Add server side support for creating the Hello Retry Request message
[openssl.git] / ssl / statem / statem_srvr.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50 #include <stdio.h>
51 #include "../ssl_locl.h"
52 #include "statem_locl.h"
53 #include "internal/constant_time_locl.h"
54 #include <openssl/buffer.h>
55 #include <openssl/rand.h>
56 #include <openssl/objects.h>
57 #include <openssl/evp.h>
58 #include <openssl/hmac.h>
59 #include <openssl/x509.h>
60 #include <openssl/dh.h>
61 #include <openssl/bn.h>
62 #include <openssl/md5.h>
63
64 static int tls_construct_encrypted_extensions(SSL *s, WPACKET *pkt);
65 static int tls_construct_hello_retry_request(SSL *s, WPACKET *pkt);
66 static STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
67                                                       PACKET *cipher_suites,
68                                                       STACK_OF(SSL_CIPHER)
69                                                       **skp, int sslv2format,
70                                                       int *al);
71
72 /*
73  * ossl_statem_server13_read_transition() encapsulates the logic for the allowed
74  * handshake state transitions when a TLSv1.3 server is reading messages from
75  * the client. The message type that the client has sent is provided in |mt|.
76  * The current state is in |s->statem.hand_state|.
77  *
78  * Return values are 1 for success (transition allowed) and  0 on error
79  * (transition not allowed)
80  */
81 static int ossl_statem_server13_read_transition(SSL *s, int mt)
82 {
83     OSSL_STATEM *st = &s->statem;
84
85     /*
86      * Note: There is no case for TLS_ST_BEFORE because at that stage we have
87      * not negotiated TLSv1.3 yet, so that case is handled by
88      * ossl_statem_server_read_transition()
89      */
90     switch (st->hand_state) {
91     default:
92         break;
93
94     case TLS_ST_SW_HELLO_RETRY_REQUEST:
95         if (mt == SSL3_MT_CLIENT_HELLO) {
96             st->hand_state = TLS_ST_SR_CLNT_HELLO;
97             return 1;
98         }
99         break;
100
101     case TLS_ST_SW_FINISHED:
102         if (s->s3->tmp.cert_request) {
103             if (mt == SSL3_MT_CERTIFICATE) {
104                 st->hand_state = TLS_ST_SR_CERT;
105                 return 1;
106             }
107         } else {
108             if (mt == SSL3_MT_FINISHED) {
109                 st->hand_state = TLS_ST_SR_FINISHED;
110                 return 1;
111             }
112         }
113         break;
114
115     case TLS_ST_SR_CERT:
116         if (s->session->peer == NULL) {
117             if (mt == SSL3_MT_FINISHED) {
118                 st->hand_state = TLS_ST_SR_FINISHED;
119                 return 1;
120             }
121         } else {
122             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
123                 st->hand_state = TLS_ST_SR_CERT_VRFY;
124                 return 1;
125             }
126         }
127         break;
128
129     case TLS_ST_SR_CERT_VRFY:
130         if (mt == SSL3_MT_FINISHED) {
131             st->hand_state = TLS_ST_SR_FINISHED;
132             return 1;
133         }
134         break;
135     }
136
137     /* No valid transition found */
138     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
139     SSLerr(SSL_F_OSSL_STATEM_SERVER13_READ_TRANSITION,
140            SSL_R_UNEXPECTED_MESSAGE);
141     return 0;
142 }
143
144 /*
145  * ossl_statem_server_read_transition() encapsulates the logic for the allowed
146  * handshake state transitions when the server is reading messages from the
147  * client. The message type that the client has sent is provided in |mt|. The
148  * current state is in |s->statem.hand_state|.
149  *
150  * Return values are 1 for success (transition allowed) and  0 on error
151  * (transition not allowed)
152  */
153 int ossl_statem_server_read_transition(SSL *s, int mt)
154 {
155     OSSL_STATEM *st = &s->statem;
156
157     if (SSL_IS_TLS13(s)) {
158         if (!ossl_statem_server13_read_transition(s, mt))
159             goto err;
160         return 1;
161     }
162
163     switch (st->hand_state) {
164     default:
165         break;
166
167     case TLS_ST_BEFORE:
168     case TLS_ST_OK:
169     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
170         if (mt == SSL3_MT_CLIENT_HELLO) {
171             st->hand_state = TLS_ST_SR_CLNT_HELLO;
172             return 1;
173         }
174         break;
175
176     case TLS_ST_SW_SRVR_DONE:
177         /*
178          * If we get a CKE message after a ServerDone then either
179          * 1) We didn't request a Certificate
180          * OR
181          * 2) If we did request one then
182          *      a) We allow no Certificate to be returned
183          *      AND
184          *      b) We are running SSL3 (in TLS1.0+ the client must return a 0
185          *         list if we requested a certificate)
186          */
187         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
188             if (s->s3->tmp.cert_request) {
189                 if (s->version == SSL3_VERSION) {
190                     if ((s->verify_mode & SSL_VERIFY_PEER)
191                         && (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
192                         /*
193                          * This isn't an unexpected message as such - we're just
194                          * not going to accept it because we require a client
195                          * cert.
196                          */
197                         ssl3_send_alert(s, SSL3_AL_FATAL,
198                                         SSL3_AD_HANDSHAKE_FAILURE);
199                         SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION,
200                                SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
201                         return 0;
202                     }
203                     st->hand_state = TLS_ST_SR_KEY_EXCH;
204                     return 1;
205                 }
206             } else {
207                 st->hand_state = TLS_ST_SR_KEY_EXCH;
208                 return 1;
209             }
210         } else if (s->s3->tmp.cert_request) {
211             if (mt == SSL3_MT_CERTIFICATE) {
212                 st->hand_state = TLS_ST_SR_CERT;
213                 return 1;
214             }
215         }
216         break;
217
218     case TLS_ST_SR_CERT:
219         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
220             st->hand_state = TLS_ST_SR_KEY_EXCH;
221             return 1;
222         }
223         break;
224
225     case TLS_ST_SR_KEY_EXCH:
226         /*
227          * We should only process a CertificateVerify message if we have
228          * received a Certificate from the client. If so then |s->session->peer|
229          * will be non NULL. In some instances a CertificateVerify message is
230          * not required even if the peer has sent a Certificate (e.g. such as in
231          * the case of static DH). In that case |st->no_cert_verify| should be
232          * set.
233          */
234         if (s->session->peer == NULL || st->no_cert_verify) {
235             if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
236                 /*
237                  * For the ECDH ciphersuites when the client sends its ECDH
238                  * pub key in a certificate, the CertificateVerify message is
239                  * not sent. Also for GOST ciphersuites when the client uses
240                  * its key from the certificate for key exchange.
241                  */
242                 st->hand_state = TLS_ST_SR_CHANGE;
243                 return 1;
244             }
245         } else {
246             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
247                 st->hand_state = TLS_ST_SR_CERT_VRFY;
248                 return 1;
249             }
250         }
251         break;
252
253     case TLS_ST_SR_CERT_VRFY:
254         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
255             st->hand_state = TLS_ST_SR_CHANGE;
256             return 1;
257         }
258         break;
259
260     case TLS_ST_SR_CHANGE:
261 #ifndef OPENSSL_NO_NEXTPROTONEG
262         if (s->s3->npn_seen) {
263             if (mt == SSL3_MT_NEXT_PROTO) {
264                 st->hand_state = TLS_ST_SR_NEXT_PROTO;
265                 return 1;
266             }
267         } else {
268 #endif
269             if (mt == SSL3_MT_FINISHED) {
270                 st->hand_state = TLS_ST_SR_FINISHED;
271                 return 1;
272             }
273 #ifndef OPENSSL_NO_NEXTPROTONEG
274         }
275 #endif
276         break;
277
278 #ifndef OPENSSL_NO_NEXTPROTONEG
279     case TLS_ST_SR_NEXT_PROTO:
280         if (mt == SSL3_MT_FINISHED) {
281             st->hand_state = TLS_ST_SR_FINISHED;
282             return 1;
283         }
284         break;
285 #endif
286
287     case TLS_ST_SW_FINISHED:
288         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
289             st->hand_state = TLS_ST_SR_CHANGE;
290             return 1;
291         }
292         break;
293     }
294
295  err:
296     /* No valid transition found */
297     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
298     SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION, SSL_R_UNEXPECTED_MESSAGE);
299     return 0;
300 }
301
302 /*
303  * Should we send a ServerKeyExchange message?
304  *
305  * Valid return values are:
306  *   1: Yes
307  *   0: No
308  */
309 static int send_server_key_exchange(SSL *s)
310 {
311     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
312
313     /*
314      * only send a ServerKeyExchange if DH or fortezza but we have a
315      * sign only certificate PSK: may send PSK identity hints For
316      * ECC ciphersuites, we send a serverKeyExchange message only if
317      * the cipher suite is either ECDH-anon or ECDHE. In other cases,
318      * the server certificate contains the server's public key for
319      * key exchange.
320      */
321     if (alg_k & (SSL_kDHE | SSL_kECDHE)
322         /*
323          * PSK: send ServerKeyExchange if PSK identity hint if
324          * provided
325          */
326 #ifndef OPENSSL_NO_PSK
327         /* Only send SKE if we have identity hint for plain PSK */
328         || ((alg_k & (SSL_kPSK | SSL_kRSAPSK))
329             && s->cert->psk_identity_hint)
330         /* For other PSK always send SKE */
331         || (alg_k & (SSL_PSK & (SSL_kDHEPSK | SSL_kECDHEPSK)))
332 #endif
333 #ifndef OPENSSL_NO_SRP
334         /* SRP: send ServerKeyExchange */
335         || (alg_k & SSL_kSRP)
336 #endif
337         ) {
338         return 1;
339     }
340
341     return 0;
342 }
343
344 /*
345  * Should we send a CertificateRequest message?
346  *
347  * Valid return values are:
348  *   1: Yes
349  *   0: No
350  */
351 static int send_certificate_request(SSL *s)
352 {
353     if (
354            /* don't request cert unless asked for it: */
355            s->verify_mode & SSL_VERIFY_PEER
356            /*
357             * if SSL_VERIFY_CLIENT_ONCE is set, don't request cert
358             * during re-negotiation:
359             */
360            && (s->s3->tmp.finish_md_len == 0 ||
361                !(s->verify_mode & SSL_VERIFY_CLIENT_ONCE))
362            /*
363             * never request cert in anonymous ciphersuites (see
364             * section "Certificate request" in SSL 3 drafts and in
365             * RFC 2246):
366             */
367            && (!(s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL)
368                /*
369                 * ... except when the application insists on
370                 * verification (against the specs, but statem_clnt.c accepts
371                 * this for SSL 3)
372                 */
373                || (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT))
374            /* don't request certificate for SRP auth */
375            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aSRP)
376            /*
377             * With normal PSK Certificates and Certificate Requests
378             * are omitted
379             */
380            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aPSK)) {
381         return 1;
382     }
383
384     return 0;
385 }
386
387 /*
388  * ossl_statem_server13_write_transition() works out what handshake state to
389  * move to next when a TLSv1.3 server is writing messages to be sent to the
390  * client.
391  */
392 static WRITE_TRAN ossl_statem_server13_write_transition(SSL *s)
393 {
394     OSSL_STATEM *st = &s->statem;
395
396     /*
397      * TODO(TLS1.3): This is still based on the TLSv1.2 state machine. Over time
398      * we will update this to look more like real TLSv1.3
399      */
400
401     /*
402      * No case for TLS_ST_BEFORE, because at that stage we have not negotiated
403      * TLSv1.3 yet, so that is handled by ossl_statem_server_write_transition()
404      */
405
406     switch (st->hand_state) {
407     default:
408         /* Shouldn't happen */
409         return WRITE_TRAN_ERROR;
410
411     case TLS_ST_SR_CLNT_HELLO:
412         if (s->hello_retry_request)
413             st->hand_state = TLS_ST_SW_HELLO_RETRY_REQUEST;
414         else
415             st->hand_state = TLS_ST_SW_SRVR_HELLO;
416         return WRITE_TRAN_CONTINUE;
417
418     case TLS_ST_SW_HELLO_RETRY_REQUEST:
419         return WRITE_TRAN_FINISHED;
420
421     case TLS_ST_SW_SRVR_HELLO:
422         st->hand_state = TLS_ST_SW_ENCRYPTED_EXTENSIONS;
423         return WRITE_TRAN_CONTINUE;
424
425     case TLS_ST_SW_ENCRYPTED_EXTENSIONS:
426         if (s->hit)
427             st->hand_state = TLS_ST_SW_FINISHED;
428         else if (send_certificate_request(s))
429             st->hand_state = TLS_ST_SW_CERT_REQ;
430         else
431             st->hand_state = TLS_ST_SW_CERT;
432
433         return WRITE_TRAN_CONTINUE;
434
435     case TLS_ST_SW_CERT_REQ:
436         st->hand_state = TLS_ST_SW_CERT;
437         return WRITE_TRAN_CONTINUE;
438
439     case TLS_ST_SW_CERT:
440         st->hand_state = TLS_ST_SW_CERT_VRFY;
441         return WRITE_TRAN_CONTINUE;
442
443     case TLS_ST_SW_CERT_VRFY:
444         st->hand_state = TLS_ST_SW_FINISHED;
445         return WRITE_TRAN_CONTINUE;
446
447     case TLS_ST_SW_FINISHED:
448         return WRITE_TRAN_FINISHED;
449
450     case TLS_ST_SR_FINISHED:
451         /*
452          * Technically we have finished the handshake at this point, but we're
453          * going to remain "in_init" for now and write out the session ticket
454          * immediately.
455          * TODO(TLS1.3): Perhaps we need to be able to control this behaviour
456          * and give the application the opportunity to delay sending the
457          * session ticket?
458          */
459         st->hand_state = TLS_ST_SW_SESSION_TICKET;
460         return WRITE_TRAN_CONTINUE;
461
462     case TLS_ST_SW_SESSION_TICKET:
463         st->hand_state = TLS_ST_OK;
464         ossl_statem_set_in_init(s, 0);
465         return WRITE_TRAN_CONTINUE;
466     }
467 }
468
469 /*
470  * ossl_statem_server_write_transition() works out what handshake state to move
471  * to next when the server is writing messages to be sent to the client.
