crypto/ts/ts_rsp_verify.c

   1 /*
   2  * Copyright 2006-2021 The OpenSSL Project Authors. All Rights Reserved.
   3  *
   4  * Licensed under the Apache License 2.0 (the "License").  You may not use
   5  * this file except in compliance with the License.  You can obtain a copy
   6  * in the file LICENSE in the source distribution or at
   7  * https://www.openssl.org/source/license.html
   8  */
   9
  10 #include <stdio.h>
  11 #include <openssl/objects.h>
  12 #include <openssl/ts.h>
  13 #include <openssl/pkcs7.h>
  14 #include "internal/cryptlib.h"
  15 #include "internal/sizes.h"
  16 #include "crypto/ess.h"
  17 #include "ts_local.h"
  18
  19 static int ts_verify_cert(X509_STORE *store, STACK_OF(X509) *untrusted,
  20                           X509 *signer, STACK_OF(X509) **chain);
  21 static int ts_check_signing_certs(const PKCS7_SIGNER_INFO *si,
  22                                   const STACK_OF(X509) *chain);
  23
  24 static int int_ts_RESP_verify_token(TS_VERIFY_CTX *ctx,
  25                                     PKCS7 *token, TS_TST_INFO *tst_info);
  26 static int ts_check_status_info(TS_RESP *response);
  27 static char *ts_get_status_text(STACK_OF(ASN1_UTF8STRING) *text);
  28 static int ts_check_policy(const ASN1_OBJECT *req_oid,
  29                            const TS_TST_INFO *tst_info);
  30 static int ts_compute_imprint(BIO *data, TS_TST_INFO *tst_info,
  31                               X509_ALGOR **md_alg,
  32                               unsigned char **imprint, unsigned *imprint_len);
  33 static int ts_check_imprints(X509_ALGOR *algor_a,
  34                              const unsigned char *imprint_a, unsigned len_a,
  35                              TS_TST_INFO *tst_info);
  36 static int ts_check_nonces(const ASN1_INTEGER *a, TS_TST_INFO *tst_info);
  37 static int ts_check_signer_name(GENERAL_NAME *tsa_name, X509 *signer);
  38 static int ts_find_name(STACK_OF(GENERAL_NAME) *gen_names,
  39                         GENERAL_NAME *name);
  40
  41 /*
  42  * This must be large enough to hold all values in ts_status_text (with
  43  * comma separator) or all text fields in ts_failure_info (also with comma).
  44  */
  45 #define TS_STATUS_BUF_SIZE      256
  46
  47 /*
  48  * Local mapping between response codes and descriptions.
  49  */
  50 static const char *ts_status_text[] = {
  51     "granted",
  52     "grantedWithMods",
  53     "rejection",
  54     "waiting",
  55     "revocationWarning",
  56     "revocationNotification"
  57 };
  58
  59 #define TS_STATUS_TEXT_SIZE     OSSL_NELEM(ts_status_text)
  60
  61 static struct {
  62     int code;
  63     const char *text;
  64 } ts_failure_info[] = {
  65     {TS_INFO_BAD_ALG, "badAlg"},
  66     {TS_INFO_BAD_REQUEST, "badRequest"},
  67     {TS_INFO_BAD_DATA_FORMAT, "badDataFormat"},
  68     {TS_INFO_TIME_NOT_AVAILABLE, "timeNotAvailable"},
  69     {TS_INFO_UNACCEPTED_POLICY, "unacceptedPolicy"},
  70     {TS_INFO_UNACCEPTED_EXTENSION, "unacceptedExtension"},
  71     {TS_INFO_ADD_INFO_NOT_AVAILABLE, "addInfoNotAvailable"},
  72     {TS_INFO_SYSTEM_FAILURE, "systemFailure"}
  73 };
  74
  75
  76 /*-
  77  * This function carries out the following tasks:
  78  *      - Checks if there is one and only one signer.
  79  *      - Search for the signing certificate in 'certs' and in the response.
  80  *      - Check the extended key usage and key usage fields of the signer
  81  *      certificate (done by the path validation).
