68958264bbf344e1440ce474bc3bd6932eaea6c1
[openssl.git] / ssl / statem / statem_srvr.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50 #include <stdio.h>
51 #include "../ssl_locl.h"
52 #include "statem_locl.h"
53 #include "internal/constant_time_locl.h"
54 #include <openssl/buffer.h>
55 #include <openssl/rand.h>
56 #include <openssl/objects.h>
57 #include <openssl/evp.h>
58 #include <openssl/hmac.h>
59 #include <openssl/x509.h>
60 #include <openssl/dh.h>
61 #include <openssl/bn.h>
62 #include <openssl/md5.h>
63
64 static STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
65                                                       PACKET *cipher_suites,
66                                                       STACK_OF(SSL_CIPHER)
67                                                       **skp, int sslv2format,
68                                                       int *al);
69
70 /*
71  * server_read_transition() encapsulates the logic for the allowed handshake
72  * state transitions when the server is reading messages from the client. The
73  * message type that the client has sent is provided in |mt|. The current state
74  * is in |s->statem.hand_state|.
75  *
76  *  Valid return values are:
77  *  1: Success (transition allowed)
78  *  0: Error (transition not allowed)
79  */
80 int ossl_statem_server_read_transition(SSL *s, int mt)
81 {
82     OSSL_STATEM *st = &s->statem;
83
84     switch (st->hand_state) {
85     default:
86         break;
87
88     case TLS_ST_BEFORE:
89     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
90         if (mt == SSL3_MT_CLIENT_HELLO) {
91             st->hand_state = TLS_ST_SR_CLNT_HELLO;
92             return 1;
93         }
94         break;
95
96     case TLS_ST_SW_SRVR_DONE:
97         /*
98          * If we get a CKE message after a ServerDone then either
99          * 1) We didn't request a Certificate
100          * OR
101          * 2) If we did request one then
102          *      a) We allow no Certificate to be returned
103          *      AND
104          *      b) We are running SSL3 (in TLS1.0+ the client must return a 0
105          *         list if we requested a certificate)
106          */
107         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
108             if (s->s3->tmp.cert_request) {
109                 if (s->version == SSL3_VERSION) {
110                     if ((s->verify_mode & SSL_VERIFY_PEER)
111                         && (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
112                         /*
113                          * This isn't an unexpected message as such - we're just
114                          * not going to accept it because we require a client
115                          * cert.
116                          */
117                         ssl3_send_alert(s, SSL3_AL_FATAL,
118                                         SSL3_AD_HANDSHAKE_FAILURE);
119                         SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION,
120                                SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
121                         return 0;
122                     }
123                     st->hand_state = TLS_ST_SR_KEY_EXCH;
124                     return 1;
125                 }
126             } else {
127                 st->hand_state = TLS_ST_SR_KEY_EXCH;
128                 return 1;
129             }
130         } else if (s->s3->tmp.cert_request) {
131             if (mt == SSL3_MT_CERTIFICATE) {
132                 st->hand_state = TLS_ST_SR_CERT;
133                 return 1;
134             }
135         }
136         break;
137
138     case TLS_ST_SR_CERT:
139         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
140             st->hand_state = TLS_ST_SR_KEY_EXCH;
141             return 1;
142         }
143         break;
144
145     case TLS_ST_SR_KEY_EXCH:
146         /*
147          * We should only process a CertificateVerify message if we have
148          * received a Certificate from the client. If so then |s->session->peer|
149          * will be non NULL. In some instances a CertificateVerify message is
150          * not required even if the peer has sent a Certificate (e.g. such as in
151          * the case of static DH). In that case |st->no_cert_verify| should be
152          * set.
153          */
154         if (s->session->peer == NULL || st->no_cert_verify) {
155             if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
156                 /*
157                  * For the ECDH ciphersuites when the client sends its ECDH
158                  * pub key in a certificate, the CertificateVerify message is
159                  * not sent. Also for GOST ciphersuites when the client uses
160                  * its key from the certificate for key exchange.
161                  */
162                 st->hand_state = TLS_ST_SR_CHANGE;
163                 return 1;
164             }
165         } else {
166             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
167                 st->hand_state = TLS_ST_SR_CERT_VRFY;
168                 return 1;
169             }
170         }
171         break;
172
173     case TLS_ST_SR_CERT_VRFY:
174         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
175             st->hand_state = TLS_ST_SR_CHANGE;
176             return 1;
177         }
178         break;
179
180     case TLS_ST_SR_CHANGE:
181 #ifndef OPENSSL_NO_NEXTPROTONEG
182         if (s->s3->next_proto_neg_seen) {
183             if (mt == SSL3_MT_NEXT_PROTO) {
184                 st->hand_state = TLS_ST_SR_NEXT_PROTO;
185                 return 1;
186             }
187         } else {
188 #endif
189             if (mt == SSL3_MT_FINISHED) {
190                 st->hand_state = TLS_ST_SR_FINISHED;
191                 return 1;
192             }
193 #ifndef OPENSSL_NO_NEXTPROTONEG
194         }
195 #endif
196         break;
197
198 #ifndef OPENSSL_NO_NEXTPROTONEG
199     case TLS_ST_SR_NEXT_PROTO:
200         if (mt == SSL3_MT_FINISHED) {
201             st->hand_state = TLS_ST_SR_FINISHED;
202             return 1;
203         }
204         break;
205 #endif
206
207     case TLS_ST_SW_FINISHED:
208         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
209             st->hand_state = TLS_ST_SR_CHANGE;
210             return 1;
211         }
212         break;
213     }
214
215     /* No valid transition found */
216     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
217     SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION, SSL_R_UNEXPECTED_MESSAGE);
218     return 0;
219 }
220
221 /*
222  * Should we send a ServerKeyExchange message?
223  *
224  * Valid return values are:
225  *   1: Yes
226  *   0: No
227  */
228 static int send_server_key_exchange(SSL *s)
229 {
230     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
231
232     /*
233      * only send a ServerKeyExchange if DH or fortezza but we have a
234      * sign only certificate PSK: may send PSK identity hints For
235      * ECC ciphersuites, we send a serverKeyExchange message only if
236      * the cipher suite is either ECDH-anon or ECDHE. In other cases,
237      * the server certificate contains the server's public key for
238      * key exchange.
239      */
240     if (alg_k & (SSL_kDHE | SSL_kECDHE)
241         /*
242          * PSK: send ServerKeyExchange if PSK identity hint if
243          * provided
244          */
245 #ifndef OPENSSL_NO_PSK
246         /* Only send SKE if we have identity hint for plain PSK */
247         || ((alg_k & (SSL_kPSK | SSL_kRSAPSK))
248             && s->cert->psk_identity_hint)
249         /* For other PSK always send SKE */
250         || (alg_k & (SSL_PSK & (SSL_kDHEPSK | SSL_kECDHEPSK)))
251 #endif
252 #ifndef OPENSSL_NO_SRP
253         /* SRP: send ServerKeyExchange */
254         || (alg_k & SSL_kSRP)
255 #endif
256         ) {
257         return 1;
258     }
259
260     return 0;
261 }
262
263 /*
264  * Should we send a CertificateRequest message?
265  *
266  * Valid return values are:
267  *   1: Yes
268  *   0: No
269  */
270 static int send_certificate_request(SSL *s)
271 {
272     if (
273            /* don't request cert unless asked for it: */
274            s->verify_mode & SSL_VERIFY_PEER
275            /*
276             * if SSL_VERIFY_CLIENT_ONCE is set, don't request cert
277             * during re-negotiation:
278             */
279            && ((s->session->peer == NULL) ||
280                !(s->verify_mode & SSL_VERIFY_CLIENT_ONCE))
281            /*
282             * never request cert in anonymous ciphersuites (see
283             * section "Certificate request" in SSL 3 drafts and in
284             * RFC 2246):
285             */
286            && (!(s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL)
287                /*
288                 * ... except when the application insists on
289                 * verification (against the specs, but statem_clnt.c accepts
290                 * this for SSL 3)
291                 */
292                || (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT))
293            /* don't request certificate for SRP auth */
294            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aSRP)
295            /*
296             * With normal PSK Certificates and Certificate Requests
297             * are omitted
298             */
299            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aPSK)) {
300         return 1;
301     }
302
303     return 0;
304 }
305
306 /*
307  * server_write_transition() works out what handshake state to move to next
308  * when the server is writing messages to be sent to the client.
309  */
310 WRITE_TRAN ossl_statem_server_write_transition(SSL *s)
311 {
312     OSSL_STATEM *st = &s->statem;
313
314     switch (st->hand_state) {
315     default:
316         /* Shouldn't happen */
317         return WRITE_TRAN_ERROR;
318
319     case TLS_ST_BEFORE:
320         /* Just go straight to trying to read from the client */
321         return WRITE_TRAN_FINISHED;
322
323     case TLS_ST_OK:
324         /* We must be trying to renegotiate */
325         st->hand_state = TLS_ST_SW_HELLO_REQ;
326         return WRITE_TRAN_CONTINUE;
327
328     case TLS_ST_SW_HELLO_REQ:
329         st->hand_state = TLS_ST_OK;
330         ossl_statem_set_in_init(s, 0);
331         return WRITE_TRAN_CONTINUE;
332
333     case TLS_ST_SR_CLNT_HELLO:
334         if (SSL_IS_DTLS(s) && !s->d1->cookie_verified
335             && (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE))
336             st->hand_state = DTLS_ST_SW_HELLO_VERIFY_REQUEST;
337         else
338             st->hand_state = TLS_ST_SW_SRVR_HELLO;
339         return WRITE_TRAN_CONTINUE;
340
341     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
342         return WRITE_TRAN_FINISHED;
343
344     case TLS_ST_SW_SRVR_HELLO:
345         if (s->hit) {
346             if (s->tlsext_ticket_expected)
347                 st->hand_state = TLS_ST_SW_SESSION_TICKET;
348             else
349                 st->hand_state = TLS_ST_SW_CHANGE;
350         } else {
351             /* Check if it is anon DH or anon ECDH, */
352             /* normal PSK or SRP */
353             if (!(s->s3->tmp.new_cipher->algorithm_auth &
354                   (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
355                 st->hand_state = TLS_ST_SW_CERT;
356             } else if (send_server_key_exchange(s)) {
357                 st->hand_state = TLS_ST_SW_KEY_EXCH;
358             } else if (send_certificate_request(s)) {
359                 st->hand_state = TLS_ST_SW_CERT_REQ;
360             } else {
361                 st->hand_state = TLS_ST_SW_SRVR_DONE;
362             }
363         }
364         return WRITE_TRAN_CONTINUE;
365
366     case TLS_ST_SW_CERT:
367         if (s->tlsext_status_expected) {
368             st->hand_state = TLS_ST_SW_CERT_STATUS;
369             return WRITE_TRAN_CONTINUE;
370         }
371         /* Fall through */
372
373     case TLS_ST_SW_CERT_STATUS:
374         if (send_server_key_exchange(s)) {
375             st->hand_state = TLS_ST_SW_KEY_EXCH;
376             return WRITE_TRAN_CONTINUE;
377         }
378         /* Fall through */
379
380     case TLS_ST_SW_KEY_EXCH:
381         if (send_certificate_request(s)) {
382             st->hand_state = TLS_ST_SW_CERT_REQ;
383             return WRITE_TRAN_CONTINUE;
384         }
385         /* Fall through */
386
387     case TLS_ST_SW_CERT_REQ:
388         st->hand_state = TLS_ST_SW_SRVR_DONE;
389         return WRITE_TRAN_CONTINUE;
390
391     case TLS_ST_SW_SRVR_DONE:
392         return WRITE_TRAN_FINISHED;
393
394     case TLS_ST_SR_FINISHED:
395         if (s->hit) {
396             st->hand_state = TLS_ST_OK;
397             ossl_statem_set_in_init(s, 0);
398             return WRITE_TRAN_CONTINUE;
399         } else if (s->tlsext_ticket_expected) {
400             st->hand_state = TLS_ST_SW_SESSION_TICKET;
401         } else {
402             st->hand_state = TLS_ST_SW_CHANGE;
403         }
404         return WRITE_TRAN_CONTINUE;
405
406     case TLS_ST_SW_SESSION_TICKET:
407         st->hand_state = TLS_ST_SW_CHANGE;
408         return WRITE_TRAN_CONTINUE;
409
410     case TLS_ST_SW_CHANGE:
411         st->hand_state = TLS_ST_SW_FINISHED;
412         return WRITE_TRAN_CONTINUE;
413
414     case TLS_ST_SW_FINISHED:
415         if (s->hit) {
416             return WRITE_TRAN_FINISHED;
417         }
418         st->hand_state = TLS_ST_OK;
419         ossl_statem_set_in_init(s, 0);
420         return WRITE_TRAN_CONTINUE;
421     }
422 }
423
424 /*
425  * Perform any pre work that needs to be done prior to sending a message from
426  * the server to the client.
427  */
428 WORK_STATE ossl_statem_server_pre_work(SSL *s, WORK_STATE wst)
429 {
430     OSSL_STATEM *st = &s->statem;
431
432     switch (st->hand_state) {
433     default:
434         /* No pre work to be done */
435         break;
436
437     case TLS_ST_SW_HELLO_REQ:
438         s->shutdown = 0;
439         if (SSL_IS_DTLS(s))
440             dtls1_clear_sent_buffer(s);
441         break;
442
443     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
444         s->shutdown = 0;
445         if (SSL_IS_DTLS(s)) {
446             dtls1_clear_sent_buffer(s);
447             /* We don't buffer this message so don't use the timer */
448             st->use_timer = 0;
449         }
450         break;
451
452     case TLS_ST_SW_SRVR_HELLO:
453         if (SSL_IS_DTLS(s)) {
454             /*
455              * Messages we write from now on should be bufferred and
456              * retransmitted if necessary, so we need to use the timer now
457              */
458             st->use_timer = 1;
459         }
460         break;
461
462     case TLS_ST_SW_SRVR_DONE:
463 #ifndef OPENSSL_NO_SCTP
464         if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s)))
465             return dtls_wait_for_dry(s);
466 #endif
467         return WORK_FINISHED_CONTINUE;
468
469     case TLS_ST_SW_SESSION_TICKET:
470         if (SSL_IS_DTLS(s)) {
471             /*
472              * We're into the last flight. We don't retransmit the last flight
473              * unless we need to, so we don't use the timer
474              */
475             st->use_timer = 0;
476         }
477         break;
478
479     case TLS_ST_SW_CHANGE:
480         s->session->cipher = s->s3->tmp.new_cipher;
481         if (!s->method->ssl3_enc->setup_key_block(s)) {
482             ossl_statem_set_error(s);
483             return WORK_ERROR;
484         }
485         if (SSL_IS_DTLS(s)) {
486             /*
487              * We're into the last flight. We don't retransmit the last flight
488              * unless we need to, so we don't use the timer. This might have
489              * already been set to 0 if we sent a NewSessionTicket message,
490              * but we'll set it again here in case we didn't.