472  */
473 WRITE_TRAN ossl_statem_server_write_transition(SSL *s)
474 {
475     OSSL_STATEM *st = &s->statem;
476
477     /*
478      * Note that before the ClientHello we don't know what version we are going
479      * to negotiate yet, so we don't take this branch until later
480      */
481
482     if (SSL_IS_TLS13(s))
483         return ossl_statem_server13_write_transition(s);
484
485     switch (st->hand_state) {
486     default:
487         /* Shouldn't happen */
488         return WRITE_TRAN_ERROR;
489
490     case TLS_ST_OK:
491         if (st->request_state == TLS_ST_SW_HELLO_REQ) {
492             /* We must be trying to renegotiate */
493             st->hand_state = TLS_ST_SW_HELLO_REQ;
494             st->request_state = TLS_ST_BEFORE;
495             return WRITE_TRAN_CONTINUE;
496         }
497         /* Must be an incoming ClientHello */
498         if (!tls_setup_handshake(s)) {
499             ossl_statem_set_error(s);
500             return WRITE_TRAN_ERROR;
501         }
502         /* Fall through */
503
504     case TLS_ST_BEFORE:
505         /* Just go straight to trying to read from the client */
506         return WRITE_TRAN_FINISHED;
507
508     case TLS_ST_SW_HELLO_REQ:
509         st->hand_state = TLS_ST_OK;
510         ossl_statem_set_in_init(s, 0);
511         return WRITE_TRAN_CONTINUE;
512
513     case TLS_ST_SR_CLNT_HELLO:
514         if (SSL_IS_DTLS(s) && !s->d1->cookie_verified
515             && (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE))
516             st->hand_state = DTLS_ST_SW_HELLO_VERIFY_REQUEST;
517         else
518             st->hand_state = TLS_ST_SW_SRVR_HELLO;
519         return WRITE_TRAN_CONTINUE;
520
521     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
522         return WRITE_TRAN_FINISHED;
523
524     case TLS_ST_SW_SRVR_HELLO:
525         if (s->hit) {
526             if (s->ext.ticket_expected)
527                 st->hand_state = TLS_ST_SW_SESSION_TICKET;
528             else
529                 st->hand_state = TLS_ST_SW_CHANGE;
530         } else {
531             /* Check if it is anon DH or anon ECDH, */
532             /* normal PSK or SRP */
533             if (!(s->s3->tmp.new_cipher->algorithm_auth &
534                   (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
535                 st->hand_state = TLS_ST_SW_CERT;
536             } else if (send_server_key_exchange(s)) {
537                 st->hand_state = TLS_ST_SW_KEY_EXCH;
538             } else if (send_certificate_request(s)) {
539                 st->hand_state = TLS_ST_SW_CERT_REQ;
540             } else {
541                 st->hand_state = TLS_ST_SW_SRVR_DONE;
542             }
543         }
544         return WRITE_TRAN_CONTINUE;
545
546     case TLS_ST_SW_CERT:
547         if (s->ext.status_expected) {
548             st->hand_state = TLS_ST_SW_CERT_STATUS;
549             return WRITE_TRAN_CONTINUE;
550         }
551         /* Fall through */
552
553     case TLS_ST_SW_CERT_STATUS:
554         if (send_server_key_exchange(s)) {
555             st->hand_state = TLS_ST_SW_KEY_EXCH;
556             return WRITE_TRAN_CONTINUE;
557         }
558         /* Fall through */
559
560     case TLS_ST_SW_KEY_EXCH:
561         if (send_certificate_request(s)) {
562             st->hand_state = TLS_ST_SW_CERT_REQ;
563             return WRITE_TRAN_CONTINUE;
564         }
565         /* Fall through */
566
567     case TLS_ST_SW_CERT_REQ:
568         st->hand_state = TLS_ST_SW_SRVR_DONE;
569         return WRITE_TRAN_CONTINUE;
570
571     case TLS_ST_SW_SRVR_DONE:
572         return WRITE_TRAN_FINISHED;
573
574     case TLS_ST_SR_FINISHED:
575         if (s->hit) {
576             st->hand_state = TLS_ST_OK;
577             ossl_statem_set_in_init(s, 0);
578             return WRITE_TRAN_CONTINUE;
579         } else if (s->ext.ticket_expected) {
580             st->hand_state = TLS_ST_SW_SESSION_TICKET;
581         } else {
582             st->hand_state = TLS_ST_SW_CHANGE;
583         }
584         return WRITE_TRAN_CONTINUE;
585
586     case TLS_ST_SW_SESSION_TICKET:
587         st->hand_state = TLS_ST_SW_CHANGE;
588         return WRITE_TRAN_CONTINUE;
589
590     case TLS_ST_SW_CHANGE:
591         st->hand_state = TLS_ST_SW_FINISHED;
592         return WRITE_TRAN_CONTINUE;
593
594     case TLS_ST_SW_FINISHED:
595         if (s->hit) {
596             return WRITE_TRAN_FINISHED;
597         }
598         st->hand_state = TLS_ST_OK;
599         ossl_statem_set_in_init(s, 0);
600         return WRITE_TRAN_CONTINUE;
601     }
602 }
603
604 /*
605  * Perform any pre work that needs to be done prior to sending a message from
606  * the server to the client.
607  */
608 WORK_STATE ossl_statem_server_pre_work(SSL *s, WORK_STATE wst)
609 {
610     OSSL_STATEM *st = &s->statem;
611
612     switch (st->hand_state) {
613     default:
614         /* No pre work to be done */
615         break;
616
617     case TLS_ST_SW_HELLO_REQ:
618         s->shutdown = 0;
619         if (SSL_IS_DTLS(s))
620             dtls1_clear_sent_buffer(s);
621         break;
622
623     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
624         s->shutdown = 0;
625         if (SSL_IS_DTLS(s)) {
626             dtls1_clear_sent_buffer(s);
627             /* We don't buffer this message so don't use the timer */
628             st->use_timer = 0;
629         }
630         break;
631
632     case TLS_ST_SW_SRVR_HELLO:
633         if (SSL_IS_DTLS(s)) {
634             /*
635              * Messages we write from now on should be bufferred and
636              * retransmitted if necessary, so we need to use the timer now
637              */
638             st->use_timer = 1;
639         }
640         break;
641
642     case TLS_ST_SW_SRVR_DONE:
643 #ifndef OPENSSL_NO_SCTP
644         if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s)))
645             return dtls_wait_for_dry(s);
646 #endif
647         return WORK_FINISHED_CONTINUE;
648
649     case TLS_ST_SW_SESSION_TICKET:
650         if (SSL_IS_TLS13(s)) {
651             /*
652              * Actually this is the end of the handshake, but we're going
653              * straight into writing the session ticket out. So we finish off
654              * the handshake, but keep the various buffers active.
655              */
656             return tls_finish_handshake(s, wst, 0);
657         } if (SSL_IS_DTLS(s)) {
658             /*
659              * We're into the last flight. We don't retransmit the last flight
660              * unless we need to, so we don't use the timer
661              */
662             st->use_timer = 0;
663         }
664         break;
665
666     case TLS_ST_SW_CHANGE:
667         s->session->cipher = s->s3->tmp.new_cipher;
668         if (!s->method->ssl3_enc->setup_key_block(s)) {
669             ossl_statem_set_error(s);
670             return WORK_ERROR;
671         }
672         if (SSL_IS_DTLS(s)) {
673             /*
674              * We're into the last flight. We don't retransmit the last flight
675              * unless we need to, so we don't use the timer. This might have
676              * already been set to 0 if we sent a NewSessionTicket message,
677              * but we'll set it again here in case we didn't.
678              */
679             st->use_timer = 0;
680         }
681         return WORK_FINISHED_CONTINUE;
682
683     case TLS_ST_OK:
684         return tls_finish_handshake(s, wst, 1);
685     }
686
687     return WORK_FINISHED_CONTINUE;
688 }
689
690 /*
691  * Perform any work that needs to be done after sending a message from the
692  * server to the client.
693  */
694 WORK_STATE ossl_statem_server_post_work(SSL *s, WORK_STATE wst)
695 {
696     OSSL_STATEM *st = &s->statem;
697
698     s->init_num = 0;
699
700     switch (st->hand_state) {
701     default:
702         /* No post work to be done */
703         break;
704
705     case TLS_ST_SW_HELLO_RETRY_REQUEST:
706         if (statem_flush(s) != 1)
707             return WORK_MORE_A;
708         break;
709
710     case TLS_ST_SW_HELLO_REQ:
711         if (statem_flush(s) != 1)
712             return WORK_MORE_A;
713         if (!ssl3_init_finished_mac(s)) {
714             ossl_statem_set_error(s);
715             return WORK_ERROR;
716         }
717         break;
718
719     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
720         if (statem_flush(s) != 1)
721             return WORK_MORE_A;
722         /* HelloVerifyRequest resets Finished MAC */
723         if (s->version != DTLS1_BAD_VER && !ssl3_init_finished_mac(s)) {
724             ossl_statem_set_error(s);
725             return WORK_ERROR;
726         }
727         /*
728          * The next message should be another ClientHello which we need to
729          * treat like it was the first packet
730          */
731         s->first_packet = 1;
732         break;
733
734     case TLS_ST_SW_SRVR_HELLO:
735 #ifndef OPENSSL_NO_SCTP
736         if (SSL_IS_DTLS(s) && s->hit) {
737             unsigned char sctpauthkey[64];
738             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
739
740             /*
741              * Add new shared key for SCTP-Auth, will be ignored if no
742              * SCTP used.
743              */
744             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
745                    sizeof(DTLS1_SCTP_AUTH_LABEL));
746
747             if (SSL_export_keying_material(s, sctpauthkey,
748                                            sizeof(sctpauthkey), labelbuffer,
749                                            sizeof(labelbuffer), NULL, 0,
750                                            0) <= 0) {
751                 ossl_statem_set_error(s);
752                 return WORK_ERROR;
753             }
754
755             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
756                      sizeof(sctpauthkey), sctpauthkey);
757         }
758 #endif
759         /*
760          * TODO(TLS1.3): This actually causes a problem. We don't yet know
761          * whether the next record we are going to receive is an unencrypted
762          * alert, or an encrypted handshake message. We're going to need
763          * something clever in the record layer for this.
764          */
765         if (SSL_IS_TLS13(s)) {
766             if (!s->method->ssl3_enc->setup_key_block(s)
767                 || !s->method->ssl3_enc->change_cipher_state(s,
768                         SSL3_CC_HANDSHAKE | SSL3_CHANGE_CIPHER_SERVER_WRITE)
769                 || !s->method->ssl3_enc->change_cipher_state(s,
770                         SSL3_CC_HANDSHAKE |SSL3_CHANGE_CIPHER_SERVER_READ))
771             return WORK_ERROR;
772         }
773         break;
774
775     case TLS_ST_SW_CHANGE:
776 #ifndef OPENSSL_NO_SCTP
777         if (SSL_IS_DTLS(s) && !s->hit) {
778             /*
779              * Change to new shared key of SCTP-Auth, will be ignored if
780              * no SCTP used.
781              */
782             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
783                      0, NULL);
784         }
785 #endif
786         if (!s->method->ssl3_enc->change_cipher_state(s,
787                                                       SSL3_CHANGE_CIPHER_SERVER_WRITE))
788         {
789             ossl_statem_set_error(s);
790             return WORK_ERROR;
791         }
792
793         if (SSL_IS_DTLS(s))
794             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
795         break;
796
797     case TLS_ST_SW_SRVR_DONE:
798         if (statem_flush(s) != 1)
799             return WORK_MORE_A;
800         break;
801
802     case TLS_ST_SW_FINISHED:
803         if (statem_flush(s) != 1)
804             return WORK_MORE_A;
805 #ifndef OPENSSL_NO_SCTP
806         if (SSL_IS_DTLS(s) && s->hit) {
807             /*
808              * Change to new shared key of SCTP-Auth, will be ignored if
809              * no SCTP used.
810              */
811             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
812                      0, NULL);
813         }
814 #endif
815         if (SSL_IS_TLS13(s)) {
816             if (!s->method->ssl3_enc->generate_master_secret(s,
817                         s->master_secret, s->handshake_secret, 0,
818                         &s->session->master_key_length)
819                 || !s->method->ssl3_enc->change_cipher_state(s,
820                         SSL3_CC_APPLICATION | SSL3_CHANGE_CIPHER_SERVER_WRITE))
821             return WORK_ERROR;
822         }
823         break;
824
825     case TLS_ST_SW_SESSION_TICKET:
826         if (SSL_IS_TLS13(s) && statem_flush(s) != 1)
827             return WORK_MORE_A;
828         break;
829     }
830
831     return WORK_FINISHED_CONTINUE;
832 }
833
834 /*
835  * Get the message construction function and message type for sending from the
836  * server
837  *
838  * Valid return values are:
839  *   1: Success
840  *   0: Error
841  */
842 int ossl_statem_server_construct_message(SSL *s, WPACKET *pkt,
843                                          confunc_f *confunc, int *mt)
844 {
845     OSSL_STATEM *st = &s->statem;
846
847     switch (st->hand_state) {
848     default:
849         /* Shouldn't happen */
850         return 0;
851
852     case TLS_ST_SW_CHANGE:
853         if (SSL_IS_DTLS(s))
854             *confunc = dtls_construct_change_cipher_spec;
855         else
856             *confunc = tls_construct_change_cipher_spec;
857         *mt = SSL3_MT_CHANGE_CIPHER_SPEC;
858         break;
859
860     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
861         *confunc = dtls_construct_hello_verify_request;
862         *mt = DTLS1_MT_HELLO_VERIFY_REQUEST;
863         break;
864
865     case TLS_ST_SW_HELLO_REQ:
866         /* No construction function needed */
867         *confunc = NULL;
868         *mt = SSL3_MT_HELLO_REQUEST;
869         break;
870
871     case TLS_ST_SW_SRVR_HELLO:
872         *confunc = tls_construct_server_hello;
873         *mt = SSL3_MT_SERVER_HELLO;
874         break;
875
876     case TLS_ST_SW_CERT:
877         *confunc = tls_construct_server_certificate;
878         *mt = SSL3_MT_CERTIFICATE;
879         break;
880
881     case TLS_ST_SW_CERT_VRFY:
882         *confunc = tls_construct_cert_verify;
883         *mt = SSL3_MT_CERTIFICATE_VERIFY;
884         break;
885
886
887     case TLS_ST_SW_KEY_EXCH:
888         *confunc = tls_construct_server_key_exchange;
889         *mt = SSL3_MT_SERVER_KEY_EXCHANGE;
890         break;
891
892     case TLS_ST_SW_CERT_REQ:
893         *confunc = tls_construct_certificate_request;
894         *mt = SSL3_MT_CERTIFICATE_REQUEST;
895         break;
896
897     case TLS_ST_SW_SRVR_DONE:
898         *confunc = tls_construct_server_done;
899         *mt = SSL3_MT_SERVER_DONE;
900         break;
901
902     case TLS_ST_SW_SESSION_TICKET:
903         *confunc = tls_construct_new_session_ticket;
904         *mt = SSL3_MT_NEWSESSION_TICKET;
905         break;
906
907     case TLS_ST_SW_CERT_STATUS:
908         *confunc = tls_construct_cert_status;
909         *mt = SSL3_MT_CERTIFICATE_STATUS;
910         break;
911
912     case TLS_ST_SW_FINISHED:
913         *confunc = tls_construct_finished;
914         *mt = SSL3_MT_FINISHED;
915         break;
916
917     case TLS_ST_SW_ENCRYPTED_EXTENSIONS:
918         *confunc = tls_construct_encrypted_extensions;
919         *mt = SSL3_MT_ENCRYPTED_EXTENSIONS;
920         break;
921
922     case TLS_ST_SW_HELLO_RETRY_REQUEST:
923         *confunc = tls_construct_hello_retry_request;
924         *mt = SSL3_MT_HELLO_RETRY_REQUEST;
925         break;
926     }
927
928     return 1;
929 }
930
931 /*
932  * Maximum size (excluding the Handshake header) of a ClientHello message,
933  * calculated as follows:
934  *
935  *  2 + # client_version
936  *  32 + # only valid length for random
937  *  1 + # length of session_id
938  *  32 + # maximum size for session_id
939  *  2 + # length of cipher suites
940  *  2^16-2 + # maximum length of cipher suites array
941  *  1 + # length of compression_methods
942  *  2^8-1 + # maximum length of compression methods
943  *  2 + # length of extensions
944  *  2^16-1 # maximum length of extensions
945  */
946 #define CLIENT_HELLO_MAX_LENGTH         131396
947
948 #define CLIENT_KEY_EXCH_MAX_LENGTH      2048
949 #define NEXT_PROTO_MAX_LENGTH           514
950
951 /*
952  * Returns the maximum allowed length for the current message that we are
953  * reading. Excludes the message header.
954  */
955 size_t ossl_statem_server_max_message_size(SSL *s)
956 {
957     OSSL_STATEM *st = &s->statem;
958
959     switch (st->hand_state) {
960     default:
961         /* Shouldn't happen */
962         return 0;
963
964     case TLS_ST_SR_CLNT_HELLO:
965         return CLIENT_HELLO_MAX_LENGTH;
966
967     case TLS_ST_SR_CERT:
968         return s->max_cert_list;
969
970     case TLS_ST_SR_KEY_EXCH:
971         return CLIENT_KEY_EXCH_MAX_LENGTH;
972
973     case TLS_ST_SR_CERT_VRFY:
974         return SSL3_RT_MAX_PLAIN_LENGTH;
975
976 #ifndef OPENSSL_NO_NEXTPROTONEG
977     case TLS_ST_SR_NEXT_PROTO:
978         return NEXT_PROTO_MAX_LENGTH;
979 #endif
980
981     case TLS_ST_SR_CHANGE:
982         return CCS_MAX_LENGTH;
983
984     case TLS_ST_SR_FINISHED:
985         return FINISHED_MAX_LENGTH;
986     }
987 }
988
989 /*
990  * Process a message that the server has received from the client.