  82  *      - Build and validate the certificate path.
  83  *      - Check if the certificate path meets the requirements of the
  84  *      SigningCertificate ESS signed attribute.
  85  *      - Verify the signature value.
  86  *      - Returns the signer certificate in 'signer', if 'signer' is not NULL.
  87  */
  88 int TS_RESP_verify_signature(PKCS7 *token, STACK_OF(X509) *certs,
  89                              X509_STORE *store, X509 **signer_out)
  90 {
  91     STACK_OF(PKCS7_SIGNER_INFO) *sinfos = NULL;
  92     PKCS7_SIGNER_INFO *si;
  93     STACK_OF(X509) *untrusted = NULL;
  94     STACK_OF(X509) *signers = NULL;
  95     X509 *signer;
  96     STACK_OF(X509) *chain = NULL;
  97     char buf[4096];
  98     int i, j = 0, ret = 0;
  99     BIO *p7bio = NULL;
 100
 101     /* Some sanity checks first. */
 102     if (!token) {
 103         ERR_raise(ERR_LIB_TS, TS_R_INVALID_NULL_POINTER);
 104         goto err;
 105     }
 106     if (!PKCS7_type_is_signed(token)) {
 107         ERR_raise(ERR_LIB_TS, TS_R_WRONG_CONTENT_TYPE);
 108         goto err;
 109     }
 110     sinfos = PKCS7_get_signer_info(token);
 111     if (!sinfos || sk_PKCS7_SIGNER_INFO_num(sinfos) != 1) {
 112         ERR_raise(ERR_LIB_TS, TS_R_THERE_MUST_BE_ONE_SIGNER);
 113         goto err;
 114     }
 115     si = sk_PKCS7_SIGNER_INFO_value(sinfos, 0);
 116     if (PKCS7_get_detached(token)) {
 117         ERR_raise(ERR_LIB_TS, TS_R_NO_CONTENT);
 118         goto err;
 119     }
 120
 121     /*
 122      * Get hold of the signer certificate, search only internal certificates
 123      * if it was requested.
 124      */
 125     signers = PKCS7_get0_signers(token, certs, 0);
 126     if (!signers || sk_X509_num(signers) != 1)
 127         goto err;
 128     signer = sk_X509_value(signers, 0);
 129
 130     untrusted = sk_X509_new_reserve(NULL, sk_X509_num(certs)
 131                                     + sk_X509_num(token->d.sign->cert));
 132     if (untrusted == NULL
 133             || !X509_add_certs(untrusted, certs, 0)
 134             || !X509_add_certs(untrusted, token->d.sign->cert, 0))
 135         goto err;
 136     if (!ts_verify_cert(store, untrusted, signer, &chain))
 137         goto err;
 138     if (!ts_check_signing_certs(si, chain))
 139         goto err;
 140     p7bio = PKCS7_dataInit(token, NULL);
 141
 142     /* We now have to 'read' from p7bio to calculate digests etc. */
 143     while ((i = BIO_read(p7bio, buf, sizeof(buf))) > 0)
 144         continue;
 145
 146     j = PKCS7_signatureVerify(p7bio, token, si, signer);
 147     if (j <= 0) {
 148         ERR_raise(ERR_LIB_TS, TS_R_SIGNATURE_FAILURE);
 149         goto err;
 150     }
 151
 152     if (signer_out) {
 153         *signer_out = signer;
 154         X509_up_ref(signer);
 155     }
 156     ret = 1;
 157
 158  err:
 159     BIO_free_all(p7bio);
 160     sk_X509_free(untrusted);
 161     sk_X509_pop_free(chain, X509_free);
 162     sk_X509_free(signers);
 163
 164     return ret;
 165 }
 166
 167 /*
 168  * The certificate chain is returned in chain. Caller is responsible for
 169  * freeing the vector.
