Reduce the scope of some variables in tls_process_client_key_exchange()
[openssl.git] / ssl / statem / statem_srvr.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50
51 #include <stdio.h>
52 #include "../ssl_locl.h"
53 #include "statem_locl.h"
54 #include "internal/constant_time_locl.h"
55 #include <openssl/buffer.h>
56 #include <openssl/rand.h>
57 #include <openssl/objects.h>
58 #include <openssl/evp.h>
59 #include <openssl/hmac.h>
60 #include <openssl/x509.h>
61 #include <openssl/dh.h>
62 #include <openssl/bn.h>
63 #include <openssl/md5.h>
64
65 static STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
66                                                       PACKET *cipher_suites,
67                                                       STACK_OF(SSL_CIPHER) **skp,
68                                                       int sslv2format, int *al);
69
70 /*
71  * server_read_transition() encapsulates the logic for the allowed handshake
72  * state transitions when the server is reading messages from the client. The
73  * message type that the client has sent is provided in |mt|. The current state
74  * is in |s->statem.hand_state|.
75  *
76  *  Valid return values are:
77  *  1: Success (transition allowed)
78  *  0: Error (transition not allowed)
79  */
80 int ossl_statem_server_read_transition(SSL *s, int mt)
81 {
82     OSSL_STATEM *st = &s->statem;
83
84     switch(st->hand_state) {
85     case TLS_ST_BEFORE:
86     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
87         if (mt == SSL3_MT_CLIENT_HELLO) {
88             st->hand_state = TLS_ST_SR_CLNT_HELLO;
89             return 1;
90         }
91         break;
92
93     case TLS_ST_SW_SRVR_DONE:
94         /*
95          * If we get a CKE message after a ServerDone then either
96          * 1) We didn't request a Certificate
97          * OR
98          * 2) If we did request one then
99          *      a) We allow no Certificate to be returned
100          *      AND
101          *      b) We are running SSL3 (in TLS1.0+ the client must return a 0
102          *         list if we requested a certificate)
103          */
104         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
105             if (s->s3->tmp.cert_request) {
106                 if (s->version == SSL3_VERSION) {
107                     if ((s->verify_mode & SSL_VERIFY_PEER)
108                         && (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
109                         /*
110                          * This isn't an unexpected message as such - we're just
111                          * not going to accept it because we require a client
112                          * cert.
113                          */
114                         ssl3_send_alert(s, SSL3_AL_FATAL,
115                                         SSL3_AD_HANDSHAKE_FAILURE);
116                         SSLerr(SSL_F_READ_STATE_MACHINE,
117                                SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
118                         return 0;
119                     }
120                     st->hand_state = TLS_ST_SR_KEY_EXCH;
121                     return 1;
122                 }
123             } else {
124                 st->hand_state = TLS_ST_SR_KEY_EXCH;
125                 return 1;
126             }
127         } else if (s->s3->tmp.cert_request) {
128             if (mt == SSL3_MT_CERTIFICATE) {
129                 st->hand_state = TLS_ST_SR_CERT;
130                 return 1;
131             }
132         }
133         break;
134
135     case TLS_ST_SR_CERT:
136         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
137             st->hand_state = TLS_ST_SR_KEY_EXCH;
138             return 1;
139         }
140         break;
141
142     case TLS_ST_SR_KEY_EXCH:
143         /*
144          * We should only process a CertificateVerify message if we have
145          * received a Certificate from the client. If so then |s->session->peer|
146          * will be non NULL. In some instances a CertificateVerify message is
147          * not required even if the peer has sent a Certificate (e.g. such as in
148          * the case of static DH). In that case |st->no_cert_verify| should be
149          * set.
150          */
151         if (s->session->peer == NULL || st->no_cert_verify) {
152             if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
153                 /*
154                  * For the ECDH ciphersuites when the client sends its ECDH
155                  * pub key in a certificate, the CertificateVerify message is
156                  * not sent. Also for GOST ciphersuites when the client uses
157                  * its key from the certificate for key exchange.
158                  */
159                 st->hand_state = TLS_ST_SR_CHANGE;
160                 return 1;
161             }
162         } else {
163             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
164                 st->hand_state = TLS_ST_SR_CERT_VRFY;
165                 return 1;
166             }
167         }
168         break;
169
170     case TLS_ST_SR_CERT_VRFY:
171         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
172             st->hand_state = TLS_ST_SR_CHANGE;
173             return 1;
174         }
175         break;
176
177     case TLS_ST_SR_CHANGE:
178 #ifndef OPENSSL_NO_NEXTPROTONEG
179         if (s->s3->next_proto_neg_seen) {
180             if (mt == SSL3_MT_NEXT_PROTO) {
181                 st->hand_state = TLS_ST_SR_NEXT_PROTO;
182                 return 1;
183             }
184         } else {
185 #endif
186             if (mt == SSL3_MT_FINISHED) {
187                 st->hand_state = TLS_ST_SR_FINISHED;
188                 return 1;
189             }
190 #ifndef OPENSSL_NO_NEXTPROTONEG
191         }
192 #endif
193         break;
194
195 #ifndef OPENSSL_NO_NEXTPROTONEG
196     case TLS_ST_SR_NEXT_PROTO:
197         if (mt == SSL3_MT_FINISHED) {
198             st->hand_state = TLS_ST_SR_FINISHED;
199             return 1;
200         }
201         break;
202 #endif
203
204     case TLS_ST_SW_FINISHED:
205         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
206             st->hand_state = TLS_ST_SR_CHANGE;
207             return 1;
208         }
209         break;
210
211     default:
212         break;
213     }
214
215     /* No valid transition found */
216     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
217     SSLerr(SSL_F_READ_STATE_MACHINE, SSL_R_UNEXPECTED_MESSAGE);
218     return 0;
219 }
220
221 /*
222  * Should we send a ServerKeyExchange message?
223  *
224  * Valid return values are:
225  *   1: Yes
226  *   0: No
227  */
228 static int send_server_key_exchange(SSL *s)
229 {
230     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
231
232     /*
233      * only send a ServerKeyExchange if DH or fortezza but we have a
234      * sign only certificate PSK: may send PSK identity hints For
235      * ECC ciphersuites, we send a serverKeyExchange message only if
236      * the cipher suite is either ECDH-anon or ECDHE. In other cases,
237      * the server certificate contains the server's public key for
238      * key exchange.
239      */
240     if (alg_k & (SSL_kDHE|SSL_kECDHE)
241         /*
242          * PSK: send ServerKeyExchange if PSK identity hint if
243          * provided
244          */
245 #ifndef OPENSSL_NO_PSK
246         /* Only send SKE if we have identity hint for plain PSK */
247         || ((alg_k & (SSL_kPSK | SSL_kRSAPSK))
248             && s->cert->psk_identity_hint)
249         /* For other PSK always send SKE */
250         || (alg_k & (SSL_PSK & (SSL_kDHEPSK | SSL_kECDHEPSK)))
251 #endif
252 #ifndef OPENSSL_NO_SRP
253         /* SRP: send ServerKeyExchange */
254         || (alg_k & SSL_kSRP)
255 #endif
256        ) {
257         return 1;
258     }
259
260     return 0;
261 }
262
263 /*
264  * Should we send a CertificateRequest message?
265  *
266  * Valid return values are:
267  *   1: Yes
268  *   0: No
269  */
270 static int send_certificate_request(SSL *s)
271 {
272     if (
273            /* don't request cert unless asked for it: */
274            s->verify_mode & SSL_VERIFY_PEER
275            /*
276             * if SSL_VERIFY_CLIENT_ONCE is set, don't request cert
277             * during re-negotiation:
278             */
279            && ((s->session->peer == NULL) ||
280                !(s->verify_mode & SSL_VERIFY_CLIENT_ONCE))
281            /*
282             * never request cert in anonymous ciphersuites (see
283             * section "Certificate request" in SSL 3 drafts and in
284             * RFC 2246):
285             */
286            && (!(s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL)
287            /*
288             * ... except when the application insists on
289             * verification (against the specs, but statem_clnt.c accepts
290             * this for SSL 3)
291             */
292                || (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT))
293            /* don't request certificate for SRP auth */
294            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aSRP)
295            /*
296             * With normal PSK Certificates and Certificate Requests
297             * are omitted
298             */
299            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aPSK)) {
300         return 1;
301     }
302
303     return 0;
304 }
305
306 /*
307  * server_write_transition() works out what handshake state to move to next
308  * when the server is writing messages to be sent to the client.
309  */
310 WRITE_TRAN ossl_statem_server_write_transition(SSL *s)
311 {
312     OSSL_STATEM *st = &s->statem;
313
314     switch(st->hand_state) {
315         case TLS_ST_BEFORE:
316             /* Just go straight to trying to read from the client */;
317             return WRITE_TRAN_FINISHED;
318
319         case TLS_ST_OK:
320             /* We must be trying to renegotiate */
321             st->hand_state = TLS_ST_SW_HELLO_REQ;
322             return WRITE_TRAN_CONTINUE;
323
324         case TLS_ST_SW_HELLO_REQ:
325             st->hand_state = TLS_ST_OK;
326             ossl_statem_set_in_init(s, 0);
327             return WRITE_TRAN_CONTINUE;
328
329         case TLS_ST_SR_CLNT_HELLO:
330             if (SSL_IS_DTLS(s) && !s->d1->cookie_verified
331                     && (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE))
332                 st->hand_state = DTLS_ST_SW_HELLO_VERIFY_REQUEST;
333             else
334                 st->hand_state = TLS_ST_SW_SRVR_HELLO;
335             return WRITE_TRAN_CONTINUE;
336
337         case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
338             return WRITE_TRAN_FINISHED;
339
340         case TLS_ST_SW_SRVR_HELLO:
341             if (s->hit) {
342                 if (s->tlsext_ticket_expected)
343                     st->hand_state = TLS_ST_SW_SESSION_TICKET;
344                 else
345                     st->hand_state = TLS_ST_SW_CHANGE;
346             } else {
347                 /* Check if it is anon DH or anon ECDH, */
348                 /* normal PSK or SRP */
349                 if (!(s->s3->tmp.new_cipher->algorithm_auth &
350                      (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
351                     st->hand_state = TLS_ST_SW_CERT;
352                 } else if (send_server_key_exchange(s)) {
353                     st->hand_state = TLS_ST_SW_KEY_EXCH;
354                 } else if (send_certificate_request(s)) {
355                     st->hand_state = TLS_ST_SW_CERT_REQ;
356                 } else {
357                     st->hand_state = TLS_ST_SW_SRVR_DONE;
358                 }
359             }
360             return WRITE_TRAN_CONTINUE;
361
362         case TLS_ST_SW_CERT:
363             if (s->tlsext_status_expected) {
364                 st->hand_state = TLS_ST_SW_CERT_STATUS;
365                 return WRITE_TRAN_CONTINUE;
366             }
367             /* Fall through */
368
369         case TLS_ST_SW_CERT_STATUS:
370             if (send_server_key_exchange(s)) {
371                 st->hand_state = TLS_ST_SW_KEY_EXCH;
372                 return WRITE_TRAN_CONTINUE;
373             }
374             /* Fall through */
375
376         case TLS_ST_SW_KEY_EXCH:
377             if (send_certificate_request(s)) {
378                 st->hand_state = TLS_ST_SW_CERT_REQ;
379                 return WRITE_TRAN_CONTINUE;
380             }
381             /* Fall through */
382
383         case TLS_ST_SW_CERT_REQ:
384             st->hand_state = TLS_ST_SW_SRVR_DONE;
385             return WRITE_TRAN_CONTINUE;
386
387         case TLS_ST_SW_SRVR_DONE:
388             return WRITE_TRAN_FINISHED;
389
390         case TLS_ST_SR_FINISHED:
391             if (s->hit) {
392                 st->hand_state = TLS_ST_OK;
393                 ossl_statem_set_in_init(s, 0);
394                 return WRITE_TRAN_CONTINUE;
395             } else if (s->tlsext_ticket_expected) {
396                 st->hand_state = TLS_ST_SW_SESSION_TICKET;
397             } else {
398                 st->hand_state = TLS_ST_SW_CHANGE;
399             }
400             return WRITE_TRAN_CONTINUE;
401
402         case TLS_ST_SW_SESSION_TICKET:
403             st->hand_state = TLS_ST_SW_CHANGE;
404             return WRITE_TRAN_CONTINUE;
405
406         case TLS_ST_SW_CHANGE:
407             st->hand_state = TLS_ST_SW_FINISHED;
408             return WRITE_TRAN_CONTINUE;
409
410         case TLS_ST_SW_FINISHED:
411             if (s->hit) {
412                 return WRITE_TRAN_FINISHED;
413             }
414             st->hand_state = TLS_ST_OK;
415             ossl_statem_set_in_init(s, 0);
416             return WRITE_TRAN_CONTINUE;
417
418         default:
419             /* Shouldn't happen */
420             return WRITE_TRAN_ERROR;
421     }
422 }
423
424 /*
425  * Perform any pre work that needs to be done prior to sending a message from
426  * the server to the client.
427  */
428 WORK_STATE ossl_statem_server_pre_work(SSL *s, WORK_STATE wst)
429 {
430     OSSL_STATEM *st = &s->statem;
431
432     switch(st->hand_state) {
433     case TLS_ST_SW_HELLO_REQ:
434         s->shutdown = 0;
435         if (SSL_IS_DTLS(s))
436             dtls1_clear_record_buffer(s);
437         break;
438
439     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
440         s->shutdown = 0;
441         if (SSL_IS_DTLS(s)) {
442             dtls1_clear_record_buffer(s);
443             /* We don't buffer this message so don't use the timer */
444             st->use_timer = 0;
445         }
446         break;
447
448     case TLS_ST_SW_SRVR_HELLO:
449         if (SSL_IS_DTLS(s)) {
450             /*
451              * Messages we write from now on should be bufferred and
452              * retransmitted if necessary, so we need to use the timer now
453              */
454             st->use_timer = 1;
455         }
456         break;
457
458     case TLS_ST_SW_SRVR_DONE:
459 #ifndef OPENSSL_NO_SCTP
460         if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s)))
461             return dtls_wait_for_dry(s);
462 #endif
463         return WORK_FINISHED_CONTINUE;
464
465     case TLS_ST_SW_SESSION_TICKET:
466         if (SSL_IS_DTLS(s)) {
467             /*
468              * We're into the last flight. We don't retransmit the last flight
469              * unless we need to, so we don't use the timer
470              */
471             st->use_timer = 0;
472         }
473         break;
474
475     case TLS_ST_SW_CHANGE:
476         s->session->cipher = s->s3->tmp.new_cipher;
477         if (!s->method->ssl3_enc->setup_key_block(s)) {
478             ossl_statem_set_error(s);
479             return WORK_ERROR;
480         }
481         if (SSL_IS_DTLS(s)) {
482             /*
483              * We're into the last flight. We don't retransmit the last flight
484              * unless we need to, so we don't use the timer. This might have
485              * already been set to 0 if we sent a NewSessionTicket message,
486              * but we'll set it again here in case we didn't.