991  */
992 MSG_PROCESS_RETURN ossl_statem_server_process_message(SSL *s, PACKET *pkt)
993 {
994     OSSL_STATEM *st = &s->statem;
995
996     switch (st->hand_state) {
997     default:
998         /* Shouldn't happen */
999         return MSG_PROCESS_ERROR;
1000
1001     case TLS_ST_SR_CLNT_HELLO:
1002         return tls_process_client_hello(s, pkt);
1003
1004     case TLS_ST_SR_CERT:
1005         return tls_process_client_certificate(s, pkt);
1006
1007     case TLS_ST_SR_KEY_EXCH:
1008         return tls_process_client_key_exchange(s, pkt);
1009
1010     case TLS_ST_SR_CERT_VRFY:
1011         return tls_process_cert_verify(s, pkt);
1012
1013 #ifndef OPENSSL_NO_NEXTPROTONEG
1014     case TLS_ST_SR_NEXT_PROTO:
1015         return tls_process_next_proto(s, pkt);
1016 #endif
1017
1018     case TLS_ST_SR_CHANGE:
1019         return tls_process_change_cipher_spec(s, pkt);
1020
1021     case TLS_ST_SR_FINISHED:
1022         return tls_process_finished(s, pkt);
1023     }
1024 }
1025
1026 /*
1027  * Perform any further processing required following the receipt of a message
1028  * from the client
1029  */
1030 WORK_STATE ossl_statem_server_post_process_message(SSL *s, WORK_STATE wst)
1031 {
1032     OSSL_STATEM *st = &s->statem;
1033
1034     switch (st->hand_state) {
1035     default:
1036         /* Shouldn't happen */
1037         return WORK_ERROR;
1038
1039     case TLS_ST_SR_CLNT_HELLO:
1040         return tls_post_process_client_hello(s, wst);
1041
1042     case TLS_ST_SR_KEY_EXCH:
1043         return tls_post_process_client_key_exchange(s, wst);
1044
1045     case TLS_ST_SR_CERT_VRFY:
1046 #ifndef OPENSSL_NO_SCTP
1047         if (                    /* Is this SCTP? */
1048                BIO_dgram_is_sctp(SSL_get_wbio(s))
1049                /* Are we renegotiating? */
1050                && s->renegotiate && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
1051             s->s3->in_read_app_data = 2;
1052             s->rwstate = SSL_READING;
1053             BIO_clear_retry_flags(SSL_get_rbio(s));
1054             BIO_set_retry_read(SSL_get_rbio(s));
1055             ossl_statem_set_sctp_read_sock(s, 1);
1056             return WORK_MORE_A;
1057         } else {
1058             ossl_statem_set_sctp_read_sock(s, 0);
1059         }
1060 #endif
1061         return WORK_FINISHED_CONTINUE;
1062     }
1063     return WORK_FINISHED_CONTINUE;
1064 }
1065
1066 #ifndef OPENSSL_NO_SRP
1067 static int ssl_check_srp_ext_ClientHello(SSL *s, int *al)
1068 {
1069     int ret = SSL_ERROR_NONE;
1070
1071     *al = SSL_AD_UNRECOGNIZED_NAME;
1072
1073     if ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) &&
1074         (s->srp_ctx.TLS_ext_srp_username_callback != NULL)) {
1075         if (s->srp_ctx.login == NULL) {
1076             /*
1077              * RFC 5054 says SHOULD reject, we do so if There is no srp
1078              * login name
1079              */
1080             ret = SSL3_AL_FATAL;
1081             *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
1082         } else {
1083             ret = SSL_srp_server_param_with_username(s, al);
1084         }
1085     }
1086     return ret;
1087 }
1088 #endif
1089
1090 int dtls_raw_hello_verify_request(WPACKET *pkt, unsigned char *cookie,
1091                                   size_t cookie_len)
1092 {
1093     /* Always use DTLS 1.0 version: see RFC 6347 */
1094     if (!WPACKET_put_bytes_u16(pkt, DTLS1_VERSION)
1095             || !WPACKET_sub_memcpy_u8(pkt, cookie, cookie_len))
1096         return 0;
1097
1098     return 1;
1099 }
1100
1101 int dtls_construct_hello_verify_request(SSL *s, WPACKET *pkt)
1102 {
1103     unsigned int cookie_leni;
1104     if (s->ctx->app_gen_cookie_cb == NULL ||
1105         s->ctx->app_gen_cookie_cb(s, s->d1->cookie,
1106                                   &cookie_leni) == 0 ||
1107         cookie_leni > 255) {
1108         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST,
1109                SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
1110         return 0;
1111     }
1112     s->d1->cookie_len = cookie_leni;
1113
1114     if (!dtls_raw_hello_verify_request(pkt, s->d1->cookie,
1115                                               s->d1->cookie_len)) {
1116         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST, ERR_R_INTERNAL_ERROR);
1117         return 0;
1118     }
1119
1120     return 1;
1121 }
1122
1123 #ifndef OPENSSL_NO_EC
1124 /*-
1125  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1126  * SecureTransport using the TLS extension block in |hello|.
1127  * Safari, since 10.6, sends exactly these extensions, in this order:
1128  *   SNI,
1129  *   elliptic_curves
1130  *   ec_point_formats
1131  *
1132  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1133  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1134  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1135  * 10.8..10.8.3 (which don't work).
1136  */
1137 static void ssl_check_for_safari(SSL *s, const CLIENTHELLO_MSG *hello)
1138 {
1139     static const unsigned char kSafariExtensionsBlock[] = {
1140         0x00, 0x0a,             /* elliptic_curves extension */
1141         0x00, 0x08,             /* 8 bytes */
1142         0x00, 0x06,             /* 6 bytes of curve ids */
1143         0x00, 0x17,             /* P-256 */
1144         0x00, 0x18,             /* P-384 */
1145         0x00, 0x19,             /* P-521 */
1146
1147         0x00, 0x0b,             /* ec_point_formats */
1148         0x00, 0x02,             /* 2 bytes */
1149         0x01,                   /* 1 point format */
1150         0x00,                   /* uncompressed */
1151         /* The following is only present in TLS 1.2 */
1152         0x00, 0x0d,             /* signature_algorithms */
1153         0x00, 0x0c,             /* 12 bytes */
1154         0x00, 0x0a,             /* 10 bytes */
1155         0x05, 0x01,             /* SHA-384/RSA */
1156         0x04, 0x01,             /* SHA-256/RSA */
1157         0x02, 0x01,             /* SHA-1/RSA */
1158         0x04, 0x03,             /* SHA-256/ECDSA */
1159         0x02, 0x03,             /* SHA-1/ECDSA */
1160     };
1161     /* Length of the common prefix (first two extensions). */
1162     static const size_t kSafariCommonExtensionsLength = 18;
1163     unsigned int type;
1164     PACKET sni, tmppkt;
1165     size_t ext_len;
1166
1167     tmppkt = hello->extensions;
1168
1169     if (!PACKET_forward(&tmppkt, 2)
1170         || !PACKET_get_net_2(&tmppkt, &type)
1171         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1172         return;
1173     }
1174
1175     if (type != TLSEXT_TYPE_server_name)
1176         return;
1177
1178     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1179         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1180
1181     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1182                                              ext_len);
1183 }
1184 #endif                          /* !OPENSSL_NO_EC */
1185
1186 MSG_PROCESS_RETURN tls_process_client_hello(SSL *s, PACKET *pkt)
1187 {
1188     int i, al = SSL_AD_INTERNAL_ERROR;
1189     unsigned int j;
1190     size_t loop;
1191     unsigned long id;
1192     const SSL_CIPHER *c;
1193 #ifndef OPENSSL_NO_COMP
1194     SSL_COMP *comp = NULL;
1195 #endif
1196     STACK_OF(SSL_CIPHER) *ciphers = NULL;
1197     int protverr;
1198     /* |cookie| will only be initialized for DTLS. */
1199     PACKET session_id, compression, extensions, cookie;
1200     static const unsigned char null_compression = 0;
1201     CLIENTHELLO_MSG clienthello;
1202
1203     /* Check if this is actually an unexpected renegotiation ClientHello */
1204     if (s->renegotiate == 0 && !SSL_IS_FIRST_HANDSHAKE(s)) {
1205         s->renegotiate = 1;
1206         s->new_session = 1;
1207     }
1208
1209     /* This is a real handshake so make sure we clean it up at the end */
1210     s->statem.cleanuphand = 1;
1211
1212     /*
1213      * First, parse the raw ClientHello data into the CLIENTHELLO_MSG structure.
1214      */
1215     memset(&clienthello, 0, sizeof(clienthello));
1216     clienthello.isv2 = RECORD_LAYER_is_sslv2_record(&s->rlayer);
1217     PACKET_null_init(&cookie);
1218
1219     if (clienthello.isv2) {
1220         unsigned int mt;
1221
1222         if (!SSL_IS_FIRST_HANDSHAKE(s) || s->hello_retry_request) {
1223             al = SSL_AD_HANDSHAKE_FAILURE;
1224             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNEXPECTED_MESSAGE);
1225             goto f_err;
1226         }
1227
1228         /*-
1229          * An SSLv3/TLSv1 backwards-compatible CLIENT-HELLO in an SSLv2
1230          * header is sent directly on the wire, not wrapped as a TLS
1231          * record. Our record layer just processes the message length and passes
1232          * the rest right through. Its format is:
1233          * Byte  Content
1234          * 0-1   msg_length - decoded by the record layer
1235          * 2     msg_type - s->init_msg points here
1236          * 3-4   version
1237          * 5-6   cipher_spec_length
1238          * 7-8   session_id_length
1239          * 9-10  challenge_length
1240          * ...   ...
1241          */
1242
1243         if (!PACKET_get_1(pkt, &mt)
1244             || mt != SSL2_MT_CLIENT_HELLO) {
1245             /*
1246              * Should never happen. We should have tested this in the record
1247              * layer in order to have determined that this is a SSLv2 record
1248              * in the first place
1249              */
1250             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1251             goto err;
1252         }
1253     }
1254
1255     if (!PACKET_get_net_2(pkt, &clienthello.legacy_version)) {
1256         al = SSL_AD_DECODE_ERROR;
1257         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_TOO_SHORT);
1258         goto err;
1259     }
1260
1261     /* Parse the message and load client random. */
1262     if (clienthello.isv2) {
1263         /*
1264          * Handle an SSLv2 backwards compatible ClientHello
1265          * Note, this is only for SSLv3+ using the backward compatible format.
1266          * Real SSLv2 is not supported, and is rejected below.
1267          */
1268         unsigned int ciphersuite_len, session_id_len, challenge_len;
1269         PACKET challenge;
1270
1271         if (!PACKET_get_net_2(pkt, &ciphersuite_len)
1272             || !PACKET_get_net_2(pkt, &session_id_len)
1273             || !PACKET_get_net_2(pkt, &challenge_len)) {
1274             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1275                    SSL_R_RECORD_LENGTH_MISMATCH);
1276             al = SSL_AD_DECODE_ERROR;
1277             goto f_err;
1278         }
1279
1280         if (session_id_len > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1281             al = SSL_AD_DECODE_ERROR;
1282             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1283             goto f_err;
1284         }
1285
1286         if (!PACKET_get_sub_packet(pkt, &clienthello.ciphersuites,
1287                                    ciphersuite_len)
1288             || !PACKET_copy_bytes(pkt, clienthello.session_id, session_id_len)
1289             || !PACKET_get_sub_packet(pkt, &challenge, challenge_len)
1290             /* No extensions. */
1291             || PACKET_remaining(pkt) != 0) {
1292             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1293                    SSL_R_RECORD_LENGTH_MISMATCH);
1294             al = SSL_AD_DECODE_ERROR;
1295             goto f_err;
1296         }
1297         clienthello.session_id_len = session_id_len;
1298
1299         /* Load the client random and compression list. We use SSL3_RANDOM_SIZE
1300          * here rather than sizeof(clienthello.random) because that is the limit
1301          * for SSLv3 and it is fixed. It won't change even if
1302          * sizeof(clienthello.random) does.
1303          */
1304         challenge_len = challenge_len > SSL3_RANDOM_SIZE
1305                         ? SSL3_RANDOM_SIZE : challenge_len;
1306         memset(clienthello.random, 0, SSL3_RANDOM_SIZE);
1307         if (!PACKET_copy_bytes(&challenge,
1308                                clienthello.random + SSL3_RANDOM_SIZE -
1309                                challenge_len, challenge_len)
1310             /* Advertise only null compression. */
1311             || !PACKET_buf_init(&compression, &null_compression, 1)) {
1312             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1313             al = SSL_AD_INTERNAL_ERROR;
1314             goto f_err;
1315         }
1316
1317         PACKET_null_init(&clienthello.extensions);
1318     } else {
1319         /* Regular ClientHello. */
1320         if (!PACKET_copy_bytes(pkt, clienthello.random, SSL3_RANDOM_SIZE)
1321             || !PACKET_get_length_prefixed_1(pkt, &session_id)
1322             || !PACKET_copy_all(&session_id, clienthello.session_id,
1323                     SSL_MAX_SSL_SESSION_ID_LENGTH,
1324                     &clienthello.session_id_len)) {
1325             al = SSL_AD_DECODE_ERROR;
1326             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1327             goto f_err;
1328         }
1329
1330         if (SSL_IS_DTLS(s)) {
1331             if (!PACKET_get_length_prefixed_1(pkt, &cookie)) {
1332                 al = SSL_AD_DECODE_ERROR;
1333                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1334                 goto f_err;
1335             }
1336             if (!PACKET_copy_all(&cookie, clienthello.dtls_cookie,
1337                                  DTLS1_COOKIE_LENGTH,
1338                                  &clienthello.dtls_cookie_len)) {
1339                 al = SSL_AD_DECODE_ERROR;
1340                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1341                 goto f_err;
1342             }
1343             /*
1344              * If we require cookies and this ClientHello doesn't contain one,
1345              * just return since we do not want to allocate any memory yet.
1346              * So check cookie length...
1347              */
1348             if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1349                 if (clienthello.dtls_cookie_len == 0)
1350                     return 1;
1351             }
1352         }
1353
1354         if (!PACKET_get_length_prefixed_2(pkt, &clienthello.ciphersuites)) {
1355             al = SSL_AD_DECODE_ERROR;
1356             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1357             goto f_err;
1358         }
1359
1360         if (!PACKET_get_length_prefixed_1(pkt, &compression)) {
1361             al = SSL_AD_DECODE_ERROR;
1362             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1363             goto f_err;
1364         }
1365
1366         /* Could be empty. */
1367         if (PACKET_remaining(pkt) == 0) {
1368             PACKET_null_init(&clienthello.extensions);
1369         } else {
1370             if (!PACKET_get_length_prefixed_2(pkt, &clienthello.extensions)) {
1371                 al = SSL_AD_DECODE_ERROR;
1372                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1373                 goto f_err;
1374             }
1375         }
1376     }
1377
1378     if (!PACKET_copy_all(&compression, clienthello.compressions,
1379                          MAX_COMPRESSIONS_SIZE,
1380                          &clienthello.compressions_len)) {
1381         al = SSL_AD_DECODE_ERROR;
1382         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1383         goto f_err;
1384     }
1385
1386     /* Preserve the raw extensions PACKET for later use */
1387     extensions = clienthello.extensions;
1388     if (!tls_collect_extensions(s, &extensions, EXT_CLIENT_HELLO,
1389                                 &clienthello.pre_proc_exts, &al)) {
1390         /* SSLerr already been called */
1391         goto f_err;
1392     }
1393
1394     /* Finished parsing the ClientHello, now we can start processing it */
1395
1396     /* Set up the client_random */
1397     memcpy(s->s3->client_random, clienthello.random, SSL3_RANDOM_SIZE);
1398
1399     /* Choose the version */
1400
1401     if (clienthello.isv2) {
1402         if (clienthello.legacy_version == SSL2_VERSION
1403                 || (clienthello.legacy_version & 0xff00)
1404                    != (SSL3_VERSION_MAJOR << 8)) {
1405             /*
1406              * This is real SSLv2 or something complete unknown. We don't
1407              * support it.
1408              */
1409             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
1410             goto err;
1411         }
1412         /* SSLv3/TLS */
1413         s->client_version = clienthello.legacy_version;
1414     }
1415     /*
1416      * Do SSL/TLS version negotiation if applicable. For DTLS we just check
1417      * versions are potentially compatible. Version negotiation comes later.