 170  */
 171 static int ts_verify_cert(X509_STORE *store, STACK_OF(X509) *untrusted,
 172                           X509 *signer, STACK_OF(X509) **chain)
 173 {
 174     X509_STORE_CTX *cert_ctx = NULL;
 175     int i;
 176     int ret = 0;
 177
 178     *chain = NULL;
 179     cert_ctx = X509_STORE_CTX_new();
 180     if (cert_ctx == NULL) {
 181         ERR_raise(ERR_LIB_TS, ERR_R_MALLOC_FAILURE);
 182         goto err;
 183     }
 184     if (!X509_STORE_CTX_init(cert_ctx, store, signer, untrusted))
 185         goto end;
 186     X509_STORE_CTX_set_purpose(cert_ctx, X509_PURPOSE_TIMESTAMP_SIGN);
 187     i = X509_verify_cert(cert_ctx);
 188     if (i <= 0) {
 189         int j = X509_STORE_CTX_get_error(cert_ctx);
 190         ERR_raise_data(ERR_LIB_TS, TS_R_CERTIFICATE_VERIFY_ERROR,
 191                        "Verify error:%s", X509_verify_cert_error_string(j));
 192         goto err;
 193     }
 194     *chain = X509_STORE_CTX_get1_chain(cert_ctx);
 195     ret = 1;
 196     goto end;
 197
 198 err:
 199     ret = 0;
 200
 201 end:
 202     X509_STORE_CTX_free(cert_ctx);
 203     return ret;
 204 }
 205
 206 static int ts_check_signing_certs(const PKCS7_SIGNER_INFO *si,
 207                                   const STACK_OF(X509) *chain)
 208 {
 209     ESS_SIGNING_CERT *ss = ossl_ess_get_signing_cert(si);
 210     ESS_SIGNING_CERT_V2 *ssv2 = ossl_ess_get_signing_cert_v2(si);
 211     int ret = ossl_ess_check_signing_certs(ss, ssv2, chain, 1);
 212
 213     ESS_SIGNING_CERT_free(ss);
 214     ESS_SIGNING_CERT_V2_free(ssv2);
 215     return ret;
 216 }
 217
 218 /*-
 219  * Verifies whether 'response' contains a valid response with regards
 220  * to the settings of the context:
 221  *      - Gives an error message if the TS_TST_INFO is not present.
 222  *      - Calls _TS_RESP_verify_token to verify the token content.
 223  */
 224 int TS_RESP_verify_response(TS_VERIFY_CTX *ctx, TS_RESP *response)
 225 {
 226     PKCS7 *token = response->token;
 227     TS_TST_INFO *tst_info = response->tst_info;
 228     int ret = 0;
 229
 230     if (!ts_check_status_info(response))
 231         goto err;
 232     if (!int_ts_RESP_verify_token(ctx, token, tst_info))
 233         goto err;
 234     ret = 1;
 235
 236  err:
 237     return ret;
 238 }
 239
 240 /*
 241  * Tries to extract a TS_TST_INFO structure from the PKCS7 token and
 242  * calls the internal int_TS_RESP_verify_token function for verifying it.
 243  */
 244 int TS_RESP_verify_token(TS_VERIFY_CTX *ctx, PKCS7 *token)
 245 {
 246     TS_TST_INFO *tst_info = PKCS7_to_TS_TST_INFO(token);
 247     int ret = 0;
 248     if (tst_info) {
 249         ret = int_ts_RESP_verify_token(ctx, token, tst_info);
 250         TS_TST_INFO_free(tst_info);
 251     }
 252     return ret;
 253 }
 254
 255 /*-
 256  * Verifies whether the 'token' contains a valid time stamp token
 257  * with regards to the settings of the context. Only those checks are
 258  * carried out that are specified in the context:
 259  *      - Verifies the signature of the TS_TST_INFO.
 260  *      - Checks the version number of the response.
 261  *      - Check if the requested and returned policies math.
 262  *      - Check if the message imprints are the same.
 263  *      - Check if the nonces are the same.
 264  *      - Check if the TSA name matches the signer.
 265  *      - Check if the TSA name is the expected TSA.
