693 /*
694  * Returns the maximum allowed length for the current message that we are
695  * reading. Excludes the message header.
696  */
697 unsigned long ossl_statem_server_max_message_size(SSL *s)
698 {
699     OSSL_STATEM *st = &s->statem;
700
701     switch(st->hand_state) {
702     case TLS_ST_SR_CLNT_HELLO:
703         return CLIENT_HELLO_MAX_LENGTH;
704
705     case TLS_ST_SR_CERT:
706         return s->max_cert_list;
707
708     case TLS_ST_SR_KEY_EXCH:
709         return CLIENT_KEY_EXCH_MAX_LENGTH;
710
711     case TLS_ST_SR_CERT_VRFY:
712         return SSL3_RT_MAX_PLAIN_LENGTH;
713
714 #ifndef OPENSSL_NO_NEXTPROTONEG
715     case TLS_ST_SR_NEXT_PROTO:
716         return NEXT_PROTO_MAX_LENGTH;
717 #endif
718
719     case TLS_ST_SR_CHANGE:
720         return CCS_MAX_LENGTH;
721
722     case TLS_ST_SR_FINISHED:
723         return FINISHED_MAX_LENGTH;
724
725     default:
726         /* Shouldn't happen */
727         break;
728     }
729
730     return 0;
731 }
732
733 /*
734  * Process a message that the server has received from the client.
735  */
736 MSG_PROCESS_RETURN ossl_statem_server_process_message(SSL *s, PACKET *pkt)
737 {
738     OSSL_STATEM *st = &s->statem;
739
740     switch(st->hand_state) {
741     case TLS_ST_SR_CLNT_HELLO:
742         return tls_process_client_hello(s, pkt);
743
744     case TLS_ST_SR_CERT:
745         return tls_process_client_certificate(s, pkt);
746
747     case TLS_ST_SR_KEY_EXCH:
748         return tls_process_client_key_exchange(s, pkt);
749
750     case TLS_ST_SR_CERT_VRFY:
751         return tls_process_cert_verify(s, pkt);
752
753 #ifndef OPENSSL_NO_NEXTPROTONEG
754     case TLS_ST_SR_NEXT_PROTO:
755         return tls_process_next_proto(s, pkt);
756 #endif
757
758     case TLS_ST_SR_CHANGE:
759         return tls_process_change_cipher_spec(s, pkt);
760
761     case TLS_ST_SR_FINISHED:
762         return tls_process_finished(s, pkt);
763
764     default:
765         /* Shouldn't happen */
766         break;
767     }
768
769     return MSG_PROCESS_ERROR;
770 }
771
772 /*
773  * Perform any further processing required following the receipt of a message
774  * from the client
775  */
776 WORK_STATE ossl_statem_server_post_process_message(SSL *s, WORK_STATE wst)
777 {
778     OSSL_STATEM *st = &s->statem;
779
780     switch(st->hand_state) {
781     case TLS_ST_SR_CLNT_HELLO:
782         return tls_post_process_client_hello(s, wst);
783
784     case TLS_ST_SR_KEY_EXCH:
785         return tls_post_process_client_key_exchange(s, wst);
786
787     case TLS_ST_SR_CERT_VRFY:
788 #ifndef OPENSSL_NO_SCTP
789         if (    /* Is this SCTP? */
790                 BIO_dgram_is_sctp(SSL_get_wbio(s))
791                 /* Are we renegotiating? */
792                 && s->renegotiate
793                 && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
794             s->s3->in_read_app_data = 2;
795             s->rwstate = SSL_READING;
796             BIO_clear_retry_flags(SSL_get_rbio(s));
797             BIO_set_retry_read(SSL_get_rbio(s));
798             ossl_statem_set_sctp_read_sock(s, 1);
799             return WORK_MORE_A;
800         } else {
801             ossl_statem_set_sctp_read_sock(s, 0);
802         }
803 #endif
804         return WORK_FINISHED_CONTINUE;
805
806     default:
807         break;
808     }
809
810     /* Shouldn't happen */
811     return WORK_ERROR;
812 }
813
814 #ifndef OPENSSL_NO_SRP
815 static int ssl_check_srp_ext_ClientHello(SSL *s, int *al)
816 {
817     int ret = SSL_ERROR_NONE;
818
819     *al = SSL_AD_UNRECOGNIZED_NAME;
820
821     if ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) &&
822         (s->srp_ctx.TLS_ext_srp_username_callback != NULL)) {
823         if (s->srp_ctx.login == NULL) {
824             /*
825              * RFC 5054 says SHOULD reject, we do so if There is no srp
826              * login name
827              */
828             ret = SSL3_AL_FATAL;
829             *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
830         } else {
831             ret = SSL_srp_server_param_with_username(s, al);
832         }
833     }
834     return ret;
835 }
836 #endif
837
838 int tls_construct_hello_request(SSL *s)
839 {
840     if (!ssl_set_handshake_header(s, SSL3_MT_HELLO_REQUEST, 0)) {
841         SSLerr(SSL_F_TLS_CONSTRUCT_HELLO_REQUEST, ERR_R_INTERNAL_ERROR);
842         ossl_statem_set_error(s);
843         return 0;
844     }
845
846     return 1;
847 }
848
849 unsigned int dtls_raw_hello_verify_request(unsigned char *buf,
850                                             unsigned char *cookie,
851                                             unsigned char cookie_len)
852 {
853     unsigned int msg_len;
854     unsigned char *p;
855
856     p = buf;
857     /* Always use DTLS 1.0 version: see RFC 6347 */
858     *(p++) = DTLS1_VERSION >> 8;
859     *(p++) = DTLS1_VERSION & 0xFF;
860
861     *(p++) = (unsigned char)cookie_len;
862     memcpy(p, cookie, cookie_len);
863     p += cookie_len;
864     msg_len = p - buf;
865
866     return msg_len;
867 }
868
869 int dtls_construct_hello_verify_request(SSL *s)
870 {
871     unsigned int len;
872     unsigned char *buf;
873
874     buf = (unsigned char *)s->init_buf->data;
875
876     if (s->ctx->app_gen_cookie_cb == NULL ||
877         s->ctx->app_gen_cookie_cb(s, s->d1->cookie,
878                                   &(s->d1->cookie_len)) == 0 ||
879         s->d1->cookie_len > 255) {
880         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST,
881                SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
882         ossl_statem_set_error(s);
883         return 0;
884     }
885
886     len = dtls_raw_hello_verify_request(&buf[DTLS1_HM_HEADER_LENGTH],
887                                          s->d1->cookie, s->d1->cookie_len);
888
889     dtls1_set_message_header(s, DTLS1_MT_HELLO_VERIFY_REQUEST, len, 0,
890                              len);
891     len += DTLS1_HM_HEADER_LENGTH;
892
893     /* number of bytes to write */
894     s->init_num = len;
895     s->init_off = 0;
896
897     return 1;
898 }
899
900 MSG_PROCESS_RETURN tls_process_client_hello(SSL *s, PACKET *pkt)
901 {
902     int i, al = SSL_AD_INTERNAL_ERROR;
903     unsigned int j, complen = 0;
904     unsigned long id;
905     const SSL_CIPHER *c;
906 #ifndef OPENSSL_NO_COMP
907     SSL_COMP *comp = NULL;
908 #endif
909     STACK_OF(SSL_CIPHER) *ciphers = NULL;
910     int protverr;
911     /* |cookie| will only be initialized for DTLS. */
912     PACKET session_id, cipher_suites, compression, extensions, cookie;
913     int is_v2_record;
914     static const unsigned char null_compression = 0;
915
916     is_v2_record = RECORD_LAYER_is_sslv2_record(&s->rlayer);
917
918     PACKET_null_init(&cookie);
919     /* First lets get s->client_version set correctly */
920     if (is_v2_record) {
921         unsigned int version;
922         unsigned int mt;
923         /*-
924          * An SSLv3/TLSv1 backwards-compatible CLIENT-HELLO in an SSLv2
925          * header is sent directly on the wire, not wrapped as a TLS
926          * record. Our record layer just processes the message length and passes
927          * the rest right through. Its format is:
928          * Byte  Content
929          * 0-1   msg_length - decoded by the record layer
930          * 2     msg_type - s->init_msg points here
931          * 3-4   version
932          * 5-6   cipher_spec_length
933          * 7-8   session_id_length
934          * 9-10  challenge_length
935          * ...   ...
936          */
937
938         if (!PACKET_get_1(pkt, &mt)
939                 || mt != SSL2_MT_CLIENT_HELLO) {
940             /*
941              * Should never happen. We should have tested this in the record
942              * layer in order to have determined that this is a SSLv2 record
943              * in the first place
944              */
945             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
946             goto err;
947         }
948
949         if (!PACKET_get_net_2(pkt, &version)) {
950             /* No protocol version supplied! */
951             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
952             goto err;
953         }
954         if (version == 0x0002) {
955             /* This is real SSLv2. We don't support it. */
956             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
957             goto err;
958         } else if ((version & 0xff00) == (SSL3_VERSION_MAJOR << 8)) {
959             /* SSLv3/TLS */
960             s->client_version = version;
961         } else {
962             /* No idea what protocol this is */
963             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
964             goto err;
965         }
966     } else {
967         /*
968          * use version from inside client hello, not from record header (may
969          * differ: see RFC 2246, Appendix E, second paragraph)
970          */
971         if(!PACKET_get_net_2(pkt, (unsigned int *)&s->client_version)) {
972             al = SSL_AD_DECODE_ERROR;
973             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_TOO_SHORT);
974             goto f_err;
975         }
976     }
977
978     /*
979      * Do SSL/TLS version negotiation if applicable. For DTLS we just check
980      * versions are potentially compatible. Version negotiation comes later.
981      */
982     if (!SSL_IS_DTLS(s)) {
983         protverr = ssl_choose_server_version(s);
984     } else if (s->method->version != DTLS_ANY_VERSION &&
985                DTLS_VERSION_LT(s->client_version, s->version)) {
986         protverr = SSL_R_VERSION_TOO_LOW;
987     } else {
988         protverr = 0;
989     }
990
991     if (protverr) {
992         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
993         if ((!s->enc_write_ctx && !s->write_hash)) {
994             /*
995              * similar to ssl3_get_record, send alert using remote version
996              * number
997              */
998             s->version = s->client_version;
999         }
1000         al = SSL_AD_PROTOCOL_VERSION;
1001         goto f_err;
1002     }
1003
1004     /* Parse the message and load client random. */
1005     if (is_v2_record) {
1006         /*
1007          * Handle an SSLv2 backwards compatible ClientHello
1008          * Note, this is only for SSLv3+ using the backward compatible format.
1009          * Real SSLv2 is not supported, and is rejected above.