1418      */
1419     if (!SSL_IS_DTLS(s)) {
1420         protverr = ssl_choose_server_version(s, &clienthello);
1421     } else if (s->method->version != DTLS_ANY_VERSION &&
1422                DTLS_VERSION_LT((int)clienthello.legacy_version, s->version)) {
1423         protverr = SSL_R_VERSION_TOO_LOW;
1424     } else {
1425         protverr = 0;
1426     }
1427
1428     if (protverr) {
1429         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1430         if (SSL_IS_FIRST_HANDSHAKE(s)) {
1431             /* like ssl3_get_record, send alert using remote version number */
1432             s->version = s->client_version = clienthello.legacy_version;
1433         }
1434         al = SSL_AD_PROTOCOL_VERSION;
1435         goto f_err;
1436     }
1437
1438     if (SSL_IS_DTLS(s)) {
1439         /* Empty cookie was already handled above by returning early. */
1440         if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1441             if (s->ctx->app_verify_cookie_cb != NULL) {
1442                 if (s->ctx->app_verify_cookie_cb(s, clienthello.dtls_cookie,
1443                         clienthello.dtls_cookie_len) == 0) {
1444                     al = SSL_AD_HANDSHAKE_FAILURE;
1445                     SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1446                            SSL_R_COOKIE_MISMATCH);
1447                     goto f_err;
1448                     /* else cookie verification succeeded */
1449                 }
1450                 /* default verification */
1451             } else if (s->d1->cookie_len != clienthello.dtls_cookie_len
1452                     || memcmp(clienthello.dtls_cookie, s->d1->cookie,
1453                               s->d1->cookie_len) != 0) {
1454                 al = SSL_AD_HANDSHAKE_FAILURE;
1455                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_COOKIE_MISMATCH);
1456                 goto f_err;
1457             }
1458             s->d1->cookie_verified = 1;
1459         }
1460         if (s->method->version == DTLS_ANY_VERSION) {
1461             protverr = ssl_choose_server_version(s, &clienthello);
1462             if (protverr != 0) {
1463                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1464                 s->version = s->client_version;
1465                 al = SSL_AD_PROTOCOL_VERSION;
1466                 goto f_err;
1467             }
1468         }
1469     }
1470
1471     s->hit = 0;
1472
1473     /* We need to do this before getting the session */
1474     if (!tls_parse_extension(s, TLSEXT_IDX_extended_master_secret,
1475                              EXT_CLIENT_HELLO,
1476                              clienthello.pre_proc_exts, NULL, 0, &al)) {
1477         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1478         goto f_err;
1479     }
1480
1481     /*
1482      * We don't allow resumption in a backwards compatible ClientHello.
1483      * TODO(openssl-team): in TLS1.1+, session_id MUST be empty.
1484      *
1485      * Versions before 0.9.7 always allow clients to resume sessions in
1486      * renegotiation. 0.9.7 and later allow this by default, but optionally
1487      * ignore resumption requests with flag
1488      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION (it's a new flag rather
1489      * than a change to default behavior so that applications relying on
1490      * this for security won't even compile against older library versions).
1491      * 1.0.1 and later also have a function SSL_renegotiate_abbreviated() to
1492      * request renegotiation but not a new session (s->new_session remains
1493      * unset): for servers, this essentially just means that the
1494      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION setting will be
1495      * ignored.
1496      */
1497     if (clienthello.isv2 ||
1498         (s->new_session &&
1499          (s->options & SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION))) {
1500         if (!ssl_get_new_session(s, 1))
1501             goto err;
1502     } else {
1503         i = ssl_get_prev_session(s, &clienthello, &al);
1504         if (i == 1) {
1505             /* previous session */
1506             s->hit = 1;
1507         } else if (i == -1) {
1508             goto f_err;
1509         } else {
1510             /* i == 0 */
1511             if (!ssl_get_new_session(s, 1))
1512                 goto err;
1513         }
1514     }
1515
1516     if (ssl_bytes_to_cipher_list(s, &clienthello.ciphersuites, &ciphers,
1517                                  clienthello.isv2, &al) == NULL) {
1518         goto f_err;
1519     }
1520
1521     /* If it is a hit, check that the cipher is in the list */
1522     if (s->hit) {
1523         j = 0;
1524         id = s->session->cipher->id;
1525
1526 #ifdef CIPHER_DEBUG
1527         fprintf(stderr, "client sent %d ciphers\n", sk_SSL_CIPHER_num(ciphers));
1528 #endif
1529         for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
1530             c = sk_SSL_CIPHER_value(ciphers, i);
1531 #ifdef CIPHER_DEBUG
1532             fprintf(stderr, "client [%2d of %2d]:%s\n",
1533                     i, sk_SSL_CIPHER_num(ciphers), SSL_CIPHER_get_name(c));
1534 #endif
1535             if (c->id == id) {
1536                 j = 1;
1537                 break;
1538             }
1539         }
1540         if (j == 0) {
1541             /*
1542              * we need to have the cipher in the cipher list if we are asked
1543              * to reuse it
1544              */
1545             al = SSL_AD_ILLEGAL_PARAMETER;
1546             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1547                    SSL_R_REQUIRED_CIPHER_MISSING);
1548             goto f_err;
1549         }
1550     }
1551
1552     for (loop = 0; loop < clienthello.compressions_len; loop++) {
1553         if (clienthello.compressions[loop] == 0)
1554             break;
1555     }
1556
1557     if (loop >= clienthello.compressions_len) {
1558         /* no compress */
1559         al = SSL_AD_DECODE_ERROR;
1560         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_COMPRESSION_SPECIFIED);
1561         goto f_err;
1562     }
1563
1564 #ifndef OPENSSL_NO_EC
1565     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1566         ssl_check_for_safari(s, &clienthello);
1567 #endif                          /* !OPENSSL_NO_EC */
1568
1569     /* TLS extensions */
1570     if (!tls_parse_all_extensions(s, EXT_CLIENT_HELLO,
1571                                   clienthello.pre_proc_exts, NULL, 0, &al)) {
1572         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_PARSE_TLSEXT);
1573         goto f_err;
1574     }
1575
1576     /*
1577      * Check if we want to use external pre-shared secret for this handshake
1578      * for not reused session only. We need to generate server_random before
1579      * calling tls_session_secret_cb in order to allow SessionTicket
1580      * processing to use it in key derivation.
1581      */
1582     {
1583         unsigned char *pos;
1584         pos = s->s3->server_random;
1585         if (ssl_fill_hello_random(s, 1, pos, SSL3_RANDOM_SIZE) <= 0) {
1586             goto f_err;
1587         }
1588     }
1589
1590     if (!s->hit && s->version >= TLS1_VERSION && s->ext.session_secret_cb) {
1591         const SSL_CIPHER *pref_cipher = NULL;
1592         /*
1593          * s->session->master_key_length is a size_t, but this is an int for
1594          * backwards compat reasons
1595          */
1596         int master_key_length;
1597
1598         master_key_length = sizeof(s->session->master_key);
1599         if (s->ext.session_secret_cb(s, s->session->master_key,
1600                                      &master_key_length, ciphers,
1601                                      &pref_cipher,
1602                                      s->ext.session_secret_cb_arg)
1603                 && master_key_length > 0) {
1604             s->session->master_key_length = master_key_length;
1605             s->hit = 1;
1606             s->session->ciphers = ciphers;
1607             s->session->verify_result = X509_V_OK;
1608
1609             ciphers = NULL;
1610
1611             /* check if some cipher was preferred by call back */
1612             if (pref_cipher == NULL)
1613                 pref_cipher = ssl3_choose_cipher(s, s->session->ciphers,
1614                                                  SSL_get_ciphers(s));
1615             if (pref_cipher == NULL) {
1616                 al = SSL_AD_HANDSHAKE_FAILURE;
1617                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1618                 goto f_err;
1619             }
1620
1621             s->session->cipher = pref_cipher;
1622             sk_SSL_CIPHER_free(s->cipher_list);
1623             s->cipher_list = sk_SSL_CIPHER_dup(s->session->ciphers);
1624             sk_SSL_CIPHER_free(s->cipher_list_by_id);
1625             s->cipher_list_by_id = sk_SSL_CIPHER_dup(s->session->ciphers);
1626         }
1627     }
1628
1629     /*
1630      * Worst case, we will use the NULL compression, but if we have other
1631      * options, we will now look for them.  We have complen-1 compression
1632      * algorithms from the client, starting at q.
1633      */
1634     s->s3->tmp.new_compression = NULL;
1635 #ifndef OPENSSL_NO_COMP
1636     /* This only happens if we have a cache hit */
1637     if (s->session->compress_meth != 0) {
1638         int m, comp_id = s->session->compress_meth;
1639         unsigned int k;
1640         /* Perform sanity checks on resumed compression algorithm */
1641         /* Can't disable compression */
1642         if (!ssl_allow_compression(s)) {
1643             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1644                    SSL_R_INCONSISTENT_COMPRESSION);
1645             goto f_err;
1646         }
1647         /* Look for resumed compression method */
1648         for (m = 0; m < sk_SSL_COMP_num(s->ctx->comp_methods); m++) {
1649             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1650             if (comp_id == comp->id) {
1651                 s->s3->tmp.new_compression = comp;
1652                 break;
1653             }
1654         }
1655         if (s->s3->tmp.new_compression == NULL) {
1656             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1657                    SSL_R_INVALID_COMPRESSION_ALGORITHM);
1658             goto f_err;
1659         }
1660         /* Look for resumed method in compression list */
1661         for (k = 0; k < clienthello.compressions_len; k++) {
1662             if (clienthello.compressions[k] == comp_id)
1663                 break;
1664         }
1665         if (k >= clienthello.compressions_len) {
1666             al = SSL_AD_ILLEGAL_PARAMETER;
1667             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1668                    SSL_R_REQUIRED_COMPRESSION_ALGORITHM_MISSING);
1669             goto f_err;
1670         }
1671     } else if (s->hit)
1672         comp = NULL;
1673     else if (ssl_allow_compression(s) && s->ctx->comp_methods) {
1674         /* See if we have a match */
1675         int m, nn, v, done = 0;
1676         unsigned int o;
1677
1678         nn = sk_SSL_COMP_num(s->ctx->comp_methods);
1679         for (m = 0; m < nn; m++) {
1680             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1681             v = comp->id;
1682             for (o = 0; o < clienthello.compressions_len; o++) {
1683                 if (v == clienthello.compressions[o]) {
1684                     done = 1;
1685                     break;
1686                 }
1687             }
1688             if (done)
1689                 break;
1690         }
1691         if (done)
1692             s->s3->tmp.new_compression = comp;
1693         else
1694             comp = NULL;
1695     }
1696 #else
1697     /*
1698      * If compression is disabled we'd better not try to resume a session
1699      * using compression.
1700      */
1701     if (s->session->compress_meth != 0) {
1702         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1703         goto f_err;
1704     }
1705 #endif
1706
1707     /*
1708      * Given s->session->ciphers and SSL_get_ciphers, we must pick a cipher
1709      */
1710
1711     if (!s->hit) {
1712 #ifdef OPENSSL_NO_COMP
1713         s->session->compress_meth = 0;
1714 #else
1715         s->session->compress_meth = (comp == NULL) ? 0 : comp->id;
1716 #endif
1717         sk_SSL_CIPHER_free(s->session->ciphers);
1718         s->session->ciphers = ciphers;
1719         if (ciphers == NULL) {
1720             al = SSL_AD_INTERNAL_ERROR;
1721             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1722             goto f_err;
1723         }
1724         ciphers = NULL;
1725         if (!tls1_set_server_sigalgs(s)) {
1726             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1727             goto err;
1728         }
1729     }
1730
1731     sk_SSL_CIPHER_free(ciphers);
1732     OPENSSL_free(clienthello.pre_proc_exts);
1733     return MSG_PROCESS_CONTINUE_PROCESSING;
1734  f_err:
1735     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1736  err:
1737     ossl_statem_set_error(s);
1738
1739     sk_SSL_CIPHER_free(ciphers);
1740     OPENSSL_free(clienthello.pre_proc_exts);
1741
1742     return MSG_PROCESS_ERROR;
1743 }
1744
1745 /*
1746  * Call the status request callback if needed. Upon success, returns 1.
1747  * Upon failure, returns 0 and sets |*al| to the appropriate fatal alert.
1748  */
1749 static int tls_handle_status_request(SSL *s, int *al)
1750 {
1751     s->ext.status_expected = 0;
1752
1753     /*
1754      * If status request then ask callback what to do. Note: this must be
1755      * called after servername callbacks in case the certificate has changed,
1756      * and must be called after the cipher has been chosen because this may
1757      * influence which certificate is sent
1758      */
1759     if (s->ext.status_type != TLSEXT_STATUSTYPE_nothing && s->ctx != NULL
1760             && s->ctx->ext.status_cb != NULL) {
1761         int ret;
1762         CERT_PKEY *certpkey = ssl_get_server_send_pkey(s);
1763
1764         /* If no certificate can't return certificate status */
1765         if (certpkey != NULL) {
1766             /*
1767              * Set current certificate to one we will use so SSL_get_certificate
1768              * et al can pick it up.
1769              */
1770             s->cert->key = certpkey;
1771             ret = s->ctx->ext.status_cb(s, s->ctx->ext.status_arg);
1772             switch (ret) {
1773                 /* We don't want to send a status request response */
1774             case SSL_TLSEXT_ERR_NOACK:
1775                 s->ext.status_expected = 0;
1776                 break;
1777                 /* status request response should be sent */
1778             case SSL_TLSEXT_ERR_OK:
1779                 if (s->ext.ocsp.resp)
1780                     s->ext.status_expected = 1;
1781                 break;
1782                 /* something bad happened */
1783             case SSL_TLSEXT_ERR_ALERT_FATAL:
1784             default:
1785                 *al = SSL_AD_INTERNAL_ERROR;
1786                 return 0;
1787             }
1788         }
1789     }
1790
1791     return 1;
1792 }
1793
1794 WORK_STATE tls_post_process_client_hello(SSL *s, WORK_STATE wst)
1795 {
1796     int al = SSL_AD_HANDSHAKE_FAILURE;
1797     const SSL_CIPHER *cipher;
1798
1799     if (wst == WORK_MORE_A) {
1800         if (!s->hit) {
1801             /* Let cert callback update server certificates if required */
1802             if (s->cert->cert_cb) {
1803                 int rv = s->cert->cert_cb(s, s->cert->cert_cb_arg);
1804                 if (rv == 0) {
1805                     al = SSL_AD_INTERNAL_ERROR;
1806                     SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1807                            SSL_R_CERT_CB_ERROR);
1808                     goto f_err;
1809                 }
1810                 if (rv < 0) {
1811                     s->rwstate = SSL_X509_LOOKUP;
1812                     return WORK_MORE_A;
1813                 }
1814                 s->rwstate = SSL_NOTHING;
1815             }
1816             cipher =
1817                 ssl3_choose_cipher(s, s->session->ciphers, SSL_get_ciphers(s));
1818
1819             if (cipher == NULL) {
1820                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1821                        SSL_R_NO_SHARED_CIPHER);
1822                 goto f_err;
1823             }
1824             s->s3->tmp.new_cipher = cipher;
1825             if (!tls_choose_sigalg(s)) {
1826                 al = SSL_AD_HANDSHAKE_FAILURE;
1827                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1828                        SSL_R_NO_SUITABLE_SIGNATURE_ALGORITHM);
1829                 goto f_err;
1830             }
1831             /* check whether we should disable session resumption */
1832             if (s->not_resumable_session_cb != NULL)
1833                 s->session->not_resumable =
1834                     s->not_resumable_session_cb(s, ((cipher->algorithm_mkey
1835                                                     & (SSL_kDHE | SSL_kECDHE))
1836                                                    != 0));
1837             if (s->session->not_resumable)
1838                 /* do not send a session ticket */
1839                 s->ext.ticket_expected = 0;
1840         } else {
1841             /* Session-id reuse */
1842             s->s3->tmp.new_cipher = s->session->cipher;
1843         }
1844
1845         if (!(s->verify_mode & SSL_VERIFY_PEER)) {
1846             if (!ssl3_digest_cached_records(s, 0)) {
1847                 al = SSL_AD_INTERNAL_ERROR;
1848                 goto f_err;
1849             }
1850         }
1851
1852         /*-
1853          * we now have the following setup.
1854          * client_random
1855          * cipher_list          - our preferred list of ciphers
1856          * ciphers              - the clients preferred list of ciphers
1857          * compression          - basically ignored right now
1858          * ssl version is set   - sslv3
1859          * s->session           - The ssl session has been setup.