 266  */
 267 static int int_ts_RESP_verify_token(TS_VERIFY_CTX *ctx,
 268                                     PKCS7 *token, TS_TST_INFO *tst_info)
 269 {
 270     X509 *signer = NULL;
 271     GENERAL_NAME *tsa_name = tst_info->tsa;
 272     X509_ALGOR *md_alg = NULL;
 273     unsigned char *imprint = NULL;
 274     unsigned imprint_len = 0;
 275     int ret = 0;
 276     int flags = ctx->flags;
 277
 278     /* Some options require us to also check the signature */
 279     if (((flags & TS_VFY_SIGNER) && tsa_name != NULL)
 280             || (flags & TS_VFY_TSA_NAME)) {
 281         flags |= TS_VFY_SIGNATURE;
 282     }
 283
 284     if ((flags & TS_VFY_SIGNATURE)
 285         && !TS_RESP_verify_signature(token, ctx->certs, ctx->store, &signer))
 286         goto err;
 287     if ((flags & TS_VFY_VERSION)
 288         && TS_TST_INFO_get_version(tst_info) != 1) {
 289         ERR_raise(ERR_LIB_TS, TS_R_UNSUPPORTED_VERSION);
 290         goto err;
 291     }
 292     if ((flags & TS_VFY_POLICY)
 293         && !ts_check_policy(ctx->policy, tst_info))
 294         goto err;
 295     if ((flags & TS_VFY_IMPRINT)
 296         && !ts_check_imprints(ctx->md_alg, ctx->imprint, ctx->imprint_len,
 297                               tst_info))
 298         goto err;
 299     if ((flags & TS_VFY_DATA)
 300         && (!ts_compute_imprint(ctx->data, tst_info,
 301                                 &md_alg, &imprint, &imprint_len)
 302             || !ts_check_imprints(md_alg, imprint, imprint_len, tst_info)))
 303         goto err;
 304     if ((flags & TS_VFY_NONCE)
 305         && !ts_check_nonces(ctx->nonce, tst_info))
 306         goto err;
 307     if ((flags & TS_VFY_SIGNER)
 308         && tsa_name && !ts_check_signer_name(tsa_name, signer)) {
 309         ERR_raise(ERR_LIB_TS, TS_R_TSA_NAME_MISMATCH);
 310         goto err;
 311     }
 312     if ((flags & TS_VFY_TSA_NAME)
 313         && !ts_check_signer_name(ctx->tsa_name, signer)) {
 314         ERR_raise(ERR_LIB_TS, TS_R_TSA_UNTRUSTED);
 315         goto err;
 316     }
 317     ret = 1;
 318
 319  err:
 320     X509_free(signer);
 321     X509_ALGOR_free(md_alg);
 322     OPENSSL_free(imprint);
 323     return ret;
 324 }
 325
 326 static int ts_check_status_info(TS_RESP *response)
 327 {
 328     TS_STATUS_INFO *info = response->status_info;
 329     long status = ASN1_INTEGER_get(info->status);
 330     const char *status_text = NULL;
 331     char *embedded_status_text = NULL;
 332     char failure_text[TS_STATUS_BUF_SIZE] = "";
 333
 334     if (status == 0 || status == 1)
 335         return 1;
 336
 337     /* There was an error, get the description in status_text. */
 338     if (0 <= status && status < (long) OSSL_NELEM(ts_status_text))
 339         status_text = ts_status_text[status];
 340     else
 341         status_text = "unknown code";
 342
 343     if (sk_ASN1_UTF8STRING_num(info->text) > 0
 344         && (embedded_status_text = ts_get_status_text(info->text)) == NULL)
 345         return 0;
 346
 347     /* Fill in failure_text with the failure information. */
 348     if (info->failure_info) {
 349         int i;
 350         int first = 1;
 351         for (i = 0; i < (int)OSSL_NELEM(ts_failure_info); ++i) {
 352             if (ASN1_BIT_STRING_get_bit(info->failure_info,