1010          */
1011         unsigned int cipher_len, session_id_len, challenge_len;
1012         PACKET challenge;
1013
1014         if (!PACKET_get_net_2(pkt, &cipher_len)
1015                 || !PACKET_get_net_2(pkt, &session_id_len)
1016                 || !PACKET_get_net_2(pkt, &challenge_len)) {
1017             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1018                    SSL_R_RECORD_LENGTH_MISMATCH);
1019             al = SSL_AD_DECODE_ERROR;
1020             goto f_err;
1021         }
1022
1023         if (session_id_len > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1024             al = SSL_AD_DECODE_ERROR;
1025             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1026             goto f_err;
1027         }
1028
1029         if (!PACKET_get_sub_packet(pkt, &cipher_suites, cipher_len)
1030             || !PACKET_get_sub_packet(pkt, &session_id, session_id_len)
1031             || !PACKET_get_sub_packet(pkt, &challenge, challenge_len)
1032             /* No extensions. */
1033             || PACKET_remaining(pkt) != 0) {
1034             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1035                    SSL_R_RECORD_LENGTH_MISMATCH);
1036             al = SSL_AD_DECODE_ERROR;
1037             goto f_err;
1038         }
1039
1040         /* Load the client random and compression list. */
1041         challenge_len = challenge_len > SSL3_RANDOM_SIZE ? SSL3_RANDOM_SIZE :
1042             challenge_len;
1043         memset(s->s3->client_random, 0, SSL3_RANDOM_SIZE);
1044         if (!PACKET_copy_bytes(&challenge,
1045                                s->s3->client_random + SSL3_RANDOM_SIZE -
1046                                challenge_len, challenge_len)
1047             /* Advertise only null compression. */
1048             || !PACKET_buf_init(&compression, &null_compression, 1)) {
1049             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1050             al = SSL_AD_INTERNAL_ERROR;
1051             goto f_err;
1052         }
1053
1054         PACKET_null_init(&extensions);
1055     } else {
1056         /* Regular ClientHello. */
1057         if (!PACKET_copy_bytes(pkt, s->s3->client_random, SSL3_RANDOM_SIZE)
1058             || !PACKET_get_length_prefixed_1(pkt, &session_id)) {
1059             al = SSL_AD_DECODE_ERROR;
1060             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1061             goto f_err;
1062         }
1063
1064         if (PACKET_remaining(&session_id) > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1065             al = SSL_AD_DECODE_ERROR;
1066             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1067             goto f_err;
1068         }
1069
1070         if (SSL_IS_DTLS(s)) {
1071             if (!PACKET_get_length_prefixed_1(pkt, &cookie)) {
1072                 al = SSL_AD_DECODE_ERROR;
1073                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1074                 goto f_err;
1075             }
1076             /*
1077              * If we require cookies and this ClientHello doesn't contain one,
1078              * just return since we do not want to allocate any memory yet.
1079              * So check cookie length...
1080              */
1081             if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1082                 if (PACKET_remaining(&cookie) == 0)
1083                 return 1;
1084             }
1085         }
1086
1087         if (!PACKET_get_length_prefixed_2(pkt, &cipher_suites)
1088             || !PACKET_get_length_prefixed_1(pkt, &compression)) {
1089                 al = SSL_AD_DECODE_ERROR;
1090                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1091                 goto f_err;
1092         }
1093         /* Could be empty. */
1094         extensions = *pkt;
1095     }
1096
1097     if (SSL_IS_DTLS(s)) {
1098         /* Empty cookie was already handled above by returning early. */
1099         if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1100             if (s->ctx->app_verify_cookie_cb != NULL) {
1101                 if (s->ctx->app_verify_cookie_cb(s, PACKET_data(&cookie),
1102                                                  PACKET_remaining(&cookie)) == 0) {
1103                     al = SSL_AD_HANDSHAKE_FAILURE;
1104                     SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1105                            SSL_R_COOKIE_MISMATCH);
1106                     goto f_err;
1107                     /* else cookie verification succeeded */
1108                 }
1109             /* default verification */
1110             } else if (!PACKET_equal(&cookie, s->d1->cookie,
1111                                      s->d1->cookie_len)) {
1112                 al = SSL_AD_HANDSHAKE_FAILURE;
1113                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_COOKIE_MISMATCH);
1114                 goto f_err;
1115             }
1116             s->d1->cookie_verified = 1;
1117         }
1118         if (s->method->version == DTLS_ANY_VERSION) {
1119             protverr = ssl_choose_server_version(s);
1120             if (protverr != 0) {
1121                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1122                 s->version = s->client_version;
1123                 al = SSL_AD_PROTOCOL_VERSION;
1124                 goto f_err;
1125             }
1126         }
1127     }
1128
1129     s->hit = 0;
1130
1131     /*
1132      * We don't allow resumption in a backwards compatible ClientHello.
1133      * TODO(openssl-team): in TLS1.1+, session_id MUST be empty.
1134      *
1135      * Versions before 0.9.7 always allow clients to resume sessions in
1136      * renegotiation. 0.9.7 and later allow this by default, but optionally
1137      * ignore resumption requests with flag
1138      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION (it's a new flag rather
1139      * than a change to default behavior so that applications relying on
1140      * this for security won't even compile against older library versions).
1141      * 1.0.1 and later also have a function SSL_renegotiate_abbreviated() to
1142      * request renegotiation but not a new session (s->new_session remains
1143      * unset): for servers, this essentially just means that the
1144      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION setting will be
1145      * ignored.
1146      */
1147     if (is_v2_record ||
1148         (s->new_session &&
1149          (s->options & SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION))) {
1150         if (!ssl_get_new_session(s, 1))
1151             goto err;
1152     } else {
1153         i = ssl_get_prev_session(s, &extensions, &session_id);
1154         /*
1155          * Only resume if the session's version matches the negotiated
1156          * version.
1157          * RFC 5246 does not provide much useful advice on resumption
1158          * with a different protocol version. It doesn't forbid it but
1159          * the sanity of such behaviour would be questionable.
1160          * In practice, clients do not accept a version mismatch and
1161          * will abort the handshake with an error.
1162          */
1163         if (i == 1 && s->version == s->session->ssl_version) {
1164             /* previous session */
1165             s->hit = 1;
1166         } else if (i == -1) {
1167             goto err;
1168         } else {
1169             /* i == 0 */
1170             if (!ssl_get_new_session(s, 1))
1171                 goto err;
1172         }
1173     }
1174
1175     if (ssl_bytes_to_cipher_list(s, &cipher_suites, &(ciphers),
1176                                  is_v2_record, &al) == NULL) {
1177         goto f_err;
1178     }
1179
1180     /* If it is a hit, check that the cipher is in the list */
1181     if (s->hit) {
1182         j = 0;
1183         id = s->session->cipher->id;
1184
1185 #ifdef CIPHER_DEBUG
1186         fprintf(stderr, "client sent %d ciphers\n",
1187                 sk_SSL_CIPHER_num(ciphers));
1188 #endif
1189         for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
1190             c = sk_SSL_CIPHER_value(ciphers, i);
1191 #ifdef CIPHER_DEBUG
1192             fprintf(stderr, "client [%2d of %2d]:%s\n",
1193                     i, sk_SSL_CIPHER_num(ciphers), SSL_CIPHER_get_name(c));
1194 #endif
1195             if (c->id == id) {
1196                 j = 1;
1197                 break;
1198             }
1199         }
1200         if (j == 0) {
1201             /*
1202              * we need to have the cipher in the cipher list if we are asked
1203              * to reuse it
1204              */
1205             al = SSL_AD_ILLEGAL_PARAMETER;
1206             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1207                    SSL_R_REQUIRED_CIPHER_MISSING);
1208             goto f_err;
1209         }
1210     }
1211
1212     complen = PACKET_remaining(&compression);
1213     for (j = 0; j < complen; j++) {
1214         if (PACKET_data(&compression)[j] == 0)
1215             break;
1216     }
1217
1218     if (j >= complen) {
1219         /* no compress */
1220         al = SSL_AD_DECODE_ERROR;
1221         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_COMPRESSION_SPECIFIED);
1222         goto f_err;
1223     }
1224
1225     /* TLS extensions */
1226     if (s->version >= SSL3_VERSION) {
1227         if (!ssl_parse_clienthello_tlsext(s, &extensions)) {
1228             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_PARSE_TLSEXT);
1229             goto err;
1230         }
1231     }
1232
1233     /*
1234      * Check if we want to use external pre-shared secret for this handshake
1235      * for not reused session only. We need to generate server_random before
1236      * calling tls_session_secret_cb in order to allow SessionTicket
1237      * processing to use it in key derivation.
1238      */
1239     {
1240         unsigned char *pos;
1241         pos = s->s3->server_random;
1242         if (ssl_fill_hello_random(s, 1, pos, SSL3_RANDOM_SIZE) <= 0) {
1243             goto f_err;
1244         }
1245     }
1246
1247     if (!s->hit && s->version >= TLS1_VERSION && s->tls_session_secret_cb) {
1248         const SSL_CIPHER *pref_cipher = NULL;
1249
1250         s->session->master_key_length = sizeof(s->session->master_key);
1251         if (s->tls_session_secret_cb(s, s->session->master_key,
1252                                      &s->session->master_key_length, ciphers,
1253                                      &pref_cipher,
1254                                      s->tls_session_secret_cb_arg)) {
1255             s->hit = 1;
1256             s->session->ciphers = ciphers;
1257             s->session->verify_result = X509_V_OK;
1258
1259             ciphers = NULL;
1260
1261             /* check if some cipher was preferred by call back */
1262             pref_cipher =
1263                 pref_cipher ? pref_cipher : ssl3_choose_cipher(s,
1264                                                                s->
1265                                                                session->ciphers,
1266                                                                SSL_get_ciphers
1267                                                                (s));
1268             if (pref_cipher == NULL) {
1269                 al = SSL_AD_HANDSHAKE_FAILURE;
1270                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1271                 goto f_err;
1272             }
1273
1274             s->session->cipher = pref_cipher;
1275             sk_SSL_CIPHER_free(s->cipher_list);
1276             s->cipher_list = sk_SSL_CIPHER_dup(s->session->ciphers);
1277             sk_SSL_CIPHER_free(s->cipher_list_by_id);
1278             s->cipher_list_by_id = sk_SSL_CIPHER_dup(s->session->ciphers);
1279         }
1280     }
1281
1282     /*
1283      * Worst case, we will use the NULL compression, but if we have other
1284      * options, we will now look for them.  We have complen-1 compression
1285      * algorithms from the client, starting at q.
1286      */
1287     s->s3->tmp.new_compression = NULL;
1288 #ifndef OPENSSL_NO_COMP
1289     /* This only happens if we have a cache hit */
1290     if (s->session->compress_meth != 0) {
1291         int m, comp_id = s->session->compress_meth;
1292         unsigned int k;
1293         /* Perform sanity checks on resumed compression algorithm */
1294         /* Can't disable compression */
1295         if (!ssl_allow_compression(s)) {
1296             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1297                    SSL_R_INCONSISTENT_COMPRESSION);
1298             goto f_err;
1299         }
1300         /* Look for resumed compression method */
1301         for (m = 0; m < sk_SSL_COMP_num(s->ctx->comp_methods); m++) {
1302             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1303             if (comp_id == comp->id) {
1304                 s->s3->tmp.new_compression = comp;
1305                 break;
1306             }
1307         }
1308         if (s->s3->tmp.new_compression == NULL) {
1309             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1310                    SSL_R_INVALID_COMPRESSION_ALGORITHM);
1311             goto f_err;
1312         }
1313         /* Look for resumed method in compression list */
1314         for (k = 0; k < complen; k++) {
1315             if (PACKET_data(&compression)[k] == comp_id)
1316                 break;
1317         }
1318         if (k >= complen) {
1319             al = SSL_AD_ILLEGAL_PARAMETER;
1320             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1321                    SSL_R_REQUIRED_COMPRESSION_ALGORITHM_MISSING);
1322             goto f_err;
1323         }
1324     } else if (s->hit)
1325         comp = NULL;
1326     else if (ssl_allow_compression(s) && s->ctx->comp_methods) {
1327         /* See if we have a match */
1328         int m, nn, v, done = 0;
1329         unsigned int o;
1330
1331         nn = sk_SSL_COMP_num(s->ctx->comp_methods);
1332         for (m = 0; m < nn; m++) {
1333             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1334             v = comp->id;
1335             for (o = 0; o < complen; o++) {
1336                 if (v == PACKET_data(&compression)[o]) {
1337                     done = 1;
1338                     break;
1339                 }
1340             }
1341             if (done)
1342                 break;
1343         }
1344         if (done)
1345             s->s3->tmp.new_compression = comp;
1346         else
1347             comp = NULL;
1348     }
1349 #else
1350     /*
1351      * If compression is disabled we'd better not try to resume a session
1352      * using compression.