491              */
492             st->use_timer = 0;
493         }
494         return WORK_FINISHED_CONTINUE;
495
496     case TLS_ST_OK:
497         return tls_finish_handshake(s, wst);
498     }
499
500     return WORK_FINISHED_CONTINUE;
501 }
502
503 /*
504  * Perform any work that needs to be done after sending a message from the
505  * server to the client.
506  */
507 WORK_STATE ossl_statem_server_post_work(SSL *s, WORK_STATE wst)
508 {
509     OSSL_STATEM *st = &s->statem;
510
511     s->init_num = 0;
512
513     switch (st->hand_state) {
514     default:
515         /* No post work to be done */
516         break;
517
518     case TLS_ST_SW_HELLO_REQ:
519         if (statem_flush(s) != 1)
520             return WORK_MORE_A;
521         if (!ssl3_init_finished_mac(s)) {
522             ossl_statem_set_error(s);
523             return WORK_ERROR;
524         }
525         break;
526
527     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
528         if (statem_flush(s) != 1)
529             return WORK_MORE_A;
530         /* HelloVerifyRequest resets Finished MAC */
531         if (s->version != DTLS1_BAD_VER && !ssl3_init_finished_mac(s)) {
532             ossl_statem_set_error(s);
533             return WORK_ERROR;
534         }
535         /*
536          * The next message should be another ClientHello which we need to
537          * treat like it was the first packet
538          */
539         s->first_packet = 1;
540         break;
541
542     case TLS_ST_SW_SRVR_HELLO:
543 #ifndef OPENSSL_NO_SCTP
544         if (SSL_IS_DTLS(s) && s->hit) {
545             unsigned char sctpauthkey[64];
546             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
547
548             /*
549              * Add new shared key for SCTP-Auth, will be ignored if no
550              * SCTP used.
551              */
552             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
553                    sizeof(DTLS1_SCTP_AUTH_LABEL));
554
555             if (SSL_export_keying_material(s, sctpauthkey,
556                                            sizeof(sctpauthkey), labelbuffer,
557                                            sizeof(labelbuffer), NULL, 0,
558                                            0) <= 0) {
559                 ossl_statem_set_error(s);
560                 return WORK_ERROR;
561             }
562
563             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
564                      sizeof(sctpauthkey), sctpauthkey);
565         }
566 #endif
567         break;
568
569     case TLS_ST_SW_CHANGE:
570 #ifndef OPENSSL_NO_SCTP
571         if (SSL_IS_DTLS(s) && !s->hit) {
572             /*
573              * Change to new shared key of SCTP-Auth, will be ignored if
574              * no SCTP used.
575              */
576             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
577                      0, NULL);
578         }
579 #endif
580         if (!s->method->ssl3_enc->change_cipher_state(s,
581                                                       SSL3_CHANGE_CIPHER_SERVER_WRITE))
582         {
583             ossl_statem_set_error(s);
584             return WORK_ERROR;
585         }
586
587         if (SSL_IS_DTLS(s))
588             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
589         break;
590
591     case TLS_ST_SW_SRVR_DONE:
592         if (statem_flush(s) != 1)
593             return WORK_MORE_A;
594         break;
595
596     case TLS_ST_SW_FINISHED:
597         if (statem_flush(s) != 1)
598             return WORK_MORE_A;
599 #ifndef OPENSSL_NO_SCTP
600         if (SSL_IS_DTLS(s) && s->hit) {
601             /*
602              * Change to new shared key of SCTP-Auth, will be ignored if
603              * no SCTP used.
604              */
605             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
606                      0, NULL);
607         }
608 #endif
609         break;
610     }
611
612     return WORK_FINISHED_CONTINUE;
613 }
614
615 /*
616  * Get the message construction function and message type for sending from the
617  * server
618  *
619  * Valid return values are:
620  *   1: Success
621  *   0: Error
622  */
623 int ossl_statem_server_construct_message(SSL *s, WPACKET *pkt,
624                                          confunc_f *confunc, int *mt)
625 {
626     OSSL_STATEM *st = &s->statem;
627
628     switch (st->hand_state) {
629     default:
630         /* Shouldn't happen */
631         return 0;
632
633     case TLS_ST_SW_CHANGE:
634         if (SSL_IS_DTLS(s))
635             *confunc = dtls_construct_change_cipher_spec;
636         else
637             *confunc = tls_construct_change_cipher_spec;
638         *mt = SSL3_MT_CHANGE_CIPHER_SPEC;
639         break;
640
641     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
642         *confunc = dtls_construct_hello_verify_request;
643         *mt = DTLS1_MT_HELLO_VERIFY_REQUEST;
644         break;
645
646     case TLS_ST_SW_HELLO_REQ:
647         /* No construction function needed */
648         *confunc = NULL;
649         *mt = SSL3_MT_HELLO_REQUEST;
650         break;
651
652     case TLS_ST_SW_SRVR_HELLO:
653         *confunc = tls_construct_server_hello;
654         *mt = SSL3_MT_SERVER_HELLO;
655         break;
656
657     case TLS_ST_SW_CERT:
658         *confunc = tls_construct_server_certificate;
659         *mt = SSL3_MT_CERTIFICATE;
660         break;
661
662     case TLS_ST_SW_KEY_EXCH:
663         *confunc = tls_construct_server_key_exchange;
664         *mt = SSL3_MT_SERVER_KEY_EXCHANGE;
665         break;
666
667     case TLS_ST_SW_CERT_REQ:
668         *confunc = tls_construct_certificate_request;
669         *mt = SSL3_MT_CERTIFICATE_REQUEST;
670         break;
671
672     case TLS_ST_SW_SRVR_DONE:
673         *confunc = tls_construct_server_done;
674         *mt = SSL3_MT_SERVER_DONE;
675         break;
676
677     case TLS_ST_SW_SESSION_TICKET:
678         *confunc = tls_construct_new_session_ticket;
679         *mt = SSL3_MT_NEWSESSION_TICKET;
680         break;
681
682     case TLS_ST_SW_CERT_STATUS:
683         *confunc = tls_construct_cert_status;
684         *mt = SSL3_MT_CERTIFICATE_STATUS;
685         break;
686
687     case TLS_ST_SW_FINISHED:
688         *confunc = tls_construct_finished;
689         *mt = SSL3_MT_FINISHED;
690         break;
691     }
692
693     return 1;
694 }
695
696 /*
697  * Maximum size (excluding the Handshake header) of a ClientHello message,
698  * calculated as follows:
699  *
700  *  2 + # client_version
701  *  32 + # only valid length for random
702  *  1 + # length of session_id
703  *  32 + # maximum size for session_id
704  *  2 + # length of cipher suites
705  *  2^16-2 + # maximum length of cipher suites array
706  *  1 + # length of compression_methods
707  *  2^8-1 + # maximum length of compression methods
708  *  2 + # length of extensions
709  *  2^16-1 # maximum length of extensions
710  */
711 #define CLIENT_HELLO_MAX_LENGTH         131396
712
713 #define CLIENT_KEY_EXCH_MAX_LENGTH      2048
714 #define NEXT_PROTO_MAX_LENGTH           514
715
716 /*
717  * Returns the maximum allowed length for the current message that we are
718  * reading. Excludes the message header.
719  */
720 size_t ossl_statem_server_max_message_size(SSL *s)
721 {
722     OSSL_STATEM *st = &s->statem;
723
724     switch (st->hand_state) {
725     default:
726         /* Shouldn't happen */
727         return 0;
728
729     case TLS_ST_SR_CLNT_HELLO:
730         return CLIENT_HELLO_MAX_LENGTH;
731
732     case TLS_ST_SR_CERT:
733         return s->max_cert_list;
734
735     case TLS_ST_SR_KEY_EXCH:
736         return CLIENT_KEY_EXCH_MAX_LENGTH;
737
738     case TLS_ST_SR_CERT_VRFY:
739         return SSL3_RT_MAX_PLAIN_LENGTH;
740
741 #ifndef OPENSSL_NO_NEXTPROTONEG
742     case TLS_ST_SR_NEXT_PROTO:
743         return NEXT_PROTO_MAX_LENGTH;
744 #endif
745
746     case TLS_ST_SR_CHANGE:
747         return CCS_MAX_LENGTH;
748
749     case TLS_ST_SR_FINISHED:
750         return FINISHED_MAX_LENGTH;
751     }
752 }
753
754 /*
755  * Process a message that the server has received from the client.
756  */
757 MSG_PROCESS_RETURN ossl_statem_server_process_message(SSL *s, PACKET *pkt)
758 {
759     OSSL_STATEM *st = &s->statem;
760
761     switch (st->hand_state) {
762     default:
763         /* Shouldn't happen */
764         return MSG_PROCESS_ERROR;
765
766     case TLS_ST_SR_CLNT_HELLO:
767         return tls_process_client_hello(s, pkt);
768
769     case TLS_ST_SR_CERT:
770         return tls_process_client_certificate(s, pkt);
771
772     case TLS_ST_SR_KEY_EXCH:
773         return tls_process_client_key_exchange(s, pkt);
774
775     case TLS_ST_SR_CERT_VRFY:
776         return tls_process_cert_verify(s, pkt);
777
778 #ifndef OPENSSL_NO_NEXTPROTONEG
779     case TLS_ST_SR_NEXT_PROTO:
780         return tls_process_next_proto(s, pkt);
781 #endif
782
783     case TLS_ST_SR_CHANGE:
784         return tls_process_change_cipher_spec(s, pkt);
785
786     case TLS_ST_SR_FINISHED:
787         return tls_process_finished(s, pkt);
788     }
789 }
790
791 /*
792  * Perform any further processing required following the receipt of a message
793  * from the client
794  */
795 WORK_STATE ossl_statem_server_post_process_message(SSL *s, WORK_STATE wst)
796 {
797     OSSL_STATEM *st = &s->statem;
798
799     switch (st->hand_state) {
800     default:
801         /* Shouldn't happen */
802         return WORK_ERROR;
803
804     case TLS_ST_SR_CLNT_HELLO:
805         return tls_post_process_client_hello(s, wst);
806
807     case TLS_ST_SR_KEY_EXCH:
808         return tls_post_process_client_key_exchange(s, wst);
809
810     case TLS_ST_SR_CERT_VRFY:
811 #ifndef OPENSSL_NO_SCTP
812         if (                    /* Is this SCTP? */
813                BIO_dgram_is_sctp(SSL_get_wbio(s))
814                /* Are we renegotiating? */
815                && s->renegotiate && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
816             s->s3->in_read_app_data = 2;
817             s->rwstate = SSL_READING;
818             BIO_clear_retry_flags(SSL_get_rbio(s));
819             BIO_set_retry_read(SSL_get_rbio(s));
820             ossl_statem_set_sctp_read_sock(s, 1);
821             return WORK_MORE_A;
822         } else {
823             ossl_statem_set_sctp_read_sock(s, 0);
824         }
825 #endif
826         return WORK_FINISHED_CONTINUE;
827     }
828
829 }
830
831 #ifndef OPENSSL_NO_SRP
832 static int ssl_check_srp_ext_ClientHello(SSL *s, int *al)
833 {
834     int ret = SSL_ERROR_NONE;
835
836     *al = SSL_AD_UNRECOGNIZED_NAME;
837
838     if ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) &&
839         (s->srp_ctx.TLS_ext_srp_username_callback != NULL)) {
840         if (s->srp_ctx.login == NULL) {
841             /*
842              * RFC 5054 says SHOULD reject, we do so if There is no srp
843              * login name
844              */
845             ret = SSL3_AL_FATAL;
846             *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
847         } else {
848             ret = SSL_srp_server_param_with_username(s, al);
849         }
850     }
851     return ret;
852 }
853 #endif
854
855 int dtls_raw_hello_verify_request(WPACKET *pkt, unsigned char *cookie,
856                                   size_t cookie_len)
857 {
858     /* Always use DTLS 1.0 version: see RFC 6347 */
859     if (!WPACKET_put_bytes_u16(pkt, DTLS1_VERSION)
860             || !WPACKET_sub_memcpy_u8(pkt, cookie, cookie_len))
861         return 0;
862
863     return 1;
864 }
865
866 int dtls_construct_hello_verify_request(SSL *s, WPACKET *pkt)
867 {
868     unsigned int cookie_leni;
869     if (s->ctx->app_gen_cookie_cb == NULL ||
870         s->ctx->app_gen_cookie_cb(s, s->d1->cookie,
871                                   &cookie_leni) == 0 ||
872         cookie_leni > 255) {
873         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST,
874                SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
875         return 0;
876     }
877     s->d1->cookie_len = cookie_leni;
878
879     if (!dtls_raw_hello_verify_request(pkt, s->d1->cookie,
880                                               s->d1->cookie_len)) {
881         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST, ERR_R_INTERNAL_ERROR);
882         return 0;
883     }
884
885     return 1;
886 }
887
888 MSG_PROCESS_RETURN tls_process_client_hello(SSL *s, PACKET *pkt)
889 {
890     int i, al = SSL_AD_INTERNAL_ERROR;
891     unsigned int j;
892     size_t loop;
893     unsigned long id;
894     const SSL_CIPHER *c;
895 #ifndef OPENSSL_NO_COMP
896     SSL_COMP *comp = NULL;
897 #endif
898     STACK_OF(SSL_CIPHER) *ciphers = NULL;
899     int protverr;
900     /* |cookie| will only be initialized for DTLS. */
901     PACKET session_id, compression, extensions, cookie;
902     static const unsigned char null_compression = 0;
903     CLIENTHELLO_MSG clienthello;
904
905     /*
906      * First, parse the raw ClientHello data into the CLIENTHELLO_MSG structure.
907      */
908     memset(&clienthello, 0, sizeof(clienthello));
909     clienthello.isv2 = RECORD_LAYER_is_sslv2_record(&s->rlayer);
910     PACKET_null_init(&cookie);
911
912     if (clienthello.isv2) {
913         unsigned int mt;
914
915         /*-
916          * An SSLv3/TLSv1 backwards-compatible CLIENT-HELLO in an SSLv2
917          * header is sent directly on the wire, not wrapped as a TLS
918          * record. Our record layer just processes the message length and passes
919          * the rest right through. Its format is:
920          * Byte  Content
921          * 0-1   msg_length - decoded by the record layer
922          * 2     msg_type - s->init_msg points here
923          * 3-4   version
924          * 5-6   cipher_spec_length
925          * 7-8   session_id_length
926          * 9-10  challenge_length
927          * ...   ...