 353                                         ts_failure_info[i].code)) {
 354                 if (!first)
 355                     strcat(failure_text, ",");
 356                 else
 357                     first = 0;
 358                 strcat(failure_text, ts_failure_info[i].text);
 359             }
 360         }
 361     }
 362     if (failure_text[0] == '\0')
 363         strcpy(failure_text, "unspecified");
 364
 365     ERR_raise_data(ERR_LIB_TS, TS_R_NO_TIME_STAMP_TOKEN,
 366                    "status code: %s, status text: %s, failure codes: %s",
 367                    status_text,
 368                    embedded_status_text ? embedded_status_text : "unspecified",
 369                    failure_text);
 370     OPENSSL_free(embedded_status_text);
 371
 372     return 0;
 373 }
 374
 375 static char *ts_get_status_text(STACK_OF(ASN1_UTF8STRING) *text)
 376 {
 377     return ossl_sk_ASN1_UTF8STRING2text(text, "/", TS_MAX_STATUS_LENGTH);
 378 }
 379
 380 static int ts_check_policy(const ASN1_OBJECT *req_oid,
 381                            const TS_TST_INFO *tst_info)
 382 {
 383     const ASN1_OBJECT *resp_oid = tst_info->policy_id;
 384
 385     if (OBJ_cmp(req_oid, resp_oid) != 0) {
 386         ERR_raise(ERR_LIB_TS, TS_R_POLICY_MISMATCH);
 387         return 0;
 388     }
 389
 390     return 1;
 391 }
 392
 393 static int ts_compute_imprint(BIO *data, TS_TST_INFO *tst_info,
 394                               X509_ALGOR **md_alg,
 395                               unsigned char **imprint, unsigned *imprint_len)
 396 {
 397     TS_MSG_IMPRINT *msg_imprint = tst_info->msg_imprint;
 398     X509_ALGOR *md_alg_resp = msg_imprint->hash_algo;
 399     EVP_MD *md = NULL;
 400     EVP_MD_CTX *md_ctx = NULL;
 401     unsigned char buffer[4096];
 402     char name[OSSL_MAX_NAME_SIZE];
 403     int length;
 404
 405     *md_alg = NULL;
 406     *imprint = NULL;
 407
 408     if ((*md_alg = X509_ALGOR_dup(md_alg_resp)) == NULL)
 409         goto err;
 410
 411     OBJ_obj2txt(name, sizeof(name), md_alg_resp->algorithm, 0);
 412
 413     (void)ERR_set_mark();
 414     md = EVP_MD_fetch(NULL, name, NULL);
 415
 416     if (md == NULL)
 417         md = (EVP_MD *)EVP_get_digestbyname(name);
 418
 419     if (md == NULL) {
 420         (void)ERR_clear_last_mark();
 421         goto err;
 422     }
 423     (void)ERR_pop_to_mark();
 424
 425     length = EVP_MD_size(md);
 426     if (length < 0)
 427         goto err;
 428     *imprint_len = length;
 429     if ((*imprint = OPENSSL_malloc(*imprint_len)) == NULL) {
 430         ERR_raise(ERR_LIB_TS, ERR_R_MALLOC_FAILURE);
 431         goto err;
 432     }
 433
 434     md_ctx = EVP_MD_CTX_new();
 435     if (md_ctx == NULL) {
 436         ERR_raise(ERR_LIB_TS, ERR_R_MALLOC_FAILURE);
 437         goto err;
 438     }
 439     if (!EVP_DigestInit(md_ctx, md))
 440         goto err;
 441     EVP_MD_free(md);
 442     md = NULL;
 443     while ((length = BIO_read(data, buffer, sizeof(buffer))) > 0) {
 444         if (!EVP_DigestUpdate(md_ctx, buffer, length))
 445             goto err;
 446     }
 447     if (!EVP_DigestFinal(md_ctx, *imprint, NULL))
 448         goto err;
 449     EVP_MD_CTX_free(md_ctx);
 450
 451     return 1;
 452  err:
 453     EVP_MD_CTX_free(md_ctx);