1353      */
1354     if (s->session->compress_meth != 0) {
1355         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1356         goto f_err;
1357     }
1358 #endif
1359
1360     /*
1361      * Given s->session->ciphers and SSL_get_ciphers, we must pick a cipher
1362      */
1363
1364     if (!s->hit) {
1365 #ifdef OPENSSL_NO_COMP
1366         s->session->compress_meth = 0;
1367 #else
1368         s->session->compress_meth = (comp == NULL) ? 0 : comp->id;
1369 #endif
1370         sk_SSL_CIPHER_free(s->session->ciphers);
1371         s->session->ciphers = ciphers;
1372         if (ciphers == NULL) {
1373             al = SSL_AD_INTERNAL_ERROR;
1374             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1375             goto f_err;
1376         }
1377         ciphers = NULL;
1378         if (!tls1_set_server_sigalgs(s)) {
1379             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1380             goto err;
1381         }
1382     }
1383
1384     sk_SSL_CIPHER_free(ciphers);
1385     return MSG_PROCESS_CONTINUE_PROCESSING;
1386  f_err:
1387     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1388  err:
1389     ossl_statem_set_error(s);
1390
1391     sk_SSL_CIPHER_free(ciphers);
1392     return MSG_PROCESS_ERROR;
1393
1394 }
1395
1396 WORK_STATE tls_post_process_client_hello(SSL *s, WORK_STATE wst)
1397 {
1398     int al = SSL_AD_HANDSHAKE_FAILURE;
1399     const SSL_CIPHER *cipher;
1400
1401     if (wst == WORK_MORE_A) {
1402         if (!s->hit) {
1403             /* Let cert callback update server certificates if required */
1404             if (s->cert->cert_cb) {
1405                 int rv = s->cert->cert_cb(s, s->cert->cert_cb_arg);
1406                 if (rv == 0) {
1407                     al = SSL_AD_INTERNAL_ERROR;
1408                     SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO, SSL_R_CERT_CB_ERROR);
1409                     goto f_err;
1410                 }
1411                 if (rv < 0) {
1412                     s->rwstate = SSL_X509_LOOKUP;
1413                     return WORK_MORE_A;
1414                 }
1415                 s->rwstate = SSL_NOTHING;
1416             }
1417             cipher = ssl3_choose_cipher(s, s->session->ciphers, SSL_get_ciphers(s));
1418
1419             if (cipher == NULL) {
1420                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1421                 goto f_err;
1422             }
1423             s->s3->tmp.new_cipher = cipher;
1424             /* check whether we should disable session resumption */
1425             if (s->not_resumable_session_cb != NULL)
1426                 s->session->not_resumable = s->not_resumable_session_cb(s,
1427                     ((cipher->algorithm_mkey & (SSL_kDHE | SSL_kECDHE)) != 0));
1428             if (s->session->not_resumable)
1429                 /* do not send a session ticket */
1430                 s->tlsext_ticket_expected = 0;
1431         } else {
1432             /* Session-id reuse */
1433             s->s3->tmp.new_cipher = s->session->cipher;
1434         }
1435
1436         if (!(s->verify_mode & SSL_VERIFY_PEER)) {
1437             if (!ssl3_digest_cached_records(s, 0)) {
1438                 al = SSL_AD_INTERNAL_ERROR;
1439                 goto f_err;
1440             }
1441         }
1442
1443         /*-
1444          * we now have the following setup.
1445          * client_random
1446          * cipher_list          - our prefered list of ciphers
1447          * ciphers              - the clients prefered list of ciphers
1448          * compression          - basically ignored right now
1449          * ssl version is set   - sslv3
1450          * s->session           - The ssl session has been setup.
1451          * s->hit               - session reuse flag
1452          * s->s3->tmp.new_cipher- the new cipher to use.
1453          */
1454
1455         /* Handles TLS extensions that we couldn't check earlier */
1456         if (s->version >= SSL3_VERSION) {
1457             if (ssl_check_clienthello_tlsext_late(s) <= 0) {
1458                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1459                        SSL_R_CLIENTHELLO_TLSEXT);
1460                 goto f_err;
1461             }
1462         }
1463
1464         wst = WORK_MORE_B;
1465     }
1466 #ifndef OPENSSL_NO_SRP
1467     if (wst == WORK_MORE_B) {
1468         int ret;
1469         if ((ret = ssl_check_srp_ext_ClientHello(s, &al)) < 0) {
1470             /*
1471              * callback indicates further work to be done
1472              */
1473             s->rwstate = SSL_X509_LOOKUP;
1474             return WORK_MORE_B;
1475         }
1476         if (ret != SSL_ERROR_NONE) {
1477             /*
1478              * This is not really an error but the only means to for
1479              * a client to detect whether srp is supported.
1480              */
1481             if (al != TLS1_AD_UNKNOWN_PSK_IDENTITY)
1482                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1483                            SSL_R_CLIENTHELLO_TLSEXT);
1484             goto f_err;
1485         }
1486     }
1487 #endif
1488     s->renegotiate = 2;
1489
1490     return WORK_FINISHED_STOP;
1491  f_err:
1492     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1493     ossl_statem_set_error(s);
1494     return WORK_ERROR;
1495 }
1496
1497 int tls_construct_server_hello(SSL *s)
1498 {
1499     unsigned char *buf;
1500     unsigned char *p, *d;
1501     int i, sl;
1502     int al = 0;
1503     unsigned long l;
1504
1505     buf = (unsigned char *)s->init_buf->data;
1506
1507     /* Do the message type and length last */
1508     d = p = ssl_handshake_start(s);
1509
1510     *(p++) = s->version >> 8;
1511     *(p++) = s->version & 0xff;
1512
1513     /*
1514      * Random stuff. Filling of the server_random takes place in
1515      * tls_process_client_hello()
1516      */
1517     memcpy(p, s->s3->server_random, SSL3_RANDOM_SIZE);
1518     p += SSL3_RANDOM_SIZE;
1519
1520     /*-
1521      * There are several cases for the session ID to send
1522      * back in the server hello:
1523      * - For session reuse from the session cache,
1524      *   we send back the old session ID.
1525      * - If stateless session reuse (using a session ticket)
1526      *   is successful, we send back the client's "session ID"
1527      *   (which doesn't actually identify the session).
1528      * - If it is a new session, we send back the new
1529      *   session ID.
1530      * - However, if we want the new session to be single-use,
1531      *   we send back a 0-length session ID.
1532      * s->hit is non-zero in either case of session reuse,
1533      * so the following won't overwrite an ID that we're supposed
1534      * to send back.
1535      */
1536     if (s->session->not_resumable ||
1537         (!(s->ctx->session_cache_mode & SSL_SESS_CACHE_SERVER)
1538          && !s->hit))
1539         s->session->session_id_length = 0;
1540
1541     sl = s->session->session_id_length;
1542     if (sl > (int)sizeof(s->session->session_id)) {
1543         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1544         ossl_statem_set_error(s);
1545         return 0;
1546     }
1547     *(p++) = sl;
1548     memcpy(p, s->session->session_id, sl);
1549     p += sl;
1550
1551     /* put the cipher */
1552     i = ssl3_put_cipher_by_char(s->s3->tmp.new_cipher, p);
1553     p += i;
1554
1555     /* put the compression method */
1556 #ifdef OPENSSL_NO_COMP
1557     *(p++) = 0;
1558 #else
1559     if (s->s3->tmp.new_compression == NULL)
1560         *(p++) = 0;
1561     else
1562         *(p++) = s->s3->tmp.new_compression->id;
1563 #endif
1564
1565     if (ssl_prepare_serverhello_tlsext(s) <= 0) {
1566         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, SSL_R_SERVERHELLO_TLSEXT);
1567         ossl_statem_set_error(s);
1568         return 0;
1569     }
1570     if ((p =
1571          ssl_add_serverhello_tlsext(s, p, buf + SSL3_RT_MAX_PLAIN_LENGTH,
1572                                     &al)) == NULL) {
1573         ssl3_send_alert(s, SSL3_AL_FATAL, al);
1574         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1575         ossl_statem_set_error(s);
1576         return 0;
1577     }
1578
1579     /* do the header */
1580     l = (p - d);
1581     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_HELLO, l)) {
1582         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1583         ossl_statem_set_error(s);
1584         return 0;
1585     }
1586
1587     return 1;
1588 }
1589
1590 int tls_construct_server_done(SSL *s)
1591 {
1592     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_DONE, 0)) {
1593         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_DONE, ERR_R_INTERNAL_ERROR);
1594         ossl_statem_set_error(s);
1595         return 0;
1596     }
1597
1598     if (!s->s3->tmp.cert_request) {
1599         if (!ssl3_digest_cached_records(s, 0)) {
1600             ossl_statem_set_error(s);
1601         }
1602     }
1603
1604     return 1;
1605 }
1606
1607 int tls_construct_server_key_exchange(SSL *s)
1608 {
1609 #ifndef OPENSSL_NO_DH
1610     EVP_PKEY *pkdh = NULL;
1611 #endif
1612 #ifndef OPENSSL_NO_EC
1613     unsigned char *encodedPoint = NULL;
1614     int encodedlen = 0;
1615     int curve_id = 0;
1616 #endif
1617     EVP_PKEY *pkey;
1618     const EVP_MD *md = NULL;
1619     unsigned char *p, *d;
1620     int al, i;
1621     unsigned long type;
1622     int n;
1623     const BIGNUM *r[4];
1624     int nr[4], kn;
1625     BUF_MEM *buf;
1626     EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();
1627
1628     if (md_ctx == NULL) {
1629         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
1630         al = SSL_AD_INTERNAL_ERROR;
1631         goto f_err;
1632     }
1633
1634     type = s->s3->tmp.new_cipher->algorithm_mkey;
1635
1636     buf = s->init_buf;
1637
1638     r[0] = r[1] = r[2] = r[3] = NULL;
1639     n = 0;
1640 #ifndef OPENSSL_NO_PSK
1641     if (type & SSL_PSK) {
1642         /*
1643          * reserve size for record length and PSK identity hint
1644          */
1645         n += 2;
1646         if (s->cert->psk_identity_hint)
1647             n += strlen(s->cert->psk_identity_hint);
1648     }
1649     /* Plain PSK or RSAPSK nothing to do */
1650     if (type & (SSL_kPSK | SSL_kRSAPSK)) {
1651     } else
1652 #endif                          /* !OPENSSL_NO_PSK */
1653 #ifndef OPENSSL_NO_DH
1654     if (type & (SSL_kDHE | SSL_kDHEPSK)) {
1655         CERT *cert = s->cert;
1656
1657         EVP_PKEY *pkdhp = NULL;
1658         DH *dh;
1659
1660         if (s->cert->dh_tmp_auto) {
1661             DH *dhp = ssl_get_auto_dh(s);
1662             pkdh = EVP_PKEY_new();
1663             if (pkdh == NULL || dhp == NULL) {
1664                 DH_free(dhp);
1665                 al = SSL_AD_INTERNAL_ERROR;
1666                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1667                        ERR_R_INTERNAL_ERROR);
1668                 goto f_err;
1669             }
1670             EVP_PKEY_assign_DH(pkdh, dhp);
1671             pkdhp = pkdh;
1672         } else {
1673             pkdhp = cert->dh_tmp;
1674         }
1675         if ((pkdhp == NULL) && (s->cert->dh_tmp_cb != NULL)) {
1676             DH *dhp = s->cert->dh_tmp_cb(s, 0, 1024);
1677             pkdh = ssl_dh_to_pkey(dhp);
1678             if (pkdh == NULL) {
1679                 al = SSL_AD_INTERNAL_ERROR;
1680                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1681                        ERR_R_INTERNAL_ERROR);
1682                 goto f_err;
1683             }
1684             pkdhp = pkdh;
1685         }
1686         if (pkdhp == NULL) {
1687             al = SSL_AD_HANDSHAKE_FAILURE;
1688             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1689                    SSL_R_MISSING_TMP_DH_KEY);
1690             goto f_err;
1691         }
1692         if (!ssl_security(s, SSL_SECOP_TMP_DH,
1693                           EVP_PKEY_security_bits(pkdhp), 0, pkdhp)) {
1694             al = SSL_AD_HANDSHAKE_FAILURE;
1695             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1696                    SSL_R_DH_KEY_TOO_SMALL);
1697             goto f_err;
1698         }
1699         if (s->s3->tmp.pkey != NULL) {
1700             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1701                    ERR_R_INTERNAL_ERROR);
1702             goto err;
1703         }
1704
1705         s->s3->tmp.pkey = ssl_generate_pkey(pkdhp, NID_undef);
1706
1707         if (s->s3->tmp.pkey == NULL) {
1708             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1709             goto err;
1710         }
1711
1712         dh = EVP_PKEY_get0_DH(s->s3->tmp.pkey);
1713
1714         EVP_PKEY_free(pkdh);
1715         pkdh = NULL;
1716
1717         DH_get0_pqg(dh, &r[0], NULL, &r[1]);
1718         DH_get0_key(dh, &r[2], NULL);
1719     } else
1720 #endif
1721 #ifndef OPENSSL_NO_EC
1722     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1723         int nid;
1724
1725         if (s->s3->tmp.pkey != NULL) {
1726             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1727                    ERR_R_INTERNAL_ERROR);
1728             goto err;
1729         }
1730
1731         /* Get NID of appropriate shared curve */
1732         nid = tls1_shared_curve(s, -2);
1733         curve_id = tls1_ec_nid2curve_id(nid);
1734         if (curve_id == 0) {
1735             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1736                    SSL_R_UNSUPPORTED_ELLIPTIC_CURVE);
1737             goto err;
1738         }
1739         s->s3->tmp.pkey = ssl_generate_pkey(NULL, nid);
1740         /* Generate a new key for this curve */
1741         if (s->s3->tmp.pkey == NULL) {
1742             al = SSL_AD_INTERNAL_ERROR;
1743             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1744             goto f_err;
1745         }
1746
1747         /* Encode the public key. */
1748         encodedlen = EC_KEY_key2buf(EVP_PKEY_get0_EC_KEY(s->s3->tmp.pkey),
1749                                     POINT_CONVERSION_UNCOMPRESSED,
1750                                     &encodedPoint, NULL);
1751
1752         if (encodedlen == 0) {
1753             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EC_LIB);
1754             goto err;
1755         }
1756
1757         /*
1758          * We only support named (not generic) curves in ECDH ephemeral key
1759          * exchanges. In this situation, we need four additional bytes to
1760          * encode the entire ServerECDHParams structure.