487              */
488             st->use_timer = 0;
489         }
490         return WORK_FINISHED_CONTINUE;
491
492     case TLS_ST_OK:
493         return tls_finish_handshake(s, wst);
494
495     default:
496         /* No pre work to be done */
497         break;
498     }
499
500     return WORK_FINISHED_CONTINUE;
501 }
502
503 /*
504  * Perform any work that needs to be done after sending a message from the
505  * server to the client.
506  */
507 WORK_STATE ossl_statem_server_post_work(SSL *s, WORK_STATE wst)
508 {
509     OSSL_STATEM *st = &s->statem;
510
511     s->init_num = 0;
512
513     switch(st->hand_state) {
514     case TLS_ST_SW_HELLO_REQ:
515         if (statem_flush(s) != 1)
516             return WORK_MORE_A;
517         if (!ssl3_init_finished_mac(s)) {
518             ossl_statem_set_error(s);
519             return WORK_ERROR;
520         }
521         break;
522
523     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
524         if (statem_flush(s) != 1)
525             return WORK_MORE_A;
526         /* HelloVerifyRequest resets Finished MAC */
527         if (s->version != DTLS1_BAD_VER && !ssl3_init_finished_mac(s)) {
528             ossl_statem_set_error(s);
529             return WORK_ERROR;
530         }
531         /*
532          * The next message should be another ClientHello which we need to
533          * treat like it was the first packet
534          */
535         s->first_packet = 1;
536         break;
537
538     case TLS_ST_SW_SRVR_HELLO:
539 #ifndef OPENSSL_NO_SCTP
540         if (SSL_IS_DTLS(s) && s->hit) {
541             unsigned char sctpauthkey[64];
542             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
543
544             /*
545              * Add new shared key for SCTP-Auth, will be ignored if no
546              * SCTP used.
547              */
548             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
549                    sizeof(DTLS1_SCTP_AUTH_LABEL));
550
551             if (SSL_export_keying_material(s, sctpauthkey,
552                     sizeof(sctpauthkey), labelbuffer,
553                     sizeof(labelbuffer), NULL, 0, 0) <= 0) {
554                 ossl_statem_set_error(s);
555                 return WORK_ERROR;
556             }
557
558             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
559                      sizeof(sctpauthkey), sctpauthkey);
560         }
561 #endif
562         break;
563
564     case TLS_ST_SW_CHANGE:
565 #ifndef OPENSSL_NO_SCTP
566         if (SSL_IS_DTLS(s) && !s->hit) {
567             /*
568              * Change to new shared key of SCTP-Auth, will be ignored if
569              * no SCTP used.
570              */
571             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
572                      0, NULL);
573         }
574 #endif
575         if (!s->method->ssl3_enc->change_cipher_state(s,
576                 SSL3_CHANGE_CIPHER_SERVER_WRITE)) {
577             ossl_statem_set_error(s);
578             return WORK_ERROR;
579         }
580
581         if (SSL_IS_DTLS(s))
582             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
583         break;
584
585     case TLS_ST_SW_SRVR_DONE:
586         if (statem_flush(s) != 1)
587             return WORK_MORE_A;
588         break;
589
590     case TLS_ST_SW_FINISHED:
591         if (statem_flush(s) != 1)
592             return WORK_MORE_A;
593 #ifndef OPENSSL_NO_SCTP
594         if (SSL_IS_DTLS(s) && s->hit) {
595             /*
596              * Change to new shared key of SCTP-Auth, will be ignored if
597              * no SCTP used.
598              */
599             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
600                      0, NULL);
601         }
602 #endif
603         break;
604
605     default:
606         /* No post work to be done */
607         break;
608     }
609
610     return WORK_FINISHED_CONTINUE;
611 }
612
613 /*
614  * Construct a message to be sent from the server to the client.
615  *
616  * Valid return values are:
617  *   1: Success
618  *   0: Error
619  */
620 int ossl_statem_server_construct_message(SSL *s)
621 {
622     OSSL_STATEM *st = &s->statem;
623
624     switch(st->hand_state) {
625     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
626         return dtls_construct_hello_verify_request(s);
627
628     case TLS_ST_SW_HELLO_REQ:
629         return tls_construct_hello_request(s);
630
631     case TLS_ST_SW_SRVR_HELLO:
632         return tls_construct_server_hello(s);
633
634     case TLS_ST_SW_CERT:
635         return tls_construct_server_certificate(s);
636
637     case TLS_ST_SW_KEY_EXCH:
638         return tls_construct_server_key_exchange(s);
639
640     case TLS_ST_SW_CERT_REQ:
641         return tls_construct_certificate_request(s);
642
643     case TLS_ST_SW_SRVR_DONE:
644         return tls_construct_server_done(s);
645
646     case TLS_ST_SW_SESSION_TICKET:
647         return tls_construct_new_session_ticket(s);
648
649     case TLS_ST_SW_CERT_STATUS:
650         return tls_construct_cert_status(s);
651
652     case TLS_ST_SW_CHANGE:
653         if (SSL_IS_DTLS(s))
654             return dtls_construct_change_cipher_spec(s);
655         else
656             return tls_construct_change_cipher_spec(s);
657
658     case TLS_ST_SW_FINISHED:
659         return tls_construct_finished(s,
660                                       s->method->
661                                       ssl3_enc->server_finished_label,
662                                       s->method->
663                                       ssl3_enc->server_finished_label_len);
664
665     default:
666         /* Shouldn't happen */
667         break;
668     }
669
670     return 0;
671 }
672
673 /*
674  * Maximum size (excluding the Handshake header) of a ClientHello message,
675  * calculated as follows:
676  *
677  *  2 + # client_version
678  *  32 + # only valid length for random
679  *  1 + # length of session_id
680  *  32 + # maximum size for session_id
681  *  2 + # length of cipher suites
682  *  2^16-2 + # maximum length of cipher suites array
683  *  1 + # length of compression_methods
684  *  2^8-1 + # maximum length of compression methods
685  *  2 + # length of extensions
686  *  2^16-1 # maximum length of extensions
687  */
688 #define CLIENT_HELLO_MAX_LENGTH         131396
689
690 #define CLIENT_KEY_EXCH_MAX_LENGTH      2048
691 #define NEXT_PROTO_MAX_LENGTH           514
692
693 /*
694  * Returns the maximum allowed length for the current message that we are
695  * reading. Excludes the message header.
696  */
697 unsigned long ossl_statem_server_max_message_size(SSL *s)
698 {
699     OSSL_STATEM *st = &s->statem;
700
701     switch(st->hand_state) {
702     case TLS_ST_SR_CLNT_HELLO:
703         return CLIENT_HELLO_MAX_LENGTH;
704
705     case TLS_ST_SR_CERT:
706         return s->max_cert_list;
707
708     case TLS_ST_SR_KEY_EXCH:
709         return CLIENT_KEY_EXCH_MAX_LENGTH;
710
711     case TLS_ST_SR_CERT_VRFY:
712         return SSL3_RT_MAX_PLAIN_LENGTH;
713
714 #ifndef OPENSSL_NO_NEXTPROTONEG
715     case TLS_ST_SR_NEXT_PROTO:
716         return NEXT_PROTO_MAX_LENGTH;
717 #endif
718
719     case TLS_ST_SR_CHANGE:
720         return CCS_MAX_LENGTH;
721
722     case TLS_ST_SR_FINISHED:
723         return FINISHED_MAX_LENGTH;
724
725     default:
726         /* Shouldn't happen */
727         break;
728     }
729
730     return 0;
731 }
732
733 /*
734  * Process a message that the server has received from the client.
735  */
736 MSG_PROCESS_RETURN ossl_statem_server_process_message(SSL *s, PACKET *pkt)
737 {
738     OSSL_STATEM *st = &s->statem;
739
740     switch(st->hand_state) {
741     case TLS_ST_SR_CLNT_HELLO:
742         return tls_process_client_hello(s, pkt);
743
744     case TLS_ST_SR_CERT:
745         return tls_process_client_certificate(s, pkt);
746
747     case TLS_ST_SR_KEY_EXCH:
748         return tls_process_client_key_exchange(s, pkt);
749
750     case TLS_ST_SR_CERT_VRFY:
751         return tls_process_cert_verify(s, pkt);
752
753 #ifndef OPENSSL_NO_NEXTPROTONEG
754     case TLS_ST_SR_NEXT_PROTO:
755         return tls_process_next_proto(s, pkt);
756 #endif
757
758     case TLS_ST_SR_CHANGE:
759         return tls_process_change_cipher_spec(s, pkt);
760
761     case TLS_ST_SR_FINISHED:
762         return tls_process_finished(s, pkt);
763
764     default:
765         /* Shouldn't happen */
766         break;
767     }
768
769     return MSG_PROCESS_ERROR;
770 }
771
772 /*
773  * Perform any further processing required following the receipt of a message
774  * from the client
775  */
776 WORK_STATE ossl_statem_server_post_process_message(SSL *s, WORK_STATE wst)
777 {
778     OSSL_STATEM *st = &s->statem;
779
780     switch(st->hand_state) {
781     case TLS_ST_SR_CLNT_HELLO:
782         return tls_post_process_client_hello(s, wst);
783
784     case TLS_ST_SR_KEY_EXCH:
785         return tls_post_process_client_key_exchange(s, wst);
786
787     case TLS_ST_SR_CERT_VRFY:
788 #ifndef OPENSSL_NO_SCTP
789         if (    /* Is this SCTP? */
790                 BIO_dgram_is_sctp(SSL_get_wbio(s))
791                 /* Are we renegotiating? */
792                 && s->renegotiate
793                 && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
794             s->s3->in_read_app_data = 2;
795             s->rwstate = SSL_READING;
796             BIO_clear_retry_flags(SSL_get_rbio(s));
797             BIO_set_retry_read(SSL_get_rbio(s));
798             ossl_statem_set_sctp_read_sock(s, 1);
799             return WORK_MORE_A;
800         } else {
801             ossl_statem_set_sctp_read_sock(s, 0);
802         }
803 #endif
804         return WORK_FINISHED_CONTINUE;
805
806     default:
807         break;
808     }
809
810     /* Shouldn't happen */
811     return WORK_ERROR;
812 }
813
814 #ifndef OPENSSL_NO_SRP
815 static int ssl_check_srp_ext_ClientHello(SSL *s, int *al)
816 {
817     int ret = SSL_ERROR_NONE;
818
819     *al = SSL_AD_UNRECOGNIZED_NAME;
820
821     if ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) &&
822         (s->srp_ctx.TLS_ext_srp_username_callback != NULL)) {
823         if (s->srp_ctx.login == NULL) {
824             /*
825              * RFC 5054 says SHOULD reject, we do so if There is no srp
826              * login name
827              */
828             ret = SSL3_AL_FATAL;
829             *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
830         } else {
831             ret = SSL_srp_server_param_with_username(s, al);
832         }
833     }
834     return ret;
835 }
836 #endif
837
838 int tls_construct_hello_request(SSL *s)
839 {
840     if (!ssl_set_handshake_header(s, SSL3_MT_HELLO_REQUEST, 0)) {
841         SSLerr(SSL_F_TLS_CONSTRUCT_HELLO_REQUEST, ERR_R_INTERNAL_ERROR);
842         ossl_statem_set_error(s);
843         return 0;
844     }
845
846     return 1;
847 }
848
849 unsigned int dtls_raw_hello_verify_request(unsigned char *buf,
850                                             unsigned char *cookie,
851                                             unsigned char cookie_len)
852 {
853     unsigned int msg_len;
854     unsigned char *p;
855
856     p = buf;
857     /* Always use DTLS 1.0 version: see RFC 6347 */
858     *(p++) = DTLS1_VERSION >> 8;
859     *(p++) = DTLS1_VERSION & 0xFF;
860
861     *(p++) = (unsigned char)cookie_len;
862     memcpy(p, cookie, cookie_len);
863     p += cookie_len;
864     msg_len = p - buf;
865
866     return msg_len;
867 }
868
869 int dtls_construct_hello_verify_request(SSL *s)
870 {
871     unsigned int len;
872     unsigned char *buf;
873
874     buf = (unsigned char *)s->init_buf->data;
875
876     if (s->ctx->app_gen_cookie_cb == NULL ||
877         s->ctx->app_gen_cookie_cb(s, s->d1->cookie,
878                                   &(s->d1->cookie_len)) == 0 ||
879         s->d1->cookie_len > 255) {
880         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST,
881                SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
882         ossl_statem_set_error(s);
883         return 0;
884     }
885
886     len = dtls_raw_hello_verify_request(&buf[DTLS1_HM_HEADER_LENGTH],
887                                          s->d1->cookie, s->d1->cookie_len);
888
889     dtls1_set_message_header(s, DTLS1_MT_HELLO_VERIFY_REQUEST, len, 0,
890                              len);
891     len += DTLS1_HM_HEADER_LENGTH;
892
893     /* number of bytes to write */
894     s->init_num = len;
895     s->init_off = 0;
896
897     return 1;
898 }
899
900 MSG_PROCESS_RETURN tls_process_client_hello(SSL *s, PACKET *pkt)
901 {
902     int i, al = SSL_AD_INTERNAL_ERROR;
903     unsigned int j, complen = 0;
904     unsigned long id;
905     const SSL_CIPHER *c;
906 #ifndef OPENSSL_NO_COMP
907     SSL_COMP *comp = NULL;
908 #endif
909     STACK_OF(SSL_CIPHER) *ciphers = NULL;
910     int protverr;
911     /* |cookie| will only be initialized for DTLS. */
912     PACKET session_id, cipher_suites, compression, extensions, cookie;
913     int is_v2_record;
914     static const unsigned char null_compression = 0;
915
916     is_v2_record = RECORD_LAYER_is_sslv2_record(&s->rlayer);
917
918     PACKET_null_init(&cookie);
919     /* First lets get s->client_version set correctly */
920     if (is_v2_record) {
921         unsigned int version;
922         unsigned int mt;
923         /*-
924          * An SSLv3/TLSv1 backwards-compatible CLIENT-HELLO in an SSLv2
925          * header is sent directly on the wire, not wrapped as a TLS
926          * record. Our record layer just processes the message length and passes
927          * the rest right through. Its format is:
928          * Byte  Content
929          * 0-1   msg_length - decoded by the record layer
930          * 2     msg_type - s->init_msg points here
931          * 3-4   version
932          * 5-6   cipher_spec_length
933          * 7-8   session_id_length
934          * 9-10  challenge_length
935          * ...   ...