1860          * s->hit               - session reuse flag
1861          * s->s3->tmp.new_cipher- the new cipher to use.
1862          */
1863
1864         /*
1865          * Call status_request callback if needed. Has to be done after the
1866          * certificate callbacks etc above.
1867          */
1868         if (!tls_handle_status_request(s, &al)) {
1869             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1870                    SSL_R_CLIENTHELLO_TLSEXT);
1871             goto f_err;
1872         }
1873
1874         wst = WORK_MORE_B;
1875     }
1876 #ifndef OPENSSL_NO_SRP
1877     if (wst == WORK_MORE_B) {
1878         int ret;
1879         if ((ret = ssl_check_srp_ext_ClientHello(s, &al)) < 0) {
1880             /*
1881              * callback indicates further work to be done
1882              */
1883             s->rwstate = SSL_X509_LOOKUP;
1884             return WORK_MORE_B;
1885         }
1886         if (ret != SSL_ERROR_NONE) {
1887             /*
1888              * This is not really an error but the only means to for
1889              * a client to detect whether srp is supported.
1890              */
1891             if (al != TLS1_AD_UNKNOWN_PSK_IDENTITY)
1892                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1893                        SSL_R_CLIENTHELLO_TLSEXT);
1894             else
1895                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1896                        SSL_R_PSK_IDENTITY_NOT_FOUND);
1897             goto f_err;
1898         }
1899     }
1900 #endif
1901
1902     return WORK_FINISHED_STOP;
1903  f_err:
1904     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1905     ossl_statem_set_error(s);
1906     return WORK_ERROR;
1907 }
1908
1909 int tls_construct_server_hello(SSL *s, WPACKET *pkt)
1910 {
1911     int compm, al = SSL_AD_INTERNAL_ERROR;
1912     size_t sl, len;
1913     int version;
1914
1915     /* TODO(TLS1.3): Remove the DRAFT conditional before release */
1916     version = SSL_IS_TLS13(s) ? TLS1_3_VERSION_DRAFT : s->version;
1917     if (!WPACKET_put_bytes_u16(pkt, version)
1918                /*
1919                 * Random stuff. Filling of the server_random takes place in
1920                 * tls_process_client_hello()
1921                 */
1922             || !WPACKET_memcpy(pkt, s->s3->server_random, SSL3_RANDOM_SIZE)) {
1923         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1924         goto err;
1925     }
1926
1927     /*-
1928      * There are several cases for the session ID to send
1929      * back in the server hello:
1930      * - For session reuse from the session cache,
1931      *   we send back the old session ID.
1932      * - If stateless session reuse (using a session ticket)
1933      *   is successful, we send back the client's "session ID"
1934      *   (which doesn't actually identify the session).
1935      * - If it is a new session, we send back the new
1936      *   session ID.
1937      * - However, if we want the new session to be single-use,
1938      *   we send back a 0-length session ID.
1939      * s->hit is non-zero in either case of session reuse,
1940      * so the following won't overwrite an ID that we're supposed
1941      * to send back.
1942      */
1943     if (s->session->not_resumable ||
1944         (!(s->ctx->session_cache_mode & SSL_SESS_CACHE_SERVER)
1945          && !s->hit))
1946         s->session->session_id_length = 0;
1947
1948     sl = s->session->session_id_length;
1949     if (sl > sizeof(s->session->session_id)) {
1950         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1951         goto err;
1952     }
1953
1954     /* set up the compression method */
1955 #ifdef OPENSSL_NO_COMP
1956     compm = 0;
1957 #else
1958     if (s->s3->tmp.new_compression == NULL)
1959         compm = 0;
1960     else
1961         compm = s->s3->tmp.new_compression->id;
1962 #endif
1963
1964     if ((!SSL_IS_TLS13(s)
1965                 && !WPACKET_sub_memcpy_u8(pkt, s->session->session_id, sl))
1966             || !s->method->put_cipher_by_char(s->s3->tmp.new_cipher, pkt, &len)
1967             || (!SSL_IS_TLS13(s)
1968                 && !WPACKET_put_bytes_u8(pkt, compm))
1969             || !tls_construct_extensions(s, pkt,
1970                                          SSL_IS_TLS13(s)
1971                                             ? EXT_TLS1_3_SERVER_HELLO
1972                                             : EXT_TLS1_2_SERVER_HELLO,
1973                                          NULL, 0, &al)) {
1974         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1975         goto err;
1976     }
1977
1978     return 1;
1979  err:
1980     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1981     return 0;
1982 }
1983
1984 int tls_construct_server_done(SSL *s, WPACKET *pkt)
1985 {
1986     if (!s->s3->tmp.cert_request) {
1987         if (!ssl3_digest_cached_records(s, 0)) {
1988             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1989             return 0;
1990         }
1991     }
1992     return 1;
1993 }
1994
1995 int tls_construct_server_key_exchange(SSL *s, WPACKET *pkt)
1996 {
1997 #ifndef OPENSSL_NO_DH
1998     EVP_PKEY *pkdh = NULL;
1999 #endif
2000 #ifndef OPENSSL_NO_EC
2001     unsigned char *encodedPoint = NULL;
2002     size_t encodedlen = 0;
2003     int curve_id = 0;
2004 #endif
2005     EVP_PKEY *pkey;
2006     const EVP_MD *md = NULL;
2007     int al = SSL_AD_INTERNAL_ERROR, i;
2008     unsigned long type;
2009     const BIGNUM *r[4];
2010     EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();
2011     EVP_PKEY_CTX *pctx = NULL;
2012     size_t paramlen, paramoffset;
2013
2014     if (!WPACKET_get_total_written(pkt, &paramoffset)) {
2015         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2016         goto f_err;
2017     }
2018
2019     if (md_ctx == NULL) {
2020         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
2021         goto f_err;
2022     }
2023
2024     type = s->s3->tmp.new_cipher->algorithm_mkey;
2025
2026     r[0] = r[1] = r[2] = r[3] = NULL;
2027 #ifndef OPENSSL_NO_PSK
2028     /* Plain PSK or RSAPSK nothing to do */
2029     if (type & (SSL_kPSK | SSL_kRSAPSK)) {
2030     } else
2031 #endif                          /* !OPENSSL_NO_PSK */
2032 #ifndef OPENSSL_NO_DH
2033     if (type & (SSL_kDHE | SSL_kDHEPSK)) {
2034         CERT *cert = s->cert;
2035
2036         EVP_PKEY *pkdhp = NULL;
2037         DH *dh;
2038
2039         if (s->cert->dh_tmp_auto) {
2040             DH *dhp = ssl_get_auto_dh(s);
2041             pkdh = EVP_PKEY_new();
2042             if (pkdh == NULL || dhp == NULL) {
2043                 DH_free(dhp);
2044                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2045                        ERR_R_INTERNAL_ERROR);
2046                 goto f_err;
2047             }
2048             EVP_PKEY_assign_DH(pkdh, dhp);
2049             pkdhp = pkdh;
2050         } else {
2051             pkdhp = cert->dh_tmp;
2052         }
2053         if ((pkdhp == NULL) && (s->cert->dh_tmp_cb != NULL)) {
2054             DH *dhp = s->cert->dh_tmp_cb(s, 0, 1024);
2055             pkdh = ssl_dh_to_pkey(dhp);
2056             if (pkdh == NULL) {
2057                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2058                        ERR_R_INTERNAL_ERROR);
2059                 goto f_err;
2060             }
2061             pkdhp = pkdh;
2062         }
2063         if (pkdhp == NULL) {
2064             al = SSL_AD_HANDSHAKE_FAILURE;
2065             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2066                    SSL_R_MISSING_TMP_DH_KEY);
2067             goto f_err;
2068         }
2069         if (!ssl_security(s, SSL_SECOP_TMP_DH,
2070                           EVP_PKEY_security_bits(pkdhp), 0, pkdhp)) {
2071             al = SSL_AD_HANDSHAKE_FAILURE;
2072             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2073                    SSL_R_DH_KEY_TOO_SMALL);
2074             goto f_err;
2075         }
2076         if (s->s3->tmp.pkey != NULL) {
2077             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2078                    ERR_R_INTERNAL_ERROR);
2079             goto err;
2080         }
2081
2082         s->s3->tmp.pkey = ssl_generate_pkey(pkdhp);
2083
2084         if (s->s3->tmp.pkey == NULL) {
2085             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
2086             goto err;
2087         }
2088
2089         dh = EVP_PKEY_get0_DH(s->s3->tmp.pkey);
2090
2091         EVP_PKEY_free(pkdh);
2092         pkdh = NULL;
2093
2094         DH_get0_pqg(dh, &r[0], NULL, &r[1]);
2095         DH_get0_key(dh, &r[2], NULL);
2096     } else
2097 #endif
2098 #ifndef OPENSSL_NO_EC
2099     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
2100         int nid;
2101
2102         if (s->s3->tmp.pkey != NULL) {
2103             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2104                    ERR_R_INTERNAL_ERROR);
2105             goto err;
2106         }
2107
2108         /* Get NID of appropriate shared curve */
2109         nid = tls1_shared_group(s, -2);
2110         curve_id = tls1_ec_nid2curve_id(nid);
2111         if (curve_id == 0) {
2112             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2113                    SSL_R_UNSUPPORTED_ELLIPTIC_CURVE);
2114             goto err;
2115         }
2116         s->s3->tmp.pkey = ssl_generate_pkey_curve(curve_id);
2117         /* Generate a new key for this curve */
2118         if (s->s3->tmp.pkey == NULL) {
2119             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
2120             goto f_err;
2121         }
2122
2123         /* Encode the public key. */
2124         encodedlen = EVP_PKEY_get1_tls_encodedpoint(s->s3->tmp.pkey,
2125                                                     &encodedPoint);
2126         if (encodedlen == 0) {
2127             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EC_LIB);
2128             goto err;
2129         }
2130
2131         /*
2132          * We'll generate the serverKeyExchange message explicitly so we
2133          * can set these to NULLs
2134          */
2135         r[0] = NULL;
2136         r[1] = NULL;
2137         r[2] = NULL;
2138         r[3] = NULL;
2139     } else
2140 #endif                          /* !OPENSSL_NO_EC */
2141 #ifndef OPENSSL_NO_SRP
2142     if (type & SSL_kSRP) {
2143         if ((s->srp_ctx.N == NULL) ||
2144             (s->srp_ctx.g == NULL) ||
2145             (s->srp_ctx.s == NULL) || (s->srp_ctx.B == NULL)) {
2146             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2147                    SSL_R_MISSING_SRP_PARAM);
2148             goto err;
2149         }
2150         r[0] = s->srp_ctx.N;
2151         r[1] = s->srp_ctx.g;
2152         r[2] = s->srp_ctx.s;
2153         r[3] = s->srp_ctx.B;
2154     } else
2155 #endif
2156     {
2157         al = SSL_AD_HANDSHAKE_FAILURE;
2158         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2159                SSL_R_UNKNOWN_KEY_EXCHANGE_TYPE);
2160         goto f_err;
2161     }
2162
2163     if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aSRP))
2164         && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)) {
2165         if ((pkey = ssl_get_sign_pkey(s, s->s3->tmp.new_cipher, &md))
2166             == NULL) {
2167             al = SSL_AD_DECODE_ERROR;
2168             goto f_err;
2169         }
2170     } else {
2171         pkey = NULL;
2172     }
2173
2174 #ifndef OPENSSL_NO_PSK
2175     if (type & SSL_PSK) {
2176         size_t len = (s->cert->psk_identity_hint == NULL)
2177                         ? 0 : strlen(s->cert->psk_identity_hint);
2178
2179         /*
2180          * It should not happen that len > PSK_MAX_IDENTITY_LEN - we already
2181          * checked this when we set the identity hint - but just in case
2182          */
2183         if (len > PSK_MAX_IDENTITY_LEN
2184                 || !WPACKET_sub_memcpy_u16(pkt, s->cert->psk_identity_hint,
2185                                            len)) {
2186             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2187                    ERR_R_INTERNAL_ERROR);
2188             goto f_err;
2189         }
2190     }
2191 #endif
2192
2193     for (i = 0; i < 4 && r[i] != NULL; i++) {
2194         unsigned char *binval;
2195         int res;
2196
2197 #ifndef OPENSSL_NO_SRP
2198         if ((i == 2) && (type & SSL_kSRP)) {
2199             res = WPACKET_start_sub_packet_u8(pkt);
2200         } else
2201 #endif
2202             res = WPACKET_start_sub_packet_u16(pkt);
2203
2204         if (!res) {
2205             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2206                    ERR_R_INTERNAL_ERROR);
2207             goto f_err;
2208         }
2209
2210 #ifndef OPENSSL_NO_DH
2211         /*-
2212          * for interoperability with some versions of the Microsoft TLS
2213          * stack, we need to zero pad the DHE pub key to the same length
2214          * as the prime
2215          */
2216         if ((i == 2) && (type & (SSL_kDHE | SSL_kDHEPSK))) {
2217             size_t len = BN_num_bytes(r[0]) - BN_num_bytes(r[2]);
2218
2219             if (len > 0) {
2220                 if (!WPACKET_allocate_bytes(pkt, len, &binval)) {
2221                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2222                            ERR_R_INTERNAL_ERROR);
2223                     goto f_err;
2224                 }
2225                 memset(binval, 0, len);
2226             }
2227         }
2228 #endif
2229         if (!WPACKET_allocate_bytes(pkt, BN_num_bytes(r[i]), &binval)
2230                 || !WPACKET_close(pkt)) {
2231             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2232                    ERR_R_INTERNAL_ERROR);
2233             goto f_err;
2234         }
2235
2236         BN_bn2bin(r[i], binval);
2237     }
2238
2239 #ifndef OPENSSL_NO_EC
2240     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
2241         /*
2242          * We only support named (not generic) curves. In this situation, the
2243          * ServerKeyExchange message has: [1 byte CurveType], [2 byte CurveName]
2244          * [1 byte length of encoded point], followed by the actual encoded
2245          * point itself
2246          */
2247         if (!WPACKET_put_bytes_u8(pkt, NAMED_CURVE_TYPE)
2248                 || !WPACKET_put_bytes_u8(pkt, 0)
2249                 || !WPACKET_put_bytes_u8(pkt, curve_id)
2250                 || !WPACKET_sub_memcpy_u8(pkt, encodedPoint, encodedlen)) {
2251             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2252                    ERR_R_INTERNAL_ERROR);
2253             goto f_err;
2254         }
2255         OPENSSL_free(encodedPoint);
2256         encodedPoint = NULL;
2257     }
2258 #endif
2259
2260     /* not anonymous */
2261     if (pkey != NULL) {
2262         /*
2263          * n is the length of the params, they start at &(d[4]) and p
2264          * points to the space at the end.
2265          */
2266         if (md) {
2267             unsigned char *sigbytes1, *sigbytes2;
2268             size_t siglen;
2269             int ispss = 0;
2270
2271             /* Get length of the parameters we have written above */
2272             if (!WPACKET_get_length(pkt, &paramlen)) {
2273                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2274                        ERR_R_INTERNAL_ERROR);
2275                 goto f_err;
2276             }
2277             /* send signature algorithm */
2278             if (SSL_USE_SIGALGS(s)) {
2279                 if (!tls12_get_sigandhash(s, pkt, pkey, md, &ispss)) {
2280                     /* Should never happen */
2281                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2282                            ERR_R_INTERNAL_ERROR);
2283                     goto f_err;
2284                 }
2285             }
2286 #ifdef SSL_DEBUG
2287             fprintf(stderr, "Using hash %s\n", EVP_MD_name(md));
2288 #endif
2289             /*
2290              * Create the signature. We don't know the actual length of the sig
2291              * until after we've created it, so we reserve enough bytes for it
2292              * up front, and then properly allocate them in the WPACKET
2293              * afterwards.