928          */
929
930         if (!PACKET_get_1(pkt, &mt)
931             || mt != SSL2_MT_CLIENT_HELLO) {
932             /*
933              * Should never happen. We should have tested this in the record
934              * layer in order to have determined that this is a SSLv2 record
935              * in the first place
936              */
937             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
938             goto err;
939         }
940     }
941
942     if (!PACKET_get_net_2(pkt, &clienthello.version)) {
943         al = SSL_AD_DECODE_ERROR;
944         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_TOO_SHORT);
945         goto err;
946     }
947
948     /* Parse the message and load client random. */
949     if (clienthello.isv2) {
950         /*
951          * Handle an SSLv2 backwards compatible ClientHello
952          * Note, this is only for SSLv3+ using the backward compatible format.
953          * Real SSLv2 is not supported, and is rejected above.
954          */
955         unsigned int ciphersuite_len, session_id_len, challenge_len;
956         PACKET challenge;
957
958         if (!PACKET_get_net_2(pkt, &ciphersuite_len)
959             || !PACKET_get_net_2(pkt, &session_id_len)
960             || !PACKET_get_net_2(pkt, &challenge_len)) {
961             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
962                    SSL_R_RECORD_LENGTH_MISMATCH);
963             al = SSL_AD_DECODE_ERROR;
964             goto f_err;
965         }
966         clienthello.session_id_len = session_id_len;
967
968         if (session_id_len > SSL_MAX_SSL_SESSION_ID_LENGTH) {
969             al = SSL_AD_DECODE_ERROR;
970             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
971             goto f_err;
972         }
973
974         if (!PACKET_get_sub_packet(pkt, &clienthello.ciphersuites,
975                                    ciphersuite_len)
976             || !PACKET_get_sub_packet(pkt, &session_id,
977                                       clienthello.session_id_len)
978             || !PACKET_get_sub_packet(pkt, &challenge, challenge_len)
979             /* No extensions. */
980             || PACKET_remaining(pkt) != 0) {
981             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
982                    SSL_R_RECORD_LENGTH_MISMATCH);
983             al = SSL_AD_DECODE_ERROR;
984             goto f_err;
985         }
986
987         /* Load the client random and compression list. */
988         challenge_len = challenge_len > sizeof(clienthello.random)
989                         ? sizeof(clienthello.random) : challenge_len;
990         memset(clienthello.random, 0, sizeof(clienthello.random));
991         if (!PACKET_copy_bytes(&challenge,
992                                clienthello.random + sizeof(clienthello.random) -
993                                challenge_len, challenge_len)
994             /* Advertise only null compression. */
995             || !PACKET_buf_init(&compression, &null_compression, 1)) {
996             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
997             al = SSL_AD_INTERNAL_ERROR;
998             goto f_err;
999         }
1000
1001         PACKET_null_init(&clienthello.extensions);
1002     } else {
1003         /* Regular ClientHello. */
1004         if (!PACKET_copy_bytes(pkt, clienthello.random, SSL3_RANDOM_SIZE)
1005             || !PACKET_get_length_prefixed_1(pkt, &session_id)) {
1006             al = SSL_AD_DECODE_ERROR;
1007             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1008             goto f_err;
1009         }
1010
1011         if (SSL_IS_DTLS(s)) {
1012             if (!PACKET_get_length_prefixed_1(pkt, &cookie)) {
1013                 al = SSL_AD_DECODE_ERROR;
1014                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1015                 goto f_err;
1016             }
1017             if (!PACKET_copy_all(&cookie, clienthello.dtls_cookie,
1018                                  DTLS1_COOKIE_LENGTH,
1019                                  &clienthello.dtls_cookie_len)) {
1020                 al = SSL_AD_DECODE_ERROR;
1021                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1022                 goto f_err;
1023             }
1024             /*
1025              * If we require cookies and this ClientHello doesn't contain one,
1026              * just return since we do not want to allocate any memory yet.
1027              * So check cookie length...
1028              */
1029             if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1030                 if (clienthello.dtls_cookie_len == 0)
1031                     return 1;
1032             }
1033         }
1034
1035         if (!PACKET_get_length_prefixed_2(pkt, &clienthello.ciphersuites)) {
1036             al = SSL_AD_DECODE_ERROR;
1037             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1038             goto f_err;
1039         }
1040
1041         if (!PACKET_get_length_prefixed_1(pkt, &compression)) {
1042             al = SSL_AD_DECODE_ERROR;
1043             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1044             goto f_err;
1045         }
1046
1047         /* Could be empty. */
1048         if (PACKET_remaining(pkt) == 0) {
1049             PACKET_null_init(&clienthello.extensions);
1050         } else {
1051             if (!PACKET_get_length_prefixed_2(pkt, &clienthello.extensions)) {
1052                 al = SSL_AD_DECODE_ERROR;
1053                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1054                 goto f_err;
1055             }
1056         }
1057     }
1058
1059     if (!PACKET_copy_all(&compression, clienthello.compressions,
1060                          MAX_COMPRESSIONS_SIZE, &clienthello.compressions_len)
1061             || !PACKET_copy_all(&session_id, clienthello.session_id,
1062                                 SSL_MAX_SSL_SESSION_ID_LENGTH,
1063                                 &clienthello.session_id_len)) {
1064         al = SSL_AD_DECODE_ERROR;
1065         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1066         goto f_err;
1067     }
1068
1069     /* Preserve the raw extensions PACKET for later use */
1070     extensions = clienthello.extensions;
1071     if (!tls_collect_extensions(&extensions, &clienthello.pre_proc_exts,
1072                                   &clienthello.num_extensions, &al)) {
1073         /* SSLerr already been called */
1074         goto f_err;
1075     }
1076
1077     /* Finished parsing the ClientHello, now we can start processing it */
1078
1079     /* Set up the client_random */
1080     memcpy(s->s3->client_random, clienthello.random, SSL3_RANDOM_SIZE);
1081
1082     /* Choose the version */
1083
1084     if (clienthello.isv2) {
1085         if (clienthello.version == SSL2_VERSION
1086                 || (clienthello.version & 0xff00)
1087                    != (SSL3_VERSION_MAJOR << 8)) {
1088             /*
1089              * This is real SSLv2 or something complete unknown. We don't
1090              * support it.
1091              */
1092             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
1093             goto err;
1094         }
1095         /* SSLv3/TLS */
1096         s->client_version = clienthello.version;
1097     }
1098     /*
1099      * Do SSL/TLS version negotiation if applicable. For DTLS we just check
1100      * versions are potentially compatible. Version negotiation comes later.
1101      */
1102     if (!SSL_IS_DTLS(s)) {
1103         protverr = ssl_choose_server_version(s, &clienthello);
1104     } else if (s->method->version != DTLS_ANY_VERSION &&
1105                DTLS_VERSION_LT((int)clienthello.version, s->version)) {
1106         protverr = SSL_R_VERSION_TOO_LOW;
1107     } else {
1108         protverr = 0;
1109     }
1110
1111     if (protverr) {
1112         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1113         if ((!s->enc_write_ctx && !s->write_hash)) {
1114             /* like ssl3_get_record, send alert using remote version number */
1115             s->version = s->client_version = clienthello.version;
1116         }
1117         al = SSL_AD_PROTOCOL_VERSION;
1118         goto f_err;
1119     }
1120
1121     if (SSL_IS_DTLS(s)) {
1122         /* Empty cookie was already handled above by returning early. */
1123         if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1124             if (s->ctx->app_verify_cookie_cb != NULL) {
1125                 if (s->ctx->app_verify_cookie_cb(s, clienthello.dtls_cookie,
1126                         clienthello.dtls_cookie_len) == 0) {
1127                     al = SSL_AD_HANDSHAKE_FAILURE;
1128                     SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1129                            SSL_R_COOKIE_MISMATCH);
1130                     goto f_err;
1131                     /* else cookie verification succeeded */
1132                 }
1133                 /* default verification */
1134             } else if (s->d1->cookie_len != clienthello.dtls_cookie_len
1135                     || memcmp(clienthello.dtls_cookie, s->d1->cookie,
1136                               s->d1->cookie_len) != 0) {
1137                 al = SSL_AD_HANDSHAKE_FAILURE;
1138                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_COOKIE_MISMATCH);
1139                 goto f_err;
1140             }
1141             s->d1->cookie_verified = 1;
1142         }
1143         if (s->method->version == DTLS_ANY_VERSION) {
1144             protverr = ssl_choose_server_version(s, &clienthello);
1145             if (protverr != 0) {
1146                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1147                 s->version = s->client_version;
1148                 al = SSL_AD_PROTOCOL_VERSION;
1149                 goto f_err;
1150             }
1151         }
1152     }
1153
1154     s->hit = 0;
1155
1156     /* We need to do this before getting the session */
1157     if (!tls_check_client_ems_support(s, &clienthello)) {
1158         /* Only fails if the extension is malformed */
1159         al = SSL_AD_DECODE_ERROR;
1160         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1161         goto f_err;
1162     }
1163
1164     /*
1165      * We don't allow resumption in a backwards compatible ClientHello.
1166      * TODO(openssl-team): in TLS1.1+, session_id MUST be empty.
1167      *
1168      * Versions before 0.9.7 always allow clients to resume sessions in
1169      * renegotiation. 0.9.7 and later allow this by default, but optionally
1170      * ignore resumption requests with flag
1171      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION (it's a new flag rather
1172      * than a change to default behavior so that applications relying on
1173      * this for security won't even compile against older library versions).
1174      * 1.0.1 and later also have a function SSL_renegotiate_abbreviated() to
1175      * request renegotiation but not a new session (s->new_session remains
1176      * unset): for servers, this essentially just means that the
1177      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION setting will be
1178      * ignored.
1179      */
1180     if (clienthello.isv2 ||
1181         (s->new_session &&
1182          (s->options & SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION))) {
1183         if (!ssl_get_new_session(s, 1))
1184             goto err;
1185     } else {
1186         i = ssl_get_prev_session(s, &clienthello);
1187         /*
1188          * Only resume if the session's version matches the negotiated
1189          * version.
1190          * RFC 5246 does not provide much useful advice on resumption
1191          * with a different protocol version. It doesn't forbid it but
1192          * the sanity of such behaviour would be questionable.
1193          * In practice, clients do not accept a version mismatch and
1194          * will abort the handshake with an error.
1195          */
1196         if (i == 1 && s->version == s->session->ssl_version) {
1197             /* previous session */
1198             s->hit = 1;
1199         } else if (i == -1) {
1200             goto err;
1201         } else {
1202             /* i == 0 */
1203             if (!ssl_get_new_session(s, 1))
1204                 goto err;
1205         }
1206     }
1207
1208     if (ssl_bytes_to_cipher_list(s, &clienthello.ciphersuites, &ciphers,
1209                                  clienthello.isv2, &al) == NULL) {
1210         goto f_err;
1211     }
1212
1213     /* If it is a hit, check that the cipher is in the list */
1214     if (s->hit) {
1215         j = 0;
1216         id = s->session->cipher->id;
1217
1218 #ifdef CIPHER_DEBUG
1219         fprintf(stderr, "client sent %d ciphers\n", sk_SSL_CIPHER_num(ciphers));
1220 #endif
1221         for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
1222             c = sk_SSL_CIPHER_value(ciphers, i);
1223 #ifdef CIPHER_DEBUG
1224             fprintf(stderr, "client [%2d of %2d]:%s\n",
1225                     i, sk_SSL_CIPHER_num(ciphers), SSL_CIPHER_get_name(c));
1226 #endif
1227             if (c->id == id) {
1228                 j = 1;
1229                 break;
1230             }
1231         }
1232         if (j == 0) {
1233             /*
1234              * we need to have the cipher in the cipher list if we are asked
1235              * to reuse it
1236              */
1237             al = SSL_AD_ILLEGAL_PARAMETER;
1238             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1239                    SSL_R_REQUIRED_CIPHER_MISSING);
1240             goto f_err;
1241         }
1242     }
1243
1244     for (loop = 0; loop < clienthello.compressions_len; loop++) {
1245         if (clienthello.compressions[loop] == 0)
1246             break;
1247     }
1248
1249     if (loop >= clienthello.compressions_len) {
1250         /* no compress */
1251         al = SSL_AD_DECODE_ERROR;
1252         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_COMPRESSION_SPECIFIED);
1253         goto f_err;
1254     }
1255
1256     /* TLS extensions */
1257     if (!ssl_parse_clienthello_tlsext(s, &clienthello)) {
1258         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_PARSE_TLSEXT);
1259         goto err;
1260     }
1261
1262     /*
1263      * Check if we want to use external pre-shared secret for this handshake
1264      * for not reused session only. We need to generate server_random before
1265      * calling tls_session_secret_cb in order to allow SessionTicket
1266      * processing to use it in key derivation.
1267      */
1268     {
1269         unsigned char *pos;
1270         pos = s->s3->server_random;
1271         if (ssl_fill_hello_random(s, 1, pos, SSL3_RANDOM_SIZE) <= 0) {
1272             goto f_err;
1273         }
1274     }
1275
1276     if (!s->hit && s->version >= TLS1_VERSION && s->tls_session_secret_cb) {
1277         const SSL_CIPHER *pref_cipher = NULL;
1278         /*
1279          * s->session->master_key_length is a size_t, but this is an int for
1280          * backwards compat reasons
1281          */
1282         int master_key_length;
1283
1284         master_key_length = sizeof(s->session->master_key);
1285         if (s->tls_session_secret_cb(s, s->session->master_key,
1286                                      &master_key_length, ciphers,
1287                                      &pref_cipher,
1288                                      s->tls_session_secret_cb_arg)
1289                 && master_key_length > 0) {
1290             s->session->master_key_length = master_key_length;
1291             s->hit = 1;
1292             s->session->ciphers = ciphers;
1293             s->session->verify_result = X509_V_OK;
1294
1295             ciphers = NULL;
1296
1297             /* check if some cipher was preferred by call back */
1298             pref_cipher =
1299                 pref_cipher ? pref_cipher : ssl3_choose_cipher(s,
1300                                                                s->
1301                                                                session->ciphers,
1302                                                                SSL_get_ciphers
1303                                                                (s));
1304             if (pref_cipher == NULL) {
1305                 al = SSL_AD_HANDSHAKE_FAILURE;
1306                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1307                 goto f_err;
1308             }
1309
1310             s->session->cipher = pref_cipher;
1311             sk_SSL_CIPHER_free(s->cipher_list);
1312             s->cipher_list = sk_SSL_CIPHER_dup(s->session->ciphers);
1313             sk_SSL_CIPHER_free(s->cipher_list_by_id);
1314             s->cipher_list_by_id = sk_SSL_CIPHER_dup(s->session->ciphers);
1315         }
1316     }
1317
1318     /*
1319      * Worst case, we will use the NULL compression, but if we have other
1320      * options, we will now look for them.  We have complen-1 compression
1321      * algorithms from the client, starting at q.