936          */
937
938         if (!PACKET_get_1(pkt, &mt)
939                 || mt != SSL2_MT_CLIENT_HELLO) {
940             /*
941              * Should never happen. We should have tested this in the record
942              * layer in order to have determined that this is a SSLv2 record
943              * in the first place
944              */
945             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
946             goto err;
947         }
948
949         if (!PACKET_get_net_2(pkt, &version)) {
950             /* No protocol version supplied! */
951             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
952             goto err;
953         }
954         if (version == 0x0002) {
955             /* This is real SSLv2. We don't support it. */
956             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
957             goto err;
958         } else if ((version & 0xff00) == (SSL3_VERSION_MAJOR << 8)) {
959             /* SSLv3/TLS */
960             s->client_version = version;
961         } else {
962             /* No idea what protocol this is */
963             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
964             goto err;
965         }
966     } else {
967         /*
968          * use version from inside client hello, not from record header (may
969          * differ: see RFC 2246, Appendix E, second paragraph)
970          */
971         if(!PACKET_get_net_2(pkt, (unsigned int *)&s->client_version)) {
972             al = SSL_AD_DECODE_ERROR;
973             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_TOO_SHORT);
974             goto f_err;
975         }
976     }
977
978     /*
979      * Do SSL/TLS version negotiation if applicable. For DTLS we just check
980      * versions are potentially compatible. Version negotiation comes later.
981      */
982     if (!SSL_IS_DTLS(s)) {
983         protverr = ssl_choose_server_version(s);
984     } else if (s->method->version != DTLS_ANY_VERSION &&
985                DTLS_VERSION_LT(s->client_version, s->version)) {
986         protverr = SSL_R_VERSION_TOO_LOW;
987     } else {
988         protverr = 0;
989     }
990
991     if (protverr) {
992         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
993         if ((!s->enc_write_ctx && !s->write_hash)) {
994             /*
995              * similar to ssl3_get_record, send alert using remote version
996              * number
997              */
998             s->version = s->client_version;
999         }
1000         al = SSL_AD_PROTOCOL_VERSION;
1001         goto f_err;
1002     }
1003
1004     /* Parse the message and load client random. */
1005     if (is_v2_record) {
1006         /*
1007          * Handle an SSLv2 backwards compatible ClientHello
1008          * Note, this is only for SSLv3+ using the backward compatible format.
1009          * Real SSLv2 is not supported, and is rejected above.
1010          */
1011         unsigned int cipher_len, session_id_len, challenge_len;
1012         PACKET challenge;
1013
1014         if (!PACKET_get_net_2(pkt, &cipher_len)
1015                 || !PACKET_get_net_2(pkt, &session_id_len)
1016                 || !PACKET_get_net_2(pkt, &challenge_len)) {
1017             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1018                    SSL_R_RECORD_LENGTH_MISMATCH);
1019             al = SSL_AD_DECODE_ERROR;
1020             goto f_err;
1021         }
1022
1023         if (session_id_len > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1024             al = SSL_AD_DECODE_ERROR;
1025             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1026             goto f_err;
1027         }
1028
1029         if (!PACKET_get_sub_packet(pkt, &cipher_suites, cipher_len)
1030             || !PACKET_get_sub_packet(pkt, &session_id, session_id_len)
1031             || !PACKET_get_sub_packet(pkt, &challenge, challenge_len)
1032             /* No extensions. */
1033             || PACKET_remaining(pkt) != 0) {
1034             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1035                    SSL_R_RECORD_LENGTH_MISMATCH);
1036             al = SSL_AD_DECODE_ERROR;
1037             goto f_err;
1038         }
1039
1040         /* Load the client random and compression list. */
1041         challenge_len = challenge_len > SSL3_RANDOM_SIZE ? SSL3_RANDOM_SIZE :
1042             challenge_len;
1043         memset(s->s3->client_random, 0, SSL3_RANDOM_SIZE);
1044         if (!PACKET_copy_bytes(&challenge,
1045                                s->s3->client_random + SSL3_RANDOM_SIZE -
1046                                challenge_len, challenge_len)
1047             /* Advertise only null compression. */
1048             || !PACKET_buf_init(&compression, &null_compression, 1)) {
1049             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1050             al = SSL_AD_INTERNAL_ERROR;
1051             goto f_err;
1052         }
1053
1054         PACKET_null_init(&extensions);
1055     } else {
1056         /* Regular ClientHello. */
1057         if (!PACKET_copy_bytes(pkt, s->s3->client_random, SSL3_RANDOM_SIZE)
1058             || !PACKET_get_length_prefixed_1(pkt, &session_id)) {
1059             al = SSL_AD_DECODE_ERROR;
1060             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1061             goto f_err;
1062         }
1063
1064         if (PACKET_remaining(&session_id) > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1065             al = SSL_AD_DECODE_ERROR;
1066             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1067             goto f_err;
1068         }
1069
1070         if (SSL_IS_DTLS(s)) {
1071             if (!PACKET_get_length_prefixed_1(pkt, &cookie)) {
1072                 al = SSL_AD_DECODE_ERROR;
1073                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1074                 goto f_err;
1075             }
1076             /*
1077              * If we require cookies and this ClientHello doesn't contain one,
1078              * just return since we do not want to allocate any memory yet.
1079              * So check cookie length...
1080              */
1081             if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1082                 if (PACKET_remaining(&cookie) == 0)
1083                 return 1;
1084             }
1085         }
1086
1087         if (!PACKET_get_length_prefixed_2(pkt, &cipher_suites)
1088             || !PACKET_get_length_prefixed_1(pkt, &compression)) {
1089                 al = SSL_AD_DECODE_ERROR;
1090                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1091                 goto f_err;
1092         }
1093         /* Could be empty. */
1094         extensions = *pkt;
1095     }
1096
1097     if (SSL_IS_DTLS(s)) {
1098         /* Empty cookie was already handled above by returning early. */
1099         if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1100             if (s->ctx->app_verify_cookie_cb != NULL) {
1101                 if (s->ctx->app_verify_cookie_cb(s, PACKET_data(&cookie),
1102                                                  PACKET_remaining(&cookie)) == 0) {
1103                     al = SSL_AD_HANDSHAKE_FAILURE;
1104                     SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1105                            SSL_R_COOKIE_MISMATCH);
1106                     goto f_err;
1107                     /* else cookie verification succeeded */
1108                 }
1109             /* default verification */
1110             } else if (!PACKET_equal(&cookie, s->d1->cookie,
1111                                      s->d1->cookie_len)) {
1112                 al = SSL_AD_HANDSHAKE_FAILURE;
1113                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_COOKIE_MISMATCH);
1114                 goto f_err;
1115             }
1116             s->d1->cookie_verified = 1;
1117         }
1118         if (s->method->version == DTLS_ANY_VERSION) {
1119             protverr = ssl_choose_server_version(s);
1120             if (protverr != 0) {
1121                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1122                 s->version = s->client_version;
1123                 al = SSL_AD_PROTOCOL_VERSION;
1124                 goto f_err;
1125             }
1126         }
1127     }
1128
1129     s->hit = 0;
1130
1131     /*
1132      * We don't allow resumption in a backwards compatible ClientHello.
1133      * TODO(openssl-team): in TLS1.1+, session_id MUST be empty.
1134      *
1135      * Versions before 0.9.7 always allow clients to resume sessions in
1136      * renegotiation. 0.9.7 and later allow this by default, but optionally
1137      * ignore resumption requests with flag
1138      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION (it's a new flag rather
1139      * than a change to default behavior so that applications relying on
1140      * this for security won't even compile against older library versions).
1141      * 1.0.1 and later also have a function SSL_renegotiate_abbreviated() to
1142      * request renegotiation but not a new session (s->new_session remains
1143      * unset): for servers, this essentially just means that the
1144      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION setting will be
1145      * ignored.
1146      */
1147     if (is_v2_record ||
1148         (s->new_session &&
1149          (s->options & SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION))) {
1150         if (!ssl_get_new_session(s, 1))
1151             goto err;
1152     } else {
1153         i = ssl_get_prev_session(s, &extensions, &session_id);
1154         /*
1155          * Only resume if the session's version matches the negotiated
1156          * version.
1157          * RFC 5246 does not provide much useful advice on resumption
1158          * with a different protocol version. It doesn't forbid it but
1159          * the sanity of such behaviour would be questionable.
1160          * In practice, clients do not accept a version mismatch and
1161          * will abort the handshake with an error.
1162          */
1163         if (i == 1 && s->version == s->session->ssl_version) {
1164             /* previous session */
1165             s->hit = 1;
1166         } else if (i == -1) {
1167             goto err;
1168         } else {
1169             /* i == 0 */
1170             if (!ssl_get_new_session(s, 1))
1171                 goto err;
1172         }
1173     }
1174
1175     if (ssl_bytes_to_cipher_list(s, &cipher_suites, &(ciphers),
1176                                  is_v2_record, &al) == NULL) {
1177         goto f_err;
1178     }
1179
1180     /* If it is a hit, check that the cipher is in the list */
1181     if (s->hit) {
1182         j = 0;
1183         id = s->session->cipher->id;
1184
1185 #ifdef CIPHER_DEBUG
1186         fprintf(stderr, "client sent %d ciphers\n",
1187                 sk_SSL_CIPHER_num(ciphers));
1188 #endif
1189         for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
1190             c = sk_SSL_CIPHER_value(ciphers, i);
1191 #ifdef CIPHER_DEBUG
1192             fprintf(stderr, "client [%2d of %2d]:%s\n",
1193                     i, sk_SSL_CIPHER_num(ciphers), SSL_CIPHER_get_name(c));
1194 #endif
1195             if (c->id == id) {
1196                 j = 1;
1197                 break;
1198             }
1199         }
1200         if (j == 0) {
1201             /*
1202              * we need to have the cipher in the cipher list if we are asked
1203              * to reuse it
1204              */
1205             al = SSL_AD_ILLEGAL_PARAMETER;
1206             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1207                    SSL_R_REQUIRED_CIPHER_MISSING);
1208             goto f_err;
1209         }
1210     }
1211
1212     complen = PACKET_remaining(&compression);
1213     for (j = 0; j < complen; j++) {
1214         if (PACKET_data(&compression)[j] == 0)
1215             break;
1216     }
1217
1218     if (j >= complen) {
1219         /* no compress */
1220         al = SSL_AD_DECODE_ERROR;
1221         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_COMPRESSION_SPECIFIED);
1222         goto f_err;
1223     }
1224
1225     /* TLS extensions */
1226     if (s->version >= SSL3_VERSION) {
1227         if (!ssl_parse_clienthello_tlsext(s, &extensions)) {
1228             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_PARSE_TLSEXT);
1229             goto err;
1230         }
1231     }
1232
1233     /*
1234      * Check if we want to use external pre-shared secret for this handshake
1235      * for not reused session only. We need to generate server_random before
1236      * calling tls_session_secret_cb in order to allow SessionTicket
1237      * processing to use it in key derivation.
1238      */
1239     {
1240         unsigned char *pos;
1241         pos = s->s3->server_random;
1242         if (ssl_fill_hello_random(s, 1, pos, SSL3_RANDOM_SIZE) <= 0) {
1243             goto f_err;
1244         }
1245     }
1246
1247     if (!s->hit && s->version >= TLS1_VERSION && s->tls_session_secret_cb) {
1248         const SSL_CIPHER *pref_cipher = NULL;
1249
1250         s->session->master_key_length = sizeof(s->session->master_key);
1251         if (s->tls_session_secret_cb(s, s->session->master_key,
1252                                      &s->session->master_key_length, ciphers,
1253                                      &pref_cipher,
1254                                      s->tls_session_secret_cb_arg)) {
1255             s->hit = 1;
1256             s->session->ciphers = ciphers;
1257             s->session->verify_result = X509_V_OK;
1258
1259             ciphers = NULL;
1260
1261             /* check if some cipher was preferred by call back */
1262             pref_cipher =
1263                 pref_cipher ? pref_cipher : ssl3_choose_cipher(s,
1264                                                                s->
1265                                                                session->ciphers,
1266                                                                SSL_get_ciphers
1267                                                                (s));
1268             if (pref_cipher == NULL) {
1269                 al = SSL_AD_HANDSHAKE_FAILURE;
1270                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1271                 goto f_err;
1272             }
1273
1274             s->session->cipher = pref_cipher;
1275             sk_SSL_CIPHER_free(s->cipher_list);
1276             s->cipher_list = sk_SSL_CIPHER_dup(s->session->ciphers);
1277             sk_SSL_CIPHER_free(s->cipher_list_by_id);
1278             s->cipher_list_by_id = sk_SSL_CIPHER_dup(s->session->ciphers);
1279         }
1280     }
1281
1282     /*
1283      * Worst case, we will use the NULL compression, but if we have other
1284      * options, we will now look for them.  We have complen-1 compression
1285      * algorithms from the client, starting at q.
1286      */
1287     s->s3->tmp.new_compression = NULL;
1288 #ifndef OPENSSL_NO_COMP
1289     /* This only happens if we have a cache hit */
1290     if (s->session->compress_meth != 0) {
1291         int m, comp_id = s->session->compress_meth;
1292         unsigned int k;
1293         /* Perform sanity checks on resumed compression algorithm */
1294         /* Can't disable compression */
1295         if (!ssl_allow_compression(s)) {
1296             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1297                    SSL_R_INCONSISTENT_COMPRESSION);
1298             goto f_err;
1299         }
1300         /* Look for resumed compression method */
1301         for (m = 0; m < sk_SSL_COMP_num(s->ctx->comp_methods); m++) {
1302             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1303             if (comp_id == comp->id) {
1304                 s->s3->tmp.new_compression = comp;
1305                 break;
1306             }
1307         }
1308         if (s->s3->tmp.new_compression == NULL) {
1309             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1310                    SSL_R_INVALID_COMPRESSION_ALGORITHM);
1311             goto f_err;
1312         }
1313         /* Look for resumed method in compression list */
1314         for (k = 0; k < complen; k++) {
1315             if (PACKET_data(&compression)[k] == comp_id)
1316                 break;
1317         }
1318         if (k >= complen) {
1319             al = SSL_AD_ILLEGAL_PARAMETER;
1320             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1321                    SSL_R_REQUIRED_COMPRESSION_ALGORITHM_MISSING);
1322             goto f_err;
1323         }
1324     } else if (s->hit)
1325         comp = NULL;
1326     else if (ssl_allow_compression(s) && s->ctx->comp_methods) {
1327         /* See if we have a match */
1328         int m, nn, v, done = 0;
1329         unsigned int o;
1330
1331         nn = sk_SSL_COMP_num(s->ctx->comp_methods);
1332         for (m = 0; m < nn; m++) {
1333             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1334             v = comp->id;
1335             for (o = 0; o < complen; o++) {
1336                 if (v == PACKET_data(&compression)[o]) {
1337                     done = 1;
1338                     break;
1339                 }
1340             }
1341             if (done)
1342                 break;
1343         }
1344         if (done)
1345             s->s3->tmp.new_compression = comp;
1346         else
1347             comp = NULL;
1348     }
1349 #else
1350     /*
1351      * If compression is disabled we'd better not try to resume a session
1352      * using compression.