2294              */
2295             siglen = EVP_PKEY_size(pkey);
2296             if (!WPACKET_sub_reserve_bytes_u16(pkt, siglen, &sigbytes1)
2297                     || EVP_DigestSignInit(md_ctx, &pctx, md, NULL, pkey) <= 0) {
2298                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2299                        ERR_R_INTERNAL_ERROR);
2300                 goto f_err;
2301             }
2302             if (ispss) {
2303                 if (EVP_PKEY_CTX_set_rsa_padding(pctx,
2304                                                  RSA_PKCS1_PSS_PADDING) <= 0
2305                     || EVP_PKEY_CTX_set_rsa_pss_saltlen(pctx, RSA_PSS_SALTLEN_DIGEST) <= 0) {
2306                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2307                            ERR_R_EVP_LIB);
2308                     goto f_err;
2309                 }
2310             }
2311             if (EVP_DigestSignUpdate(md_ctx, &(s->s3->client_random[0]),
2312                                      SSL3_RANDOM_SIZE) <= 0
2313                     || EVP_DigestSignUpdate(md_ctx, &(s->s3->server_random[0]),
2314                                             SSL3_RANDOM_SIZE) <= 0
2315                     || EVP_DigestSignUpdate(md_ctx,
2316                                             s->init_buf->data + paramoffset,
2317                                             paramlen) <= 0
2318                     || EVP_DigestSignFinal(md_ctx, sigbytes1, &siglen) <= 0
2319                     || !WPACKET_sub_allocate_bytes_u16(pkt, siglen, &sigbytes2)
2320                     || sigbytes1 != sigbytes2) {
2321                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2322                        ERR_R_INTERNAL_ERROR);
2323                 goto f_err;
2324             }
2325         } else {
2326             /* Is this error check actually needed? */
2327             al = SSL_AD_HANDSHAKE_FAILURE;
2328             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2329                    SSL_R_UNKNOWN_PKEY_TYPE);
2330             goto f_err;
2331         }
2332     }
2333
2334     EVP_MD_CTX_free(md_ctx);
2335     return 1;
2336  f_err:
2337     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2338  err:
2339 #ifndef OPENSSL_NO_DH
2340     EVP_PKEY_free(pkdh);
2341 #endif
2342 #ifndef OPENSSL_NO_EC
2343     OPENSSL_free(encodedPoint);
2344 #endif
2345     EVP_MD_CTX_free(md_ctx);
2346     return 0;
2347 }
2348
2349 int tls_construct_certificate_request(SSL *s, WPACKET *pkt)
2350 {
2351     int i;
2352     STACK_OF(X509_NAME) *sk = NULL;
2353
2354     /* get the list of acceptable cert types */
2355     if (!WPACKET_start_sub_packet_u8(pkt)
2356             || !ssl3_get_req_cert_type(s, pkt)
2357             || !WPACKET_close(pkt)) {
2358         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2359         goto err;
2360     }
2361
2362     if (SSL_USE_SIGALGS(s)) {
2363         const uint16_t *psigs;
2364         size_t nl = tls12_get_psigalgs(s, 1, &psigs);
2365
2366         if (!WPACKET_start_sub_packet_u16(pkt)
2367                 || !tls12_copy_sigalgs(s, pkt, psigs, nl)
2368                 || !WPACKET_close(pkt)) {
2369             SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2370                    ERR_R_INTERNAL_ERROR);
2371             goto err;
2372         }
2373     }
2374
2375     /* Start sub-packet for client CA list */
2376     if (!WPACKET_start_sub_packet_u16(pkt)) {
2377         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2378         goto err;
2379     }
2380
2381     sk = SSL_get_client_CA_list(s);
2382     if (sk != NULL) {
2383         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
2384             unsigned char *namebytes;
2385             X509_NAME *name = sk_X509_NAME_value(sk, i);
2386             int namelen;
2387
2388             if (name == NULL
2389                     || (namelen = i2d_X509_NAME(name, NULL)) < 0
2390                     || !WPACKET_sub_allocate_bytes_u16(pkt, namelen,
2391                                                        &namebytes)
2392                     || i2d_X509_NAME(name, &namebytes) != namelen) {
2393                 SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2394                        ERR_R_INTERNAL_ERROR);
2395                 goto err;
2396             }
2397         }
2398     }
2399     /* else no CA names */
2400
2401     if (!WPACKET_close(pkt)) {
2402         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2403         goto err;
2404     }
2405
2406     s->s3->tmp.cert_request = 1;
2407
2408     return 1;
2409  err:
2410     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2411     return 0;
2412 }
2413
2414 static int tls_process_cke_psk_preamble(SSL *s, PACKET *pkt, int *al)
2415 {
2416 #ifndef OPENSSL_NO_PSK
2417     unsigned char psk[PSK_MAX_PSK_LEN];
2418     size_t psklen;
2419     PACKET psk_identity;
2420
2421     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity)) {
2422         *al = SSL_AD_DECODE_ERROR;
2423         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_LENGTH_MISMATCH);
2424         return 0;
2425     }
2426     if (PACKET_remaining(&psk_identity) > PSK_MAX_IDENTITY_LEN) {
2427         *al = SSL_AD_DECODE_ERROR;
2428         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_DATA_LENGTH_TOO_LONG);
2429         return 0;
2430     }
2431     if (s->psk_server_callback == NULL) {
2432         *al = SSL_AD_INTERNAL_ERROR;
2433         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_PSK_NO_SERVER_CB);
2434         return 0;
2435     }
2436
2437     if (!PACKET_strndup(&psk_identity, &s->session->psk_identity)) {
2438         *al = SSL_AD_INTERNAL_ERROR;
2439         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2440         return 0;
2441     }
2442
2443     psklen = s->psk_server_callback(s, s->session->psk_identity,
2444                                     psk, sizeof(psk));
2445
2446     if (psklen > PSK_MAX_PSK_LEN) {
2447         *al = SSL_AD_INTERNAL_ERROR;
2448         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2449         return 0;
2450     } else if (psklen == 0) {
2451         /*
2452          * PSK related to the given identity not found
2453          */
2454         *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
2455         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE,
2456                SSL_R_PSK_IDENTITY_NOT_FOUND);
2457         return 0;
2458     }
2459
2460     OPENSSL_free(s->s3->tmp.psk);
2461     s->s3->tmp.psk = OPENSSL_memdup(psk, psklen);
2462     OPENSSL_cleanse(psk, psklen);
2463
2464     if (s->s3->tmp.psk == NULL) {
2465         *al = SSL_AD_INTERNAL_ERROR;
2466         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_MALLOC_FAILURE);
2467         return 0;
2468     }
2469
2470     s->s3->tmp.psklen = psklen;
2471
2472     return 1;
2473 #else
2474     /* Should never happen */
2475     *al = SSL_AD_INTERNAL_ERROR;
2476     SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2477     return 0;
2478 #endif
2479 }
2480
2481 static int tls_process_cke_rsa(SSL *s, PACKET *pkt, int *al)
2482 {
2483 #ifndef OPENSSL_NO_RSA
2484     unsigned char rand_premaster_secret[SSL_MAX_MASTER_KEY_LENGTH];
2485     int decrypt_len;
2486     unsigned char decrypt_good, version_good;
2487     size_t j, padding_len;
2488     PACKET enc_premaster;
2489     RSA *rsa = NULL;
2490     unsigned char *rsa_decrypt = NULL;
2491     int ret = 0;
2492
2493     rsa = EVP_PKEY_get0_RSA(s->cert->pkeys[SSL_PKEY_RSA].privatekey);
2494     if (rsa == NULL) {
2495         *al = SSL_AD_HANDSHAKE_FAILURE;
2496         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_MISSING_RSA_CERTIFICATE);
2497         return 0;
2498     }
2499
2500     /* SSLv3 and pre-standard DTLS omit the length bytes. */
2501     if (s->version == SSL3_VERSION || s->version == DTLS1_BAD_VER) {
2502         enc_premaster = *pkt;
2503     } else {
2504         if (!PACKET_get_length_prefixed_2(pkt, &enc_premaster)
2505             || PACKET_remaining(pkt) != 0) {
2506             *al = SSL_AD_DECODE_ERROR;
2507             SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_LENGTH_MISMATCH);
2508             return 0;
2509         }
2510     }
2511
2512     /*
2513      * We want to be sure that the plaintext buffer size makes it safe to
2514      * iterate over the entire size of a premaster secret
2515      * (SSL_MAX_MASTER_KEY_LENGTH). Reject overly short RSA keys because
2516      * their ciphertext cannot accommodate a premaster secret anyway.
2517      */
2518     if (RSA_size(rsa) < SSL_MAX_MASTER_KEY_LENGTH) {
2519         *al = SSL_AD_INTERNAL_ERROR;
2520         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, RSA_R_KEY_SIZE_TOO_SMALL);
2521         return 0;
2522     }
2523
2524     rsa_decrypt = OPENSSL_malloc(RSA_size(rsa));
2525     if (rsa_decrypt == NULL) {
2526         *al = SSL_AD_INTERNAL_ERROR;
2527         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_MALLOC_FAILURE);
2528         return 0;
2529     }
2530
2531     /*
2532      * We must not leak whether a decryption failure occurs because of
2533      * Bleichenbacher's attack on PKCS #1 v1.5 RSA padding (see RFC 2246,
2534      * section 7.4.7.1). The code follows that advice of the TLS RFC and
2535      * generates a random premaster secret for the case that the decrypt
2536      * fails. See https://tools.ietf.org/html/rfc5246#section-7.4.7.1
2537      */
2538
2539     if (RAND_bytes(rand_premaster_secret, sizeof(rand_premaster_secret)) <= 0)
2540         goto err;
2541
2542     /*
2543      * Decrypt with no padding. PKCS#1 padding will be removed as part of
2544      * the timing-sensitive code below.
2545      */
2546      /* TODO(size_t): Convert this function */
2547     decrypt_len = (int)RSA_private_decrypt((int)PACKET_remaining(&enc_premaster),
2548                                            PACKET_data(&enc_premaster),
2549                                            rsa_decrypt, rsa, RSA_NO_PADDING);
2550     if (decrypt_len < 0)
2551         goto err;
2552
2553     /* Check the padding. See RFC 3447, section 7.2.2. */
2554
2555     /*
2556      * The smallest padded premaster is 11 bytes of overhead. Small keys
2557      * are publicly invalid, so this may return immediately. This ensures
2558      * PS is at least 8 bytes.
2559      */
2560     if (decrypt_len < 11 + SSL_MAX_MASTER_KEY_LENGTH) {
2561         *al = SSL_AD_DECRYPT_ERROR;
2562         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_DECRYPTION_FAILED);
2563         goto err;
2564     }
2565
2566     padding_len = decrypt_len - SSL_MAX_MASTER_KEY_LENGTH;
2567     decrypt_good = constant_time_eq_int_8(rsa_decrypt[0], 0) &
2568         constant_time_eq_int_8(rsa_decrypt[1], 2);
2569     for (j = 2; j < padding_len - 1; j++) {
2570         decrypt_good &= ~constant_time_is_zero_8(rsa_decrypt[j]);
2571     }
2572     decrypt_good &= constant_time_is_zero_8(rsa_decrypt[padding_len - 1]);
2573
2574     /*
2575      * If the version in the decrypted pre-master secret is correct then
2576      * version_good will be 0xff, otherwise it'll be zero. The
2577      * Klima-Pokorny-Rosa extension of Bleichenbacher's attack
2578      * (http://eprint.iacr.org/2003/052/) exploits the version number
2579      * check as a "bad version oracle". Thus version checks are done in
2580      * constant time and are treated like any other decryption error.
2581      */
2582     version_good =
2583         constant_time_eq_8(rsa_decrypt[padding_len],
2584                            (unsigned)(s->client_version >> 8));
2585     version_good &=
2586         constant_time_eq_8(rsa_decrypt[padding_len + 1],
2587                            (unsigned)(s->client_version & 0xff));
2588
2589     /*
2590      * The premaster secret must contain the same version number as the
2591      * ClientHello to detect version rollback attacks (strangely, the
2592      * protocol does not offer such protection for DH ciphersuites).
2593      * However, buggy clients exist that send the negotiated protocol
2594      * version instead if the server does not support the requested
2595      * protocol version. If SSL_OP_TLS_ROLLBACK_BUG is set, tolerate such
2596      * clients.
2597      */
2598     if (s->options & SSL_OP_TLS_ROLLBACK_BUG) {
2599         unsigned char workaround_good;
2600         workaround_good = constant_time_eq_8(rsa_decrypt[padding_len],
2601                                              (unsigned)(s->version >> 8));
2602         workaround_good &=
2603             constant_time_eq_8(rsa_decrypt[padding_len + 1],
2604                                (unsigned)(s->version & 0xff));
2605         version_good |= workaround_good;
2606     }
2607
2608     /*
2609      * Both decryption and version must be good for decrypt_good to
2610      * remain non-zero (0xff).
2611      */
2612     decrypt_good &= version_good;
2613
2614     /*
2615      * Now copy rand_premaster_secret over from p using
2616      * decrypt_good_mask. If decryption failed, then p does not
2617      * contain valid plaintext, however, a check above guarantees
2618      * it is still sufficiently large to read from.
2619      */
2620     for (j = 0; j < sizeof(rand_premaster_secret); j++) {
2621         rsa_decrypt[padding_len + j] =
2622             constant_time_select_8(decrypt_good,
2623                                    rsa_decrypt[padding_len + j],
2624                                    rand_premaster_secret[j]);
2625     }
2626
2627     if (!ssl_generate_master_secret(s, rsa_decrypt + padding_len,
2628                                     sizeof(rand_premaster_secret), 0)) {
2629         *al = SSL_AD_INTERNAL_ERROR;
2630         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2631         goto err;
2632     }
2633
2634     ret = 1;
2635  err:
2636     OPENSSL_free(rsa_decrypt);
2637     return ret;
2638 #else
2639     /* Should never happen */
2640     *al = SSL_AD_INTERNAL_ERROR;
2641     SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2642     return 0;
2643 #endif
2644 }
2645
2646 static int tls_process_cke_dhe(SSL *s, PACKET *pkt, int *al)
2647 {
2648 #ifndef OPENSSL_NO_DH
2649     EVP_PKEY *skey = NULL;
2650     DH *cdh;
2651     unsigned int i;
2652     BIGNUM *pub_key;
2653     const unsigned char *data;
2654     EVP_PKEY *ckey = NULL;
2655     int ret = 0;
2656
2657     if (!PACKET_get_net_2(pkt, &i) || PACKET_remaining(pkt) != i) {
2658         *al = SSL_AD_HANDSHAKE_FAILURE;
2659         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE,
2660                SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2661         goto err;
2662     }
2663     skey = s->s3->tmp.pkey;
2664     if (skey == NULL) {
2665         *al = SSL_AD_HANDSHAKE_FAILURE;
2666         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2667         goto err;
2668     }
2669
2670     if (PACKET_remaining(pkt) == 0L) {
2671         *al = SSL_AD_HANDSHAKE_FAILURE;
2672         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2673         goto err;
2674     }
2675     if (!PACKET_get_bytes(pkt, &data, i)) {
2676         /* We already checked we have enough data */
2677         *al = SSL_AD_INTERNAL_ERROR;
2678         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2679         goto err;
2680     }
2681     ckey = EVP_PKEY_new();
2682     if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) == 0) {
2683         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_BN_LIB);
2684         goto err;
2685     }
2686     cdh = EVP_PKEY_get0_DH(ckey);
2687     pub_key = BN_bin2bn(data, i, NULL);
2688
2689     if (pub_key == NULL || !DH_set0_key(cdh, pub_key, NULL)) {
2690         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2691         if (pub_key != NULL)
2692             BN_free(pub_key);
2693         goto err;
2694     }
2695
2696     if (ssl_derive(s, skey, ckey, 1) == 0) {
2697         *al = SSL_AD_INTERNAL_ERROR;
2698         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2699         goto err;
2700     }
2701
2702     ret = 1;
2703     EVP_PKEY_free(s->s3->tmp.pkey);
2704     s->s3->tmp.pkey = NULL;
2705  err:
2706     EVP_PKEY_free(ckey);
2707     return ret;
2708 #else
2709     /* Should never happen */
2710     *al = SSL_AD_INTERNAL_ERROR;
2711     SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2712     return 0;
2713 #endif
2714 }
2715
2716 static int tls_process_cke_ecdhe(SSL *s, PACKET *pkt, int *al)
2717 {
2718 #ifndef OPENSSL_NO_EC
2719     EVP_PKEY *skey = s->s3->tmp.pkey;
2720     EVP_PKEY *ckey = NULL;
2721     int ret = 0;
2722
2723     if (PACKET_remaining(pkt) == 0L) {
2724         /* We don't support ECDH client auth */
2725         *al = SSL_AD_HANDSHAKE_FAILURE;
2726         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_MISSING_TMP_ECDH_KEY);
2727         goto err;
2728     } else {
2729         unsigned int i;
2730         const unsigned char *data;
2731
2732         /*
2733          * Get client's public key from encoded point in the
2734          * ClientKeyExchange message.