1761          */
1762         n += 4 + encodedlen;
1763
1764         /*
1765          * We'll generate the serverKeyExchange message explicitly so we
1766          * can set these to NULLs
1767          */
1768         r[0] = NULL;
1769         r[1] = NULL;
1770         r[2] = NULL;
1771         r[3] = NULL;
1772     } else
1773 #endif                          /* !OPENSSL_NO_EC */
1774 #ifndef OPENSSL_NO_SRP
1775     if (type & SSL_kSRP) {
1776         if ((s->srp_ctx.N == NULL) ||
1777             (s->srp_ctx.g == NULL) ||
1778             (s->srp_ctx.s == NULL) || (s->srp_ctx.B == NULL)) {
1779             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1780                    SSL_R_MISSING_SRP_PARAM);
1781             goto err;
1782         }
1783         r[0] = s->srp_ctx.N;
1784         r[1] = s->srp_ctx.g;
1785         r[2] = s->srp_ctx.s;
1786         r[3] = s->srp_ctx.B;
1787     } else
1788 #endif
1789     {
1790         al = SSL_AD_HANDSHAKE_FAILURE;
1791         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1792                SSL_R_UNKNOWN_KEY_EXCHANGE_TYPE);
1793         goto f_err;
1794     }
1795     for (i = 0; i < 4 && r[i] != NULL; i++) {
1796         nr[i] = BN_num_bytes(r[i]);
1797 #ifndef OPENSSL_NO_SRP
1798         if ((i == 2) && (type & SSL_kSRP))
1799             n += 1 + nr[i];
1800         else
1801 #endif
1802             n += 2 + nr[i];
1803     }
1804
1805     if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL|SSL_aSRP))
1806         && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)) {
1807         if ((pkey = ssl_get_sign_pkey(s, s->s3->tmp.new_cipher, &md))
1808             == NULL) {
1809             al = SSL_AD_DECODE_ERROR;
1810             goto f_err;
1811         }
1812         kn = EVP_PKEY_size(pkey);
1813         /* Allow space for signature algorithm */
1814         if (SSL_USE_SIGALGS(s))
1815             kn += 2;
1816         /* Allow space for signature length */
1817         kn += 2;
1818     } else {
1819         pkey = NULL;
1820         kn = 0;
1821     }
1822
1823     if (!BUF_MEM_grow_clean(buf, n + SSL_HM_HEADER_LENGTH(s) + kn)) {
1824         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_LIB_BUF);
1825         goto err;
1826     }
1827     d = p = ssl_handshake_start(s);
1828
1829 #ifndef OPENSSL_NO_PSK
1830     if (type & SSL_PSK) {
1831         /* copy PSK identity hint */
1832         if (s->cert->psk_identity_hint) {
1833             s2n(strlen(s->cert->psk_identity_hint), p);
1834             strncpy((char *)p, s->cert->psk_identity_hint,
1835                     strlen(s->cert->psk_identity_hint));
1836             p += strlen(s->cert->psk_identity_hint);
1837         } else {
1838             s2n(0, p);
1839         }
1840     }
1841 #endif
1842
1843     for (i = 0; i < 4 && r[i] != NULL; i++) {
1844 #ifndef OPENSSL_NO_SRP
1845         if ((i == 2) && (type & SSL_kSRP)) {
1846             *p = nr[i];
1847             p++;
1848         } else
1849 #endif
1850             s2n(nr[i], p);
1851         BN_bn2bin(r[i], p);
1852         p += nr[i];
1853     }
1854
1855 #ifndef OPENSSL_NO_EC
1856     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1857         /*
1858          * XXX: For now, we only support named (not generic) curves. In
1859          * this situation, the serverKeyExchange message has: [1 byte
1860          * CurveType], [2 byte CurveName] [1 byte length of encoded
1861          * point], followed by the actual encoded point itself
1862          */
1863         *p = NAMED_CURVE_TYPE;
1864         p += 1;
1865         *p = 0;
1866         p += 1;
1867         *p = curve_id;
1868         p += 1;
1869         *p = encodedlen;
1870         p += 1;
1871         memcpy(p, encodedPoint, encodedlen);
1872         OPENSSL_free(encodedPoint);
1873         encodedPoint = NULL;
1874         p += encodedlen;
1875     }
1876 #endif
1877
1878     /* not anonymous */
1879     if (pkey != NULL) {
1880         /*
1881          * n is the length of the params, they start at &(d[4]) and p
1882          * points to the space at the end.
1883          */
1884         if (md) {
1885             /* send signature algorithm */
1886             if (SSL_USE_SIGALGS(s)) {
1887                 if (!tls12_get_sigandhash(p, pkey, md)) {
1888                     /* Should never happen */
1889                     al = SSL_AD_INTERNAL_ERROR;
1890                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1891                            ERR_R_INTERNAL_ERROR);
1892                     goto f_err;
1893                 }
1894                 p += 2;
1895             }
1896 #ifdef SSL_DEBUG
1897             fprintf(stderr, "Using hash %s\n", EVP_MD_name(md));
1898 #endif
1899             if (EVP_SignInit_ex(md_ctx, md, NULL) <= 0
1900                     || EVP_SignUpdate(md_ctx, &(s->s3->client_random[0]),
1901                                       SSL3_RANDOM_SIZE) <= 0
1902                     || EVP_SignUpdate(md_ctx, &(s->s3->server_random[0]),
1903                                       SSL3_RANDOM_SIZE) <= 0
1904                     || EVP_SignUpdate(md_ctx, d, n) <= 0
1905                     || EVP_SignFinal(md_ctx, &(p[2]),
1906                                (unsigned int *)&i, pkey) <= 0) {
1907                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_LIB_EVP);
1908                 al = SSL_AD_INTERNAL_ERROR;
1909                 goto f_err;
1910             }
1911             s2n(i, p);
1912             n += i + 2;
1913             if (SSL_USE_SIGALGS(s))
1914                 n += 2;
1915         } else {
1916             /* Is this error check actually needed? */
1917             al = SSL_AD_HANDSHAKE_FAILURE;
1918             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1919                    SSL_R_UNKNOWN_PKEY_TYPE);
1920             goto f_err;
1921         }
1922     }
1923
1924     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_KEY_EXCHANGE, n)) {
1925         al = SSL_AD_HANDSHAKE_FAILURE;
1926         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
1927         goto f_err;
1928     }
1929
1930     EVP_MD_CTX_free(md_ctx);
1931     return 1;
1932  f_err:
1933     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1934  err:
1935 #ifndef OPENSSL_NO_DH
1936     EVP_PKEY_free(pkdh);
1937 #endif
1938 #ifndef OPENSSL_NO_EC
1939     OPENSSL_free(encodedPoint);
1940 #endif
1941     EVP_MD_CTX_free(md_ctx);
1942     ossl_statem_set_error(s);
1943     return 0;
1944 }
1945
1946 int tls_construct_certificate_request(SSL *s)
1947 {
1948     unsigned char *p, *d;
1949     int i, j, nl, off, n;
1950     STACK_OF(X509_NAME) *sk = NULL;
1951     X509_NAME *name;
1952     BUF_MEM *buf;
1953
1954     buf = s->init_buf;
1955
1956     d = p = ssl_handshake_start(s);
1957
1958     /* get the list of acceptable cert types */
1959     p++;
1960     n = ssl3_get_req_cert_type(s, p);
1961     d[0] = n;
1962     p += n;
1963     n++;
1964
1965     if (SSL_USE_SIGALGS(s)) {
1966         const unsigned char *psigs;
1967         unsigned char *etmp = p;
1968         nl = tls12_get_psigalgs(s, &psigs);
1969         /* Skip over length for now */
1970         p += 2;
1971         nl = tls12_copy_sigalgs(s, p, psigs, nl);
1972         /* Now fill in length */
1973         s2n(nl, etmp);
1974         p += nl;
1975         n += nl + 2;
1976     }
1977
1978     off = n;
1979     p += 2;
1980     n += 2;
1981
1982     sk = SSL_get_client_CA_list(s);
1983     nl = 0;
1984     if (sk != NULL) {
1985         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
1986             name = sk_X509_NAME_value(sk, i);
1987             j = i2d_X509_NAME(name, NULL);
1988             if (!BUF_MEM_grow_clean
1989                 (buf, SSL_HM_HEADER_LENGTH(s) + n + j + 2)) {
1990                 SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
1991                        ERR_R_BUF_LIB);
1992                 goto err;
1993             }
1994             p = ssl_handshake_start(s) + n;
1995             s2n(j, p);
1996             i2d_X509_NAME(name, &p);
1997             n += 2 + j;
1998             nl += 2 + j;
1999         }
2000     }
2001     /* else no CA names */
2002     p = ssl_handshake_start(s) + off;
2003     s2n(nl, p);
2004
2005     if (!ssl_set_handshake_header(s, SSL3_MT_CERTIFICATE_REQUEST, n)) {
2006         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2007         goto err;
2008     }
2009
2010     s->s3->tmp.cert_request = 1;
2011
2012     return 1;
2013  err:
2014     ossl_statem_set_error(s);
2015     return 0;
2016 }
2017
2018 static int tls_process_cke_psk_preamble(SSL *s, PACKET *pkt, int *al)
2019 {
2020 #ifndef OPENSSL_NO_PSK
2021     unsigned char psk[PSK_MAX_PSK_LEN];
2022     size_t psklen;
2023     PACKET psk_identity;
2024
2025     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity)) {
2026         *al = SSL_AD_DECODE_ERROR;
2027         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_LENGTH_MISMATCH);
2028         return 0;
2029     }
2030     if (PACKET_remaining(&psk_identity) > PSK_MAX_IDENTITY_LEN) {
2031         *al = SSL_AD_DECODE_ERROR;
2032         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2033                SSL_R_DATA_LENGTH_TOO_LONG);
2034         return 0;
2035     }
2036     if (s->psk_server_callback == NULL) {
2037         *al = SSL_AD_INTERNAL_ERROR;
2038         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2039                SSL_R_PSK_NO_SERVER_CB);
2040         return 0;
2041     }
2042
2043     if (!PACKET_strndup(&psk_identity, &s->session->psk_identity)) {
2044         *al = SSL_AD_INTERNAL_ERROR;
2045         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2046         return 0;
2047     }
2048
2049     psklen = s->psk_server_callback(s, s->session->psk_identity,
2050                                      psk, sizeof(psk));
2051
2052     if (psklen > PSK_MAX_PSK_LEN) {
2053         *al = SSL_AD_INTERNAL_ERROR;
2054         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2055         return 0;
2056     } else if (psklen == 0) {
2057         /*
2058          * PSK related to the given identity not found
2059          */
2060         *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
2061         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2062                SSL_R_PSK_IDENTITY_NOT_FOUND);
2063         return 0;
2064     }
2065
2066     OPENSSL_free(s->s3->tmp.psk);
2067     s->s3->tmp.psk = OPENSSL_memdup(psk, psklen);
2068     OPENSSL_cleanse(psk, psklen);
2069
2070     if (s->s3->tmp.psk == NULL) {
2071         *al = SSL_AD_INTERNAL_ERROR;
2072         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
2073         return 0;
2074     }
2075
2076     s->s3->tmp.psklen = psklen;
2077
2078     return 1;
2079 #else
2080     /* Should never happen */
2081     *al = SSL_AD_INTERNAL_ERROR;
2082     SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2083     return 0;
2084 #endif
2085 }
2086
2087
2088 static int tls_process_cke_rsa(SSL *s, PACKET *pkt, int *al)
2089 {
2090 #ifndef OPENSSL_NO_RSA
2091     unsigned char rand_premaster_secret[SSL_MAX_MASTER_KEY_LENGTH];
2092     int decrypt_len;
2093     unsigned char decrypt_good, version_good;
2094     size_t j, padding_len;
2095     PACKET enc_premaster;
2096     RSA *rsa = NULL;
2097     unsigned char *rsa_decrypt = NULL;
2098     int ret = 0;
2099
2100     rsa = EVP_PKEY_get0_RSA(s->cert->pkeys[SSL_PKEY_RSA_ENC].privatekey);
2101     if (rsa == NULL) {
2102         *al = SSL_AD_HANDSHAKE_FAILURE;
2103         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2104                SSL_R_MISSING_RSA_CERTIFICATE);
2105         return 0;
2106     }
2107
2108     /* SSLv3 and pre-standard DTLS omit the length bytes. */
2109     if (s->version == SSL3_VERSION || s->version == DTLS1_BAD_VER) {
2110         enc_premaster = *pkt;
2111     } else {
2112         if (!PACKET_get_length_prefixed_2(pkt, &enc_premaster)
2113             || PACKET_remaining(pkt) != 0) {
2114             *al = SSL_AD_DECODE_ERROR;
2115             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2116                    SSL_R_LENGTH_MISMATCH);
2117             return 0;
2118         }
2119     }
2120
2121     /*
2122      * We want to be sure that the plaintext buffer size makes it safe to
2123      * iterate over the entire size of a premaster secret
2124      * (SSL_MAX_MASTER_KEY_LENGTH). Reject overly short RSA keys because
2125      * their ciphertext cannot accommodate a premaster secret anyway.