1322      */
1323     s->s3->tmp.new_compression = NULL;
1324 #ifndef OPENSSL_NO_COMP
1325     /* This only happens if we have a cache hit */
1326     if (s->session->compress_meth != 0) {
1327         int m, comp_id = s->session->compress_meth;
1328         unsigned int k;
1329         /* Perform sanity checks on resumed compression algorithm */
1330         /* Can't disable compression */
1331         if (!ssl_allow_compression(s)) {
1332             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1333                    SSL_R_INCONSISTENT_COMPRESSION);
1334             goto f_err;
1335         }
1336         /* Look for resumed compression method */
1337         for (m = 0; m < sk_SSL_COMP_num(s->ctx->comp_methods); m++) {
1338             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1339             if (comp_id == comp->id) {
1340                 s->s3->tmp.new_compression = comp;
1341                 break;
1342             }
1343         }
1344         if (s->s3->tmp.new_compression == NULL) {
1345             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1346                    SSL_R_INVALID_COMPRESSION_ALGORITHM);
1347             goto f_err;
1348         }
1349         /* Look for resumed method in compression list */
1350         for (k = 0; k < clienthello.compressions_len; k++) {
1351             if (clienthello.compressions[k] == comp_id)
1352                 break;
1353         }
1354         if (k >= clienthello.compressions_len) {
1355             al = SSL_AD_ILLEGAL_PARAMETER;
1356             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1357                    SSL_R_REQUIRED_COMPRESSION_ALGORITHM_MISSING);
1358             goto f_err;
1359         }
1360     } else if (s->hit)
1361         comp = NULL;
1362     else if (ssl_allow_compression(s) && s->ctx->comp_methods) {
1363         /* See if we have a match */
1364         int m, nn, v, done = 0;
1365         unsigned int o;
1366
1367         nn = sk_SSL_COMP_num(s->ctx->comp_methods);
1368         for (m = 0; m < nn; m++) {
1369             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1370             v = comp->id;
1371             for (o = 0; o < clienthello.compressions_len; o++) {
1372                 if (v == clienthello.compressions[o]) {
1373                     done = 1;
1374                     break;
1375                 }
1376             }
1377             if (done)
1378                 break;
1379         }
1380         if (done)
1381             s->s3->tmp.new_compression = comp;
1382         else
1383             comp = NULL;
1384     }
1385 #else
1386     /*
1387      * If compression is disabled we'd better not try to resume a session
1388      * using compression.
1389      */
1390     if (s->session->compress_meth != 0) {
1391         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1392         goto f_err;
1393     }
1394 #endif
1395
1396     /*
1397      * Given s->session->ciphers and SSL_get_ciphers, we must pick a cipher
1398      */
1399
1400     if (!s->hit) {
1401 #ifdef OPENSSL_NO_COMP
1402         s->session->compress_meth = 0;
1403 #else
1404         s->session->compress_meth = (comp == NULL) ? 0 : comp->id;
1405 #endif
1406         sk_SSL_CIPHER_free(s->session->ciphers);
1407         s->session->ciphers = ciphers;
1408         if (ciphers == NULL) {
1409             al = SSL_AD_INTERNAL_ERROR;
1410             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1411             goto f_err;
1412         }
1413         ciphers = NULL;
1414         if (!tls1_set_server_sigalgs(s)) {
1415             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1416             goto err;
1417         }
1418     }
1419
1420     sk_SSL_CIPHER_free(ciphers);
1421     OPENSSL_free(clienthello.pre_proc_exts);
1422     return MSG_PROCESS_CONTINUE_PROCESSING;
1423  f_err:
1424     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1425  err:
1426     ossl_statem_set_error(s);
1427
1428     sk_SSL_CIPHER_free(ciphers);
1429     OPENSSL_free(clienthello.pre_proc_exts);
1430     return MSG_PROCESS_ERROR;
1431
1432 }
1433
1434 WORK_STATE tls_post_process_client_hello(SSL *s, WORK_STATE wst)
1435 {
1436     int al = SSL_AD_HANDSHAKE_FAILURE;
1437     const SSL_CIPHER *cipher;
1438
1439     if (wst == WORK_MORE_A) {
1440         if (!s->hit) {
1441             /* Let cert callback update server certificates if required */
1442             if (s->cert->cert_cb) {
1443                 int rv = s->cert->cert_cb(s, s->cert->cert_cb_arg);
1444                 if (rv == 0) {
1445                     al = SSL_AD_INTERNAL_ERROR;
1446                     SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1447                            SSL_R_CERT_CB_ERROR);
1448                     goto f_err;
1449                 }
1450                 if (rv < 0) {
1451                     s->rwstate = SSL_X509_LOOKUP;
1452                     return WORK_MORE_A;
1453                 }
1454                 s->rwstate = SSL_NOTHING;
1455             }
1456             cipher =
1457                 ssl3_choose_cipher(s, s->session->ciphers, SSL_get_ciphers(s));
1458
1459             if (cipher == NULL) {
1460                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1461                        SSL_R_NO_SHARED_CIPHER);
1462                 goto f_err;
1463             }
1464             s->s3->tmp.new_cipher = cipher;
1465             /* check whether we should disable session resumption */
1466             if (s->not_resumable_session_cb != NULL)
1467                 s->session->not_resumable = s->not_resumable_session_cb(s,
1468                                                                         ((cipher->algorithm_mkey & (SSL_kDHE | SSL_kECDHE)) != 0));
1469             if (s->session->not_resumable)
1470                 /* do not send a session ticket */
1471                 s->tlsext_ticket_expected = 0;
1472         } else {
1473             /* Session-id reuse */
1474             s->s3->tmp.new_cipher = s->session->cipher;
1475         }
1476
1477         if (!(s->verify_mode & SSL_VERIFY_PEER)) {
1478             if (!ssl3_digest_cached_records(s, 0)) {
1479                 al = SSL_AD_INTERNAL_ERROR;
1480                 goto f_err;
1481             }
1482         }
1483
1484         /*-
1485          * we now have the following setup.
1486          * client_random
1487          * cipher_list          - our preferred list of ciphers
1488          * ciphers              - the clients preferred list of ciphers
1489          * compression          - basically ignored right now
1490          * ssl version is set   - sslv3
1491          * s->session           - The ssl session has been setup.
1492          * s->hit               - session reuse flag
1493          * s->s3->tmp.new_cipher- the new cipher to use.
1494          */
1495
1496         /* Handles TLS extensions that we couldn't check earlier */
1497         if (s->version >= SSL3_VERSION) {
1498             if (!ssl_check_clienthello_tlsext_late(s, &al)) {
1499                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1500                        SSL_R_CLIENTHELLO_TLSEXT);
1501                 goto f_err;
1502             }
1503         }
1504
1505         wst = WORK_MORE_B;
1506     }
1507 #ifndef OPENSSL_NO_SRP
1508     if (wst == WORK_MORE_B) {
1509         int ret;
1510         if ((ret = ssl_check_srp_ext_ClientHello(s, &al)) < 0) {
1511             /*
1512              * callback indicates further work to be done
1513              */
1514             s->rwstate = SSL_X509_LOOKUP;
1515             return WORK_MORE_B;
1516         }
1517         if (ret != SSL_ERROR_NONE) {
1518             /*
1519              * This is not really an error but the only means to for
1520              * a client to detect whether srp is supported.
1521              */
1522             if (al != TLS1_AD_UNKNOWN_PSK_IDENTITY)
1523                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1524                        SSL_R_CLIENTHELLO_TLSEXT);
1525             goto f_err;
1526         }
1527     }
1528 #endif
1529     s->renegotiate = 2;
1530
1531     return WORK_FINISHED_STOP;
1532  f_err:
1533     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1534     ossl_statem_set_error(s);
1535     return WORK_ERROR;
1536 }
1537
1538 int tls_construct_server_hello(SSL *s, WPACKET *pkt)
1539 {
1540     int compm, al = SSL_AD_INTERNAL_ERROR;
1541     size_t sl, len;
1542
1543     if (!WPACKET_put_bytes_u16(pkt, s->version)
1544                /*
1545                 * Random stuff. Filling of the server_random takes place in
1546                 * tls_process_client_hello()
1547                 */
1548             || !WPACKET_memcpy(pkt, s->s3->server_random, SSL3_RANDOM_SIZE)) {
1549         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1550         goto err;
1551     }
1552
1553     /*-
1554      * There are several cases for the session ID to send
1555      * back in the server hello:
1556      * - For session reuse from the session cache,
1557      *   we send back the old session ID.
1558      * - If stateless session reuse (using a session ticket)
1559      *   is successful, we send back the client's "session ID"
1560      *   (which doesn't actually identify the session).
1561      * - If it is a new session, we send back the new
1562      *   session ID.
1563      * - However, if we want the new session to be single-use,
1564      *   we send back a 0-length session ID.
1565      * s->hit is non-zero in either case of session reuse,
1566      * so the following won't overwrite an ID that we're supposed
1567      * to send back.
1568      */
1569     if (s->session->not_resumable ||
1570         (!(s->ctx->session_cache_mode & SSL_SESS_CACHE_SERVER)
1571          && !s->hit))
1572         s->session->session_id_length = 0;
1573
1574     sl = s->session->session_id_length;
1575     if (sl > sizeof(s->session->session_id)) {
1576         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1577         goto err;
1578     }
1579
1580     /* set up the compression method */
1581 #ifdef OPENSSL_NO_COMP
1582     compm = 0;
1583 #else
1584     if (s->s3->tmp.new_compression == NULL)
1585         compm = 0;
1586     else
1587         compm = s->s3->tmp.new_compression->id;
1588 #endif
1589
1590     if (!WPACKET_sub_memcpy_u8(pkt, s->session->session_id, sl)
1591             || !s->method->put_cipher_by_char(s->s3->tmp.new_cipher, pkt, &len)
1592             || !WPACKET_put_bytes_u8(pkt, compm)
1593             || !ssl_prepare_serverhello_tlsext(s)
1594             || !ssl_add_serverhello_tlsext(s, pkt, &al)) {
1595         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1596         goto err;
1597     }
1598
1599     return 1;
1600  err:
1601     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1602     return 0;
1603 }
1604
1605 int tls_construct_server_done(SSL *s, WPACKET *pkt)
1606 {
1607     if (!s->s3->tmp.cert_request) {
1608         if (!ssl3_digest_cached_records(s, 0)) {
1609             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1610             return 0;
1611         }
1612     }
1613     return 1;
1614 }
1615
1616 int tls_construct_server_key_exchange(SSL *s, WPACKET *pkt)
1617 {
1618 #ifndef OPENSSL_NO_DH
1619     EVP_PKEY *pkdh = NULL;
1620 #endif
1621 #ifndef OPENSSL_NO_EC
1622     unsigned char *encodedPoint = NULL;
1623     size_t encodedlen = 0;
1624     int curve_id = 0;
1625 #endif
1626     EVP_PKEY *pkey;
1627     const EVP_MD *md = NULL;
1628     int al = SSL_AD_INTERNAL_ERROR, i;
1629     unsigned long type;
1630     const BIGNUM *r[4];
1631     EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();
1632     size_t paramlen, paramoffset;
1633
1634     if (!WPACKET_get_total_written(pkt, &paramoffset)) {
1635         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
1636         goto f_err;
1637     }
1638
1639     if (md_ctx == NULL) {
1640         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
1641         goto f_err;
1642     }
1643
1644     type = s->s3->tmp.new_cipher->algorithm_mkey;
1645
1646     r[0] = r[1] = r[2] = r[3] = NULL;
1647 #ifndef OPENSSL_NO_PSK
1648     /* Plain PSK or RSAPSK nothing to do */
1649     if (type & (SSL_kPSK | SSL_kRSAPSK)) {
1650     } else
1651 #endif                          /* !OPENSSL_NO_PSK */
1652 #ifndef OPENSSL_NO_DH
1653     if (type & (SSL_kDHE | SSL_kDHEPSK)) {
1654         CERT *cert = s->cert;
1655
1656         EVP_PKEY *pkdhp = NULL;
1657         DH *dh;
1658
1659         if (s->cert->dh_tmp_auto) {
1660             DH *dhp = ssl_get_auto_dh(s);
1661             pkdh = EVP_PKEY_new();
1662             if (pkdh == NULL || dhp == NULL) {
1663                 DH_free(dhp);
1664                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1665                        ERR_R_INTERNAL_ERROR);
1666                 goto f_err;
1667             }
1668             EVP_PKEY_assign_DH(pkdh, dhp);
1669             pkdhp = pkdh;
1670         } else {
1671             pkdhp = cert->dh_tmp;
1672         }
1673         if ((pkdhp == NULL) && (s->cert->dh_tmp_cb != NULL)) {
1674             DH *dhp = s->cert->dh_tmp_cb(s, 0, 1024);
1675             pkdh = ssl_dh_to_pkey(dhp);
1676             if (pkdh == NULL) {
1677                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1678                        ERR_R_INTERNAL_ERROR);
1679                 goto f_err;
1680             }
1681             pkdhp = pkdh;
1682         }
1683         if (pkdhp == NULL) {
1684             al = SSL_AD_HANDSHAKE_FAILURE;
1685             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1686                    SSL_R_MISSING_TMP_DH_KEY);
1687             goto f_err;
1688         }
1689         if (!ssl_security(s, SSL_SECOP_TMP_DH,
1690                           EVP_PKEY_security_bits(pkdhp), 0, pkdhp)) {
1691             al = SSL_AD_HANDSHAKE_FAILURE;
1692             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1693                    SSL_R_DH_KEY_TOO_SMALL);
1694             goto f_err;
1695         }
1696         if (s->s3->tmp.pkey != NULL) {
1697             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1698                    ERR_R_INTERNAL_ERROR);
1699             goto err;
1700         }
1701
1702         s->s3->tmp.pkey = ssl_generate_pkey(pkdhp);
1703
1704         if (s->s3->tmp.pkey == NULL) {
1705             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1706             goto err;
1707         }
1708
1709         dh = EVP_PKEY_get0_DH(s->s3->tmp.pkey);
1710
1711         EVP_PKEY_free(pkdh);
1712         pkdh = NULL;
1713
1714         DH_get0_pqg(dh, &r[0], NULL, &r[1]);
1715         DH_get0_key(dh, &r[2], NULL);
1716     } else
1717 #endif
1718 #ifndef OPENSSL_NO_EC
1719     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1720         int nid;
1721
1722         if (s->s3->tmp.pkey != NULL) {
1723             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1724                    ERR_R_INTERNAL_ERROR);
1725             goto err;