1353      */
1354     if (s->session->compress_meth != 0) {
1355         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1356         goto f_err;
1357     }
1358 #endif
1359
1360     /*
1361      * Given s->session->ciphers and SSL_get_ciphers, we must pick a cipher
1362      */
1363
1364     if (!s->hit) {
1365 #ifdef OPENSSL_NO_COMP
1366         s->session->compress_meth = 0;
1367 #else
1368         s->session->compress_meth = (comp == NULL) ? 0 : comp->id;
1369 #endif
1370         sk_SSL_CIPHER_free(s->session->ciphers);
1371         s->session->ciphers = ciphers;
1372         if (ciphers == NULL) {
1373             al = SSL_AD_INTERNAL_ERROR;
1374             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1375             goto f_err;
1376         }
1377         ciphers = NULL;
1378         if (!tls1_set_server_sigalgs(s)) {
1379             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1380             goto err;
1381         }
1382     }
1383
1384     sk_SSL_CIPHER_free(ciphers);
1385     return MSG_PROCESS_CONTINUE_PROCESSING;
1386  f_err:
1387     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1388  err:
1389     ossl_statem_set_error(s);
1390
1391     sk_SSL_CIPHER_free(ciphers);
1392     return MSG_PROCESS_ERROR;
1393
1394 }
1395
1396 WORK_STATE tls_post_process_client_hello(SSL *s, WORK_STATE wst)
1397 {
1398     int al = SSL_AD_HANDSHAKE_FAILURE;
1399     const SSL_CIPHER *cipher;
1400
1401     if (wst == WORK_MORE_A) {
1402         if (!s->hit) {
1403             /* Let cert callback update server certificates if required */
1404             if (s->cert->cert_cb) {
1405                 int rv = s->cert->cert_cb(s, s->cert->cert_cb_arg);
1406                 if (rv == 0) {
1407                     al = SSL_AD_INTERNAL_ERROR;
1408                     SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO, SSL_R_CERT_CB_ERROR);
1409                     goto f_err;
1410                 }
1411                 if (rv < 0) {
1412                     s->rwstate = SSL_X509_LOOKUP;
1413                     return WORK_MORE_A;
1414                 }
1415                 s->rwstate = SSL_NOTHING;
1416             }
1417             cipher = ssl3_choose_cipher(s, s->session->ciphers, SSL_get_ciphers(s));
1418
1419             if (cipher == NULL) {
1420                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1421                 goto f_err;
1422             }
1423             s->s3->tmp.new_cipher = cipher;
1424             /* check whether we should disable session resumption */
1425             if (s->not_resumable_session_cb != NULL)
1426                 s->session->not_resumable = s->not_resumable_session_cb(s,
1427                     ((cipher->algorithm_mkey & (SSL_kDHE | SSL_kECDHE)) != 0));
1428             if (s->session->not_resumable)
1429                 /* do not send a session ticket */
1430                 s->tlsext_ticket_expected = 0;
1431         } else {
1432             /* Session-id reuse */
1433             s->s3->tmp.new_cipher = s->session->cipher;
1434         }
1435
1436         if (!(s->verify_mode & SSL_VERIFY_PEER)) {
1437             if (!ssl3_digest_cached_records(s, 0)) {
1438                 al = SSL_AD_INTERNAL_ERROR;
1439                 goto f_err;
1440             }
1441         }
1442
1443         /*-
1444          * we now have the following setup.
1445          * client_random
1446          * cipher_list          - our prefered list of ciphers
1447          * ciphers              - the clients prefered list of ciphers
1448          * compression          - basically ignored right now
1449          * ssl version is set   - sslv3
1450          * s->session           - The ssl session has been setup.
1451          * s->hit               - session reuse flag
1452          * s->s3->tmp.new_cipher- the new cipher to use.
1453          */
1454
1455         /* Handles TLS extensions that we couldn't check earlier */
1456         if (s->version >= SSL3_VERSION) {
1457             if (ssl_check_clienthello_tlsext_late(s) <= 0) {
1458                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1459                        SSL_R_CLIENTHELLO_TLSEXT);
1460                 goto f_err;
1461             }
1462         }
1463
1464         wst = WORK_MORE_B;
1465     }
1466 #ifndef OPENSSL_NO_SRP
1467     if (wst == WORK_MORE_B) {
1468         int ret;
1469         if ((ret = ssl_check_srp_ext_ClientHello(s, &al)) < 0) {
1470             /*
1471              * callback indicates further work to be done
1472              */
1473             s->rwstate = SSL_X509_LOOKUP;
1474             return WORK_MORE_B;
1475         }
1476         if (ret != SSL_ERROR_NONE) {
1477             /*
1478              * This is not really an error but the only means to for
1479              * a client to detect whether srp is supported.
1480              */
1481             if (al != TLS1_AD_UNKNOWN_PSK_IDENTITY)
1482                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1483                            SSL_R_CLIENTHELLO_TLSEXT);
1484             goto f_err;
1485         }
1486     }
1487 #endif
1488     s->renegotiate = 2;
1489
1490     return WORK_FINISHED_STOP;
1491  f_err:
1492     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1493     ossl_statem_set_error(s);
1494     return WORK_ERROR;
1495 }
1496
1497 int tls_construct_server_hello(SSL *s)
1498 {
1499     unsigned char *buf;
1500     unsigned char *p, *d;
1501     int i, sl;
1502     int al = 0;
1503     unsigned long l;
1504
1505     buf = (unsigned char *)s->init_buf->data;
1506
1507     /* Do the message type and length last */
1508     d = p = ssl_handshake_start(s);
1509
1510     *(p++) = s->version >> 8;
1511     *(p++) = s->version & 0xff;
1512
1513     /*
1514      * Random stuff. Filling of the server_random takes place in
1515      * tls_process_client_hello()
1516      */
1517     memcpy(p, s->s3->server_random, SSL3_RANDOM_SIZE);
1518     p += SSL3_RANDOM_SIZE;
1519
1520     /*-
1521      * There are several cases for the session ID to send
1522      * back in the server hello:
1523      * - For session reuse from the session cache,
1524      *   we send back the old session ID.
1525      * - If stateless session reuse (using a session ticket)
1526      *   is successful, we send back the client's "session ID"
1527      *   (which doesn't actually identify the session).
1528      * - If it is a new session, we send back the new
1529      *   session ID.
1530      * - However, if we want the new session to be single-use,
1531      *   we send back a 0-length session ID.
1532      * s->hit is non-zero in either case of session reuse,
1533      * so the following won't overwrite an ID that we're supposed
1534      * to send back.
1535      */
1536     if (s->session->not_resumable ||
1537         (!(s->ctx->session_cache_mode & SSL_SESS_CACHE_SERVER)
1538          && !s->hit))
1539         s->session->session_id_length = 0;
1540
1541     sl = s->session->session_id_length;
1542     if (sl > (int)sizeof(s->session->session_id)) {
1543         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1544         ossl_statem_set_error(s);
1545         return 0;
1546     }
1547     *(p++) = sl;
1548     memcpy(p, s->session->session_id, sl);
1549     p += sl;
1550
1551     /* put the cipher */
1552     i = ssl3_put_cipher_by_char(s->s3->tmp.new_cipher, p);
1553     p += i;
1554
1555     /* put the compression method */
1556 #ifdef OPENSSL_NO_COMP
1557     *(p++) = 0;
1558 #else
1559     if (s->s3->tmp.new_compression == NULL)
1560         *(p++) = 0;
1561     else
1562         *(p++) = s->s3->tmp.new_compression->id;
1563 #endif
1564
1565     if (ssl_prepare_serverhello_tlsext(s) <= 0) {
1566         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, SSL_R_SERVERHELLO_TLSEXT);
1567         ossl_statem_set_error(s);
1568         return 0;
1569     }
1570     if ((p =
1571          ssl_add_serverhello_tlsext(s, p, buf + SSL3_RT_MAX_PLAIN_LENGTH,
1572                                     &al)) == NULL) {
1573         ssl3_send_alert(s, SSL3_AL_FATAL, al);
1574         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1575         ossl_statem_set_error(s);
1576         return 0;
1577     }
1578
1579     /* do the header */
1580     l = (p - d);
1581     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_HELLO, l)) {
1582         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1583         ossl_statem_set_error(s);
1584         return 0;
1585     }
1586
1587     return 1;
1588 }
1589
1590 int tls_construct_server_done(SSL *s)
1591 {
1592     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_DONE, 0)) {
1593         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_DONE, ERR_R_INTERNAL_ERROR);
1594         ossl_statem_set_error(s);
1595         return 0;
1596     }
1597
1598     if (!s->s3->tmp.cert_request) {
1599         if (!ssl3_digest_cached_records(s, 0)) {
1600             ossl_statem_set_error(s);
1601         }
1602     }
1603
1604     return 1;
1605 }
1606
1607 int tls_construct_server_key_exchange(SSL *s)
1608 {
1609 #ifndef OPENSSL_NO_DH
1610     EVP_PKEY *pkdh = NULL;
1611 #endif
1612 #ifndef OPENSSL_NO_EC
1613     unsigned char *encodedPoint = NULL;
1614     int encodedlen = 0;
1615     int curve_id = 0;
1616 #endif
1617     EVP_PKEY *pkey;
1618     const EVP_MD *md = NULL;
1619     unsigned char *p, *d;
1620     int al, i;
1621     unsigned long type;
1622     int n;
1623     const BIGNUM *r[4];
1624     int nr[4], kn;
1625     BUF_MEM *buf;
1626     EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();
1627
1628     if (md_ctx == NULL) {
1629         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
1630         al = SSL_AD_INTERNAL_ERROR;
1631         goto f_err;
1632     }
1633
1634     type = s->s3->tmp.new_cipher->algorithm_mkey;
1635
1636     buf = s->init_buf;
1637
1638     r[0] = r[1] = r[2] = r[3] = NULL;
1639     n = 0;
1640 #ifndef OPENSSL_NO_PSK
1641     if (type & SSL_PSK) {
1642         /*
1643          * reserve size for record length and PSK identity hint
1644          */
1645         n += 2;
1646         if (s->cert->psk_identity_hint)
1647             n += strlen(s->cert->psk_identity_hint);
1648     }
1649     /* Plain PSK or RSAPSK nothing to do */
1650     if (type & (SSL_kPSK | SSL_kRSAPSK)) {
1651     } else
1652 #endif                          /* !OPENSSL_NO_PSK */
1653 #ifndef OPENSSL_NO_DH
1654     if (type & (SSL_kDHE | SSL_kDHEPSK)) {
1655         CERT *cert = s->cert;
1656
1657         EVP_PKEY *pkdhp = NULL;
1658         DH *dh;
1659
1660         if (s->cert->dh_tmp_auto) {
1661             DH *dhp = ssl_get_auto_dh(s);
1662             pkdh = EVP_PKEY_new();
1663             if (pkdh == NULL || dhp == NULL) {
1664                 DH_free(dhp);
1665                 al = SSL_AD_INTERNAL_ERROR;
1666                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1667                        ERR_R_INTERNAL_ERROR);
1668                 goto f_err;
1669             }
1670             EVP_PKEY_assign_DH(pkdh, dhp);
1671             pkdhp = pkdh;
1672         } else {
1673             pkdhp = cert->dh_tmp;
1674         }
1675         if ((pkdhp == NULL) && (s->cert->dh_tmp_cb != NULL)) {
1676             DH *dhp = s->cert->dh_tmp_cb(s, 0, 1024);
1677             pkdh = ssl_dh_to_pkey(dhp);
1678             if (pkdh == NULL) {
1679                 al = SSL_AD_INTERNAL_ERROR;
1680                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1681                        ERR_R_INTERNAL_ERROR);
1682                 goto f_err;
1683             }
1684             pkdhp = pkdh;
1685         }
1686         if (pkdhp == NULL) {
1687             al = SSL_AD_HANDSHAKE_FAILURE;
1688             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1689                    SSL_R_MISSING_TMP_DH_KEY);
1690             goto f_err;
1691         }
1692         if (!ssl_security(s, SSL_SECOP_TMP_DH,
1693                           EVP_PKEY_security_bits(pkdhp), 0, pkdhp)) {
1694             al = SSL_AD_HANDSHAKE_FAILURE;
1695             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1696                    SSL_R_DH_KEY_TOO_SMALL);
1697             goto f_err;
1698         }
1699         if (s->s3->tmp.pkey != NULL) {
1700             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1701                    ERR_R_INTERNAL_ERROR);
1702             goto err;
1703         }
1704
1705         s->s3->tmp.pkey = ssl_generate_pkey(pkdhp, NID_undef);
1706
1707         if (s->s3->tmp.pkey == NULL) {
1708             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1709             goto err;
1710         }
1711
1712         dh = EVP_PKEY_get0_DH(s->s3->tmp.pkey);
1713
1714         EVP_PKEY_free(pkdh);
1715         pkdh = NULL;
1716
1717         DH_get0_pqg(dh, &r[0], NULL, &r[1]);
1718         DH_get0_key(dh, &r[2], NULL);
1719     } else
1720 #endif
1721 #ifndef OPENSSL_NO_EC
1722     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1723         int nid;
1724
1725         if (s->s3->tmp.pkey != NULL) {
1726             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1727                    ERR_R_INTERNAL_ERROR);
1728             goto err;
1729         }
1730
1731         /* Get NID of appropriate shared curve */
1732         nid = tls1_shared_curve(s, -2);
1733         curve_id = tls1_ec_nid2curve_id(nid);
1734         if (curve_id == 0) {
1735             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1736                    SSL_R_UNSUPPORTED_ELLIPTIC_CURVE);
1737             goto err;
1738         }
1739         s->s3->tmp.pkey = ssl_generate_pkey(NULL, nid);
1740         /* Generate a new key for this curve */
1741         if (s->s3->tmp.pkey == NULL) {
1742             al = SSL_AD_INTERNAL_ERROR;
1743             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1744             goto f_err;
1745         }
1746
1747         /* Encode the public key. */
1748         encodedlen = EC_KEY_key2buf(EVP_PKEY_get0_EC_KEY(s->s3->tmp.pkey),
1749                                     POINT_CONVERSION_UNCOMPRESSED,
1750                                     &encodedPoint, NULL);
1751
1752         if (encodedlen == 0) {
1753             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EC_LIB);
1754             goto err;
1755         }
1756
1757         /*
1758          * We only support named (not generic) curves in ECDH ephemeral key
1759          * exchanges. In this situation, we need four additional bytes to
1760          * encode the entire ServerECDHParams structure.