2126      */
2127     if (RSA_size(rsa) < SSL_MAX_MASTER_KEY_LENGTH) {
2128         *al = SSL_AD_INTERNAL_ERROR;
2129         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2130                RSA_R_KEY_SIZE_TOO_SMALL);
2131         return 0;
2132     }
2133
2134     rsa_decrypt = OPENSSL_malloc(RSA_size(rsa));
2135     if (rsa_decrypt == NULL) {
2136         *al = SSL_AD_INTERNAL_ERROR;
2137         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
2138         return 0;
2139     }
2140
2141     /*
2142      * We must not leak whether a decryption failure occurs because of
2143      * Bleichenbacher's attack on PKCS #1 v1.5 RSA padding (see RFC 2246,
2144      * section 7.4.7.1). The code follows that advice of the TLS RFC and
2145      * generates a random premaster secret for the case that the decrypt
2146      * fails. See https://tools.ietf.org/html/rfc5246#section-7.4.7.1
2147      */
2148
2149     if (RAND_bytes(rand_premaster_secret,
2150                    sizeof(rand_premaster_secret)) <= 0)
2151         goto err;
2152
2153     /*
2154      * Decrypt with no padding. PKCS#1 padding will be removed as part of
2155      * the timing-sensitive code below.
2156      */
2157     decrypt_len = RSA_private_decrypt(PACKET_remaining(&enc_premaster),
2158                                       PACKET_data(&enc_premaster),
2159                                       rsa_decrypt, rsa, RSA_NO_PADDING);
2160     if (decrypt_len < 0)
2161         goto err;
2162
2163     /* Check the padding. See RFC 3447, section 7.2.2. */
2164
2165     /*
2166      * The smallest padded premaster is 11 bytes of overhead. Small keys
2167      * are publicly invalid, so this may return immediately. This ensures
2168      * PS is at least 8 bytes.
2169      */
2170     if (decrypt_len < 11 + SSL_MAX_MASTER_KEY_LENGTH) {
2171         *al = SSL_AD_DECRYPT_ERROR;
2172         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_DECRYPTION_FAILED);
2173         goto err;
2174     }
2175
2176     padding_len = decrypt_len - SSL_MAX_MASTER_KEY_LENGTH;
2177     decrypt_good = constant_time_eq_int_8(rsa_decrypt[0], 0) &
2178                    constant_time_eq_int_8(rsa_decrypt[1], 2);
2179     for (j = 2; j < padding_len - 1; j++) {
2180         decrypt_good &= ~constant_time_is_zero_8(rsa_decrypt[j]);
2181     }
2182     decrypt_good &= constant_time_is_zero_8(rsa_decrypt[padding_len - 1]);
2183
2184     /*
2185      * If the version in the decrypted pre-master secret is correct then
2186      * version_good will be 0xff, otherwise it'll be zero. The
2187      * Klima-Pokorny-Rosa extension of Bleichenbacher's attack
2188      * (http://eprint.iacr.org/2003/052/) exploits the version number
2189      * check as a "bad version oracle". Thus version checks are done in
2190      * constant time and are treated like any other decryption error.
2191      */
2192     version_good =
2193         constant_time_eq_8(rsa_decrypt[padding_len],
2194                            (unsigned)(s->client_version >> 8));
2195     version_good &=
2196         constant_time_eq_8(rsa_decrypt[padding_len + 1],
2197                            (unsigned)(s->client_version & 0xff));
2198
2199     /*
2200      * The premaster secret must contain the same version number as the
2201      * ClientHello to detect version rollback attacks (strangely, the
2202      * protocol does not offer such protection for DH ciphersuites).
2203      * However, buggy clients exist that send the negotiated protocol
2204      * version instead if the server does not support the requested
2205      * protocol version. If SSL_OP_TLS_ROLLBACK_BUG is set, tolerate such
2206      * clients.
2207      */
2208     if (s->options & SSL_OP_TLS_ROLLBACK_BUG) {
2209         unsigned char workaround_good;
2210         workaround_good = constant_time_eq_8(rsa_decrypt[padding_len],
2211                                              (unsigned)(s->version >> 8));
2212         workaround_good &=
2213             constant_time_eq_8(rsa_decrypt[padding_len + 1],
2214                                (unsigned)(s->version & 0xff));
2215         version_good |= workaround_good;
2216     }
2217
2218     /*
2219      * Both decryption and version must be good for decrypt_good to
2220      * remain non-zero (0xff).
2221      */
2222     decrypt_good &= version_good;
2223
2224     /*
2225      * Now copy rand_premaster_secret over from p using
2226      * decrypt_good_mask. If decryption failed, then p does not
2227      * contain valid plaintext, however, a check above guarantees
2228      * it is still sufficiently large to read from.
2229      */
2230     for (j = 0; j < sizeof(rand_premaster_secret); j++) {
2231         rsa_decrypt[padding_len + j] =
2232             constant_time_select_8(decrypt_good,
2233                                    rsa_decrypt[padding_len + j],
2234                                    rand_premaster_secret[j]);
2235     }
2236
2237     if (!ssl_generate_master_secret(s, rsa_decrypt + padding_len,
2238                                     sizeof(rand_premaster_secret), 0)) {
2239         *al = SSL_AD_INTERNAL_ERROR;
2240         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2241         goto err;
2242     }
2243
2244     ret = 1;
2245  err:
2246     OPENSSL_free(rsa_decrypt);
2247     return ret;
2248 #else
2249     /* Should never happen */
2250     *al = SSL_AD_INTERNAL_ERROR;
2251     SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2252     return 0;
2253 #endif
2254 }
2255
2256 MSG_PROCESS_RETURN tls_process_client_key_exchange(SSL *s, PACKET *pkt)
2257 {
2258     int al = -1;
2259     unsigned long alg_k;
2260
2261     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2262
2263     /* For PSK parse and retrieve identity, obtain PSK key */
2264     if ((alg_k & SSL_PSK) && !tls_process_cke_psk_preamble(s, pkt, &al))
2265         goto err;
2266
2267     if (alg_k & SSL_kPSK) {
2268         /* Identity extracted earlier: should be nothing left */
2269         if (PACKET_remaining(pkt) != 0) {
2270             al = SSL_AD_HANDSHAKE_FAILURE;
2271             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_LENGTH_MISMATCH);
2272             goto f_err;
2273         }
2274         /* PSK handled by ssl_generate_master_secret */
2275         if (!ssl_generate_master_secret(s, NULL, 0, 0)) {
2276             al = SSL_AD_INTERNAL_ERROR;
2277             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2278             goto f_err;
2279         }
2280     } else if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2281         if (!tls_process_cke_rsa(s, pkt, &al))
2282             goto err;
2283     } else
2284 #ifndef OPENSSL_NO_DH
2285     if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2286         EVP_PKEY *skey = NULL;
2287         DH *cdh;
2288         unsigned int i;
2289         BIGNUM *pub_key;
2290         const unsigned char *data;
2291         EVP_PKEY *ckey = NULL;
2292
2293         if (!PACKET_get_net_2(pkt, &i)) {
2294             if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2295                 al = SSL_AD_HANDSHAKE_FAILURE;
2296                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2297                        SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2298                 goto f_err;
2299             }
2300             i = 0;
2301         }
2302         if (PACKET_remaining(pkt) != i) {
2303             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2304                    SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2305             goto err;
2306         }
2307         skey = s->s3->tmp.pkey;
2308         if (skey == NULL) {
2309             al = SSL_AD_HANDSHAKE_FAILURE;
2310             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2311                    SSL_R_MISSING_TMP_DH_KEY);
2312             goto f_err;
2313         }
2314
2315         if (PACKET_remaining(pkt) == 0L) {
2316             al = SSL_AD_HANDSHAKE_FAILURE;
2317             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2318                    SSL_R_MISSING_TMP_DH_KEY);
2319             goto f_err;
2320         }
2321         if (!PACKET_get_bytes(pkt, &data, i)) {
2322             /* We already checked we have enough data */
2323             al = SSL_AD_INTERNAL_ERROR;
2324             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2325                    ERR_R_INTERNAL_ERROR);
2326             goto f_err;
2327         }
2328         ckey = EVP_PKEY_new();
2329         if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) == 0) {
2330             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_BN_LIB);
2331             EVP_PKEY_free(ckey);
2332             goto err;
2333         }
2334         cdh = EVP_PKEY_get0_DH(ckey);
2335         pub_key = BN_bin2bn(data, i, NULL);
2336
2337         if (pub_key == NULL || !DH_set0_key(cdh, pub_key, NULL)) {
2338             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2339             if (pub_key != NULL)
2340                 BN_free(pub_key);
2341             EVP_PKEY_free(ckey);
2342             goto err;
2343         }
2344
2345         if (ssl_derive(s, skey, ckey) == 0) {
2346             al = SSL_AD_INTERNAL_ERROR;
2347             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2348             EVP_PKEY_free(ckey);
2349             goto f_err;
2350         }
2351
2352         EVP_PKEY_free(ckey);
2353         EVP_PKEY_free(s->s3->tmp.pkey);
2354         s->s3->tmp.pkey = NULL;
2355
2356     } else
2357 #endif
2358
2359 #ifndef OPENSSL_NO_EC
2360     if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2361         EVP_PKEY *skey = s->s3->tmp.pkey;
2362         EVP_PKEY *ckey = NULL;
2363
2364         if (PACKET_remaining(pkt) == 0L) {
2365             /* We don't support ECDH client auth */
2366             al = SSL_AD_HANDSHAKE_FAILURE;
2367             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2368                    SSL_R_MISSING_TMP_ECDH_KEY);
2369             goto f_err;
2370         } else {
2371             unsigned int i;
2372             const unsigned char *data;
2373
2374             /*
2375              * Get client's public key from encoded point in the
2376              * ClientKeyExchange message.