2735          */
2736
2737         /* Get encoded point length */
2738         if (!PACKET_get_1(pkt, &i) || !PACKET_get_bytes(pkt, &data, i)
2739             || PACKET_remaining(pkt) != 0) {
2740             *al = SSL_AD_DECODE_ERROR;
2741             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_LENGTH_MISMATCH);
2742             goto err;
2743         }
2744         ckey = EVP_PKEY_new();
2745         if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) <= 0) {
2746             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EVP_LIB);
2747             goto err;
2748         }
2749         if (EVP_PKEY_set1_tls_encodedpoint(ckey, data, i) == 0) {
2750             *al = SSL_AD_HANDSHAKE_FAILURE;
2751             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EC_LIB);
2752             goto err;
2753         }
2754     }
2755
2756     if (ssl_derive(s, skey, ckey, 1) == 0) {
2757         *al = SSL_AD_INTERNAL_ERROR;
2758         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2759         goto err;
2760     }
2761
2762     ret = 1;
2763     EVP_PKEY_free(s->s3->tmp.pkey);
2764     s->s3->tmp.pkey = NULL;
2765  err:
2766     EVP_PKEY_free(ckey);
2767
2768     return ret;
2769 #else
2770     /* Should never happen */
2771     *al = SSL_AD_INTERNAL_ERROR;
2772     SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2773     return 0;
2774 #endif
2775 }
2776
2777 static int tls_process_cke_srp(SSL *s, PACKET *pkt, int *al)
2778 {
2779 #ifndef OPENSSL_NO_SRP
2780     unsigned int i;
2781     const unsigned char *data;
2782
2783     if (!PACKET_get_net_2(pkt, &i)
2784         || !PACKET_get_bytes(pkt, &data, i)) {
2785         *al = SSL_AD_DECODE_ERROR;
2786         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_A_LENGTH);
2787         return 0;
2788     }
2789     if ((s->srp_ctx.A = BN_bin2bn(data, i, NULL)) == NULL) {
2790         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_BN_LIB);
2791         return 0;
2792     }
2793     if (BN_ucmp(s->srp_ctx.A, s->srp_ctx.N) >= 0 || BN_is_zero(s->srp_ctx.A)) {
2794         *al = SSL_AD_ILLEGAL_PARAMETER;
2795         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_PARAMETERS);
2796         return 0;
2797     }
2798     OPENSSL_free(s->session->srp_username);
2799     s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2800     if (s->session->srp_username == NULL) {
2801         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_MALLOC_FAILURE);
2802         return 0;
2803     }
2804
2805     if (!srp_generate_server_master_secret(s)) {
2806         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2807         return 0;
2808     }
2809
2810     return 1;
2811 #else
2812     /* Should never happen */
2813     *al = SSL_AD_INTERNAL_ERROR;
2814     SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2815     return 0;
2816 #endif
2817 }
2818
2819 static int tls_process_cke_gost(SSL *s, PACKET *pkt, int *al)
2820 {
2821 #ifndef OPENSSL_NO_GOST
2822     EVP_PKEY_CTX *pkey_ctx;
2823     EVP_PKEY *client_pub_pkey = NULL, *pk = NULL;
2824     unsigned char premaster_secret[32];
2825     const unsigned char *start;
2826     size_t outlen = 32, inlen;
2827     unsigned long alg_a;
2828     int Ttag, Tclass;
2829     long Tlen;
2830     size_t sess_key_len;
2831     const unsigned char *data;
2832     int ret = 0;
2833
2834     /* Get our certificate private key */
2835     alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2836     if (alg_a & SSL_aGOST12) {
2837         /*
2838          * New GOST ciphersuites have SSL_aGOST01 bit too
2839          */
2840         pk = s->cert->pkeys[SSL_PKEY_GOST12_512].privatekey;
2841         if (pk == NULL) {
2842             pk = s->cert->pkeys[SSL_PKEY_GOST12_256].privatekey;
2843         }
2844         if (pk == NULL) {
2845             pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2846         }
2847     } else if (alg_a & SSL_aGOST01) {
2848         pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2849     }
2850
2851     pkey_ctx = EVP_PKEY_CTX_new(pk, NULL);
2852     if (pkey_ctx == NULL) {
2853         *al = SSL_AD_INTERNAL_ERROR;
2854         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_MALLOC_FAILURE);
2855         return 0;
2856     }
2857     if (EVP_PKEY_decrypt_init(pkey_ctx) <= 0) {
2858         *al = SSL_AD_INTERNAL_ERROR;
2859         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2860         return 0;
2861     }
2862     /*
2863      * If client certificate is present and is of the same type, maybe
2864      * use it for key exchange.  Don't mind errors from
2865      * EVP_PKEY_derive_set_peer, because it is completely valid to use a
2866      * client certificate for authorization only.
2867      */
2868     client_pub_pkey = X509_get0_pubkey(s->session->peer);
2869     if (client_pub_pkey) {
2870         if (EVP_PKEY_derive_set_peer(pkey_ctx, client_pub_pkey) <= 0)
2871             ERR_clear_error();
2872     }
2873     /* Decrypt session key */
2874     sess_key_len = PACKET_remaining(pkt);
2875     if (!PACKET_get_bytes(pkt, &data, sess_key_len)) {
2876         *al = SSL_AD_INTERNAL_ERROR;
2877         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2878         goto err;
2879     }
2880     /* TODO(size_t): Convert this function */
2881     if (ASN1_get_object((const unsigned char **)&data, &Tlen, &Ttag,
2882                         &Tclass, (long)sess_key_len) != V_ASN1_CONSTRUCTED
2883         || Ttag != V_ASN1_SEQUENCE || Tclass != V_ASN1_UNIVERSAL) {
2884         *al = SSL_AD_DECODE_ERROR;
2885         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2886         goto err;
2887     }
2888     start = data;
2889     inlen = Tlen;
2890     if (EVP_PKEY_decrypt
2891         (pkey_ctx, premaster_secret, &outlen, start, inlen) <= 0) {
2892         *al = SSL_AD_DECODE_ERROR;
2893         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2894         goto err;
2895     }
2896     /* Generate master secret */
2897     if (!ssl_generate_master_secret(s, premaster_secret,
2898                                     sizeof(premaster_secret), 0)) {
2899         *al = SSL_AD_INTERNAL_ERROR;
2900         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2901         goto err;
2902     }
2903     /* Check if pubkey from client certificate was used */
2904     if (EVP_PKEY_CTX_ctrl
2905         (pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2, NULL) > 0)
2906         s->statem.no_cert_verify = 1;
2907
2908     ret = 1;
2909  err:
2910     EVP_PKEY_CTX_free(pkey_ctx);
2911     return ret;
2912 #else
2913     /* Should never happen */
2914     *al = SSL_AD_INTERNAL_ERROR;
2915     SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2916     return 0;
2917 #endif
2918 }
2919
2920 MSG_PROCESS_RETURN tls_process_client_key_exchange(SSL *s, PACKET *pkt)
2921 {
2922     int al = -1;
2923     unsigned long alg_k;
2924
2925     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2926
2927     /* For PSK parse and retrieve identity, obtain PSK key */
2928     if ((alg_k & SSL_PSK) && !tls_process_cke_psk_preamble(s, pkt, &al))
2929         goto err;
2930
2931     if (alg_k & SSL_kPSK) {
2932         /* Identity extracted earlier: should be nothing left */
2933         if (PACKET_remaining(pkt) != 0) {
2934             al = SSL_AD_HANDSHAKE_FAILURE;
2935             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2936                    SSL_R_LENGTH_MISMATCH);
2937             goto err;
2938         }
2939         /* PSK handled by ssl_generate_master_secret */
2940         if (!ssl_generate_master_secret(s, NULL, 0, 0)) {
2941             al = SSL_AD_INTERNAL_ERROR;
2942             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2943             goto err;
2944         }
2945     } else if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2946         if (!tls_process_cke_rsa(s, pkt, &al))
2947             goto err;
2948     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2949         if (!tls_process_cke_dhe(s, pkt, &al))
2950             goto err;
2951     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2952         if (!tls_process_cke_ecdhe(s, pkt, &al))
2953             goto err;
2954     } else if (alg_k & SSL_kSRP) {
2955         if (!tls_process_cke_srp(s, pkt, &al))
2956             goto err;
2957     } else if (alg_k & SSL_kGOST) {
2958         if (!tls_process_cke_gost(s, pkt, &al))
2959             goto err;
2960     } else {
2961         al = SSL_AD_HANDSHAKE_FAILURE;
2962         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2963                SSL_R_UNKNOWN_CIPHER_TYPE);
2964         goto err;
2965     }
2966
2967     return MSG_PROCESS_CONTINUE_PROCESSING;
2968  err:
2969     if (al != -1)
2970         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2971 #ifndef OPENSSL_NO_PSK
2972     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2973     s->s3->tmp.psk = NULL;
2974 #endif
2975     ossl_statem_set_error(s);
2976     return MSG_PROCESS_ERROR;
2977 }
2978
2979 WORK_STATE tls_post_process_client_key_exchange(SSL *s, WORK_STATE wst)
2980 {
2981 #ifndef OPENSSL_NO_SCTP
2982     if (wst == WORK_MORE_A) {
2983         if (SSL_IS_DTLS(s)) {
2984             unsigned char sctpauthkey[64];
2985             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2986             /*
2987              * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2988              * used.
2989              */
2990             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2991                    sizeof(DTLS1_SCTP_AUTH_LABEL));
2992
2993             if (SSL_export_keying_material(s, sctpauthkey,
2994                                            sizeof(sctpauthkey), labelbuffer,
2995                                            sizeof(labelbuffer), NULL, 0,
2996                                            0) <= 0) {
2997                 ossl_statem_set_error(s);
2998                 return WORK_ERROR;
2999             }
3000
3001             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
3002                      sizeof(sctpauthkey), sctpauthkey);
3003         }
3004         wst = WORK_MORE_B;
3005     }
3006
3007     if ((wst == WORK_MORE_B)
3008         /* Is this SCTP? */
3009         && BIO_dgram_is_sctp(SSL_get_wbio(s))
3010         /* Are we renegotiating? */
3011         && s->renegotiate
3012         /* Are we going to skip the CertificateVerify? */
3013         && (s->session->peer == NULL || s->statem.no_cert_verify)
3014         && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
3015         s->s3->in_read_app_data = 2;
3016         s->rwstate = SSL_READING;
3017         BIO_clear_retry_flags(SSL_get_rbio(s));
3018         BIO_set_retry_read(SSL_get_rbio(s));
3019         ossl_statem_set_sctp_read_sock(s, 1);
3020         return WORK_MORE_B;
3021     } else {
3022         ossl_statem_set_sctp_read_sock(s, 0);
3023     }
3024 #endif
3025
3026     if (s->statem.no_cert_verify || !s->session->peer) {
3027         /*
3028          * No certificate verify or no peer certificate so we no longer need
3029          * the handshake_buffer
3030          */
3031         if (!ssl3_digest_cached_records(s, 0)) {
3032             ossl_statem_set_error(s);
3033             return WORK_ERROR;
3034         }
3035         return WORK_FINISHED_CONTINUE;
3036     } else {
3037         if (!s->s3->handshake_buffer) {
3038             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_KEY_EXCHANGE,
3039                    ERR_R_INTERNAL_ERROR);
3040             ossl_statem_set_error(s);
3041             return WORK_ERROR;
3042         }
3043         /*
3044          * For sigalgs freeze the handshake buffer. If we support
3045          * extms we've done this already so this is a no-op
3046          */
3047         if (!ssl3_digest_cached_records(s, 1)) {
3048             ossl_statem_set_error(s);
3049             return WORK_ERROR;
3050         }
3051     }
3052
3053     return WORK_FINISHED_CONTINUE;
3054 }
3055
3056 MSG_PROCESS_RETURN tls_process_client_certificate(SSL *s, PACKET *pkt)
3057 {
3058     int i, al = SSL_AD_INTERNAL_ERROR, ret = MSG_PROCESS_ERROR;
3059     X509 *x = NULL;
3060     unsigned long l, llen;
3061     const unsigned char *certstart, *certbytes;
3062     STACK_OF(X509) *sk = NULL;
3063     PACKET spkt, context;
3064     size_t chainidx;
3065
3066     if ((sk = sk_X509_new_null()) == NULL) {
3067         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
3068         goto f_err;
3069     }
3070
3071     /* TODO(TLS1.3): For now we ignore the context. We need to verify this */
3072     if ((SSL_IS_TLS13(s) && !PACKET_get_length_prefixed_1(pkt, &context))
3073             || !PACKET_get_net_3(pkt, &llen)
3074             || !PACKET_get_sub_packet(pkt, &spkt, llen)
3075             || PACKET_remaining(pkt) != 0) {
3076         al = SSL_AD_DECODE_ERROR;
3077         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
3078         goto f_err;
3079     }
3080
3081     for (chainidx = 0; PACKET_remaining(&spkt) > 0; chainidx++) {
3082         if (!PACKET_get_net_3(&spkt, &l)
3083             || !PACKET_get_bytes(&spkt, &certbytes, l)) {
3084             al = SSL_AD_DECODE_ERROR;
3085             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3086                    SSL_R_CERT_LENGTH_MISMATCH);
3087             goto f_err;
3088         }
3089
3090         certstart = certbytes;
3091         x = d2i_X509(NULL, (const unsigned char **)&certbytes, l);
3092         if (x == NULL) {
3093             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_ASN1_LIB);
3094             goto f_err;
3095         }
3096         if (certbytes != (certstart + l)) {
3097             al = SSL_AD_DECODE_ERROR;
3098             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3099                    SSL_R_CERT_LENGTH_MISMATCH);
3100             goto f_err;
3101         }
3102
3103         if (SSL_IS_TLS13(s)) {
3104             RAW_EXTENSION *rawexts = NULL;
3105             PACKET extensions;
3106
3107             if (!PACKET_get_length_prefixed_2(&spkt, &extensions)) {
3108                 al = SSL_AD_DECODE_ERROR;
3109                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_BAD_LENGTH);
3110                 goto f_err;
3111             }
3112             if (!tls_collect_extensions(s, &extensions, EXT_TLS1_3_CERTIFICATE,
3113                                         &rawexts, &al)
3114                     || !tls_parse_all_extensions(s, EXT_TLS1_3_CERTIFICATE,
3115                                                  rawexts, x, chainidx, &al)) {
3116                 OPENSSL_free(rawexts);
3117                 goto f_err;
3118             }
3119             OPENSSL_free(rawexts);
3120         }
3121
3122         if (!sk_X509_push(sk, x)) {
3123             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
3124             goto f_err;
3125         }
3126         x = NULL;
3127     }
3128
3129     if (sk_X509_num(sk) <= 0) {
3130         /* TLS does not mind 0 certs returned */
3131         if (s->version == SSL3_VERSION) {
3132             al = SSL_AD_HANDSHAKE_FAILURE;
3133             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3134                    SSL_R_NO_CERTIFICATES_RETURNED);
3135             goto f_err;
3136         }
3137         /* Fail for TLS only if we required a certificate */
3138         else if ((s->verify_mode & SSL_VERIFY_PEER) &&
3139                  (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