1726         }
1727
1728         /* Get NID of appropriate shared curve */
1729         nid = tls1_shared_curve(s, -2);
1730         curve_id = tls1_ec_nid2curve_id(nid);
1731         if (curve_id == 0) {
1732             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1733                    SSL_R_UNSUPPORTED_ELLIPTIC_CURVE);
1734             goto err;
1735         }
1736         s->s3->tmp.pkey = ssl_generate_pkey_curve(curve_id);
1737         /* Generate a new key for this curve */
1738         if (s->s3->tmp.pkey == NULL) {
1739             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1740             goto f_err;
1741         }
1742
1743         /* Encode the public key. */
1744         encodedlen = EVP_PKEY_get1_tls_encodedpoint(s->s3->tmp.pkey,
1745                                                     &encodedPoint);
1746         if (encodedlen == 0) {
1747             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EC_LIB);
1748             goto err;
1749         }
1750
1751         /*
1752          * We'll generate the serverKeyExchange message explicitly so we
1753          * can set these to NULLs
1754          */
1755         r[0] = NULL;
1756         r[1] = NULL;
1757         r[2] = NULL;
1758         r[3] = NULL;
1759     } else
1760 #endif                          /* !OPENSSL_NO_EC */
1761 #ifndef OPENSSL_NO_SRP
1762     if (type & SSL_kSRP) {
1763         if ((s->srp_ctx.N == NULL) ||
1764             (s->srp_ctx.g == NULL) ||
1765             (s->srp_ctx.s == NULL) || (s->srp_ctx.B == NULL)) {
1766             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1767                    SSL_R_MISSING_SRP_PARAM);
1768             goto err;
1769         }
1770         r[0] = s->srp_ctx.N;
1771         r[1] = s->srp_ctx.g;
1772         r[2] = s->srp_ctx.s;
1773         r[3] = s->srp_ctx.B;
1774     } else
1775 #endif
1776     {
1777         al = SSL_AD_HANDSHAKE_FAILURE;
1778         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1779                SSL_R_UNKNOWN_KEY_EXCHANGE_TYPE);
1780         goto f_err;
1781     }
1782
1783     if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aSRP))
1784         && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)) {
1785         if ((pkey = ssl_get_sign_pkey(s, s->s3->tmp.new_cipher, &md))
1786             == NULL) {
1787             al = SSL_AD_DECODE_ERROR;
1788             goto f_err;
1789         }
1790     } else {
1791         pkey = NULL;
1792     }
1793
1794 #ifndef OPENSSL_NO_PSK
1795     if (type & SSL_PSK) {
1796         size_t len = (s->cert->psk_identity_hint == NULL)
1797                         ? 0 : strlen(s->cert->psk_identity_hint);
1798
1799         /*
1800          * It should not happen that len > PSK_MAX_IDENTITY_LEN - we already
1801          * checked this when we set the identity hint - but just in case
1802          */
1803         if (len > PSK_MAX_IDENTITY_LEN
1804                 || !WPACKET_sub_memcpy_u16(pkt, s->cert->psk_identity_hint,
1805                                            len)) {
1806             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1807                    ERR_R_INTERNAL_ERROR);
1808             goto f_err;
1809         }
1810     }
1811 #endif
1812
1813     for (i = 0; i < 4 && r[i] != NULL; i++) {
1814         unsigned char *binval;
1815         int res;
1816
1817 #ifndef OPENSSL_NO_SRP
1818         if ((i == 2) && (type & SSL_kSRP)) {
1819             res = WPACKET_start_sub_packet_u8(pkt);
1820         } else
1821 #endif
1822             res = WPACKET_start_sub_packet_u16(pkt);
1823
1824         if (!res) {
1825             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1826                    ERR_R_INTERNAL_ERROR);
1827             goto f_err;
1828         }
1829
1830 #ifndef OPENSSL_NO_DH
1831         /*-
1832          * for interoperability with some versions of the Microsoft TLS
1833          * stack, we need to zero pad the DHE pub key to the same length
1834          * as the prime
1835          */
1836         if ((i == 2) && (type & (SSL_kDHE | SSL_kDHEPSK))) {
1837             size_t len = BN_num_bytes(r[0]) - BN_num_bytes(r[2]);
1838
1839             if (len > 0) {
1840                 if (!WPACKET_allocate_bytes(pkt, len, &binval)) {
1841                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1842                            ERR_R_INTERNAL_ERROR);
1843                     goto f_err;
1844                 }
1845                 memset(binval, 0, len);
1846             }
1847         }
1848 #endif
1849         if (!WPACKET_allocate_bytes(pkt, BN_num_bytes(r[i]), &binval)
1850                 || !WPACKET_close(pkt)) {
1851             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1852                    ERR_R_INTERNAL_ERROR);
1853             goto f_err;
1854         }
1855
1856         BN_bn2bin(r[i], binval);
1857     }
1858
1859 #ifndef OPENSSL_NO_EC
1860     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1861         /*
1862          * We only support named (not generic) curves. In this situation, the
1863          * ServerKeyExchange message has: [1 byte CurveType], [2 byte CurveName]
1864          * [1 byte length of encoded point], followed by the actual encoded
1865          * point itself
1866          */
1867         if (!WPACKET_put_bytes_u8(pkt, NAMED_CURVE_TYPE)
1868                 || !WPACKET_put_bytes_u8(pkt, 0)
1869                 || !WPACKET_put_bytes_u8(pkt, curve_id)
1870                 || !WPACKET_sub_memcpy_u8(pkt, encodedPoint, encodedlen)) {
1871             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1872                    ERR_R_INTERNAL_ERROR);
1873             goto f_err;
1874         }
1875         OPENSSL_free(encodedPoint);
1876         encodedPoint = NULL;
1877     }
1878 #endif
1879
1880     /* not anonymous */
1881     if (pkey != NULL) {
1882         /*
1883          * n is the length of the params, they start at &(d[4]) and p
1884          * points to the space at the end.
1885          */
1886         if (md) {
1887             unsigned char *sigbytes1, *sigbytes2;
1888             unsigned int siglen;
1889
1890             /* Get length of the parameters we have written above */
1891             if (!WPACKET_get_length(pkt, &paramlen)) {
1892                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1893                        ERR_R_INTERNAL_ERROR);
1894                 goto f_err;
1895             }
1896             /* send signature algorithm */
1897             if (SSL_USE_SIGALGS(s)) {
1898                 if (!tls12_get_sigandhash(pkt, pkey, md)) {
1899                     /* Should never happen */
1900                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1901                            ERR_R_INTERNAL_ERROR);
1902                     goto f_err;
1903                 }
1904             }
1905 #ifdef SSL_DEBUG
1906             fprintf(stderr, "Using hash %s\n", EVP_MD_name(md));
1907 #endif
1908             /*
1909              * Create the signature. We don't know the actual length of the sig
1910              * until after we've created it, so we reserve enough bytes for it
1911              * up front, and then properly allocate them in the WPACKET
1912              * afterwards.
1913              */
1914             if (!WPACKET_sub_reserve_bytes_u16(pkt, EVP_PKEY_size(pkey),
1915                                                &sigbytes1)
1916                     || EVP_SignInit_ex(md_ctx, md, NULL) <= 0
1917                     || EVP_SignUpdate(md_ctx, &(s->s3->client_random[0]),
1918                                       SSL3_RANDOM_SIZE) <= 0
1919                     || EVP_SignUpdate(md_ctx, &(s->s3->server_random[0]),
1920                                       SSL3_RANDOM_SIZE) <= 0
1921                     || EVP_SignUpdate(md_ctx, s->init_buf->data + paramoffset,
1922                                       paramlen) <= 0
1923                     || EVP_SignFinal(md_ctx, sigbytes1, &siglen, pkey) <= 0
1924                     || !WPACKET_sub_allocate_bytes_u16(pkt, siglen, &sigbytes2)
1925                     || sigbytes1 != sigbytes2) {
1926                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1927                        ERR_R_INTERNAL_ERROR);
1928                 goto f_err;
1929             }
1930         } else {
1931             /* Is this error check actually needed? */
1932             al = SSL_AD_HANDSHAKE_FAILURE;
1933             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1934                    SSL_R_UNKNOWN_PKEY_TYPE);
1935             goto f_err;
1936         }
1937     }
1938
1939     EVP_MD_CTX_free(md_ctx);
1940     return 1;
1941  f_err:
1942     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1943  err:
1944 #ifndef OPENSSL_NO_DH
1945     EVP_PKEY_free(pkdh);
1946 #endif
1947 #ifndef OPENSSL_NO_EC
1948     OPENSSL_free(encodedPoint);
1949 #endif
1950     EVP_MD_CTX_free(md_ctx);
1951     return 0;
1952 }
1953
1954 int tls_construct_certificate_request(SSL *s, WPACKET *pkt)
1955 {
1956     int i;
1957     STACK_OF(X509_NAME) *sk = NULL;
1958
1959     /* get the list of acceptable cert types */
1960     if (!WPACKET_start_sub_packet_u8(pkt)
1961             || !ssl3_get_req_cert_type(s, pkt)
1962             || !WPACKET_close(pkt)) {
1963         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
1964         goto err;
1965     }
1966
1967     if (SSL_USE_SIGALGS(s)) {
1968         const unsigned char *psigs;
1969         size_t nl = tls12_get_psigalgs(s, &psigs);
1970         if (!WPACKET_start_sub_packet_u16(pkt)
1971                 || !tls12_copy_sigalgs(s, pkt, psigs, nl)
1972                 || !WPACKET_close(pkt)) {
1973             SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
1974                    ERR_R_INTERNAL_ERROR);
1975             goto err;
1976         }
1977     }
1978
1979     /* Start sub-packet for client CA list */
1980     if (!WPACKET_start_sub_packet_u16(pkt)) {
1981         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
1982         goto err;
1983     }
1984
1985     sk = SSL_get_client_CA_list(s);
1986     if (sk != NULL) {
1987         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
1988             unsigned char *namebytes;
1989             X509_NAME *name = sk_X509_NAME_value(sk, i);
1990             int namelen;
1991
1992             if (name == NULL
1993                     || (namelen = i2d_X509_NAME(name, NULL)) < 0
1994                     || !WPACKET_sub_allocate_bytes_u16(pkt, namelen,
1995                                                        &namebytes)
1996                     || i2d_X509_NAME(name, &namebytes) != namelen) {
1997                 SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
1998                        ERR_R_INTERNAL_ERROR);
1999                 goto err;
2000             }
2001         }
2002     }
2003     /* else no CA names */
2004
2005     if (!WPACKET_close(pkt)) {
2006         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2007         goto err;
2008     }
2009
2010     s->s3->tmp.cert_request = 1;
2011
2012     return 1;
2013  err:
2014     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2015     return 0;
2016 }
2017
2018 static int tls_process_cke_psk_preamble(SSL *s, PACKET *pkt, int *al)
2019 {
2020 #ifndef OPENSSL_NO_PSK
2021     unsigned char psk[PSK_MAX_PSK_LEN];
2022     size_t psklen;
2023     PACKET psk_identity;
2024
2025     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity)) {
2026         *al = SSL_AD_DECODE_ERROR;
2027         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_LENGTH_MISMATCH);
2028         return 0;
2029     }
2030     if (PACKET_remaining(&psk_identity) > PSK_MAX_IDENTITY_LEN) {
2031         *al = SSL_AD_DECODE_ERROR;
2032         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_DATA_LENGTH_TOO_LONG);
2033         return 0;
2034     }
2035     if (s->psk_server_callback == NULL) {
2036         *al = SSL_AD_INTERNAL_ERROR;
2037         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_PSK_NO_SERVER_CB);
2038         return 0;
2039     }
2040
2041     if (!PACKET_strndup(&psk_identity, &s->session->psk_identity)) {
2042         *al = SSL_AD_INTERNAL_ERROR;
2043         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2044         return 0;
2045     }
2046
2047     psklen = s->psk_server_callback(s, s->session->psk_identity,
2048                                     psk, sizeof(psk));
2049
2050     if (psklen > PSK_MAX_PSK_LEN) {
2051         *al = SSL_AD_INTERNAL_ERROR;
2052         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2053         return 0;
2054     } else if (psklen == 0) {
2055         /*
2056          * PSK related to the given identity not found
2057          */
2058         *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
2059         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE,
2060                SSL_R_PSK_IDENTITY_NOT_FOUND);
2061         return 0;
2062     }
2063
2064     OPENSSL_free(s->s3->tmp.psk);
2065     s->s3->tmp.psk = OPENSSL_memdup(psk, psklen);
2066     OPENSSL_cleanse(psk, psklen);
2067
2068     if (s->s3->tmp.psk == NULL) {
2069         *al = SSL_AD_INTERNAL_ERROR;
2070         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_MALLOC_FAILURE);
2071         return 0;
2072     }
2073
2074     s->s3->tmp.psklen = psklen;
2075
2076     return 1;
2077 #else
2078     /* Should never happen */
2079     *al = SSL_AD_INTERNAL_ERROR;
2080     SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2081     return 0;
2082 #endif
2083 }
2084
2085 static int tls_process_cke_rsa(SSL *s, PACKET *pkt, int *al)
2086 {
2087 #ifndef OPENSSL_NO_RSA
2088     unsigned char rand_premaster_secret[SSL_MAX_MASTER_KEY_LENGTH];
2089     int decrypt_len;
2090     unsigned char decrypt_good, version_good;
2091     size_t j, padding_len;
2092     PACKET enc_premaster;
2093     RSA *rsa = NULL;
2094     unsigned char *rsa_decrypt = NULL;
2095     int ret = 0;
2096
2097     rsa = EVP_PKEY_get0_RSA(s->cert->pkeys[SSL_PKEY_RSA_ENC].privatekey);
2098     if (rsa == NULL) {
2099         *al = SSL_AD_HANDSHAKE_FAILURE;
2100         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_MISSING_RSA_CERTIFICATE);
2101         return 0;
2102     }
2103
2104     /* SSLv3 and pre-standard DTLS omit the length bytes. */
2105     if (s->version == SSL3_VERSION || s->version == DTLS1_BAD_VER) {
2106         enc_premaster = *pkt;
2107     } else {
2108         if (!PACKET_get_length_prefixed_2(pkt, &enc_premaster)
2109             || PACKET_remaining(pkt) != 0) {
2110             *al = SSL_AD_DECODE_ERROR;
2111             SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_LENGTH_MISMATCH);
2112             return 0;
2113         }
2114     }
2115
2116     /*
2117      * We want to be sure that the plaintext buffer size makes it safe to
2118      * iterate over the entire size of a premaster secret
2119      * (SSL_MAX_MASTER_KEY_LENGTH). Reject overly short RSA keys because
2120      * their ciphertext cannot accommodate a premaster secret anyway.