2377              */
2378
2379             /* Get encoded point length */
2380             if (!PACKET_get_1(pkt, &i)) {
2381                 al = SSL_AD_DECODE_ERROR;
2382                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2383                        SSL_R_LENGTH_MISMATCH);
2384                 goto f_err;
2385             }
2386             if (!PACKET_get_bytes(pkt, &data, i)
2387                     || PACKET_remaining(pkt) != 0) {
2388                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_EC_LIB);
2389                 goto err;
2390             }
2391             ckey = EVP_PKEY_new();
2392             if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) <= 0) {
2393                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_EVP_LIB);
2394                 EVP_PKEY_free(ckey);
2395                 goto err;
2396             }
2397             if (EC_KEY_oct2key(EVP_PKEY_get0_EC_KEY(ckey), data, i,
2398                                NULL) == 0) {
2399                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_EC_LIB);
2400                 EVP_PKEY_free(ckey);
2401                 goto err;
2402             }
2403         }
2404
2405         if (ssl_derive(s, skey, ckey) == 0) {
2406             al = SSL_AD_INTERNAL_ERROR;
2407             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2408             EVP_PKEY_free(ckey);
2409             goto f_err;
2410         }
2411
2412         EVP_PKEY_free(ckey);
2413         EVP_PKEY_free(s->s3->tmp.pkey);
2414         s->s3->tmp.pkey = NULL;
2415
2416         return MSG_PROCESS_CONTINUE_PROCESSING;
2417     } else
2418 #endif
2419 #ifndef OPENSSL_NO_SRP
2420     if (alg_k & SSL_kSRP) {
2421         unsigned int i;
2422         const unsigned char *data;
2423
2424         if (!PACKET_get_net_2(pkt, &i)
2425                 || !PACKET_get_bytes(pkt, &data, i)) {
2426             al = SSL_AD_DECODE_ERROR;
2427             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_BAD_SRP_A_LENGTH);
2428             goto f_err;
2429         }
2430         if ((s->srp_ctx.A = BN_bin2bn(data, i, NULL)) == NULL) {
2431             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_BN_LIB);
2432             goto err;
2433         }
2434         if (BN_ucmp(s->srp_ctx.A, s->srp_ctx.N) >= 0
2435             || BN_is_zero(s->srp_ctx.A)) {
2436             al = SSL_AD_ILLEGAL_PARAMETER;
2437             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2438                    SSL_R_BAD_SRP_PARAMETERS);
2439             goto f_err;
2440         }
2441         OPENSSL_free(s->session->srp_username);
2442         s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2443         if (s->session->srp_username == NULL) {
2444             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
2445             goto err;
2446         }
2447
2448         if (!srp_generate_server_master_secret(s)) {
2449             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2450             goto err;
2451         }
2452     } else
2453 #endif                          /* OPENSSL_NO_SRP */
2454 #ifndef OPENSSL_NO_GOST
2455     if (alg_k & SSL_kGOST) {
2456         EVP_PKEY_CTX *pkey_ctx;
2457         EVP_PKEY *client_pub_pkey = NULL, *pk = NULL;
2458         unsigned char premaster_secret[32];
2459         const unsigned char *start;
2460         size_t outlen = 32, inlen;
2461         unsigned long alg_a;
2462         int Ttag, Tclass;
2463         long Tlen;
2464         long sess_key_len;
2465         const unsigned char *data;
2466
2467         /* Get our certificate private key */
2468         alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2469         if (alg_a & SSL_aGOST12) {
2470             /*
2471              * New GOST ciphersuites have SSL_aGOST01 bit too
2472              */
2473             pk = s->cert->pkeys[SSL_PKEY_GOST12_512].privatekey;
2474             if (pk == NULL) {
2475                 pk = s->cert->pkeys[SSL_PKEY_GOST12_256].privatekey;
2476             }
2477             if (pk == NULL) {
2478                 pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2479             }
2480         } else if (alg_a & SSL_aGOST01) {
2481             pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2482         }
2483
2484         pkey_ctx = EVP_PKEY_CTX_new(pk, NULL);
2485         if (pkey_ctx == NULL) {
2486             al = SSL_AD_INTERNAL_ERROR;
2487             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
2488             goto f_err;
2489         }
2490         if (EVP_PKEY_decrypt_init(pkey_ctx) <= 0) {
2491             al = SSL_AD_INTERNAL_ERROR;
2492             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2493             goto f_err;
2494         }
2495         /*
2496          * If client certificate is present and is of the same type, maybe
2497          * use it for key exchange.  Don't mind errors from
2498          * EVP_PKEY_derive_set_peer, because it is completely valid to use a
2499          * client certificate for authorization only.
2500          */
2501         client_pub_pkey = X509_get0_pubkey(s->session->peer);
2502         if (client_pub_pkey) {
2503             if (EVP_PKEY_derive_set_peer(pkey_ctx, client_pub_pkey) <= 0)
2504                 ERR_clear_error();
2505         }
2506         /* Decrypt session key */
2507         sess_key_len = PACKET_remaining(pkt);
2508         if (!PACKET_get_bytes(pkt, &data, sess_key_len)) {
2509             al = SSL_AD_INTERNAL_ERROR;
2510             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2511             goto gerr;
2512         }
2513         if (ASN1_get_object ((const unsigned char **)&data, &Tlen, &Ttag,
2514                              &Tclass, sess_key_len) != V_ASN1_CONSTRUCTED
2515             || Ttag != V_ASN1_SEQUENCE
2516             || Tclass != V_ASN1_UNIVERSAL) {
2517             al = SSL_AD_DECODE_ERROR;
2518             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2519                    SSL_R_DECRYPTION_FAILED);
2520             goto gerr;
2521         }
2522         start = data;
2523         inlen = Tlen;
2524         if (EVP_PKEY_decrypt
2525             (pkey_ctx, premaster_secret, &outlen, start, inlen) <= 0) {
2526             al = SSL_AD_DECODE_ERROR;
2527             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2528                    SSL_R_DECRYPTION_FAILED);
2529             goto gerr;
2530         }
2531         /* Generate master secret */
2532         if (!ssl_generate_master_secret(s, premaster_secret,
2533                                         sizeof(premaster_secret), 0)) {
2534             al = SSL_AD_INTERNAL_ERROR;
2535             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2536             goto gerr;
2537         }
2538         /* Check if pubkey from client certificate was used */
2539         if (EVP_PKEY_CTX_ctrl
2540             (pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2, NULL) > 0)
2541             s->statem.no_cert_verify = 1;
2542
2543         EVP_PKEY_CTX_free(pkey_ctx);
2544         return MSG_PROCESS_CONTINUE_PROCESSING;
2545  gerr:
2546         EVP_PKEY_CTX_free(pkey_ctx);
2547         goto f_err;
2548     } else
2549 #endif
2550     {
2551         al = SSL_AD_HANDSHAKE_FAILURE;
2552         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_UNKNOWN_CIPHER_TYPE);
2553         goto f_err;
2554     }
2555
2556     return MSG_PROCESS_CONTINUE_PROCESSING;
2557  err:
2558  f_err:
2559     if (al != -1)
2560         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2561 #ifndef OPENSSL_NO_PSK
2562     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2563     s->s3->tmp.psk = NULL;
2564 #endif
2565     ossl_statem_set_error(s);
2566     return MSG_PROCESS_ERROR;
2567 }
2568
2569 WORK_STATE tls_post_process_client_key_exchange(SSL *s, WORK_STATE wst)
2570 {
2571 #ifndef OPENSSL_NO_SCTP
2572     if (wst == WORK_MORE_A) {
2573         if (SSL_IS_DTLS(s)) {
2574             unsigned char sctpauthkey[64];
2575             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2576             /*
2577              * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2578              * used.
