71cefbeaa47d36ad4701a21b57713f87b1386e66
[openssl.git] / crypto / dsa / dsa_vrf.c
1 /* crypto/dsa/dsa_vrf.c */
2 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
3  * All rights reserved.
4  *
5  * This package is an SSL implementation written
6  * by Eric Young (eay@cryptsoft.com).
7  * The implementation was written so as to conform with Netscapes SSL.
8  * 
9  * This library is free for commercial and non-commercial use as long as
10  * the following conditions are aheared to.  The following conditions
11  * apply to all code found in this distribution, be it the RC4, RSA,
12  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
13  * included with this distribution is covered by the same copyright terms
14  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
15  * 
16  * Copyright remains Eric Young's, and as such any Copyright notices in
17  * the code are not to be removed.
18  * If this package is used in a product, Eric Young should be given attribution
19  * as the author of the parts of the library used.
20  * This can be in the form of a textual message at program startup or
21  * in documentation (online or textual) provided with the package.
22  * 
23  * Redistribution and use in source and binary forms, with or without
24  * modification, are permitted provided that the following conditions
25  * are met:
26  * 1. Redistributions of source code must retain the copyright
27  *    notice, this list of conditions and the following disclaimer.
28  * 2. Redistributions in binary form must reproduce the above copyright
29  *    notice, this list of conditions and the following disclaimer in the
30  *    documentation and/or other materials provided with the distribution.
31  * 3. All advertising materials mentioning features or use of this software
32  *    must display the following acknowledgement:
33  *    "This product includes cryptographic software written by
34  *     Eric Young (eay@cryptsoft.com)"
35  *    The word 'cryptographic' can be left out if the rouines from the library
36  *    being used are not cryptographic related :-).
37  * 4. If you include any Windows specific code (or a derivative thereof) from 
38  *    the apps directory (application code) you must include an acknowledgement:
39  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
40  * 
41  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
42  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
43  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
44  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
45  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
46  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
47  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
49  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
50  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
51  * SUCH DAMAGE.
52  * 
53  * The licence and distribution terms for any publically available version or
54  * derivative of this code cannot be changed.  i.e. this code cannot simply be
55  * copied and put under another distribution licence
56  * [including the GNU Public Licence.]
57  */
58
59 /* Origional version from Steven Schoch <schoch@sheba.arc.nasa.gov> */
60
61 #include <stdio.h>
62 #include "cryptlib.h"
63 #include "bn.h"
64 #include "dsa.h"
65 #include "rand.h"
66 #include "asn1.h"
67 #include "asn1_mac.h"
68
69 /* data has already been hashed (probably with SHA or SHA-1). */
70 /* returns
71  *       1: correct signature
72  *       0: incorrect signature
73  *      -1: error
74  */
75 int DSA_verify(type,dgst,dgst_len,sigbuf,siglen, dsa)
76 int type;
77 unsigned char *dgst;
78 int dgst_len;
79 unsigned char *sigbuf;
80 int siglen;
81 DSA *dsa;
82         {
83         /* The next 3 are used by the M_ASN1 macros */
84         long length=siglen;
85         ASN1_CTX c;
86         unsigned char **pp= &sigbuf;
87         BN_CTX *ctx;
88         BIGNUM r,u1,u2,t1;
89         ASN1_INTEGER *bs=NULL;
90         BN_MONT_CTX *mont=NULL;
91         int ret = -1;
92
93         if ((ctx=BN_CTX_new()) == NULL) goto err;
94         if ((mont=BN_MONT_CTX_new()) == NULL) goto err;
95
96         BN_init(&u1);
97         BN_init(&u2);
98         BN_init(&r);
99         BN_init(&t1);
100
101         M_ASN1_D2I_Init();
102         M_ASN1_D2I_start_sequence();
103         M_ASN1_D2I_get(bs,d2i_ASN1_INTEGER);
104         if ((BN_bin2bn(bs->data,bs->length,&r)) == NULL) goto err_bn;
105         M_ASN1_D2I_get(bs,d2i_ASN1_INTEGER);
106         if ((BN_bin2bn(bs->data,bs->length,&u1)) == NULL) goto err_bn;
107         if (!asn1_Finish(&c)) goto err;
108
109         /* Calculate W = inv(S) mod Q
110          * save W in u2 */
111         if ((BN_mod_inverse(&u2,&u1,dsa->q,ctx)) == NULL) goto err_bn;
112
113         /* save M in u1 */
114         if (BN_bin2bn(dgst,dgst_len,&u1) == NULL) goto err_bn;
115
116         /* u1 = M * w mod q */
117         if (!BN_mod_mul(&u1,&u1,&u2,dsa->q,ctx)) goto err_bn;
118
119         /* u2 = r * w mod q */
120         if (!BN_mod_mul(&u2,&r,&u2,dsa->q,ctx)) goto err_bn;
121
122         if ((dsa->method_mont_p == NULL) && (dsa->flags & DSA_FLAG_CACHE_MONT_P))
123                 {
124                 if ((dsa->method_mont_p=(char *)BN_MONT_CTX_new()) != NULL)
125                         if (!BN_MONT_CTX_set((BN_MONT_CTX *)dsa->method_mont_p,
126                                 dsa->p,ctx)) goto err;
127                 }
128         mont=(BN_MONT_CTX *)dsa->method_mont_p;
129
130 #if 0
131         {
132         BIGNUM t2;
133
134         BN_init(&t2);
135         /* v = ( g^u1 * y^u2 mod p ) mod q */
136         /* let t1 = g ^ u1 mod p */
137         if (!BN_mod_exp_mont(&t1,dsa->g,&u1,dsa->p,ctx,mont)) goto err_bn;
138         /* let t2 = y ^ u2 mod p */
139         if (!BN_mod_exp_mont(&t2,dsa->pub_key,&u2,dsa->p,ctx,mont)) goto err_bn;
140         /* let u1 = t1 * t2 mod p */
141         if (!BN_mod_mul(&u1,&t1,&t2,dsa->p,ctx)) goto err_bn;
142         BN_free(&t2);
143         }
144         /* let u1 = u1 mod q */
145         if (!BN_mod(&u1,&u1,dsa->q,ctx)) goto err_bn;
146 #else
147         {
148         if (!BN_mod_exp2_mont(&t1,dsa->g,&u1,dsa->pub_key,&u2,dsa->p,ctx,mont))
149                 goto err_bn;
150         /* BN_copy(&u1,&t1); */
151         /* let u1 = u1 mod q */
152         if (!BN_mod(&u1,&t1,dsa->q,ctx)) goto err_bn;
153         }
154 #endif
155         /* V is now in u1.  If the signature is correct, it will be
156          * equal to R. */
157         ret=(BN_ucmp(&u1, &r) == 0);
158         if (0)
159                 {
160 err: /* ASN1 error */
161                 DSAerr(DSA_F_DSA_VERIFY,c.error);
162                 }
163         if (0)
164                 {
165 err_bn: /* BN error */
166                 DSAerr(DSA_F_DSA_VERIFY,ERR_R_BN_LIB);
167                 }
168         if (ctx != NULL) BN_CTX_free(ctx);
169         BN_free(&r);
170         BN_free(&u1);
171         BN_free(&u2);
172         BN_free(&t1);
173         if (bs != NULL) ASN1_BIT_STRING_free(bs);
174         return(ret);
175         }