1761          */
1762         n += 4 + encodedlen;
1763
1764         /*
1765          * We'll generate the serverKeyExchange message explicitly so we
1766          * can set these to NULLs
1767          */
1768         r[0] = NULL;
1769         r[1] = NULL;
1770         r[2] = NULL;
1771         r[3] = NULL;
1772     } else
1773 #endif                          /* !OPENSSL_NO_EC */
1774 #ifndef OPENSSL_NO_SRP
1775     if (type & SSL_kSRP) {
1776         if ((s->srp_ctx.N == NULL) ||
1777             (s->srp_ctx.g == NULL) ||
1778             (s->srp_ctx.s == NULL) || (s->srp_ctx.B == NULL)) {
1779             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1780                    SSL_R_MISSING_SRP_PARAM);
1781             goto err;
1782         }
1783         r[0] = s->srp_ctx.N;
1784         r[1] = s->srp_ctx.g;
1785         r[2] = s->srp_ctx.s;
1786         r[3] = s->srp_ctx.B;
1787     } else
1788 #endif
1789     {
1790         al = SSL_AD_HANDSHAKE_FAILURE;
1791         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1792                SSL_R_UNKNOWN_KEY_EXCHANGE_TYPE);
1793         goto f_err;
1794     }
1795     for (i = 0; i < 4 && r[i] != NULL; i++) {
1796         nr[i] = BN_num_bytes(r[i]);
1797 #ifndef OPENSSL_NO_SRP
1798         if ((i == 2) && (type & SSL_kSRP))
1799             n += 1 + nr[i];
1800         else
1801 #endif
1802             n += 2 + nr[i];
1803     }
1804
1805     if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL|SSL_aSRP))
1806         && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)) {
1807         if ((pkey = ssl_get_sign_pkey(s, s->s3->tmp.new_cipher, &md))
1808             == NULL) {
1809             al = SSL_AD_DECODE_ERROR;
1810             goto f_err;
1811         }
1812         kn = EVP_PKEY_size(pkey);
1813         /* Allow space for signature algorithm */
1814         if (SSL_USE_SIGALGS(s))
1815             kn += 2;
1816         /* Allow space for signature length */
1817         kn += 2;
1818     } else {
1819         pkey = NULL;
1820         kn = 0;
1821     }
1822
1823     if (!BUF_MEM_grow_clean(buf, n + SSL_HM_HEADER_LENGTH(s) + kn)) {
1824         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_LIB_BUF);
1825         goto err;
1826     }
1827     d = p = ssl_handshake_start(s);
1828
1829 #ifndef OPENSSL_NO_PSK
1830     if (type & SSL_PSK) {
1831         /* copy PSK identity hint */
1832         if (s->cert->psk_identity_hint) {
1833             s2n(strlen(s->cert->psk_identity_hint), p);
1834             strncpy((char *)p, s->cert->psk_identity_hint,
1835                     strlen(s->cert->psk_identity_hint));
1836             p += strlen(s->cert->psk_identity_hint);
1837         } else {
1838             s2n(0, p);
1839         }
1840     }
1841 #endif
1842
1843     for (i = 0; i < 4 && r[i] != NULL; i++) {
1844 #ifndef OPENSSL_NO_SRP
1845         if ((i == 2) && (type & SSL_kSRP)) {
1846             *p = nr[i];
1847             p++;
1848         } else
1849 #endif
1850             s2n(nr[i], p);
1851         BN_bn2bin(r[i], p);
1852         p += nr[i];
1853     }
1854
1855 #ifndef OPENSSL_NO_EC
1856     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1857         /*
1858          * XXX: For now, we only support named (not generic) curves. In
1859          * this situation, the serverKeyExchange message has: [1 byte
1860          * CurveType], [2 byte CurveName] [1 byte length of encoded
1861          * point], followed by the actual encoded point itself
1862          */
1863         *p = NAMED_CURVE_TYPE;
1864         p += 1;
1865         *p = 0;
1866         p += 1;
1867         *p = curve_id;
1868         p += 1;
1869         *p = encodedlen;
1870         p += 1;
1871         memcpy(p, encodedPoint, encodedlen);
1872         OPENSSL_free(encodedPoint);
1873         encodedPoint = NULL;
1874         p += encodedlen;
1875     }
1876 #endif
1877
1878     /* not anonymous */
1879     if (pkey != NULL) {
1880         /*
1881          * n is the length of the params, they start at &(d[4]) and p
1882          * points to the space at the end.
1883          */
1884         if (md) {
1885             /* send signature algorithm */
1886             if (SSL_USE_SIGALGS(s)) {
1887                 if (!tls12_get_sigandhash(p, pkey, md)) {
1888                     /* Should never happen */
1889                     al = SSL_AD_INTERNAL_ERROR;
1890                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1891                            ERR_R_INTERNAL_ERROR);
1892                     goto f_err;
1893                 }
1894                 p += 2;
1895             }
1896 #ifdef SSL_DEBUG
1897             fprintf(stderr, "Using hash %s\n", EVP_MD_name(md));
1898 #endif
1899             if (EVP_SignInit_ex(md_ctx, md, NULL) <= 0
1900                     || EVP_SignUpdate(md_ctx, &(s->s3->client_random[0]),
1901                                       SSL3_RANDOM_SIZE) <= 0
1902                     || EVP_SignUpdate(md_ctx, &(s->s3->server_random[0]),
1903                                       SSL3_RANDOM_SIZE) <= 0
1904                     || EVP_SignUpdate(md_ctx, d, n) <= 0
1905                     || EVP_SignFinal(md_ctx, &(p[2]),
1906                                (unsigned int *)&i, pkey) <= 0) {
1907                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_LIB_EVP);
1908                 al = SSL_AD_INTERNAL_ERROR;
1909                 goto f_err;
1910             }
1911             s2n(i, p);
1912             n += i + 2;
1913             if (SSL_USE_SIGALGS(s))
1914                 n += 2;
1915         } else {
1916             /* Is this error check actually needed? */
1917             al = SSL_AD_HANDSHAKE_FAILURE;
1918             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1919                    SSL_R_UNKNOWN_PKEY_TYPE);
1920             goto f_err;
1921         }
1922     }
1923
1924     if (!ssl_set_handshake_header(s, SSL3_MT_SERVER_KEY_EXCHANGE, n)) {
1925         al = SSL_AD_HANDSHAKE_FAILURE;
1926         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
1927         goto f_err;
1928     }
1929
1930     EVP_MD_CTX_free(md_ctx);
1931     return 1;
1932  f_err:
1933     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1934  err:
1935 #ifndef OPENSSL_NO_DH
1936     EVP_PKEY_free(pkdh);
1937 #endif
1938 #ifndef OPENSSL_NO_EC
1939     OPENSSL_free(encodedPoint);
1940 #endif
1941     EVP_MD_CTX_free(md_ctx);
1942     ossl_statem_set_error(s);
1943     return 0;
1944 }
1945
1946 int tls_construct_certificate_request(SSL *s)
1947 {
1948     unsigned char *p, *d;
1949     int i, j, nl, off, n;
1950     STACK_OF(X509_NAME) *sk = NULL;
1951     X509_NAME *name;
1952     BUF_MEM *buf;
1953
1954     buf = s->init_buf;
1955
1956     d = p = ssl_handshake_start(s);
1957
1958     /* get the list of acceptable cert types */
1959     p++;
1960     n = ssl3_get_req_cert_type(s, p);
1961     d[0] = n;
1962     p += n;
1963     n++;
1964
1965     if (SSL_USE_SIGALGS(s)) {
1966         const unsigned char *psigs;
1967         unsigned char *etmp = p;
1968         nl = tls12_get_psigalgs(s, &psigs);
1969         /* Skip over length for now */
1970         p += 2;
1971         nl = tls12_copy_sigalgs(s, p, psigs, nl);
1972         /* Now fill in length */
1973         s2n(nl, etmp);
1974         p += nl;
1975         n += nl + 2;
1976     }
1977
1978     off = n;
1979     p += 2;
1980     n += 2;
1981
1982     sk = SSL_get_client_CA_list(s);
1983     nl = 0;
1984     if (sk != NULL) {
1985         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
1986             name = sk_X509_NAME_value(sk, i);
1987             j = i2d_X509_NAME(name, NULL);
1988             if (!BUF_MEM_grow_clean
1989                 (buf, SSL_HM_HEADER_LENGTH(s) + n + j + 2)) {
1990                 SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
1991                        ERR_R_BUF_LIB);
1992                 goto err;
1993             }
1994             p = ssl_handshake_start(s) + n;
1995             s2n(j, p);
1996             i2d_X509_NAME(name, &p);
1997             n += 2 + j;
1998             nl += 2 + j;
1999         }
2000     }
2001     /* else no CA names */
2002     p = ssl_handshake_start(s) + off;
2003     s2n(nl, p);
2004
2005     if (!ssl_set_handshake_header(s, SSL3_MT_CERTIFICATE_REQUEST, n)) {
2006         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2007         goto err;
2008     }
2009
2010     s->s3->tmp.cert_request = 1;
2011
2012     return 1;
2013  err:
2014     ossl_statem_set_error(s);
2015     return 0;
2016 }
2017
2018 MSG_PROCESS_RETURN tls_process_client_key_exchange(SSL *s, PACKET *pkt)
2019 {
2020     int al;
2021     unsigned long alg_k;
2022
2023     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2024
2025 #ifndef OPENSSL_NO_PSK
2026     /* For PSK parse and retrieve identity, obtain PSK key */
2027     if (alg_k & SSL_PSK) {
2028         unsigned char psk[PSK_MAX_PSK_LEN];
2029         size_t psklen;
2030         PACKET psk_identity;
2031
2032         if (!PACKET_get_length_prefixed_2(pkt, &psk_identity)) {
2033             al = SSL_AD_DECODE_ERROR;
2034             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_LENGTH_MISMATCH);
2035             goto f_err;
2036         }
2037         if (PACKET_remaining(&psk_identity) > PSK_MAX_IDENTITY_LEN) {
2038             al = SSL_AD_DECODE_ERROR;
2039             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2040                    SSL_R_DATA_LENGTH_TOO_LONG);
2041             goto f_err;
2042         }
2043         if (s->psk_server_callback == NULL) {
2044             al = SSL_AD_INTERNAL_ERROR;
2045             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2046                    SSL_R_PSK_NO_SERVER_CB);
2047             goto f_err;
2048         }
2049
2050         if (!PACKET_strndup(&psk_identity, &s->session->psk_identity)) {
2051             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2052             al = SSL_AD_INTERNAL_ERROR;
2053             goto f_err;
2054         }
2055
2056         psklen = s->psk_server_callback(s, s->session->psk_identity,
2057                                          psk, sizeof(psk));
2058
2059         if (psklen > PSK_MAX_PSK_LEN) {
2060             al = SSL_AD_INTERNAL_ERROR;
2061             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2062             goto f_err;
2063         } else if (psklen == 0) {
2064             /*
2065              * PSK related to the given identity not found
2066              */
2067             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2068                    SSL_R_PSK_IDENTITY_NOT_FOUND);
2069             al = SSL_AD_UNKNOWN_PSK_IDENTITY;
2070             goto f_err;
2071         }
2072
2073         OPENSSL_free(s->s3->tmp.psk);
2074         s->s3->tmp.psk = OPENSSL_memdup(psk, psklen);
2075         OPENSSL_cleanse(psk, psklen);
2076
2077         if (s->s3->tmp.psk == NULL) {
2078             al = SSL_AD_INTERNAL_ERROR;
2079             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
2080             goto f_err;
2081         }
2082
2083         s->s3->tmp.psklen = psklen;
2084     }
2085     if (alg_k & SSL_kPSK) {
2086         /* Identity extracted earlier: should be nothing left */
2087         if (PACKET_remaining(pkt) != 0) {
2088             al = SSL_AD_HANDSHAKE_FAILURE;
2089             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_LENGTH_MISMATCH);
2090             goto f_err;
2091         }
2092         /* PSK handled by ssl_generate_master_secret */
2093         if (!ssl_generate_master_secret(s, NULL, 0, 0)) {
2094             al = SSL_AD_INTERNAL_ERROR;
2095             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2096             goto f_err;
2097         }
2098     } else
2099 #endif
2100 #ifndef OPENSSL_NO_RSA
2101     if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2102         unsigned char rand_premaster_secret[SSL_MAX_MASTER_KEY_LENGTH];
2103         int decrypt_len;
2104         unsigned char decrypt_good, version_good;
2105         size_t j, padding_len;
2106         PACKET enc_premaster;
2107         RSA *rsa = NULL;
2108         unsigned char *rsa_decrypt = NULL;
2109
2110         rsa = EVP_PKEY_get0_RSA(s->cert->pkeys[SSL_PKEY_RSA_ENC].privatekey);
2111         if (rsa == NULL) {
2112             al = SSL_AD_HANDSHAKE_FAILURE;
2113             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2114                    SSL_R_MISSING_RSA_CERTIFICATE);
2115             goto f_err;
2116         }
2117
2118         /* SSLv3 and pre-standard DTLS omit the length bytes. */
2119         if (s->version == SSL3_VERSION || s->version == DTLS1_BAD_VER) {
2120             enc_premaster = *pkt;
2121         } else {
2122             if (!PACKET_get_length_prefixed_2(pkt, &enc_premaster)
2123                 || PACKET_remaining(pkt) != 0) {
2124                 al = SSL_AD_DECODE_ERROR;
2125                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2126                        SSL_R_LENGTH_MISMATCH);
2127                 goto f_err;
2128             }
2129         }
2130
2131         /*
2132          * We want to be sure that the plaintext buffer size makes it safe to
2133          * iterate over the entire size of a premaster secret
2134          * (SSL_MAX_MASTER_KEY_LENGTH). Reject overly short RSA keys because
2135          * their ciphertext cannot accommodate a premaster secret anyway.