2579              */
2580             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2581                    sizeof(DTLS1_SCTP_AUTH_LABEL));
2582
2583             if (SSL_export_keying_material(s, sctpauthkey,
2584                                        sizeof(sctpauthkey), labelbuffer,
2585                                        sizeof(labelbuffer), NULL, 0, 0) <= 0) {
2586                 ossl_statem_set_error(s);
2587                 return WORK_ERROR;;
2588             }
2589
2590             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
2591                      sizeof(sctpauthkey), sctpauthkey);
2592         }
2593         wst = WORK_MORE_B;
2594     }
2595
2596     if ((wst == WORK_MORE_B)
2597             /* Is this SCTP? */
2598             && BIO_dgram_is_sctp(SSL_get_wbio(s))
2599             /* Are we renegotiating? */
2600             && s->renegotiate
2601             /* Are we going to skip the CertificateVerify? */
2602             && (s->session->peer == NULL || s->statem.no_cert_verify)
2603             && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
2604         s->s3->in_read_app_data = 2;
2605         s->rwstate = SSL_READING;
2606         BIO_clear_retry_flags(SSL_get_rbio(s));
2607         BIO_set_retry_read(SSL_get_rbio(s));
2608         ossl_statem_set_sctp_read_sock(s, 1);
2609         return WORK_MORE_B;
2610     } else {
2611         ossl_statem_set_sctp_read_sock(s, 0);
2612     }
2613 #endif
2614
2615     if (s->statem.no_cert_verify || !s->session->peer) {
2616         /* No certificate verify or no peer certificate so we no longer need the
2617          * handshake_buffer
2618          */
2619         if (!ssl3_digest_cached_records(s, 0)) {
2620             ossl_statem_set_error(s);
2621             return WORK_ERROR;
2622         }
2623         return WORK_FINISHED_CONTINUE;
2624     } else {
2625         if (!s->s3->handshake_buffer) {
2626             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_KEY_EXCHANGE,
2627                    ERR_R_INTERNAL_ERROR);
2628             ossl_statem_set_error(s);
2629             return WORK_ERROR;
2630         }
2631         /*
2632          * For sigalgs freeze the handshake buffer. If we support
2633          * extms we've done this already so this is a no-op
2634          */
2635         if (!ssl3_digest_cached_records(s, 1)) {
2636             ossl_statem_set_error(s);
2637             return WORK_ERROR;
2638         }
2639     }
2640
2641     return WORK_FINISHED_CONTINUE;
2642 }
2643
2644 MSG_PROCESS_RETURN tls_process_cert_verify(SSL *s, PACKET *pkt)
2645 {
2646     EVP_PKEY *pkey = NULL;
2647     const unsigned char *sig, *data;
2648 #ifndef OPENSSL_NO_GOST
2649     unsigned char *gost_data = NULL;
2650 #endif
2651     int al, ret = MSG_PROCESS_ERROR;
2652     int type = 0, j;
2653     unsigned int len;
2654     X509 *peer;
2655     const EVP_MD *md = NULL;
2656     long hdatalen = 0;
2657     void *hdata;
2658
2659     EVP_MD_CTX *mctx = EVP_MD_CTX_new();
2660
2661     if (mctx == NULL) {
2662         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2663         al = SSL_AD_INTERNAL_ERROR;
2664         goto f_err;
2665     }
2666
2667     peer = s->session->peer;
2668     pkey = X509_get0_pubkey(peer);
2669     type = X509_certificate_type(peer, pkey);
2670
2671     if (!(type & EVP_PKT_SIGN)) {
2672         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY,
2673                SSL_R_SIGNATURE_FOR_NON_SIGNING_CERTIFICATE);
2674         al = SSL_AD_ILLEGAL_PARAMETER;
2675         goto f_err;
2676     }
2677
2678     /* Check for broken implementations of GOST ciphersuites */
2679     /*
2680      * If key is GOST and n is exactly 64, it is bare signature without
2681      * length field (CryptoPro implementations at least till CSP 4.0)
2682      */
2683 #ifndef OPENSSL_NO_GOST
2684     if (PACKET_remaining(pkt) == 64
2685         && EVP_PKEY_id(pkey) == NID_id_GostR3410_2001) {
2686         len = 64;
2687     } else
2688 #endif
2689     {
2690         if (SSL_USE_SIGALGS(s)) {
2691             int rv;
2692
2693             if (!PACKET_get_bytes(pkt, &sig, 2)) {
2694                 al = SSL_AD_DECODE_ERROR;
2695                 goto f_err;
2696             }
2697             rv = tls12_check_peer_sigalg(&md, s, sig, pkey);
2698             if (rv == -1) {
2699                 al = SSL_AD_INTERNAL_ERROR;
2700                 goto f_err;
2701             } else if (rv == 0) {
2702                 al = SSL_AD_DECODE_ERROR;
2703                 goto f_err;
2704             }
2705 #ifdef SSL_DEBUG
2706             fprintf(stderr, "USING TLSv1.2 HASH %s\n", EVP_MD_name(md));
2707 #endif
2708         } else {
2709             /* Use default digest for this key type */
2710             int idx = ssl_cert_type(NULL, pkey);
2711             if (idx >= 0)
2712                 md = s->s3->tmp.md[idx];
2713             if (md == NULL) {
2714                 al = SSL_AD_INTERNAL_ERROR;
2715                 goto f_err;
2716             }
2717         }
2718
2719         if (!PACKET_get_net_2(pkt, &len)) {
2720             SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2721             al = SSL_AD_DECODE_ERROR;
2722             goto f_err;
2723         }
2724     }
2725     j = EVP_PKEY_size(pkey);
2726     if (((int)len > j) || ((int)PACKET_remaining(pkt) > j)
2727             || (PACKET_remaining(pkt) == 0)) {
2728         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_WRONG_SIGNATURE_SIZE);
2729         al = SSL_AD_DECODE_ERROR;
2730         goto f_err;
2731     }
2732     if (!PACKET_get_bytes(pkt, &data, len)) {
2733         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2734         al = SSL_AD_DECODE_ERROR;
2735         goto f_err;
2736     }
2737
2738     hdatalen = BIO_get_mem_data(s->s3->handshake_buffer, &hdata);
2739     if (hdatalen <= 0) {
2740         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_INTERNAL_ERROR);
2741         al = SSL_AD_INTERNAL_ERROR;
2742         goto f_err;
2743     }
2744 #ifdef SSL_DEBUG
2745     fprintf(stderr, "Using client verify alg %s\n", EVP_MD_name(md));
2746 #endif
2747     if (!EVP_VerifyInit_ex(mctx, md, NULL)
2748         || !EVP_VerifyUpdate(mctx, hdata, hdatalen)) {
2749         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2750         al = SSL_AD_INTERNAL_ERROR;
2751         goto f_err;
2752     }
2753
2754 #ifndef OPENSSL_NO_GOST
2755     {
2756         int pktype = EVP_PKEY_id(pkey);
2757         if (pktype == NID_id_GostR3410_2001
2758             || pktype == NID_id_GostR3410_2012_256
2759             || pktype == NID_id_GostR3410_2012_512) {
2760             if ((gost_data = OPENSSL_malloc(len)) == NULL) {
2761                 SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2762                 al = SSL_AD_INTERNAL_ERROR;
2763                 goto f_err;
2764             }
2765             BUF_reverse(gost_data, data, len);
2766             data = gost_data;
2767         }
2768     }
2769 #endif
2770
2771     if (s->version == SSL3_VERSION
2772         && !EVP_MD_CTX_ctrl(mctx, EVP_CTRL_SSL3_MASTER_SECRET,
2773                             s->session->master_key_length,
2774                             s->session->master_key)) {
2775         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2776         al = SSL_AD_INTERNAL_ERROR;
2777         goto f_err;
2778     }
2779
2780     if (EVP_VerifyFinal(mctx, data, len, pkey) <= 0) {
2781         al = SSL_AD_DECRYPT_ERROR;
2782         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_BAD_SIGNATURE);
2783         goto f_err;
2784     }
2785
2786     ret = MSG_PROCESS_CONTINUE_PROCESSING;
2787     if (0) {
2788  f_err:
2789         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2790         ossl_statem_set_error(s);
2791     }
2792     BIO_free(s->s3->handshake_buffer);
2793     s->s3->handshake_buffer = NULL;
2794     EVP_MD_CTX_free(mctx);
2795 #ifndef OPENSSL_NO_GOST
2796     OPENSSL_free(gost_data);
2797 #endif
2798     return ret;
2799 }
2800
2801 MSG_PROCESS_RETURN tls_process_client_certificate(SSL *s, PACKET *pkt)
2802 {
2803     int i, al = SSL_AD_INTERNAL_ERROR, ret = MSG_PROCESS_ERROR;
2804     X509 *x = NULL;
2805     unsigned long l, llen;
2806     const unsigned char *certstart, *certbytes;
2807     STACK_OF(X509) *sk = NULL;
2808     PACKET spkt;
2809
2810     if ((sk = sk_X509_new_null()) == NULL) {
2811         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2812         goto f_err;
2813     }
2814
2815     if (!PACKET_get_net_3(pkt, &llen)
2816             || !PACKET_get_sub_packet(pkt, &spkt, llen)
2817             || PACKET_remaining(pkt) != 0) {
2818         al = SSL_AD_DECODE_ERROR;
2819         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
2820         goto f_err;
2821     }
2822
2823     while (PACKET_remaining(&spkt) > 0) {
2824         if (!PACKET_get_net_3(&spkt, &l)
2825                 || !PACKET_get_bytes(&spkt, &certbytes, l)) {
2826             al = SSL_AD_DECODE_ERROR;
2827             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2828                    SSL_R_CERT_LENGTH_MISMATCH);
2829             goto f_err;
2830         }
2831
2832         certstart = certbytes;
2833         x = d2i_X509(NULL, (const unsigned char **)&certbytes, l);
2834         if (x == NULL) {
2835             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_ASN1_LIB);
2836             goto f_err;
2837         }
2838         if (certbytes != (certstart + l)) {
2839             al = SSL_AD_DECODE_ERROR;
2840             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2841                    SSL_R_CERT_LENGTH_MISMATCH);
2842             goto f_err;
2843         }
2844         if (!sk_X509_push(sk, x)) {
2845             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2846             goto f_err;
2847         }
2848         x = NULL;
2849     }
2850
2851     if (sk_X509_num(sk) <= 0) {
2852         /* TLS does not mind 0 certs returned */
2853         if (s->version == SSL3_VERSION) {
2854             al = SSL_AD_HANDSHAKE_FAILURE;
2855             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2856                    SSL_R_NO_CERTIFICATES_RETURNED);
2857             goto f_err;
2858         }
2859         /* Fail for TLS only if we required a certificate */
2860         else if ((s->verify_mode & SSL_VERIFY_PEER) &&
2861                  (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
2862             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2863                    SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
2864             al = SSL_AD_HANDSHAKE_FAILURE;
2865             goto f_err;
2866         }
2867         /* No client certificate so digest cached records */
2868         if (s->s3->handshake_buffer && !ssl3_digest_cached_records(s, 0)) {
2869             goto f_err;
2870         }
2871     } else {
2872         EVP_PKEY *pkey;
2873         i = ssl_verify_cert_chain(s, sk);
2874         if (i <= 0) {
2875             al = ssl_verify_alarm_type(s->verify_result);
2876             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2877                    SSL_R_CERTIFICATE_VERIFY_FAILED);
2878             goto f_err;
2879         }
2880         if (i > 1) {
2881             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, i);
2882             al = SSL_AD_HANDSHAKE_FAILURE;
2883             goto f_err;
2884         }
2885         pkey = X509_get0_pubkey(sk_X509_value(sk, 0));
2886         if (pkey == NULL) {
2887             al = SSL3_AD_HANDSHAKE_FAILURE;
2888             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2889                    SSL_R_UNKNOWN_CERTIFICATE_TYPE);
2890             goto f_err;
2891         }
2892     }
2893
2894     X509_free(s->session->peer);
2895     s->session->peer = sk_X509_shift(sk);
2896     s->session->verify_result = s->verify_result;
2897
2898     sk_X509_pop_free(s->session->peer_chain, X509_free);
2899     s->session->peer_chain = sk;
2900     /*
2901      * Inconsistency alert: cert_chain does *not* include the peer's own
2902      * certificate, while we do include it in statem_clnt.c
2903      */
2904     sk = NULL;
2905     ret = MSG_PROCESS_CONTINUE_READING;
2906     goto done;
2907
2908  f_err:
2909     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2910     ossl_statem_set_error(s);
2911  done:
2912     X509_free(x);
2913     sk_X509_pop_free(sk, X509_free);
2914     return ret;
2915 }
2916
2917 int tls_construct_server_certificate(SSL *s)
2918 {
2919     CERT_PKEY *cpk;
2920
2921     cpk = ssl_get_server_send_pkey(s);
2922     if (cpk == NULL) {
2923         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2924         ossl_statem_set_error(s);
2925         return 0;
2926     }
2927
2928     if (!ssl3_output_cert_chain(s, cpk)) {
2929         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2930         ossl_statem_set_error(s);
2931         return 0;
2932     }
2933
2934     return 1;
2935 }
2936
2937 int tls_construct_new_session_ticket(SSL *s)
2938 {
2939     unsigned char *senc = NULL;
2940     EVP_CIPHER_CTX *ctx;
2941     HMAC_CTX *hctx = NULL;
2942     unsigned char *p, *macstart;
2943     const unsigned char *const_p;
2944     int len, slen_full, slen;
2945     SSL_SESSION *sess;
2946     unsigned int hlen;
2947     SSL_CTX *tctx = s->initial_ctx;
2948     unsigned char iv[EVP_MAX_IV_LENGTH];
2949     unsigned char key_name[TLSEXT_KEYNAME_LENGTH];
2950     int iv_len;
2951
2952     /* get session encoding length */
2953     slen_full = i2d_SSL_SESSION(s->session, NULL);
2954     /*
2955      * Some length values are 16 bits, so forget it if session is too
2956      * long
2957      */
2958     if (slen_full == 0 || slen_full > 0xFF00) {
2959         ossl_statem_set_error(s);
2960         return 0;
2961     }
2962     senc = OPENSSL_malloc(slen_full);
2963     if (senc == NULL) {
2964         ossl_statem_set_error(s);
2965         return 0;
2966     }
2967
2968     ctx = EVP_CIPHER_CTX_new();
2969     hctx = HMAC_CTX_new();
2970
2971     p = senc;
2972     if (!i2d_SSL_SESSION(s->session, &p))
2973         goto err;
2974
2975     /*
2976      * create a fresh copy (not shared with other threads) to clean up
2977      */
2978     const_p = senc;
2979     sess = d2i_SSL_SESSION(NULL, &const_p, slen_full);
2980     if (sess == NULL)
2981         goto err;
2982     sess->session_id_length = 0; /* ID is irrelevant for the ticket */
2983
2984     slen = i2d_SSL_SESSION(sess, NULL);
2985     if (slen == 0 || slen > slen_full) { /* shouldn't ever happen */
2986         SSL_SESSION_free(sess);
2987         goto err;
2988     }
2989     p = senc;
2990     if (!i2d_SSL_SESSION(sess, &p)) {
2991         SSL_SESSION_free(sess);
2992         goto err;
2993     }
2994     SSL_SESSION_free(sess);
2995
2996     /*-
2997      * Grow buffer if need be: the length calculation is as
2998      * follows handshake_header_length +
2999      * 4 (ticket lifetime hint) + 2 (ticket length) +
3000      * sizeof(keyname) + max_iv_len (iv length) +
3001      * max_enc_block_size (max encrypted session * length) +
3002      * max_md_size (HMAC) + session_length.