 454     EVP_MD_free(md);
 455     X509_ALGOR_free(*md_alg);
 456     *md_alg = NULL;
 457     OPENSSL_free(*imprint);
 458     *imprint_len = 0;
 459     *imprint = 0;
 460     return 0;
 461 }
 462
 463 static int ts_check_imprints(X509_ALGOR *algor_a,
 464                              const unsigned char *imprint_a, unsigned len_a,
 465                              TS_TST_INFO *tst_info)
 466 {
 467     TS_MSG_IMPRINT *b = tst_info->msg_imprint;
 468     X509_ALGOR *algor_b = b->hash_algo;
 469     int ret = 0;
 470
 471     if (algor_a) {
 472         if (OBJ_cmp(algor_a->algorithm, algor_b->algorithm))
 473             goto err;
 474
 475         /* The parameter must be NULL in both. */
 476         if ((algor_a->parameter
 477              && ASN1_TYPE_get(algor_a->parameter) != V_ASN1_NULL)
 478             || (algor_b->parameter
 479                 && ASN1_TYPE_get(algor_b->parameter) != V_ASN1_NULL))
 480             goto err;
 481     }
 482
 483     ret = len_a == (unsigned)ASN1_STRING_length(b->hashed_msg) &&
 484         memcmp(imprint_a, ASN1_STRING_get0_data(b->hashed_msg), len_a) == 0;
 485  err:
 486     if (!ret)
 487         ERR_raise(ERR_LIB_TS, TS_R_MESSAGE_IMPRINT_MISMATCH);
 488     return ret;
 489 }
 490
 491 static int ts_check_nonces(const ASN1_INTEGER *a, TS_TST_INFO *tst_info)
 492 {
 493     const ASN1_INTEGER *b = tst_info->nonce;
 494
 495     if (!b) {
 496         ERR_raise(ERR_LIB_TS, TS_R_NONCE_NOT_RETURNED);
 497         return 0;
 498     }
 499
 500     /* No error if a nonce is returned without being requested. */
 501     if (ASN1_INTEGER_cmp(a, b) != 0) {
 502         ERR_raise(ERR_LIB_TS, TS_R_NONCE_MISMATCH);
 503         return 0;
 504     }
 505
 506     return 1;
 507 }
 508
 509 /*
 510  * Check if the specified TSA name matches either the subject or one of the
 511  * subject alternative names of the TSA certificate.
 512  */
 513 static int ts_check_signer_name(GENERAL_NAME *tsa_name, X509 *signer)
 514 {
 515     STACK_OF(GENERAL_NAME) *gen_names = NULL;
 516     int idx = -1;
 517     int found = 0;
 518
 519     if (tsa_name->type == GEN_DIRNAME
 520         && X509_name_cmp(tsa_name->d.dirn, X509_get_subject_name(signer)) == 0)
 521         return 1;
 522     gen_names = X509_get_ext_d2i(signer, NID_subject_alt_name, NULL, &idx);
 523     while (gen_names != NULL) {
 524         found = ts_find_name(gen_names, tsa_name) >= 0;
 525         if (found)
 526             break;
 527         /*
 528          * Get the next subject alternative name, although there should be no
 529          * more than one.
 530          */
 531         GENERAL_NAMES_free(gen_names);
 532         gen_names = X509_get_ext_d2i(signer, NID_subject_alt_name, NULL, &idx);
 533     }
 534     GENERAL_NAMES_free(gen_names);
 535
 536     return found;
 537 }
 538
 539 /* Returns 1 if name is in gen_names, 0 otherwise. */
 540 static int ts_find_name(STACK_OF(GENERAL_NAME) *gen_names, GENERAL_NAME *name)
 541 {
 542     int i, found;
 543     for (i = 0, found = 0; !found && i < sk_GENERAL_NAME_num(gen_names); ++i) {
 544         GENERAL_NAME *current = sk_GENERAL_NAME_value(gen_names, i);
 545         found = GENERAL_NAME_cmp(current, name) == 0;
 546     }
 547     return found ? i - 1 : -1;
 548 }