2136          */
2137         if (RSA_size(rsa) < SSL_MAX_MASTER_KEY_LENGTH) {
2138             al = SSL_AD_INTERNAL_ERROR;
2139             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2140                    RSA_R_KEY_SIZE_TOO_SMALL);
2141             goto f_err;
2142         }
2143
2144         rsa_decrypt = OPENSSL_malloc(RSA_size(rsa));
2145         if (rsa_decrypt == NULL) {
2146             al = SSL_AD_INTERNAL_ERROR;
2147             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
2148             OPENSSL_free(rsa_decrypt);
2149             goto f_err;
2150         }
2151
2152         /*
2153          * We must not leak whether a decryption failure occurs because of
2154          * Bleichenbacher's attack on PKCS #1 v1.5 RSA padding (see RFC 2246,
2155          * section 7.4.7.1). The code follows that advice of the TLS RFC and
2156          * generates a random premaster secret for the case that the decrypt
2157          * fails. See https://tools.ietf.org/html/rfc5246#section-7.4.7.1
2158          */
2159
2160         if (RAND_bytes(rand_premaster_secret,
2161                        sizeof(rand_premaster_secret)) <= 0) {
2162             OPENSSL_free(rsa_decrypt);
2163             goto err;
2164         }
2165
2166         /*
2167          * Decrypt with no padding. PKCS#1 padding will be removed as part of
2168          * the timing-sensitive code below.
2169          */
2170         decrypt_len = RSA_private_decrypt(PACKET_remaining(&enc_premaster),
2171                                           PACKET_data(&enc_premaster),
2172                                           rsa_decrypt, rsa, RSA_NO_PADDING);
2173         if (decrypt_len < 0) {
2174             OPENSSL_free(rsa_decrypt);
2175             goto err;
2176         }
2177
2178         /* Check the padding. See RFC 3447, section 7.2.2. */
2179
2180         /*
2181          * The smallest padded premaster is 11 bytes of overhead. Small keys
2182          * are publicly invalid, so this may return immediately. This ensures
2183          * PS is at least 8 bytes.
2184          */
2185         if (decrypt_len < 11 + SSL_MAX_MASTER_KEY_LENGTH) {
2186             al = SSL_AD_DECRYPT_ERROR;
2187             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_DECRYPTION_FAILED);
2188             OPENSSL_free(rsa_decrypt);
2189             goto f_err;
2190         }
2191
2192         padding_len = decrypt_len - SSL_MAX_MASTER_KEY_LENGTH;
2193         decrypt_good = constant_time_eq_int_8(rsa_decrypt[0], 0) &
2194                        constant_time_eq_int_8(rsa_decrypt[1], 2);
2195         for (j = 2; j < padding_len - 1; j++) {
2196             decrypt_good &= ~constant_time_is_zero_8(rsa_decrypt[j]);
2197         }
2198         decrypt_good &= constant_time_is_zero_8(rsa_decrypt[padding_len - 1]);
2199
2200         /*
2201          * If the version in the decrypted pre-master secret is correct then
2202          * version_good will be 0xff, otherwise it'll be zero. The
2203          * Klima-Pokorny-Rosa extension of Bleichenbacher's attack
2204          * (http://eprint.iacr.org/2003/052/) exploits the version number
2205          * check as a "bad version oracle". Thus version checks are done in
2206          * constant time and are treated like any other decryption error.
2207          */
2208         version_good =
2209             constant_time_eq_8(rsa_decrypt[padding_len],
2210                                (unsigned)(s->client_version >> 8));
2211         version_good &=
2212             constant_time_eq_8(rsa_decrypt[padding_len + 1],
2213                                (unsigned)(s->client_version & 0xff));
2214
2215         /*
2216          * The premaster secret must contain the same version number as the
2217          * ClientHello to detect version rollback attacks (strangely, the
2218          * protocol does not offer such protection for DH ciphersuites).
2219          * However, buggy clients exist that send the negotiated protocol
2220          * version instead if the server does not support the requested
2221          * protocol version. If SSL_OP_TLS_ROLLBACK_BUG is set, tolerate such
2222          * clients.
2223          */
2224         if (s->options & SSL_OP_TLS_ROLLBACK_BUG) {
2225             unsigned char workaround_good;
2226             workaround_good = constant_time_eq_8(rsa_decrypt[padding_len],
2227                                                  (unsigned)(s->version >> 8));
2228             workaround_good &=
2229                 constant_time_eq_8(rsa_decrypt[padding_len + 1],
2230                                    (unsigned)(s->version & 0xff));
2231             version_good |= workaround_good;
2232         }
2233
2234         /*
2235          * Both decryption and version must be good for decrypt_good to
2236          * remain non-zero (0xff).
2237          */
2238         decrypt_good &= version_good;
2239
2240         /*
2241          * Now copy rand_premaster_secret over from p using
2242          * decrypt_good_mask. If decryption failed, then p does not
2243          * contain valid plaintext, however, a check above guarantees
2244          * it is still sufficiently large to read from.
2245          */
2246         for (j = 0; j < sizeof(rand_premaster_secret); j++) {
2247             rsa_decrypt[padding_len + j] =
2248                 constant_time_select_8(decrypt_good,
2249                                        rsa_decrypt[padding_len + j],
2250                                        rand_premaster_secret[j]);
2251         }
2252
2253         if (!ssl_generate_master_secret(s, rsa_decrypt + padding_len,
2254                                         sizeof(rand_premaster_secret), 0)) {
2255             al = SSL_AD_INTERNAL_ERROR;
2256             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2257             OPENSSL_free(rsa_decrypt);
2258             goto f_err;
2259         }
2260         OPENSSL_free(rsa_decrypt);
2261     } else
2262 #endif
2263 #ifndef OPENSSL_NO_DH
2264     if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2265         EVP_PKEY *skey = NULL;
2266         DH *cdh;
2267         unsigned int i;
2268         BIGNUM *pub_key;
2269         const unsigned char *data;
2270         EVP_PKEY *ckey = NULL;
2271
2272         if (!PACKET_get_net_2(pkt, &i)) {
2273             if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2274                 al = SSL_AD_HANDSHAKE_FAILURE;
2275                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2276                        SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2277                 goto f_err;
2278             }
2279             i = 0;
2280         }
2281         if (PACKET_remaining(pkt) != i) {
2282             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2283                    SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2284             goto err;
2285         }
2286         skey = s->s3->tmp.pkey;
2287         if (skey == NULL) {
2288             al = SSL_AD_HANDSHAKE_FAILURE;
2289             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2290                    SSL_R_MISSING_TMP_DH_KEY);
2291             goto f_err;
2292         }
2293
2294         if (PACKET_remaining(pkt) == 0L) {
2295             al = SSL_AD_HANDSHAKE_FAILURE;
2296             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2297                    SSL_R_MISSING_TMP_DH_KEY);
2298             goto f_err;
2299         }
2300         if (!PACKET_get_bytes(pkt, &data, i)) {
2301             /* We already checked we have enough data */
2302             al = SSL_AD_INTERNAL_ERROR;
2303             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2304                    ERR_R_INTERNAL_ERROR);
2305             goto f_err;
2306         }
2307         ckey = EVP_PKEY_new();
2308         if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) == 0) {
2309             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_BN_LIB);
2310             EVP_PKEY_free(ckey);
2311             goto err;
2312         }
2313         cdh = EVP_PKEY_get0_DH(ckey);
2314         pub_key = BN_bin2bn(data, i, NULL);
2315
2316         if (pub_key == NULL || !DH_set0_key(cdh, pub_key, NULL)) {
2317             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2318             if (pub_key != NULL)
2319                 BN_free(pub_key);
2320             EVP_PKEY_free(ckey);
2321             goto err;
2322         }
2323
2324         if (ssl_derive(s, skey, ckey) == 0) {
2325             al = SSL_AD_INTERNAL_ERROR;
2326             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2327             EVP_PKEY_free(ckey);
2328             goto f_err;
2329         }
2330
2331         EVP_PKEY_free(ckey);
2332         EVP_PKEY_free(s->s3->tmp.pkey);
2333         s->s3->tmp.pkey = NULL;
2334
2335     } else
2336 #endif
2337
2338 #ifndef OPENSSL_NO_EC
2339     if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2340         EVP_PKEY *skey = s->s3->tmp.pkey;
2341         EVP_PKEY *ckey = NULL;
2342
2343         if (PACKET_remaining(pkt) == 0L) {
2344             /* We don't support ECDH client auth */
2345             al = SSL_AD_HANDSHAKE_FAILURE;
2346             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2347                    SSL_R_MISSING_TMP_ECDH_KEY);
2348             goto f_err;
2349         } else {
2350             unsigned int i;
2351             const unsigned char *data;
2352
2353             /*
2354              * Get client's public key from encoded point in the
2355              * ClientKeyExchange message.
2356              */
2357
2358             /* Get encoded point length */
2359             if (!PACKET_get_1(pkt, &i)) {
2360                 al = SSL_AD_DECODE_ERROR;
2361                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2362                        SSL_R_LENGTH_MISMATCH);
2363                 goto f_err;
2364             }
2365             if (!PACKET_get_bytes(pkt, &data, i)
2366                     || PACKET_remaining(pkt) != 0) {
2367                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_EC_LIB);
2368                 goto err;
2369             }
2370             ckey = EVP_PKEY_new();
2371             if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) <= 0) {
2372                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_EVP_LIB);
2373                 EVP_PKEY_free(ckey);
2374                 goto err;
2375             }
2376             if (EC_KEY_oct2key(EVP_PKEY_get0_EC_KEY(ckey), data, i,
2377                                NULL) == 0) {
2378                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_EC_LIB);
2379                 EVP_PKEY_free(ckey);
2380                 goto err;
2381             }
2382         }
2383
2384         if (ssl_derive(s, skey, ckey) == 0) {
2385             al = SSL_AD_INTERNAL_ERROR;
2386             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2387             EVP_PKEY_free(ckey);
2388             goto f_err;
2389         }
2390
2391         EVP_PKEY_free(ckey);
2392         EVP_PKEY_free(s->s3->tmp.pkey);
2393         s->s3->tmp.pkey = NULL;
2394
2395         return MSG_PROCESS_CONTINUE_PROCESSING;
2396     } else
2397 #endif
2398 #ifndef OPENSSL_NO_SRP
2399     if (alg_k & SSL_kSRP) {
2400         unsigned int i;
2401         const unsigned char *data;
2402
2403         if (!PACKET_get_net_2(pkt, &i)
2404                 || !PACKET_get_bytes(pkt, &data, i)) {
2405             al = SSL_AD_DECODE_ERROR;
2406             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_BAD_SRP_A_LENGTH);
2407             goto f_err;
2408         }
2409         if ((s->srp_ctx.A = BN_bin2bn(data, i, NULL)) == NULL) {
2410             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_BN_LIB);
2411             goto err;
2412         }
2413         if (BN_ucmp(s->srp_ctx.A, s->srp_ctx.N) >= 0
2414             || BN_is_zero(s->srp_ctx.A)) {
2415             al = SSL_AD_ILLEGAL_PARAMETER;
2416             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2417                    SSL_R_BAD_SRP_PARAMETERS);
2418             goto f_err;
2419         }
2420         OPENSSL_free(s->session->srp_username);
2421         s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2422         if (s->session->srp_username == NULL) {
2423             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
2424             goto err;
2425         }
2426
2427         if (!srp_generate_server_master_secret(s)) {
2428             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2429             goto err;
2430         }
2431     } else
2432 #endif                          /* OPENSSL_NO_SRP */
2433 #ifndef OPENSSL_NO_GOST
2434     if (alg_k & SSL_kGOST) {
2435         EVP_PKEY_CTX *pkey_ctx;
2436         EVP_PKEY *client_pub_pkey = NULL, *pk = NULL;
2437         unsigned char premaster_secret[32];
2438         const unsigned char *start;
2439         size_t outlen = 32, inlen;
2440         unsigned long alg_a;
2441         int Ttag, Tclass;
2442         long Tlen;
2443         long sess_key_len;
2444         const unsigned char *data;
2445
2446         /* Get our certificate private key */
2447         alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2448         if (alg_a & SSL_aGOST12) {
2449             /*
2450              * New GOST ciphersuites have SSL_aGOST01 bit too
2451              */
2452             pk = s->cert->pkeys[SSL_PKEY_GOST12_512].privatekey;
2453             if (pk == NULL) {
2454                 pk = s->cert->pkeys[SSL_PKEY_GOST12_256].privatekey;
2455             }
2456             if (pk == NULL) {
2457                 pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2458             }
2459         } else if (alg_a & SSL_aGOST01) {
2460             pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2461         }
2462
2463         pkey_ctx = EVP_PKEY_CTX_new(pk, NULL);
2464         if (pkey_ctx == NULL) {
2465             al = SSL_AD_INTERNAL_ERROR;
2466             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
2467             goto f_err;
2468         }
2469         if (EVP_PKEY_decrypt_init(pkey_ctx) <= 0) {
2470             al = SSL_AD_INTERNAL_ERROR;
2471             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2472             goto f_err;
2473         }
2474         /*
2475          * If client certificate is present and is of the same type, maybe
2476          * use it for key exchange.  Don't mind errors from
2477          * EVP_PKEY_derive_set_peer, because it is completely valid to use a
2478          * client certificate for authorization only.