3003      */
3004     if (!BUF_MEM_grow(s->init_buf,
3005                       SSL_HM_HEADER_LENGTH(s) + 6 + sizeof(key_name) +
3006                       EVP_MAX_IV_LENGTH + EVP_MAX_BLOCK_LENGTH +
3007                       EVP_MAX_MD_SIZE + slen))
3008         goto err;
3009
3010     p = ssl_handshake_start(s);
3011     /*
3012      * Initialize HMAC and cipher contexts. If callback present it does
3013      * all the work otherwise use generated values from parent ctx.
3014      */
3015     if (tctx->tlsext_ticket_key_cb) {
3016         /* if 0 is returned, write an empty ticket */
3017         int ret = tctx->tlsext_ticket_key_cb(s, key_name, iv, ctx,
3018                                              hctx, 1);
3019
3020         if (ret == 0) {
3021             l2n(0, p); /* timeout */
3022             s2n(0, p); /* length */
3023             if (!ssl_set_handshake_header(s, SSL3_MT_NEWSESSION_TICKET, p - ssl_handshake_start(s)))
3024                 goto err;
3025             OPENSSL_free(senc);
3026             EVP_CIPHER_CTX_free(ctx);
3027             HMAC_CTX_free(hctx);
3028             return 1;
3029         }
3030         if (ret < 0)
3031             goto err;
3032         iv_len = EVP_CIPHER_CTX_iv_length(ctx);
3033     } else {
3034         const EVP_CIPHER *cipher = EVP_aes_256_cbc();
3035
3036         iv_len = EVP_CIPHER_iv_length(cipher);
3037         if (RAND_bytes(iv, iv_len) <= 0)
3038             goto err;
3039         if (!EVP_EncryptInit_ex(ctx, cipher, NULL,
3040                                 tctx->tlsext_tick_aes_key, iv))
3041             goto err;
3042         if (!HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3043                           sizeof(tctx->tlsext_tick_hmac_key),
3044                           EVP_sha256(), NULL))
3045             goto err;
3046         memcpy(key_name, tctx->tlsext_tick_key_name,
3047                sizeof(tctx->tlsext_tick_key_name));
3048     }
3049
3050     /*
3051      * Ticket lifetime hint (advisory only): We leave this unspecified
3052      * for resumed session (for simplicity), and guess that tickets for
3053      * new sessions will live as long as their sessions.
3054      */
3055     l2n(s->hit ? 0 : s->session->timeout, p);
3056
3057     /* Skip ticket length for now */
3058     p += 2;
3059     /* Output key name */
3060     macstart = p;
3061     memcpy(p, key_name, sizeof(key_name));
3062     p += sizeof(key_name);
3063     /* output IV */
3064     memcpy(p, iv, iv_len);
3065     p += iv_len;
3066     /* Encrypt session data */
3067     if (!EVP_EncryptUpdate(ctx, p, &len, senc, slen))
3068         goto err;
3069     p += len;
3070     if (!EVP_EncryptFinal(ctx, p, &len))
3071         goto err;
3072     p += len;
3073
3074     if (!HMAC_Update(hctx, macstart, p - macstart))
3075         goto err;
3076     if (!HMAC_Final(hctx, p, &hlen))
3077         goto err;
3078
3079     EVP_CIPHER_CTX_free(ctx);
3080     HMAC_CTX_free(hctx);
3081     ctx = NULL;
3082     hctx = NULL;
3083
3084     p += hlen;
3085     /* Now write out lengths: p points to end of data written */
3086     /* Total length */
3087     len = p - ssl_handshake_start(s);
3088     /* Skip ticket lifetime hint */
3089     p = ssl_handshake_start(s) + 4;
3090     s2n(len - 6, p);
3091     if (!ssl_set_handshake_header(s, SSL3_MT_NEWSESSION_TICKET, len))
3092         goto err;
3093     OPENSSL_free(senc);
3094
3095     return 1;
3096  err:
3097     OPENSSL_free(senc);
3098     EVP_CIPHER_CTX_free(ctx);
3099     HMAC_CTX_free(hctx);
3100     ossl_statem_set_error(s);
3101     return 0;
3102 }
3103
3104 int tls_construct_cert_status(SSL *s)
3105 {
3106     unsigned char *p;
3107     /*-
3108      * Grow buffer if need be: the length calculation is as
3109      * follows 1 (message type) + 3 (message length) +
3110      * 1 (ocsp response type) + 3 (ocsp response length)
3111      * + (ocsp response)
3112      */
3113     if (!BUF_MEM_grow(s->init_buf, 8 + s->tlsext_ocsp_resplen)) {
3114         ossl_statem_set_error(s);
3115         return 0;
3116     }
3117
3118     p = (unsigned char *)s->init_buf->data;
3119
3120     /* do the header */
3121     *(p++) = SSL3_MT_CERTIFICATE_STATUS;
3122     /* message length */
3123     l2n3(s->tlsext_ocsp_resplen + 4, p);
3124     /* status type */
3125     *(p++) = s->tlsext_status_type;
3126     /* length of OCSP response */
3127     l2n3(s->tlsext_ocsp_resplen, p);
3128     /* actual response */
3129     memcpy(p, s->tlsext_ocsp_resp, s->tlsext_ocsp_resplen);
3130     /* number of bytes to write */
3131     s->init_num = 8 + s->tlsext_ocsp_resplen;
3132     s->init_off = 0;
3133
3134     return 1;
3135 }
3136
3137 #ifndef OPENSSL_NO_NEXTPROTONEG
3138 /*
3139  * tls_process_next_proto reads a Next Protocol Negotiation handshake message.
3140  * It sets the next_proto member in s if found
3141  */
3142 MSG_PROCESS_RETURN tls_process_next_proto(SSL *s, PACKET *pkt)
3143 {
3144     PACKET next_proto, padding;
3145     size_t next_proto_len;
3146
3147     /*-
3148      * The payload looks like:
3149      *   uint8 proto_len;
3150      *   uint8 proto[proto_len];
3151      *   uint8 padding_len;
3152      *   uint8 padding[padding_len];
3153      */
3154     if (!PACKET_get_length_prefixed_1(pkt, &next_proto)
3155         || !PACKET_get_length_prefixed_1(pkt, &padding)
3156         || PACKET_remaining(pkt) > 0) {
3157         SSLerr(SSL_F_TLS_PROCESS_NEXT_PROTO, SSL_R_LENGTH_MISMATCH);
3158         goto err;
3159     }
3160
3161     if (!PACKET_memdup(&next_proto, &s->next_proto_negotiated,
3162                        &next_proto_len)) {
3163         s->next_proto_negotiated_len = 0;
3164         goto err;
3165     }
3166
3167     s->next_proto_negotiated_len = (unsigned char)next_proto_len;
3168
3169     return MSG_PROCESS_CONTINUE_READING;
3170 err:
3171     ossl_statem_set_error(s);
3172     return MSG_PROCESS_ERROR;
3173 }
3174 #endif
3175
3176 #define SSLV2_CIPHER_LEN    3
3177
3178 STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
3179                                                PACKET *cipher_suites,
3180                                                STACK_OF(SSL_CIPHER) **skp,
3181                                                int sslv2format, int *al
3182                                                )
3183 {
3184     const SSL_CIPHER *c;
3185     STACK_OF(SSL_CIPHER) *sk;
3186     int n;
3187     /* 3 = SSLV2_CIPHER_LEN > TLS_CIPHER_LEN = 2. */
3188     unsigned char cipher[SSLV2_CIPHER_LEN];
3189
3190     s->s3->send_connection_binding = 0;
3191
3192     n = sslv2format ? SSLV2_CIPHER_LEN : TLS_CIPHER_LEN;
3193
3194     if (PACKET_remaining(cipher_suites) == 0) {
3195         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, SSL_R_NO_CIPHERS_SPECIFIED);
3196         *al = SSL_AD_ILLEGAL_PARAMETER;
3197         return NULL;
3198     }
3199
3200     if (PACKET_remaining(cipher_suites) % n != 0) {
3201         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3202                SSL_R_ERROR_IN_RECEIVED_CIPHER_LIST);
3203         *al = SSL_AD_DECODE_ERROR;
3204         return NULL;
3205     }
3206
3207     if ((skp == NULL) || (*skp == NULL)) {
3208         sk = sk_SSL_CIPHER_new_null(); /* change perhaps later */
3209         if(sk == NULL) {
3210             SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3211             *al = SSL_AD_INTERNAL_ERROR;
3212             return NULL;
3213         }
3214     } else {
3215         sk = *skp;
3216         sk_SSL_CIPHER_zero(sk);
3217     }
3218
3219     if (!PACKET_memdup(cipher_suites, &s->s3->tmp.ciphers_raw,
3220                        &s->s3->tmp.ciphers_rawlen)) {
3221         *al = SSL_AD_INTERNAL_ERROR;
3222         goto err;
3223     }
3224
3225     while (PACKET_copy_bytes(cipher_suites, cipher, n)) {
3226         /*
3227          * SSLv3 ciphers wrapped in an SSLv2-compatible ClientHello have the
3228          * first byte set to zero, while true SSLv2 ciphers have a non-zero
3229          * first byte. We don't support any true SSLv2 ciphers, so skip them.
3230          */
3231         if (sslv2format && cipher[0] != '\0')
3232                 continue;
3233
3234         /* Check for TLS_EMPTY_RENEGOTIATION_INFO_SCSV */
3235         if ((cipher[n - 2] == ((SSL3_CK_SCSV >> 8) & 0xff)) &&
3236             (cipher[n - 1] == (SSL3_CK_SCSV & 0xff))) {
3237             /* SCSV fatal if renegotiating */
3238             if (s->renegotiate) {
3239                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3240                        SSL_R_SCSV_RECEIVED_WHEN_RENEGOTIATING);
3241                 *al = SSL_AD_HANDSHAKE_FAILURE;
3242                 goto err;
3243             }
3244             s->s3->send_connection_binding = 1;
3245             continue;
3246         }
3247
3248         /* Check for TLS_FALLBACK_SCSV */
3249         if ((cipher[n - 2] == ((SSL3_CK_FALLBACK_SCSV >> 8) & 0xff)) &&
3250             (cipher[n - 1] == (SSL3_CK_FALLBACK_SCSV & 0xff))) {
3251             /*
3252              * The SCSV indicates that the client previously tried a higher
3253              * version. Fail if the current version is an unexpected
3254              * downgrade.
3255              */
3256             if (!ssl_check_version_downgrade(s)) {
3257                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3258                        SSL_R_INAPPROPRIATE_FALLBACK);
3259                 *al = SSL_AD_INAPPROPRIATE_FALLBACK;
3260                 goto err;
3261             }
3262             continue;
3263         }
3264
3265         /* For SSLv2-compat, ignore leading 0-byte. */
3266         c = ssl_get_cipher_by_char(s, sslv2format ? &cipher[1] : cipher);
3267         if (c != NULL) {
3268             if (!sk_SSL_CIPHER_push(sk, c)) {
3269                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3270                 *al = SSL_AD_INTERNAL_ERROR;
3271                 goto err;
3272             }
3273         }
3274     }
3275     if (PACKET_remaining(cipher_suites) > 0) {
3276         *al = SSL_AD_INTERNAL_ERROR;
3277         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_INTERNAL_ERROR);
3278         goto err;
3279     }
3280
3281     if (skp != NULL)
3282         *skp = sk;
3283     return (sk);
3284  err:
3285     if ((skp == NULL) || (*skp == NULL))
3286         sk_SSL_CIPHER_free(sk);
3287     return NULL;
3288 }