2121      */
2122     if (RSA_size(rsa) < SSL_MAX_MASTER_KEY_LENGTH) {
2123         *al = SSL_AD_INTERNAL_ERROR;
2124         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, RSA_R_KEY_SIZE_TOO_SMALL);
2125         return 0;
2126     }
2127
2128     rsa_decrypt = OPENSSL_malloc(RSA_size(rsa));
2129     if (rsa_decrypt == NULL) {
2130         *al = SSL_AD_INTERNAL_ERROR;
2131         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_MALLOC_FAILURE);
2132         return 0;
2133     }
2134
2135     /*
2136      * We must not leak whether a decryption failure occurs because of
2137      * Bleichenbacher's attack on PKCS #1 v1.5 RSA padding (see RFC 2246,
2138      * section 7.4.7.1). The code follows that advice of the TLS RFC and
2139      * generates a random premaster secret for the case that the decrypt
2140      * fails. See https://tools.ietf.org/html/rfc5246#section-7.4.7.1
2141      */
2142
2143     if (RAND_bytes(rand_premaster_secret, sizeof(rand_premaster_secret)) <= 0)
2144         goto err;
2145
2146     /*
2147      * Decrypt with no padding. PKCS#1 padding will be removed as part of
2148      * the timing-sensitive code below.
2149      */
2150      /* TODO(size_t): Convert this function */
2151     decrypt_len = (int)RSA_private_decrypt((int)PACKET_remaining(&enc_premaster),
2152                                            PACKET_data(&enc_premaster),
2153                                            rsa_decrypt, rsa, RSA_NO_PADDING);
2154     if (decrypt_len < 0)
2155         goto err;
2156
2157     /* Check the padding. See RFC 3447, section 7.2.2. */
2158
2159     /*
2160      * The smallest padded premaster is 11 bytes of overhead. Small keys
2161      * are publicly invalid, so this may return immediately. This ensures
2162      * PS is at least 8 bytes.
2163      */
2164     if (decrypt_len < 11 + SSL_MAX_MASTER_KEY_LENGTH) {
2165         *al = SSL_AD_DECRYPT_ERROR;
2166         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_DECRYPTION_FAILED);
2167         goto err;
2168     }
2169
2170     padding_len = decrypt_len - SSL_MAX_MASTER_KEY_LENGTH;
2171     decrypt_good = constant_time_eq_int_8(rsa_decrypt[0], 0) &
2172         constant_time_eq_int_8(rsa_decrypt[1], 2);
2173     for (j = 2; j < padding_len - 1; j++) {
2174         decrypt_good &= ~constant_time_is_zero_8(rsa_decrypt[j]);
2175     }
2176     decrypt_good &= constant_time_is_zero_8(rsa_decrypt[padding_len - 1]);
2177
2178     /*
2179      * If the version in the decrypted pre-master secret is correct then
2180      * version_good will be 0xff, otherwise it'll be zero. The
2181      * Klima-Pokorny-Rosa extension of Bleichenbacher's attack
2182      * (http://eprint.iacr.org/2003/052/) exploits the version number
2183      * check as a "bad version oracle". Thus version checks are done in
2184      * constant time and are treated like any other decryption error.
2185      */
2186     version_good =
2187         constant_time_eq_8(rsa_decrypt[padding_len],
2188                            (unsigned)(s->client_version >> 8));
2189     version_good &=
2190         constant_time_eq_8(rsa_decrypt[padding_len + 1],
2191                            (unsigned)(s->client_version & 0xff));
2192
2193     /*
2194      * The premaster secret must contain the same version number as the
2195      * ClientHello to detect version rollback attacks (strangely, the
2196      * protocol does not offer such protection for DH ciphersuites).
2197      * However, buggy clients exist that send the negotiated protocol
2198      * version instead if the server does not support the requested
2199      * protocol version. If SSL_OP_TLS_ROLLBACK_BUG is set, tolerate such
2200      * clients.
2201      */
2202     if (s->options & SSL_OP_TLS_ROLLBACK_BUG) {
2203         unsigned char workaround_good;
2204         workaround_good = constant_time_eq_8(rsa_decrypt[padding_len],
2205                                              (unsigned)(s->version >> 8));
2206         workaround_good &=
2207             constant_time_eq_8(rsa_decrypt[padding_len + 1],
2208                                (unsigned)(s->version & 0xff));
2209         version_good |= workaround_good;
2210     }
2211
2212     /*
2213      * Both decryption and version must be good for decrypt_good to
2214      * remain non-zero (0xff).
2215      */
2216     decrypt_good &= version_good;
2217
2218     /*
2219      * Now copy rand_premaster_secret over from p using
2220      * decrypt_good_mask. If decryption failed, then p does not
2221      * contain valid plaintext, however, a check above guarantees
2222      * it is still sufficiently large to read from.
2223      */
2224     for (j = 0; j < sizeof(rand_premaster_secret); j++) {
2225         rsa_decrypt[padding_len + j] =
2226             constant_time_select_8(decrypt_good,
2227                                    rsa_decrypt[padding_len + j],
2228                                    rand_premaster_secret[j]);
2229     }
2230
2231     if (!ssl_generate_master_secret(s, rsa_decrypt + padding_len,
2232                                     sizeof(rand_premaster_secret), 0)) {
2233         *al = SSL_AD_INTERNAL_ERROR;
2234         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2235         goto err;
2236     }
2237
2238     ret = 1;
2239  err:
2240     OPENSSL_free(rsa_decrypt);
2241     return ret;
2242 #else
2243     /* Should never happen */
2244     *al = SSL_AD_INTERNAL_ERROR;
2245     SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2246     return 0;
2247 #endif
2248 }
2249
2250 static int tls_process_cke_dhe(SSL *s, PACKET *pkt, int *al)
2251 {
2252 #ifndef OPENSSL_NO_DH
2253     EVP_PKEY *skey = NULL;
2254     DH *cdh;
2255     unsigned int i;
2256     BIGNUM *pub_key;
2257     const unsigned char *data;
2258     EVP_PKEY *ckey = NULL;
2259     int ret = 0;
2260
2261     if (!PACKET_get_net_2(pkt, &i) || PACKET_remaining(pkt) != i) {
2262         *al = SSL_AD_HANDSHAKE_FAILURE;
2263         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE,
2264                SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2265         goto err;
2266     }
2267     skey = s->s3->tmp.pkey;
2268     if (skey == NULL) {
2269         *al = SSL_AD_HANDSHAKE_FAILURE;
2270         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2271         goto err;
2272     }
2273
2274     if (PACKET_remaining(pkt) == 0L) {
2275         *al = SSL_AD_HANDSHAKE_FAILURE;
2276         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2277         goto err;
2278     }
2279     if (!PACKET_get_bytes(pkt, &data, i)) {
2280         /* We already checked we have enough data */
2281         *al = SSL_AD_INTERNAL_ERROR;
2282         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2283         goto err;
2284     }
2285     ckey = EVP_PKEY_new();
2286     if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) == 0) {
2287         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_BN_LIB);
2288         goto err;
2289     }
2290     cdh = EVP_PKEY_get0_DH(ckey);
2291     pub_key = BN_bin2bn(data, i, NULL);
2292
2293     if (pub_key == NULL || !DH_set0_key(cdh, pub_key, NULL)) {
2294         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2295         if (pub_key != NULL)
2296             BN_free(pub_key);
2297         goto err;
2298     }
2299
2300     if (ssl_derive(s, skey, ckey) == 0) {
2301         *al = SSL_AD_INTERNAL_ERROR;
2302         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2303         goto err;
2304     }
2305
2306     ret = 1;
2307     EVP_PKEY_free(s->s3->tmp.pkey);
2308     s->s3->tmp.pkey = NULL;
2309  err:
2310     EVP_PKEY_free(ckey);
2311     return ret;
2312 #else
2313     /* Should never happen */
2314     *al = SSL_AD_INTERNAL_ERROR;
2315     SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2316     return 0;
2317 #endif
2318 }
2319
2320 static int tls_process_cke_ecdhe(SSL *s, PACKET *pkt, int *al)
2321 {
2322 #ifndef OPENSSL_NO_EC
2323     EVP_PKEY *skey = s->s3->tmp.pkey;
2324     EVP_PKEY *ckey = NULL;
2325     int ret = 0;
2326
2327     if (PACKET_remaining(pkt) == 0L) {
2328         /* We don't support ECDH client auth */
2329         *al = SSL_AD_HANDSHAKE_FAILURE;
2330         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_MISSING_TMP_ECDH_KEY);
2331         goto err;
2332     } else {
2333         unsigned int i;
2334         const unsigned char *data;
2335
2336         /*
2337          * Get client's public key from encoded point in the
2338          * ClientKeyExchange message.
2339          */
2340
2341         /* Get encoded point length */
2342         if (!PACKET_get_1(pkt, &i) || !PACKET_get_bytes(pkt, &data, i)
2343             || PACKET_remaining(pkt) != 0) {
2344             *al = SSL_AD_DECODE_ERROR;
2345             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_LENGTH_MISMATCH);
2346             goto err;
2347         }
2348         ckey = EVP_PKEY_new();
2349         if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) <= 0) {
2350             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EVP_LIB);
2351             goto err;
2352         }
2353         if (EVP_PKEY_set1_tls_encodedpoint(ckey, data, i) == 0) {
2354             *al = SSL_AD_HANDSHAKE_FAILURE;
2355             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EC_LIB);
2356             goto err;
2357         }
2358     }
2359
2360     if (ssl_derive(s, skey, ckey) == 0) {
2361         *al = SSL_AD_INTERNAL_ERROR;
2362         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2363         goto err;
2364     }
2365
2366     ret = 1;
2367     EVP_PKEY_free(s->s3->tmp.pkey);
2368     s->s3->tmp.pkey = NULL;
2369  err:
2370     EVP_PKEY_free(ckey);
2371
2372     return ret;
2373 #else
2374     /* Should never happen */
2375     *al = SSL_AD_INTERNAL_ERROR;
2376     SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2377     return 0;
2378 #endif
2379 }
2380
2381 static int tls_process_cke_srp(SSL *s, PACKET *pkt, int *al)
2382 {
2383 #ifndef OPENSSL_NO_SRP
2384     unsigned int i;
2385     const unsigned char *data;
2386
2387     if (!PACKET_get_net_2(pkt, &i)
2388         || !PACKET_get_bytes(pkt, &data, i)) {
2389         *al = SSL_AD_DECODE_ERROR;
2390         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_A_LENGTH);
2391         return 0;
2392     }
2393     if ((s->srp_ctx.A = BN_bin2bn(data, i, NULL)) == NULL) {
2394         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_BN_LIB);
2395         return 0;
2396     }
2397     if (BN_ucmp(s->srp_ctx.A, s->srp_ctx.N) >= 0 || BN_is_zero(s->srp_ctx.A)) {
2398         *al = SSL_AD_ILLEGAL_PARAMETER;
2399         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_PARAMETERS);
2400         return 0;
2401     }
2402     OPENSSL_free(s->session->srp_username);
2403     s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2404     if (s->session->srp_username == NULL) {
2405         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_MALLOC_FAILURE);
2406         return 0;
2407     }
2408
2409     if (!srp_generate_server_master_secret(s)) {
2410         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2411         return 0;
2412     }
2413
2414     return 1;
2415 #else
2416     /* Should never happen */
2417     *al = SSL_AD_INTERNAL_ERROR;
2418     SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2419     return 0;
2420 #endif
2421 }
2422
2423 static int tls_process_cke_gost(SSL *s, PACKET *pkt, int *al)
2424 {
2425 #ifndef OPENSSL_NO_GOST
2426     EVP_PKEY_CTX *pkey_ctx;
2427     EVP_PKEY *client_pub_pkey = NULL, *pk = NULL;
2428     unsigned char premaster_secret[32];
2429     const unsigned char *start;
2430     size_t outlen = 32, inlen;
2431     unsigned long alg_a;
2432     int Ttag, Tclass;
2433     long Tlen;
2434     size_t sess_key_len;
2435     const unsigned char *data;
2436     int ret = 0;
2437
2438     /* Get our certificate private key */
2439     alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2440     if (alg_a & SSL_aGOST12) {
2441         /*
2442          * New GOST ciphersuites have SSL_aGOST01 bit too
2443          */
2444         pk = s->cert->pkeys[SSL_PKEY_GOST12_512].privatekey;
2445         if (pk == NULL) {
2446             pk = s->cert->pkeys[SSL_PKEY_GOST12_256].privatekey;
2447         }
2448         if (pk == NULL) {
2449             pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2450         }
2451     } else if (alg_a & SSL_aGOST01) {
2452         pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2453     }
2454
2455     pkey_ctx = EVP_PKEY_CTX_new(pk, NULL);
2456     if (pkey_ctx == NULL) {
2457         *al = SSL_AD_INTERNAL_ERROR;
2458         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_MALLOC_FAILURE);
2459         return 0;
2460     }
2461     if (EVP_PKEY_decrypt_init(pkey_ctx) <= 0) {
2462         *al = SSL_AD_INTERNAL_ERROR;
2463         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2464         return 0;
2465     }
2466     /*
2467      * If client certificate is present and is of the same type, maybe
2468      * use it for key exchange.  Don't mind errors from
2469      * EVP_PKEY_derive_set_peer, because it is completely valid to use a
2470      * client certificate for authorization only.