2479          */
2480         client_pub_pkey = X509_get0_pubkey(s->session->peer);
2481         if (client_pub_pkey) {
2482             if (EVP_PKEY_derive_set_peer(pkey_ctx, client_pub_pkey) <= 0)
2483                 ERR_clear_error();
2484         }
2485         /* Decrypt session key */
2486         sess_key_len = PACKET_remaining(pkt);
2487         if (!PACKET_get_bytes(pkt, &data, sess_key_len)) {
2488             al = SSL_AD_INTERNAL_ERROR;
2489             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2490             goto gerr;
2491         }
2492         if (ASN1_get_object ((const unsigned char **)&data, &Tlen, &Ttag,
2493                              &Tclass, sess_key_len) != V_ASN1_CONSTRUCTED
2494             || Ttag != V_ASN1_SEQUENCE
2495             || Tclass != V_ASN1_UNIVERSAL) {
2496             al = SSL_AD_DECODE_ERROR;
2497             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2498                    SSL_R_DECRYPTION_FAILED);
2499             goto gerr;
2500         }
2501         start = data;
2502         inlen = Tlen;
2503         if (EVP_PKEY_decrypt
2504             (pkey_ctx, premaster_secret, &outlen, start, inlen) <= 0) {
2505             al = SSL_AD_DECODE_ERROR;
2506             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2507                    SSL_R_DECRYPTION_FAILED);
2508             goto gerr;
2509         }
2510         /* Generate master secret */
2511         if (!ssl_generate_master_secret(s, premaster_secret,
2512                                         sizeof(premaster_secret), 0)) {
2513             al = SSL_AD_INTERNAL_ERROR;
2514             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2515             goto gerr;
2516         }
2517         /* Check if pubkey from client certificate was used */
2518         if (EVP_PKEY_CTX_ctrl
2519             (pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2, NULL) > 0)
2520             s->statem.no_cert_verify = 1;
2521
2522         EVP_PKEY_CTX_free(pkey_ctx);
2523         return MSG_PROCESS_CONTINUE_PROCESSING;
2524  gerr:
2525         EVP_PKEY_CTX_free(pkey_ctx);
2526         goto f_err;
2527     } else
2528 #endif
2529     {
2530         al = SSL_AD_HANDSHAKE_FAILURE;
2531         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, SSL_R_UNKNOWN_CIPHER_TYPE);
2532         goto f_err;
2533     }
2534
2535     return MSG_PROCESS_CONTINUE_PROCESSING;
2536  f_err:
2537     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2538 #if !defined(OPENSSL_NO_DH) || !defined(OPENSSL_NO_RSA) || !defined(OPENSSL_NO_EC) || defined(OPENSSL_NO_SRP)
2539  err:
2540 #endif
2541 #ifndef OPENSSL_NO_PSK
2542     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2543     s->s3->tmp.psk = NULL;
2544 #endif
2545     ossl_statem_set_error(s);
2546     return MSG_PROCESS_ERROR;
2547 }
2548
2549 WORK_STATE tls_post_process_client_key_exchange(SSL *s, WORK_STATE wst)
2550 {
2551 #ifndef OPENSSL_NO_SCTP
2552     if (wst == WORK_MORE_A) {
2553         if (SSL_IS_DTLS(s)) {
2554             unsigned char sctpauthkey[64];
2555             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2556             /*
2557              * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2558              * used.
2559              */
2560             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2561                    sizeof(DTLS1_SCTP_AUTH_LABEL));
2562
2563             if (SSL_export_keying_material(s, sctpauthkey,
2564                                        sizeof(sctpauthkey), labelbuffer,
2565                                        sizeof(labelbuffer), NULL, 0, 0) <= 0) {
2566                 ossl_statem_set_error(s);
2567                 return WORK_ERROR;;
2568             }
2569
2570             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
2571                      sizeof(sctpauthkey), sctpauthkey);
2572         }
2573         wst = WORK_MORE_B;
2574     }
2575
2576     if ((wst == WORK_MORE_B)
2577             /* Is this SCTP? */
2578             && BIO_dgram_is_sctp(SSL_get_wbio(s))
2579             /* Are we renegotiating? */
2580             && s->renegotiate
2581             /* Are we going to skip the CertificateVerify? */
2582             && (s->session->peer == NULL || s->statem.no_cert_verify)
2583             && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
2584         s->s3->in_read_app_data = 2;
2585         s->rwstate = SSL_READING;
2586         BIO_clear_retry_flags(SSL_get_rbio(s));
2587         BIO_set_retry_read(SSL_get_rbio(s));
2588         ossl_statem_set_sctp_read_sock(s, 1);
2589         return WORK_MORE_B;
2590     } else {
2591         ossl_statem_set_sctp_read_sock(s, 0);
2592     }
2593 #endif
2594
2595     if (s->statem.no_cert_verify || !s->session->peer) {
2596         /* No certificate verify or no peer certificate so we no longer need the
2597          * handshake_buffer
2598          */
2599         if (!ssl3_digest_cached_records(s, 0)) {
2600             ossl_statem_set_error(s);
2601             return WORK_ERROR;
2602         }
2603         return WORK_FINISHED_CONTINUE;
2604     } else {
2605         if (!s->s3->handshake_buffer) {
2606             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_KEY_EXCHANGE,
2607                    ERR_R_INTERNAL_ERROR);
2608             ossl_statem_set_error(s);
2609             return WORK_ERROR;
2610         }
2611         /*
2612          * For sigalgs freeze the handshake buffer. If we support
2613          * extms we've done this already so this is a no-op
2614          */
2615         if (!ssl3_digest_cached_records(s, 1)) {
2616             ossl_statem_set_error(s);
2617             return WORK_ERROR;
2618         }
2619     }
2620
2621     return WORK_FINISHED_CONTINUE;
2622 }
2623
2624 MSG_PROCESS_RETURN tls_process_cert_verify(SSL *s, PACKET *pkt)
2625 {
2626     EVP_PKEY *pkey = NULL;
2627     const unsigned char *sig, *data;
2628 #ifndef OPENSSL_NO_GOST
2629     unsigned char *gost_data = NULL;
2630 #endif
2631     int al, ret = MSG_PROCESS_ERROR;
2632     int type = 0, j;
2633     unsigned int len;
2634     X509 *peer;
2635     const EVP_MD *md = NULL;
2636     long hdatalen = 0;
2637     void *hdata;
2638
2639     EVP_MD_CTX *mctx = EVP_MD_CTX_new();
2640
2641     if (mctx == NULL) {
2642         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2643         al = SSL_AD_INTERNAL_ERROR;
2644         goto f_err;
2645     }
2646
2647     peer = s->session->peer;
2648     pkey = X509_get0_pubkey(peer);
2649     type = X509_certificate_type(peer, pkey);
2650
2651     if (!(type & EVP_PKT_SIGN)) {
2652         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY,
2653                SSL_R_SIGNATURE_FOR_NON_SIGNING_CERTIFICATE);
2654         al = SSL_AD_ILLEGAL_PARAMETER;
2655         goto f_err;
2656     }
2657
2658     /* Check for broken implementations of GOST ciphersuites */
2659     /*
2660      * If key is GOST and n is exactly 64, it is bare signature without
2661      * length field (CryptoPro implementations at least till CSP 4.0)
2662      */
2663 #ifndef OPENSSL_NO_GOST
2664     if (PACKET_remaining(pkt) == 64
2665         && EVP_PKEY_id(pkey) == NID_id_GostR3410_2001) {
2666         len = 64;
2667     } else
2668 #endif
2669     {
2670         if (SSL_USE_SIGALGS(s)) {
2671             int rv;
2672
2673             if (!PACKET_get_bytes(pkt, &sig, 2)) {
2674                 al = SSL_AD_DECODE_ERROR;
2675                 goto f_err;
2676             }
2677             rv = tls12_check_peer_sigalg(&md, s, sig, pkey);
2678             if (rv == -1) {
2679                 al = SSL_AD_INTERNAL_ERROR;
2680                 goto f_err;
2681             } else if (rv == 0) {
2682                 al = SSL_AD_DECODE_ERROR;
2683                 goto f_err;
2684             }
2685 #ifdef SSL_DEBUG
2686             fprintf(stderr, "USING TLSv1.2 HASH %s\n", EVP_MD_name(md));
2687 #endif
2688         } else {
2689             /* Use default digest for this key type */
2690             int idx = ssl_cert_type(NULL, pkey);
2691             if (idx >= 0)
2692                 md = s->s3->tmp.md[idx];
2693             if (md == NULL) {
2694                 al = SSL_AD_INTERNAL_ERROR;
2695                 goto f_err;
2696             }
2697         }
2698
2699         if (!PACKET_get_net_2(pkt, &len)) {
2700             SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2701             al = SSL_AD_DECODE_ERROR;
2702             goto f_err;
2703         }
2704     }
2705     j = EVP_PKEY_size(pkey);
2706     if (((int)len > j) || ((int)PACKET_remaining(pkt) > j)
2707             || (PACKET_remaining(pkt) == 0)) {
2708         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_WRONG_SIGNATURE_SIZE);
2709         al = SSL_AD_DECODE_ERROR;
2710         goto f_err;
2711     }
2712     if (!PACKET_get_bytes(pkt, &data, len)) {
2713         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2714         al = SSL_AD_DECODE_ERROR;
2715         goto f_err;
2716     }
2717
2718     hdatalen = BIO_get_mem_data(s->s3->handshake_buffer, &hdata);
2719     if (hdatalen <= 0) {
2720         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_INTERNAL_ERROR);
2721         al = SSL_AD_INTERNAL_ERROR;
2722         goto f_err;
2723     }
2724 #ifdef SSL_DEBUG
2725     fprintf(stderr, "Using client verify alg %s\n", EVP_MD_name(md));
2726 #endif
2727     if (!EVP_VerifyInit_ex(mctx, md, NULL)
2728         || !EVP_VerifyUpdate(mctx, hdata, hdatalen)) {
2729         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2730         al = SSL_AD_INTERNAL_ERROR;
2731         goto f_err;
2732     }
2733
2734 #ifndef OPENSSL_NO_GOST
2735     {
2736         int pktype = EVP_PKEY_id(pkey);
2737         if (pktype == NID_id_GostR3410_2001
2738             || pktype == NID_id_GostR3410_2012_256
2739             || pktype == NID_id_GostR3410_2012_512) {
2740             if ((gost_data = OPENSSL_malloc(len)) == NULL) {
2741                 SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2742                 al = SSL_AD_INTERNAL_ERROR;
2743                 goto f_err;
2744             }
2745             BUF_reverse(gost_data, data, len);
2746             data = gost_data;
2747         }
2748     }
2749 #endif
2750
2751     if (s->version == SSL3_VERSION
2752         && !EVP_MD_CTX_ctrl(mctx, EVP_CTRL_SSL3_MASTER_SECRET,
2753                             s->session->master_key_length,
2754                             s->session->master_key)) {
2755         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2756         al = SSL_AD_INTERNAL_ERROR;
2757         goto f_err;
2758     }
2759
2760     if (EVP_VerifyFinal(mctx, data, len, pkey) <= 0) {
2761         al = SSL_AD_DECRYPT_ERROR;
2762         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_BAD_SIGNATURE);
2763         goto f_err;
2764     }
2765
2766     ret = MSG_PROCESS_CONTINUE_PROCESSING;
2767     if (0) {
2768  f_err:
2769         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2770         ossl_statem_set_error(s);
2771     }
2772     BIO_free(s->s3->handshake_buffer);
2773     s->s3->handshake_buffer = NULL;
2774     EVP_MD_CTX_free(mctx);
2775 #ifndef OPENSSL_NO_GOST
2776     OPENSSL_free(gost_data);
2777 #endif
2778     return ret;
2779 }
2780
2781 MSG_PROCESS_RETURN tls_process_client_certificate(SSL *s, PACKET *pkt)
2782 {
2783     int i, al = SSL_AD_INTERNAL_ERROR, ret = MSG_PROCESS_ERROR;
2784     X509 *x = NULL;
2785     unsigned long l, llen;
2786     const unsigned char *certstart, *certbytes;
2787     STACK_OF(X509) *sk = NULL;
2788     PACKET spkt;
2789
2790     if ((sk = sk_X509_new_null()) == NULL) {
2791         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2792         goto f_err;
2793     }
2794
2795     if (!PACKET_get_net_3(pkt, &llen)
2796             || !PACKET_get_sub_packet(pkt, &spkt, llen)
2797             || PACKET_remaining(pkt) != 0) {
2798         al = SSL_AD_DECODE_ERROR;
2799         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
2800         goto f_err;
2801     }
2802
2803     while (PACKET_remaining(&spkt) > 0) {
2804         if (!PACKET_get_net_3(&spkt, &l)
2805                 || !PACKET_get_bytes(&spkt, &certbytes, l)) {
2806             al = SSL_AD_DECODE_ERROR;
2807             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2808                    SSL_R_CERT_LENGTH_MISMATCH);
2809             goto f_err;
2810         }
2811
2812         certstart = certbytes;
2813         x = d2i_X509(NULL, (const unsigned char **)&certbytes, l);
2814         if (x == NULL) {
2815             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_ASN1_LIB);
2816             goto f_err;
2817         }
2818         if (certbytes != (certstart + l)) {
2819             al = SSL_AD_DECODE_ERROR;
2820             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2821                    SSL_R_CERT_LENGTH_MISMATCH);
2822             goto f_err;
2823         }
2824         if (!sk_X509_push(sk, x)) {
2825             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2826             goto f_err;
2827         }
2828         x = NULL;
2829     }
2830
2831     if (sk_X509_num(sk) <= 0) {
2832         /* TLS does not mind 0 certs returned */
2833         if (s->version == SSL3_VERSION) {
2834             al = SSL_AD_HANDSHAKE_FAILURE;
2835             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2836                    SSL_R_NO_CERTIFICATES_RETURNED);
2837             goto f_err;
2838         }
2839         /* Fail for TLS only if we required a certificate */
2840         else if ((s->verify_mode & SSL_VERIFY_PEER) &&
2841                  (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
2842             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2843                    SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
2844             al = SSL_AD_HANDSHAKE_FAILURE;
2845             goto f_err;
2846         }
2847         /* No client certificate so digest cached records */
2848         if (s->s3->handshake_buffer && !ssl3_digest_cached_records(s, 0)) {
2849             goto f_err;
2850         }
2851     } else {
2852         EVP_PKEY *pkey;
2853         i = ssl_verify_cert_chain(s, sk);
2854         if (i <= 0) {
2855             al = ssl_verify_alarm_type(s->verify_result);
2856             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2857                    SSL_R_CERTIFICATE_VERIFY_FAILED);
2858             goto f_err;
2859         }
2860         if (i > 1) {
2861             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, i);
2862             al = SSL_AD_HANDSHAKE_FAILURE;
2863             goto f_err;
2864         }
2865         pkey = X509_get0_pubkey(sk_X509_value(sk, 0));
2866         if (pkey == NULL) {
2867             al = SSL3_AD_HANDSHAKE_FAILURE;
2868             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2869                    SSL_R_UNKNOWN_CERTIFICATE_TYPE);
2870             goto f_err;
2871         }
2872     }
2873
2874     X509_free(s->session->peer);
2875     s->session->peer = sk_X509_shift(sk);
2876     s->session->verify_result = s->verify_result;
2877
2878     sk_X509_pop_free(s->session->peer_chain, X509_free);
2879     s->session->peer_chain = sk;
2880     /*
2881      * Inconsistency alert: cert_chain does *not* include the peer's own
2882      * certificate, while we do include it in statem_clnt.c
2883      */
2884     sk = NULL;
2885     ret = MSG_PROCESS_CONTINUE_READING;
2886     goto done;
2887
2888  f_err:
2889     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2890     ossl_statem_set_error(s);
2891  done:
2892     X509_free(x);
2893     sk_X509_pop_free(sk, X509_free);
2894     return ret;
2895 }
2896
2897 int tls_construct_server_certificate(SSL *s)
2898 {
2899     CERT_PKEY *cpk;
2900
2901     cpk = ssl_get_server_send_pkey(s);
2902     if (cpk == NULL) {
2903         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2904         ossl_statem_set_error(s);
2905         return 0;
2906     }
2907
2908     if (!ssl3_output_cert_chain(s, cpk)) {
2909         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2910         ossl_statem_set_error(s);
2911         return 0;
2912     }
2913
2914     return 1;
2915 }
2916
2917 int tls_construct_new_session_ticket(SSL *s)
2918 {
2919     unsigned char *senc = NULL;
2920     EVP_CIPHER_CTX *ctx;
2921     HMAC_CTX *hctx = NULL;
2922     unsigned char *p, *macstart;
2923     const unsigned char *const_p;
2924     int len, slen_full, slen;
2925     SSL_SESSION *sess;
2926     unsigned int hlen;
2927     SSL_CTX *tctx = s->initial_ctx;
2928     unsigned char iv[EVP_MAX_IV_LENGTH];
2929     unsigned char key_name[TLSEXT_KEYNAME_LENGTH];
2930     int iv_len;
2931
2932     /* get session encoding length */
2933     slen_full = i2d_SSL_SESSION(s->session, NULL);
2934     /*
2935      * Some length values are 16 bits, so forget it if session is too
2936      * long
2937      */
2938     if (slen_full == 0 || slen_full > 0xFF00) {
2939         ossl_statem_set_error(s);
2940         return 0;
2941     }
2942     senc = OPENSSL_malloc(slen_full);
2943     if (senc == NULL) {
2944         ossl_statem_set_error(s);
2945         return 0;
2946     }
2947
2948     ctx = EVP_CIPHER_CTX_new();
2949     hctx = HMAC_CTX_new();
2950
2951     p = senc;
2952     if (!i2d_SSL_SESSION(s->session, &p))
2953         goto err;
2954
2955     /*
2956      * create a fresh copy (not shared with other threads) to clean up
2957      */
2958     const_p = senc;
2959     sess = d2i_SSL_SESSION(NULL, &const_p, slen_full);
2960     if (sess == NULL)
2961         goto err;
2962     sess->session_id_length = 0; /* ID is irrelevant for the ticket */
2963
2964     slen = i2d_SSL_SESSION(sess, NULL);
2965     if (slen == 0 || slen > slen_full) { /* shouldn't ever happen */
2966         SSL_SESSION_free(sess);
2967         goto err;
2968     }
2969     p = senc;
2970     if (!i2d_SSL_SESSION(sess, &p)) {
2971         SSL_SESSION_free(sess);
2972         goto err;
2973     }
2974     SSL_SESSION_free(sess);
2975
2976     /*-
2977      * Grow buffer if need be: the length calculation is as
2978      * follows handshake_header_length +
2979      * 4 (ticket lifetime hint) + 2 (ticket length) +
2980      * sizeof(keyname) + max_iv_len (iv length) +
2981      * max_enc_block_size (max encrypted session * length) +
2982      * max_md_size (HMAC) + session_length.