3140             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3141                    SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
3142             al = SSL_AD_HANDSHAKE_FAILURE;
3143             goto f_err;
3144         }
3145         /* No client certificate so digest cached records */
3146         if (s->s3->handshake_buffer && !ssl3_digest_cached_records(s, 0)) {
3147             goto f_err;
3148         }
3149     } else {
3150         EVP_PKEY *pkey;
3151         i = ssl_verify_cert_chain(s, sk);
3152         if (i <= 0) {
3153             al = ssl_verify_alarm_type(s->verify_result);
3154             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3155                    SSL_R_CERTIFICATE_VERIFY_FAILED);
3156             goto f_err;
3157         }
3158         if (i > 1) {
3159             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, i);
3160             al = SSL_AD_HANDSHAKE_FAILURE;
3161             goto f_err;
3162         }
3163         pkey = X509_get0_pubkey(sk_X509_value(sk, 0));
3164         if (pkey == NULL) {
3165             al = SSL3_AD_HANDSHAKE_FAILURE;
3166             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3167                    SSL_R_UNKNOWN_CERTIFICATE_TYPE);
3168             goto f_err;
3169         }
3170     }
3171
3172     X509_free(s->session->peer);
3173     s->session->peer = sk_X509_shift(sk);
3174     s->session->verify_result = s->verify_result;
3175
3176     sk_X509_pop_free(s->session->peer_chain, X509_free);
3177     s->session->peer_chain = sk;
3178
3179     /*
3180      * Freeze the handshake buffer. For <TLS1.3 we do this after the CKE
3181      * message
3182      */
3183     if (SSL_IS_TLS13(s) && !ssl3_digest_cached_records(s, 1)) {
3184         al = SSL_AD_INTERNAL_ERROR;
3185         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3186         goto f_err;
3187     }
3188
3189     /*
3190      * Inconsistency alert: cert_chain does *not* include the peer's own
3191      * certificate, while we do include it in statem_clnt.c
3192      */
3193     sk = NULL;
3194
3195     /* Save the current hash state for when we receive the CertificateVerify */
3196     if (SSL_IS_TLS13(s)
3197             && !ssl_handshake_hash(s, s->cert_verify_hash,
3198                                    sizeof(s->cert_verify_hash),
3199                                    &s->cert_verify_hash_len)) {
3200         al = SSL_AD_INTERNAL_ERROR;
3201         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3202         goto f_err;
3203     }
3204
3205     ret = MSG_PROCESS_CONTINUE_READING;
3206     goto done;
3207
3208  f_err:
3209     ssl3_send_alert(s, SSL3_AL_FATAL, al);
3210     ossl_statem_set_error(s);
3211  done:
3212     X509_free(x);
3213     sk_X509_pop_free(sk, X509_free);
3214     return ret;
3215 }
3216
3217 int tls_construct_server_certificate(SSL *s, WPACKET *pkt)
3218 {
3219     CERT_PKEY *cpk;
3220     int al = SSL_AD_INTERNAL_ERROR;
3221
3222     cpk = ssl_get_server_send_pkey(s);
3223     if (cpk == NULL) {
3224         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3225         return 0;
3226     }
3227
3228     /*
3229      * In TLSv1.3 the certificate chain is always preceded by a 0 length context
3230      * for the server Certificate message
3231      */
3232     if ((SSL_IS_TLS13(s) && !WPACKET_put_bytes_u8(pkt, 0))
3233             || !ssl3_output_cert_chain(s, pkt, cpk, &al)) {
3234         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3235         ssl3_send_alert(s, SSL3_AL_FATAL, al);
3236         return 0;
3237     }
3238
3239     return 1;
3240 }
3241
3242 int tls_construct_new_session_ticket(SSL *s, WPACKET *pkt)
3243 {
3244     unsigned char *senc = NULL;
3245     EVP_CIPHER_CTX *ctx = NULL;
3246     HMAC_CTX *hctx = NULL;
3247     unsigned char *p, *encdata1, *encdata2, *macdata1, *macdata2;
3248     const unsigned char *const_p;
3249     int len, slen_full, slen, lenfinal;
3250     SSL_SESSION *sess;
3251     unsigned int hlen;
3252     SSL_CTX *tctx = s->session_ctx;
3253     unsigned char iv[EVP_MAX_IV_LENGTH];
3254     unsigned char key_name[TLSEXT_KEYNAME_LENGTH];
3255     int iv_len, al = SSL_AD_INTERNAL_ERROR;
3256     size_t macoffset, macendoffset;
3257     union {
3258         unsigned char age_add_c[sizeof(uint32_t)];
3259         uint32_t age_add;
3260     } age_add_u;
3261
3262     if (SSL_IS_TLS13(s)) {
3263         if (RAND_bytes(age_add_u.age_add_c, sizeof(age_add_u)) <= 0)
3264             goto err;
3265         s->session->ext.tick_age_add = age_add_u.age_add;
3266     }
3267
3268     /* get session encoding length */
3269     slen_full = i2d_SSL_SESSION(s->session, NULL);
3270     /*
3271      * Some length values are 16 bits, so forget it if session is too
3272      * long
3273      */
3274     if (slen_full == 0 || slen_full > 0xFF00) {
3275         ossl_statem_set_error(s);
3276         return 0;
3277     }
3278     senc = OPENSSL_malloc(slen_full);
3279     if (senc == NULL) {
3280         ossl_statem_set_error(s);
3281         return 0;
3282     }
3283
3284     ctx = EVP_CIPHER_CTX_new();
3285     hctx = HMAC_CTX_new();
3286     if (ctx == NULL || hctx == NULL) {
3287         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_MALLOC_FAILURE);
3288         goto err;
3289     }
3290
3291     p = senc;
3292     if (!i2d_SSL_SESSION(s->session, &p))
3293         goto err;
3294
3295     /*
3296      * create a fresh copy (not shared with other threads) to clean up
3297      */
3298     const_p = senc;
3299     sess = d2i_SSL_SESSION(NULL, &const_p, slen_full);
3300     if (sess == NULL)
3301         goto err;
3302     sess->session_id_length = 0; /* ID is irrelevant for the ticket */
3303
3304     slen = i2d_SSL_SESSION(sess, NULL);
3305     if (slen == 0 || slen > slen_full) { /* shouldn't ever happen */
3306         SSL_SESSION_free(sess);
3307         goto err;
3308     }
3309     p = senc;
3310     if (!i2d_SSL_SESSION(sess, &p)) {
3311         SSL_SESSION_free(sess);
3312         goto err;
3313     }
3314     SSL_SESSION_free(sess);
3315
3316     /*
3317      * Initialize HMAC and cipher contexts. If callback present it does
3318      * all the work otherwise use generated values from parent ctx.
3319      */
3320     if (tctx->ext.ticket_key_cb) {
3321         /* if 0 is returned, write an empty ticket */
3322         int ret = tctx->ext.ticket_key_cb(s, key_name, iv, ctx,
3323                                              hctx, 1);
3324
3325         if (ret == 0) {
3326
3327             /* Put timeout and length */
3328             if (!WPACKET_put_bytes_u32(pkt, 0)
3329                     || !WPACKET_put_bytes_u16(pkt, 0)) {
3330                 SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET,
3331                        ERR_R_INTERNAL_ERROR);
3332                 goto err;
3333             }
3334             OPENSSL_free(senc);
3335             EVP_CIPHER_CTX_free(ctx);
3336             HMAC_CTX_free(hctx);
3337             return 1;
3338         }
3339         if (ret < 0)
3340             goto err;
3341         iv_len = EVP_CIPHER_CTX_iv_length(ctx);
3342     } else {
3343         const EVP_CIPHER *cipher = EVP_aes_256_cbc();
3344
3345         iv_len = EVP_CIPHER_iv_length(cipher);
3346         if (RAND_bytes(iv, iv_len) <= 0)
3347             goto err;
3348         if (!EVP_EncryptInit_ex(ctx, cipher, NULL,
3349                                 tctx->ext.tick_aes_key, iv))
3350             goto err;
3351         if (!HMAC_Init_ex(hctx, tctx->ext.tick_hmac_key,
3352                           sizeof(tctx->ext.tick_hmac_key),
3353                           EVP_sha256(), NULL))
3354             goto err;
3355         memcpy(key_name, tctx->ext.tick_key_name,
3356                sizeof(tctx->ext.tick_key_name));
3357     }
3358
3359     /*
3360      * Ticket lifetime hint (advisory only): We leave this unspecified
3361      * for resumed session (for simplicity), and guess that tickets for
3362      * new sessions will live as long as their sessions.
3363      */
3364     if (!WPACKET_put_bytes_u32(pkt, s->hit ? 0 : s->session->timeout)
3365             || (SSL_IS_TLS13(s)
3366                 && !WPACKET_put_bytes_u32(pkt, age_add_u.age_add))
3367                /* Now the actual ticket data */
3368             || !WPACKET_start_sub_packet_u16(pkt)
3369             || !WPACKET_get_total_written(pkt, &macoffset)
3370                /* Output key name */
3371             || !WPACKET_memcpy(pkt, key_name, sizeof(key_name))
3372                /* output IV */
3373             || !WPACKET_memcpy(pkt, iv, iv_len)
3374             || !WPACKET_reserve_bytes(pkt, slen + EVP_MAX_BLOCK_LENGTH,
3375                                       &encdata1)
3376                /* Encrypt session data */
3377             || !EVP_EncryptUpdate(ctx, encdata1, &len, senc, slen)
3378             || !WPACKET_allocate_bytes(pkt, len, &encdata2)
3379             || encdata1 != encdata2
3380             || !EVP_EncryptFinal(ctx, encdata1 + len, &lenfinal)
3381             || !WPACKET_allocate_bytes(pkt, lenfinal, &encdata2)
3382             || encdata1 + len != encdata2
3383             || len + lenfinal > slen + EVP_MAX_BLOCK_LENGTH
3384             || !WPACKET_get_total_written(pkt, &macendoffset)
3385             || !HMAC_Update(hctx,
3386                             (unsigned char *)s->init_buf->data + macoffset,
3387                             macendoffset - macoffset)
3388             || !WPACKET_reserve_bytes(pkt, EVP_MAX_MD_SIZE, &macdata1)
3389             || !HMAC_Final(hctx, macdata1, &hlen)
3390             || hlen > EVP_MAX_MD_SIZE
3391             || !WPACKET_allocate_bytes(pkt, hlen, &macdata2)
3392             || macdata1 != macdata2
3393             || !WPACKET_close(pkt)
3394             || (SSL_IS_TLS13(s)
3395                 && !tls_construct_extensions(s, pkt,
3396                                              EXT_TLS1_3_NEW_SESSION_TICKET,
3397                                              NULL, 0, &al))) {
3398         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_INTERNAL_ERROR);
3399         goto err;
3400     }
3401     EVP_CIPHER_CTX_free(ctx);
3402     HMAC_CTX_free(hctx);
3403     OPENSSL_free(senc);
3404
3405     return 1;
3406  err:
3407     OPENSSL_free(senc);
3408     EVP_CIPHER_CTX_free(ctx);
3409     HMAC_CTX_free(hctx);
3410     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3411     return 0;
3412 }
3413
3414 /*
3415  * In TLSv1.3 this is called from the extensions code, otherwise it is used to
3416  * create a separate message. Returns 1 on success or 0 on failure.
3417  */
3418 int tls_construct_cert_status_body(SSL *s, WPACKET *pkt)
3419 {
3420     if (!WPACKET_put_bytes_u8(pkt, s->ext.status_type)
3421             || !WPACKET_sub_memcpy_u24(pkt, s->ext.ocsp.resp,
3422                                        s->ext.ocsp.resp_len)) {
3423         SSLerr(SSL_F_TLS_CONSTRUCT_CERT_STATUS_BODY, ERR_R_INTERNAL_ERROR);
3424         return 0;
3425     }
3426
3427     return 1;
3428 }
3429
3430 int tls_construct_cert_status(SSL *s, WPACKET *pkt)
3431 {
3432     if (!tls_construct_cert_status_body(s, pkt)) {
3433         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3434         return 0;
3435     }
3436
3437     return 1;
3438 }
3439
3440 #ifndef OPENSSL_NO_NEXTPROTONEG
3441 /*
3442  * tls_process_next_proto reads a Next Protocol Negotiation handshake message.
3443  * It sets the next_proto member in s if found
3444  */
3445 MSG_PROCESS_RETURN tls_process_next_proto(SSL *s, PACKET *pkt)
3446 {
3447     PACKET next_proto, padding;
3448     size_t next_proto_len;
3449
3450     /*-
3451      * The payload looks like:
3452      *   uint8 proto_len;
3453      *   uint8 proto[proto_len];
3454      *   uint8 padding_len;
3455      *   uint8 padding[padding_len];
3456      */
3457     if (!PACKET_get_length_prefixed_1(pkt, &next_proto)
3458         || !PACKET_get_length_prefixed_1(pkt, &padding)
3459         || PACKET_remaining(pkt) > 0) {
3460         SSLerr(SSL_F_TLS_PROCESS_NEXT_PROTO, SSL_R_LENGTH_MISMATCH);
3461         goto err;
3462     }
3463
3464     if (!PACKET_memdup(&next_proto, &s->ext.npn, &next_proto_len)) {
3465         s->ext.npn_len = 0;
3466         goto err;
3467     }
3468
3469     s->ext.npn_len = (unsigned char)next_proto_len;
3470
3471     return MSG_PROCESS_CONTINUE_READING;
3472  err:
3473     ossl_statem_set_error(s);
3474     return MSG_PROCESS_ERROR;
3475 }
3476 #endif
3477
3478 static int tls_construct_encrypted_extensions(SSL *s, WPACKET *pkt)
3479 {
3480     int al;
3481
3482     if (!tls_construct_extensions(s, pkt, EXT_TLS1_3_ENCRYPTED_EXTENSIONS,
3483                                   NULL, 0, &al)) {
3484         ssl3_send_alert(s, SSL3_AL_FATAL, al);
3485         SSLerr(SSL_F_TLS_CONSTRUCT_ENCRYPTED_EXTENSIONS, ERR_R_INTERNAL_ERROR);
3486         ssl3_send_alert(s, SSL3_AL_FATAL, al);
3487         return 0;
3488     }
3489
3490     return 1;
3491 }
3492
3493 #define SSLV2_CIPHER_LEN    3
3494
3495 STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
3496                                                PACKET *cipher_suites,
3497                                                STACK_OF(SSL_CIPHER) **skp,
3498                                                int sslv2format, int *al)
3499 {
3500     const SSL_CIPHER *c;
3501     STACK_OF(SSL_CIPHER) *sk;
3502     int n;
3503     /* 3 = SSLV2_CIPHER_LEN > TLS_CIPHER_LEN = 2. */
3504     unsigned char cipher[SSLV2_CIPHER_LEN];
3505
3506     s->s3->send_connection_binding = 0;
3507
3508     n = sslv2format ? SSLV2_CIPHER_LEN : TLS_CIPHER_LEN;
3509
3510     if (PACKET_remaining(cipher_suites) == 0) {
3511         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, SSL_R_NO_CIPHERS_SPECIFIED);
3512         *al = SSL_AD_ILLEGAL_PARAMETER;
3513         return NULL;
3514     }
3515
3516     if (PACKET_remaining(cipher_suites) % n != 0) {
3517         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3518                SSL_R_ERROR_IN_RECEIVED_CIPHER_LIST);
3519         *al = SSL_AD_DECODE_ERROR;
3520         return NULL;
3521     }
3522
3523     sk = sk_SSL_CIPHER_new_null();
3524     if (sk == NULL) {
3525         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3526         *al = SSL_AD_INTERNAL_ERROR;
3527         return NULL;
3528     }
3529
3530     OPENSSL_free(s->s3->tmp.ciphers_raw);
3531     s->s3->tmp.ciphers_raw = NULL;
3532     s->s3->tmp.ciphers_rawlen = 0;
3533
3534     if (sslv2format) {
3535         size_t numciphers = PACKET_remaining(cipher_suites) / n;
3536         PACKET sslv2ciphers = *cipher_suites;
3537         unsigned int leadbyte;
3538         unsigned char *raw;
3539
3540         /*
3541          * We store the raw ciphers list in SSLv3+ format so we need to do some
3542          * preprocessing to convert the list first. If there are any SSLv2 only
3543          * ciphersuites with a non-zero leading byte then we are going to
3544          * slightly over allocate because we won't store those. But that isn't a
3545          * problem.
3546          */
3547         raw = OPENSSL_malloc(numciphers * TLS_CIPHER_LEN);
3548         s->s3->tmp.ciphers_raw = raw;
3549         if (raw == NULL) {
3550             *al = SSL_AD_INTERNAL_ERROR;
3551             goto err;
3552         }
3553         for (s->s3->tmp.ciphers_rawlen = 0;
3554              PACKET_remaining(&sslv2ciphers) > 0;
3555              raw += TLS_CIPHER_LEN) {
3556             if (!PACKET_get_1(&sslv2ciphers, &leadbyte)
3557                     || (leadbyte == 0
3558                         && !PACKET_copy_bytes(&sslv2ciphers, raw,