2471      */
2472     client_pub_pkey = X509_get0_pubkey(s->session->peer);
2473     if (client_pub_pkey) {
2474         if (EVP_PKEY_derive_set_peer(pkey_ctx, client_pub_pkey) <= 0)
2475             ERR_clear_error();
2476     }
2477     /* Decrypt session key */
2478     sess_key_len = PACKET_remaining(pkt);
2479     if (!PACKET_get_bytes(pkt, &data, sess_key_len)) {
2480         *al = SSL_AD_INTERNAL_ERROR;
2481         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2482         goto err;
2483     }
2484     /* TODO(size_t): Convert this function */
2485     if (ASN1_get_object((const unsigned char **)&data, &Tlen, &Ttag,
2486                         &Tclass, (long)sess_key_len) != V_ASN1_CONSTRUCTED
2487         || Ttag != V_ASN1_SEQUENCE || Tclass != V_ASN1_UNIVERSAL) {
2488         *al = SSL_AD_DECODE_ERROR;
2489         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2490         goto err;
2491     }
2492     start = data;
2493     inlen = Tlen;
2494     if (EVP_PKEY_decrypt
2495         (pkey_ctx, premaster_secret, &outlen, start, inlen) <= 0) {
2496         *al = SSL_AD_DECODE_ERROR;
2497         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2498         goto err;
2499     }
2500     /* Generate master secret */
2501     if (!ssl_generate_master_secret(s, premaster_secret,
2502                                     sizeof(premaster_secret), 0)) {
2503         *al = SSL_AD_INTERNAL_ERROR;
2504         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2505         goto err;
2506     }
2507     /* Check if pubkey from client certificate was used */
2508     if (EVP_PKEY_CTX_ctrl
2509         (pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2, NULL) > 0)
2510         s->statem.no_cert_verify = 1;
2511
2512     ret = 1;
2513  err:
2514     EVP_PKEY_CTX_free(pkey_ctx);
2515     return ret;
2516 #else
2517     /* Should never happen */
2518     *al = SSL_AD_INTERNAL_ERROR;
2519     SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2520     return 0;
2521 #endif
2522 }
2523
2524 MSG_PROCESS_RETURN tls_process_client_key_exchange(SSL *s, PACKET *pkt)
2525 {
2526     int al = -1;
2527     unsigned long alg_k;
2528
2529     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2530
2531     /* For PSK parse and retrieve identity, obtain PSK key */
2532     if ((alg_k & SSL_PSK) && !tls_process_cke_psk_preamble(s, pkt, &al))
2533         goto err;
2534
2535     if (alg_k & SSL_kPSK) {
2536         /* Identity extracted earlier: should be nothing left */
2537         if (PACKET_remaining(pkt) != 0) {
2538             al = SSL_AD_HANDSHAKE_FAILURE;
2539             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2540                    SSL_R_LENGTH_MISMATCH);
2541             goto err;
2542         }
2543         /* PSK handled by ssl_generate_master_secret */
2544         if (!ssl_generate_master_secret(s, NULL, 0, 0)) {
2545             al = SSL_AD_INTERNAL_ERROR;
2546             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2547             goto err;
2548         }
2549     } else if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2550         if (!tls_process_cke_rsa(s, pkt, &al))
2551             goto err;
2552     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2553         if (!tls_process_cke_dhe(s, pkt, &al))
2554             goto err;
2555     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2556         if (!tls_process_cke_ecdhe(s, pkt, &al))
2557             goto err;
2558     } else if (alg_k & SSL_kSRP) {
2559         if (!tls_process_cke_srp(s, pkt, &al))
2560             goto err;
2561     } else if (alg_k & SSL_kGOST) {
2562         if (!tls_process_cke_gost(s, pkt, &al))
2563             goto err;
2564     } else {
2565         al = SSL_AD_HANDSHAKE_FAILURE;
2566         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2567                SSL_R_UNKNOWN_CIPHER_TYPE);
2568         goto err;
2569     }
2570
2571     return MSG_PROCESS_CONTINUE_PROCESSING;
2572  err:
2573     if (al != -1)
2574         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2575 #ifndef OPENSSL_NO_PSK
2576     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2577     s->s3->tmp.psk = NULL;
2578 #endif
2579     ossl_statem_set_error(s);
2580     return MSG_PROCESS_ERROR;
2581 }
2582
2583 WORK_STATE tls_post_process_client_key_exchange(SSL *s, WORK_STATE wst)
2584 {
2585 #ifndef OPENSSL_NO_SCTP
2586     if (wst == WORK_MORE_A) {
2587         if (SSL_IS_DTLS(s)) {
2588             unsigned char sctpauthkey[64];
2589             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2590             /*
2591              * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2592              * used.
2593              */
2594             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2595                    sizeof(DTLS1_SCTP_AUTH_LABEL));
2596
2597             if (SSL_export_keying_material(s, sctpauthkey,
2598                                            sizeof(sctpauthkey), labelbuffer,
2599                                            sizeof(labelbuffer), NULL, 0,
2600                                            0) <= 0) {
2601                 ossl_statem_set_error(s);
2602                 return WORK_ERROR;;
2603             }
2604
2605             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
2606                      sizeof(sctpauthkey), sctpauthkey);
2607         }
2608         wst = WORK_MORE_B;
2609     }
2610
2611     if ((wst == WORK_MORE_B)
2612         /* Is this SCTP? */
2613         && BIO_dgram_is_sctp(SSL_get_wbio(s))
2614         /* Are we renegotiating? */
2615         && s->renegotiate
2616         /* Are we going to skip the CertificateVerify? */
2617         && (s->session->peer == NULL || s->statem.no_cert_verify)
2618         && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
2619         s->s3->in_read_app_data = 2;
2620         s->rwstate = SSL_READING;
2621         BIO_clear_retry_flags(SSL_get_rbio(s));
2622         BIO_set_retry_read(SSL_get_rbio(s));
2623         ossl_statem_set_sctp_read_sock(s, 1);
2624         return WORK_MORE_B;
2625     } else {
2626         ossl_statem_set_sctp_read_sock(s, 0);
2627     }
2628 #endif
2629
2630     if (s->statem.no_cert_verify || !s->session->peer) {
2631         /*
2632          * No certificate verify or no peer certificate so we no longer need
2633          * the handshake_buffer
2634          */
2635         if (!ssl3_digest_cached_records(s, 0)) {
2636             ossl_statem_set_error(s);
2637             return WORK_ERROR;
2638         }
2639         return WORK_FINISHED_CONTINUE;
2640     } else {
2641         if (!s->s3->handshake_buffer) {
2642             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_KEY_EXCHANGE,
2643                    ERR_R_INTERNAL_ERROR);
2644             ossl_statem_set_error(s);
2645             return WORK_ERROR;
2646         }
2647         /*
2648          * For sigalgs freeze the handshake buffer. If we support
2649          * extms we've done this already so this is a no-op
2650          */
2651         if (!ssl3_digest_cached_records(s, 1)) {
2652             ossl_statem_set_error(s);
2653             return WORK_ERROR;
2654         }
2655     }
2656
2657     return WORK_FINISHED_CONTINUE;
2658 }
2659
2660 MSG_PROCESS_RETURN tls_process_cert_verify(SSL *s, PACKET *pkt)
2661 {
2662     EVP_PKEY *pkey = NULL;
2663     const unsigned char *sig, *data;
2664 #ifndef OPENSSL_NO_GOST
2665     unsigned char *gost_data = NULL;
2666 #endif
2667     int al, ret = MSG_PROCESS_ERROR;
2668     int type = 0, j;
2669     unsigned int len;
2670     X509 *peer;
2671     const EVP_MD *md = NULL;
2672     long hdatalen = 0;
2673     void *hdata;
2674
2675     EVP_MD_CTX *mctx = EVP_MD_CTX_new();
2676
2677     if (mctx == NULL) {
2678         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2679         al = SSL_AD_INTERNAL_ERROR;
2680         goto f_err;
2681     }
2682
2683     peer = s->session->peer;
2684     pkey = X509_get0_pubkey(peer);
2685     type = X509_certificate_type(peer, pkey);
2686
2687     if (!(type & EVP_PKT_SIGN)) {
2688         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY,
2689                SSL_R_SIGNATURE_FOR_NON_SIGNING_CERTIFICATE);
2690         al = SSL_AD_ILLEGAL_PARAMETER;
2691         goto f_err;
2692     }
2693
2694     /* Check for broken implementations of GOST ciphersuites */
2695     /*
2696      * If key is GOST and n is exactly 64, it is bare signature without
2697      * length field (CryptoPro implementations at least till CSP 4.0)
2698      */
2699 #ifndef OPENSSL_NO_GOST
2700     if (PACKET_remaining(pkt) == 64
2701         && EVP_PKEY_id(pkey) == NID_id_GostR3410_2001) {
2702         len = 64;
2703     } else
2704 #endif
2705     {
2706         if (SSL_USE_SIGALGS(s)) {
2707             int rv;
2708
2709             if (!PACKET_get_bytes(pkt, &sig, 2)) {
2710                 al = SSL_AD_DECODE_ERROR;
2711                 goto f_err;
2712             }
2713             rv = tls12_check_peer_sigalg(&md, s, sig, pkey);
2714             if (rv == -1) {
2715                 al = SSL_AD_INTERNAL_ERROR;
2716                 goto f_err;
2717             } else if (rv == 0) {
2718                 al = SSL_AD_DECODE_ERROR;
2719                 goto f_err;
2720             }
2721 #ifdef SSL_DEBUG
2722             fprintf(stderr, "USING TLSv1.2 HASH %s\n", EVP_MD_name(md));
2723 #endif
2724         } else {
2725             /* Use default digest for this key type */
2726             int idx = ssl_cert_type(NULL, pkey);
2727             if (idx >= 0)
2728                 md = s->s3->tmp.md[idx];
2729             if (md == NULL) {
2730                 al = SSL_AD_INTERNAL_ERROR;
2731                 goto f_err;
2732             }
2733         }
2734
2735         if (!PACKET_get_net_2(pkt, &len)) {
2736             SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2737             al = SSL_AD_DECODE_ERROR;
2738             goto f_err;
2739         }
2740     }
2741     j = EVP_PKEY_size(pkey);
2742     if (((int)len > j) || ((int)PACKET_remaining(pkt) > j)
2743         || (PACKET_remaining(pkt) == 0)) {
2744         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_WRONG_SIGNATURE_SIZE);
2745         al = SSL_AD_DECODE_ERROR;
2746         goto f_err;
2747     }
2748     if (!PACKET_get_bytes(pkt, &data, len)) {
2749         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2750         al = SSL_AD_DECODE_ERROR;
2751         goto f_err;
2752     }
2753
2754     hdatalen = BIO_get_mem_data(s->s3->handshake_buffer, &hdata);
2755     if (hdatalen <= 0) {
2756         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_INTERNAL_ERROR);
2757         al = SSL_AD_INTERNAL_ERROR;
2758         goto f_err;
2759     }
2760 #ifdef SSL_DEBUG
2761     fprintf(stderr, "Using client verify alg %s\n", EVP_MD_name(md));
2762 #endif
2763     if (!EVP_VerifyInit_ex(mctx, md, NULL)
2764         || !EVP_VerifyUpdate(mctx, hdata, hdatalen)) {
2765         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2766         al = SSL_AD_INTERNAL_ERROR;
2767         goto f_err;
2768     }
2769 #ifndef OPENSSL_NO_GOST
2770     {
2771         int pktype = EVP_PKEY_id(pkey);
2772         if (pktype == NID_id_GostR3410_2001
2773             || pktype == NID_id_GostR3410_2012_256
2774             || pktype == NID_id_GostR3410_2012_512) {
2775             if ((gost_data = OPENSSL_malloc(len)) == NULL) {
2776                 SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2777                 al = SSL_AD_INTERNAL_ERROR;
2778                 goto f_err;
2779             }
2780             BUF_reverse(gost_data, data, len);
2781             data = gost_data;
2782         }
2783     }
2784 #endif
2785
2786     if (s->version == SSL3_VERSION
2787         && !EVP_MD_CTX_ctrl(mctx, EVP_CTRL_SSL3_MASTER_SECRET,
2788                             (int)s->session->master_key_length,
2789                             s->session->master_key)) {
2790         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2791         al = SSL_AD_INTERNAL_ERROR;
2792         goto f_err;
2793     }
2794
2795     if (EVP_VerifyFinal(mctx, data, len, pkey) <= 0) {
2796         al = SSL_AD_DECRYPT_ERROR;
2797         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_BAD_SIGNATURE);
2798         goto f_err;
2799     }
2800
2801     ret = MSG_PROCESS_CONTINUE_PROCESSING;
2802     if (0) {
2803  f_err:
2804         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2805         ossl_statem_set_error(s);
2806     }
2807     BIO_free(s->s3->handshake_buffer);
2808     s->s3->handshake_buffer = NULL;
2809     EVP_MD_CTX_free(mctx);
2810 #ifndef OPENSSL_NO_GOST
2811     OPENSSL_free(gost_data);
2812 #endif
2813     return ret;
2814 }
2815
2816 MSG_PROCESS_RETURN tls_process_client_certificate(SSL *s, PACKET *pkt)
2817 {
2818     int i, al = SSL_AD_INTERNAL_ERROR, ret = MSG_PROCESS_ERROR;
2819     X509 *x = NULL;
2820     unsigned long l, llen;
2821     const unsigned char *certstart, *certbytes;
2822     STACK_OF(X509) *sk = NULL;
2823     PACKET spkt;
2824
2825     if ((sk = sk_X509_new_null()) == NULL) {
2826         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2827         goto f_err;
2828     }
2829
2830     if (!PACKET_get_net_3(pkt, &llen)
2831         || !PACKET_get_sub_packet(pkt, &spkt, llen)
2832         || PACKET_remaining(pkt) != 0) {
2833         al = SSL_AD_DECODE_ERROR;
2834         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
2835         goto f_err;
2836     }
2837
2838     while (PACKET_remaining(&spkt) > 0) {
2839         if (!PACKET_get_net_3(&spkt, &l)
2840             || !PACKET_get_bytes(&spkt, &certbytes, l)) {
2841             al = SSL_AD_DECODE_ERROR;
2842             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2843                    SSL_R_CERT_LENGTH_MISMATCH);
2844             goto f_err;
2845         }
2846
2847         certstart = certbytes;
2848         x = d2i_X509(NULL, (const unsigned char **)&certbytes, l);
2849         if (x == NULL) {
2850             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_ASN1_LIB);
2851             goto f_err;
2852         }
2853         if (certbytes != (certstart + l)) {
2854             al = SSL_AD_DECODE_ERROR;
2855             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2856                    SSL_R_CERT_LENGTH_MISMATCH);
2857             goto f_err;
2858         }
2859         if (!sk_X509_push(sk, x)) {
2860             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2861             goto f_err;
2862         }
2863         x = NULL;
2864     }
2865
2866     if (sk_X509_num(sk) <= 0) {
2867         /* TLS does not mind 0 certs returned */
2868         if (s->version == SSL3_VERSION) {
2869             al = SSL_AD_HANDSHAKE_FAILURE;
2870             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2871                    SSL_R_NO_CERTIFICATES_RETURNED);
2872             goto f_err;
2873         }
2874         /* Fail for TLS only if we required a certificate */
2875         else if ((s->verify_mode & SSL_VERIFY_PEER) &&
2876                  (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
2877             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2878                    SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
2879             al = SSL_AD_HANDSHAKE_FAILURE;
2880             goto f_err;
2881         }
2882         /* No client certificate so digest cached records */
2883         if (s->s3->handshake_buffer && !ssl3_digest_cached_records(s, 0)) {
2884             goto f_err;
2885         }
2886     } else {
2887         EVP_PKEY *pkey;
2888         i = ssl_verify_cert_chain(s, sk);
2889         if (i <= 0) {
2890             al = ssl_verify_alarm_type(s->verify_result);
2891             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2892                    SSL_R_CERTIFICATE_VERIFY_FAILED);
2893             goto f_err;
2894         }
2895         if (i > 1) {
2896             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, i);
2897             al = SSL_AD_HANDSHAKE_FAILURE;
2898             goto f_err;
2899         }
2900         pkey = X509_get0_pubkey(sk_X509_value(sk, 0));
2901         if (pkey == NULL) {
2902             al = SSL3_AD_HANDSHAKE_FAILURE;
2903             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2904                    SSL_R_UNKNOWN_CERTIFICATE_TYPE);
2905             goto f_err;
2906         }
2907     }
2908
2909     X509_free(s->session->peer);
2910     s->session->peer = sk_X509_shift(sk);
2911     s->session->verify_result = s->verify_result;
2912
2913     sk_X509_pop_free(s->session->peer_chain, X509_free);
2914     s->session->peer_chain = sk;
2915     /*
2916      * Inconsistency alert: cert_chain does *not* include the peer's own
2917      * certificate, while we do include it in statem_clnt.c
2918      */
2919     sk = NULL;
2920     ret = MSG_PROCESS_CONTINUE_READING;
2921     goto done;
2922
2923  f_err:
2924     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2925     ossl_statem_set_error(s);
2926  done:
2927     X509_free(x);
2928     sk_X509_pop_free(sk, X509_free);
2929     return ret;
2930 }
2931
2932 int tls_construct_server_certificate(SSL *s, WPACKET *pkt)
2933 {
2934     CERT_PKEY *cpk;
2935
2936     cpk = ssl_get_server_send_pkey(s);
2937     if (cpk == NULL) {
2938         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2939         return 0;
2940     }
2941
2942     if (!ssl3_output_cert_chain(s, pkt, cpk)) {
2943         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2944         return 0;
2945     }
2946
2947     return 1;
2948 }
2949
2950 int tls_construct_new_session_ticket(SSL *s, WPACKET *pkt)
2951 {
2952     unsigned char *senc = NULL;
2953     EVP_CIPHER_CTX *ctx = NULL;
2954     HMAC_CTX *hctx = NULL;
2955     unsigned char *p, *encdata1, *encdata2, *macdata1, *macdata2;
2956     const unsigned char *const_p;
2957     int len, slen_full, slen, lenfinal;
2958     SSL_SESSION *sess;
2959     unsigned int hlen;
2960     SSL_CTX *tctx = s->initial_ctx;
2961     unsigned char iv[EVP_MAX_IV_LENGTH];
2962     unsigned char key_name[TLSEXT_KEYNAME_LENGTH];
2963     int iv_len;
2964     size_t macoffset, macendoffset;
2965
2966     /* get session encoding length */
2967     slen_full = i2d_SSL_SESSION(s->session, NULL);
2968     /*
2969      * Some length values are 16 bits, so forget it if session is too
2970      * long
2971      */
2972     if (slen_full == 0 || slen_full > 0xFF00) {
2973         ossl_statem_set_error(s);
2974         return 0;
2975     }
2976     senc = OPENSSL_malloc(slen_full);
2977     if (senc == NULL) {
2978         ossl_statem_set_error(s);
2979         return 0;
2980     }
2981
2982     ctx = EVP_CIPHER_CTX_new();
2983     hctx = HMAC_CTX_new();
2984     if (ctx == NULL || hctx == NULL) {
2985         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_MALLOC_FAILURE);
2986         goto err;
2987     }
2988
2989     p = senc;
2990     if (!i2d_SSL_SESSION(s->session, &p))
2991         goto err;
2992
2993     /*
2994      * create a fresh copy (not shared with other threads) to clean up
2995      */
2996     const_p = senc;
2997     sess = d2i_SSL_SESSION(NULL, &const_p, slen_full);
2998     if (sess == NULL)
2999         goto err;
3000     sess->session_id_length = 0; /* ID is irrelevant for the ticket */
3001
3002     slen = i2d_SSL_SESSION(sess, NULL);
3003     if (slen == 0 || slen > slen_full) { /* shouldn't ever happen */
3004         SSL_SESSION_free(sess);
3005         goto err;
3006     }
3007     p = senc;
3008     if (!i2d_SSL_SESSION(sess, &p)) {
3009         SSL_SESSION_free(sess);
3010         goto err;
3011     }
3012     SSL_SESSION_free(sess);
3013
3014     /*
3015      * Initialize HMAC and cipher contexts. If callback present it does
3016      * all the work otherwise use generated values from parent ctx.