2983      */
2984     if (!BUF_MEM_grow(s->init_buf,
2985                       SSL_HM_HEADER_LENGTH(s) + 6 + sizeof(key_name) +
2986                       EVP_MAX_IV_LENGTH + EVP_MAX_BLOCK_LENGTH +
2987                       EVP_MAX_MD_SIZE + slen))
2988         goto err;
2989
2990     p = ssl_handshake_start(s);
2991     /*
2992      * Initialize HMAC and cipher contexts. If callback present it does
2993      * all the work otherwise use generated values from parent ctx.
2994      */
2995     if (tctx->tlsext_ticket_key_cb) {
2996         /* if 0 is returned, write an empty ticket */
2997         int ret = tctx->tlsext_ticket_key_cb(s, key_name, iv, ctx,
2998                                              hctx, 1);
2999
3000         if (ret == 0) {
3001             l2n(0, p); /* timeout */
3002             s2n(0, p); /* length */
3003             if (!ssl_set_handshake_header(s, SSL3_MT_NEWSESSION_TICKET, p - ssl_handshake_start(s)))
3004                 goto err;
3005             OPENSSL_free(senc);
3006             EVP_CIPHER_CTX_free(ctx);
3007             HMAC_CTX_free(hctx);
3008             return 1;
3009         }
3010         if (ret < 0)
3011             goto err;
3012         iv_len = EVP_CIPHER_CTX_iv_length(ctx);
3013     } else {
3014         const EVP_CIPHER *cipher = EVP_aes_256_cbc();
3015
3016         iv_len = EVP_CIPHER_iv_length(cipher);
3017         if (RAND_bytes(iv, iv_len) <= 0)
3018             goto err;
3019         if (!EVP_EncryptInit_ex(ctx, cipher, NULL,
3020                                 tctx->tlsext_tick_aes_key, iv))
3021             goto err;
3022         if (!HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3023                           sizeof(tctx->tlsext_tick_hmac_key),
3024                           EVP_sha256(), NULL))
3025             goto err;
3026         memcpy(key_name, tctx->tlsext_tick_key_name,
3027                sizeof(tctx->tlsext_tick_key_name));
3028     }
3029
3030     /*
3031      * Ticket lifetime hint (advisory only): We leave this unspecified
3032      * for resumed session (for simplicity), and guess that tickets for
3033      * new sessions will live as long as their sessions.
3034      */
3035     l2n(s->hit ? 0 : s->session->timeout, p);
3036
3037     /* Skip ticket length for now */
3038     p += 2;
3039     /* Output key name */
3040     macstart = p;
3041     memcpy(p, key_name, sizeof(key_name));
3042     p += sizeof(key_name);
3043     /* output IV */
3044     memcpy(p, iv, iv_len);
3045     p += iv_len;
3046     /* Encrypt session data */
3047     if (!EVP_EncryptUpdate(ctx, p, &len, senc, slen))
3048         goto err;
3049     p += len;
3050     if (!EVP_EncryptFinal(ctx, p, &len))
3051         goto err;
3052     p += len;
3053
3054     if (!HMAC_Update(hctx, macstart, p - macstart))
3055         goto err;
3056     if (!HMAC_Final(hctx, p, &hlen))
3057         goto err;
3058
3059     EVP_CIPHER_CTX_free(ctx);
3060     HMAC_CTX_free(hctx);
3061     ctx = NULL;
3062     hctx = NULL;
3063
3064     p += hlen;
3065     /* Now write out lengths: p points to end of data written */
3066     /* Total length */
3067     len = p - ssl_handshake_start(s);
3068     /* Skip ticket lifetime hint */
3069     p = ssl_handshake_start(s) + 4;
3070     s2n(len - 6, p);
3071     if (!ssl_set_handshake_header(s, SSL3_MT_NEWSESSION_TICKET, len))
3072         goto err;
3073     OPENSSL_free(senc);
3074
3075     return 1;
3076  err:
3077     OPENSSL_free(senc);
3078     EVP_CIPHER_CTX_free(ctx);
3079     HMAC_CTX_free(hctx);
3080     ossl_statem_set_error(s);
3081     return 0;
3082 }
3083
3084 int tls_construct_cert_status(SSL *s)
3085 {
3086     unsigned char *p;
3087     /*-
3088      * Grow buffer if need be: the length calculation is as
3089      * follows 1 (message type) + 3 (message length) +
3090      * 1 (ocsp response type) + 3 (ocsp response length)
3091      * + (ocsp response)
3092      */
3093     if (!BUF_MEM_grow(s->init_buf, 8 + s->tlsext_ocsp_resplen)) {
3094         ossl_statem_set_error(s);
3095         return 0;
3096     }
3097
3098     p = (unsigned char *)s->init_buf->data;
3099
3100     /* do the header */
3101     *(p++) = SSL3_MT_CERTIFICATE_STATUS;
3102     /* message length */
3103     l2n3(s->tlsext_ocsp_resplen + 4, p);
3104     /* status type */
3105     *(p++) = s->tlsext_status_type;
3106     /* length of OCSP response */
3107     l2n3(s->tlsext_ocsp_resplen, p);
3108     /* actual response */
3109     memcpy(p, s->tlsext_ocsp_resp, s->tlsext_ocsp_resplen);
3110     /* number of bytes to write */
3111     s->init_num = 8 + s->tlsext_ocsp_resplen;
3112     s->init_off = 0;
3113
3114     return 1;
3115 }
3116
3117 #ifndef OPENSSL_NO_NEXTPROTONEG
3118 /*
3119  * tls_process_next_proto reads a Next Protocol Negotiation handshake message.
3120  * It sets the next_proto member in s if found
3121  */
3122 MSG_PROCESS_RETURN tls_process_next_proto(SSL *s, PACKET *pkt)
3123 {
3124     PACKET next_proto, padding;
3125     size_t next_proto_len;
3126
3127     /*-
3128      * The payload looks like:
3129      *   uint8 proto_len;
3130      *   uint8 proto[proto_len];
3131      *   uint8 padding_len;
3132      *   uint8 padding[padding_len];
3133      */
3134     if (!PACKET_get_length_prefixed_1(pkt, &next_proto)
3135         || !PACKET_get_length_prefixed_1(pkt, &padding)
3136         || PACKET_remaining(pkt) > 0) {
3137         SSLerr(SSL_F_TLS_PROCESS_NEXT_PROTO, SSL_R_LENGTH_MISMATCH);
3138         goto err;
3139     }
3140
3141     if (!PACKET_memdup(&next_proto, &s->next_proto_negotiated,
3142                        &next_proto_len)) {
3143         s->next_proto_negotiated_len = 0;
3144         goto err;
3145     }
3146
3147     s->next_proto_negotiated_len = (unsigned char)next_proto_len;
3148
3149     return MSG_PROCESS_CONTINUE_READING;
3150 err:
3151     ossl_statem_set_error(s);
3152     return MSG_PROCESS_ERROR;
3153 }
3154 #endif
3155
3156 #define SSLV2_CIPHER_LEN    3
3157
3158 STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
3159                                                PACKET *cipher_suites,
3160                                                STACK_OF(SSL_CIPHER) **skp,
3161                                                int sslv2format, int *al
3162                                                )
3163 {
3164     const SSL_CIPHER *c;
3165     STACK_OF(SSL_CIPHER) *sk;
3166     int n;
3167     /* 3 = SSLV2_CIPHER_LEN > TLS_CIPHER_LEN = 2. */
3168     unsigned char cipher[SSLV2_CIPHER_LEN];
3169
3170     s->s3->send_connection_binding = 0;
3171
3172     n = sslv2format ? SSLV2_CIPHER_LEN : TLS_CIPHER_LEN;
3173
3174     if (PACKET_remaining(cipher_suites) == 0) {
3175         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, SSL_R_NO_CIPHERS_SPECIFIED);
3176         *al = SSL_AD_ILLEGAL_PARAMETER;
3177         return NULL;
3178     }
3179
3180     if (PACKET_remaining(cipher_suites) % n != 0) {
3181         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3182                SSL_R_ERROR_IN_RECEIVED_CIPHER_LIST);
3183         *al = SSL_AD_DECODE_ERROR;
3184         return NULL;
3185     }
3186
3187     if ((skp == NULL) || (*skp == NULL)) {
3188         sk = sk_SSL_CIPHER_new_null(); /* change perhaps later */
3189         if(sk == NULL) {
3190             SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3191             *al = SSL_AD_INTERNAL_ERROR;
3192             return NULL;
3193         }
3194     } else {
3195         sk = *skp;
3196         sk_SSL_CIPHER_zero(sk);
3197     }
3198
3199     if (!PACKET_memdup(cipher_suites, &s->s3->tmp.ciphers_raw,
3200                        &s->s3->tmp.ciphers_rawlen)) {
3201         *al = SSL_AD_INTERNAL_ERROR;
3202         goto err;
3203     }
3204
3205     while (PACKET_copy_bytes(cipher_suites, cipher, n)) {
3206         /*
3207          * SSLv3 ciphers wrapped in an SSLv2-compatible ClientHello have the
3208          * first byte set to zero, while true SSLv2 ciphers have a non-zero
3209          * first byte. We don't support any true SSLv2 ciphers, so skip them.
3210          */
3211         if (sslv2format && cipher[0] != '\0')
3212                 continue;
3213
3214         /* Check for TLS_EMPTY_RENEGOTIATION_INFO_SCSV */
3215         if ((cipher[n - 2] == ((SSL3_CK_SCSV >> 8) & 0xff)) &&
3216             (cipher[n - 1] == (SSL3_CK_SCSV & 0xff))) {
3217             /* SCSV fatal if renegotiating */
3218             if (s->renegotiate) {
3219                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3220                        SSL_R_SCSV_RECEIVED_WHEN_RENEGOTIATING);
3221                 *al = SSL_AD_HANDSHAKE_FAILURE;
3222                 goto err;
3223             }
3224             s->s3->send_connection_binding = 1;
3225             continue;
3226         }
3227
3228         /* Check for TLS_FALLBACK_SCSV */
3229         if ((cipher[n - 2] == ((SSL3_CK_FALLBACK_SCSV >> 8) & 0xff)) &&
3230             (cipher[n - 1] == (SSL3_CK_FALLBACK_SCSV & 0xff))) {
3231             /*
3232              * The SCSV indicates that the client previously tried a higher
3233              * version. Fail if the current version is an unexpected
3234              * downgrade.
3235              */
3236             if (!ssl_check_version_downgrade(s)) {
3237                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3238                        SSL_R_INAPPROPRIATE_FALLBACK);
3239                 *al = SSL_AD_INAPPROPRIATE_FALLBACK;
3240                 goto err;
3241             }
3242             continue;
3243         }
3244
3245         /* For SSLv2-compat, ignore leading 0-byte. */
3246         c = ssl_get_cipher_by_char(s, sslv2format ? &cipher[1] : cipher);
3247         if (c != NULL) {
3248             if (!sk_SSL_CIPHER_push(sk, c)) {
3249                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3250                 *al = SSL_AD_INTERNAL_ERROR;
3251                 goto err;
3252             }
3253         }
3254     }
3255     if (PACKET_remaining(cipher_suites) > 0) {
3256         *al = SSL_AD_INTERNAL_ERROR;
3257         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_INTERNAL_ERROR);
3258         goto err;
3259     }
3260
3261     if (skp != NULL)
3262         *skp = sk;
3263     return (sk);
3264  err:
3265     if ((skp == NULL) || (*skp == NULL))
3266         sk_SSL_CIPHER_free(sk);
3267     return NULL;
3268 }