3017      */
3018     if (tctx->tlsext_ticket_key_cb) {
3019         /* if 0 is returned, write an empty ticket */
3020         int ret = tctx->tlsext_ticket_key_cb(s, key_name, iv, ctx,
3021                                              hctx, 1);
3022
3023         if (ret == 0) {
3024
3025             /* Put timeout and length */
3026             if (!WPACKET_put_bytes_u32(pkt, 0)
3027                     || !WPACKET_put_bytes_u16(pkt, 0)) {
3028                 SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET,
3029                        ERR_R_INTERNAL_ERROR);
3030                 goto err;
3031             }
3032             OPENSSL_free(senc);
3033             EVP_CIPHER_CTX_free(ctx);
3034             HMAC_CTX_free(hctx);
3035             return 1;
3036         }
3037         if (ret < 0)
3038             goto err;
3039         iv_len = EVP_CIPHER_CTX_iv_length(ctx);
3040     } else {
3041         const EVP_CIPHER *cipher = EVP_aes_256_cbc();
3042
3043         iv_len = EVP_CIPHER_iv_length(cipher);
3044         if (RAND_bytes(iv, iv_len) <= 0)
3045             goto err;
3046         if (!EVP_EncryptInit_ex(ctx, cipher, NULL,
3047                                 tctx->tlsext_tick_aes_key, iv))
3048             goto err;
3049         if (!HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3050                           sizeof(tctx->tlsext_tick_hmac_key),
3051                           EVP_sha256(), NULL))
3052             goto err;
3053         memcpy(key_name, tctx->tlsext_tick_key_name,
3054                sizeof(tctx->tlsext_tick_key_name));
3055     }
3056
3057     /*
3058      * Ticket lifetime hint (advisory only): We leave this unspecified
3059      * for resumed session (for simplicity), and guess that tickets for
3060      * new sessions will live as long as their sessions.
3061      */
3062     if (!WPACKET_put_bytes_u32(pkt, s->hit ? 0 : s->session->timeout)
3063                /* Now the actual ticket data */
3064             || !WPACKET_start_sub_packet_u16(pkt)
3065             || !WPACKET_get_total_written(pkt, &macoffset)
3066                /* Output key name */
3067             || !WPACKET_memcpy(pkt, key_name, sizeof(key_name))
3068                /* output IV */
3069             || !WPACKET_memcpy(pkt, iv, iv_len)
3070             || !WPACKET_reserve_bytes(pkt, slen + EVP_MAX_BLOCK_LENGTH,
3071                                       &encdata1)
3072                /* Encrypt session data */
3073             || !EVP_EncryptUpdate(ctx, encdata1, &len, senc, slen)
3074             || !WPACKET_allocate_bytes(pkt, len, &encdata2)
3075             || encdata1 != encdata2
3076             || !EVP_EncryptFinal(ctx, encdata1 + len, &lenfinal)
3077             || !WPACKET_allocate_bytes(pkt, lenfinal, &encdata2)
3078             || encdata1 + len != encdata2
3079             || len + lenfinal > slen + EVP_MAX_BLOCK_LENGTH
3080             || !WPACKET_get_total_written(pkt, &macendoffset)
3081             || !HMAC_Update(hctx,
3082                             (unsigned char *)s->init_buf->data + macoffset,
3083                             macendoffset - macoffset)
3084             || !WPACKET_reserve_bytes(pkt, EVP_MAX_MD_SIZE, &macdata1)
3085             || !HMAC_Final(hctx, macdata1, &hlen)
3086             || hlen > EVP_MAX_MD_SIZE
3087             || !WPACKET_allocate_bytes(pkt, hlen, &macdata2)
3088             || macdata1 != macdata2
3089             || !WPACKET_close(pkt)) {
3090         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_INTERNAL_ERROR);
3091         goto err;
3092     }
3093     EVP_CIPHER_CTX_free(ctx);
3094     HMAC_CTX_free(hctx);
3095     OPENSSL_free(senc);
3096
3097     return 1;
3098  err:
3099     OPENSSL_free(senc);
3100     EVP_CIPHER_CTX_free(ctx);
3101     HMAC_CTX_free(hctx);
3102     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3103     return 0;
3104 }
3105
3106 int tls_construct_cert_status(SSL *s, WPACKET *pkt)
3107 {
3108     if (!WPACKET_put_bytes_u8(pkt, s->tlsext_status_type)
3109             || !WPACKET_sub_memcpy_u24(pkt, s->tlsext_ocsp_resp,
3110                                        s->tlsext_ocsp_resplen)) {
3111         SSLerr(SSL_F_TLS_CONSTRUCT_CERT_STATUS, ERR_R_INTERNAL_ERROR);
3112         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3113         return 0;
3114     }
3115
3116     return 1;
3117 }
3118
3119 #ifndef OPENSSL_NO_NEXTPROTONEG
3120 /*
3121  * tls_process_next_proto reads a Next Protocol Negotiation handshake message.
3122  * It sets the next_proto member in s if found
3123  */
3124 MSG_PROCESS_RETURN tls_process_next_proto(SSL *s, PACKET *pkt)
3125 {
3126     PACKET next_proto, padding;
3127     size_t next_proto_len;
3128
3129     /*-
3130      * The payload looks like:
3131      *   uint8 proto_len;
3132      *   uint8 proto[proto_len];
3133      *   uint8 padding_len;
3134      *   uint8 padding[padding_len];
3135      */
3136     if (!PACKET_get_length_prefixed_1(pkt, &next_proto)
3137         || !PACKET_get_length_prefixed_1(pkt, &padding)
3138         || PACKET_remaining(pkt) > 0) {
3139         SSLerr(SSL_F_TLS_PROCESS_NEXT_PROTO, SSL_R_LENGTH_MISMATCH);
3140         goto err;
3141     }
3142
3143     if (!PACKET_memdup(&next_proto, &s->next_proto_negotiated, &next_proto_len)) {
3144         s->next_proto_negotiated_len = 0;
3145         goto err;
3146     }
3147
3148     s->next_proto_negotiated_len = (unsigned char)next_proto_len;
3149
3150     return MSG_PROCESS_CONTINUE_READING;
3151  err:
3152     ossl_statem_set_error(s);
3153     return MSG_PROCESS_ERROR;
3154 }
3155 #endif
3156
3157 #define SSLV2_CIPHER_LEN    3
3158
3159 STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
3160                                                PACKET *cipher_suites,
3161                                                STACK_OF(SSL_CIPHER) **skp,
3162                                                int sslv2format, int *al)
3163 {
3164     const SSL_CIPHER *c;
3165     STACK_OF(SSL_CIPHER) *sk;
3166     int n;
3167     /* 3 = SSLV2_CIPHER_LEN > TLS_CIPHER_LEN = 2. */
3168     unsigned char cipher[SSLV2_CIPHER_LEN];
3169
3170     s->s3->send_connection_binding = 0;
3171
3172     n = sslv2format ? SSLV2_CIPHER_LEN : TLS_CIPHER_LEN;
3173
3174     if (PACKET_remaining(cipher_suites) == 0) {
3175         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, SSL_R_NO_CIPHERS_SPECIFIED);
3176         *al = SSL_AD_ILLEGAL_PARAMETER;
3177         return NULL;
3178     }
3179
3180     if (PACKET_remaining(cipher_suites) % n != 0) {
3181         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3182                SSL_R_ERROR_IN_RECEIVED_CIPHER_LIST);
3183         *al = SSL_AD_DECODE_ERROR;
3184         return NULL;
3185     }
3186
3187     if ((skp == NULL) || (*skp == NULL)) {
3188         sk = sk_SSL_CIPHER_new_null(); /* change perhaps later */
3189         if (sk == NULL) {
3190             SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3191             *al = SSL_AD_INTERNAL_ERROR;
3192             return NULL;
3193         }
3194     } else {
3195         sk = *skp;
3196         sk_SSL_CIPHER_zero(sk);
3197     }
3198
3199     if (!PACKET_memdup(cipher_suites, &s->s3->tmp.ciphers_raw,
3200                        &s->s3->tmp.ciphers_rawlen)) {
3201         *al = SSL_AD_INTERNAL_ERROR;
3202         goto err;
3203     }
3204
3205     while (PACKET_copy_bytes(cipher_suites, cipher, n)) {
3206         /*
3207          * SSLv3 ciphers wrapped in an SSLv2-compatible ClientHello have the
3208          * first byte set to zero, while true SSLv2 ciphers have a non-zero
3209          * first byte. We don't support any true SSLv2 ciphers, so skip them.
3210          */
3211         if (sslv2format && cipher[0] != '\0')
3212             continue;
3213
3214         /* Check for TLS_EMPTY_RENEGOTIATION_INFO_SCSV */
3215         if ((cipher[n - 2] == ((SSL3_CK_SCSV >> 8) & 0xff)) &&
3216             (cipher[n - 1] == (SSL3_CK_SCSV & 0xff))) {
3217             /* SCSV fatal if renegotiating */
3218             if (s->renegotiate) {
3219                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3220                        SSL_R_SCSV_RECEIVED_WHEN_RENEGOTIATING);
3221                 *al = SSL_AD_HANDSHAKE_FAILURE;
3222                 goto err;
3223             }
3224             s->s3->send_connection_binding = 1;
3225             continue;
3226         }
3227
3228         /* Check for TLS_FALLBACK_SCSV */
3229         if ((cipher[n - 2] == ((SSL3_CK_FALLBACK_SCSV >> 8) & 0xff)) &&
3230             (cipher[n - 1] == (SSL3_CK_FALLBACK_SCSV & 0xff))) {
3231             /*
3232              * The SCSV indicates that the client previously tried a higher
3233              * version. Fail if the current version is an unexpected
3234              * downgrade.
3235              */
3236             if (!ssl_check_version_downgrade(s)) {
3237                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3238                        SSL_R_INAPPROPRIATE_FALLBACK);
3239                 *al = SSL_AD_INAPPROPRIATE_FALLBACK;
3240                 goto err;
3241             }
3242             continue;
3243         }
3244
3245         /* For SSLv2-compat, ignore leading 0-byte. */
3246         c = ssl_get_cipher_by_char(s, sslv2format ? &cipher[1] : cipher);
3247         if (c != NULL) {
3248             if (!sk_SSL_CIPHER_push(sk, c)) {
3249                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3250                 *al = SSL_AD_INTERNAL_ERROR;
3251                 goto err;
3252             }
3253         }
3254     }
3255     if (PACKET_remaining(cipher_suites) > 0) {
3256         *al = SSL_AD_INTERNAL_ERROR;
3257         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_INTERNAL_ERROR);
3258         goto err;
3259     }
3260
3261     if (skp != NULL)
3262         *skp = sk;
3263     return (sk);
3264  err:
3265     if ((skp == NULL) || (*skp == NULL))
3266         sk_SSL_CIPHER_free(sk);
3267     return NULL;
3268 }