ff552208aa23e638fbe2a0802849c2745f7e5558
[openssl.git] / crypto / dsa / dsa_vrf.c
1 /* crypto/dsa/dsa_vrf.c */
2 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
3  * All rights reserved.
4  *
5  * This package is an SSL implementation written
6  * by Eric Young (eay@cryptsoft.com).
7  * The implementation was written so as to conform with Netscapes SSL.
8  * 
9  * This library is free for commercial and non-commercial use as long as
10  * the following conditions are aheared to.  The following conditions
11  * apply to all code found in this distribution, be it the RC4, RSA,
12  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
13  * included with this distribution is covered by the same copyright terms
14  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
15  * 
16  * Copyright remains Eric Young's, and as such any Copyright notices in
17  * the code are not to be removed.
18  * If this package is used in a product, Eric Young should be given attribution
19  * as the author of the parts of the library used.
20  * This can be in the form of a textual message at program startup or
21  * in documentation (online or textual) provided with the package.
22  * 
23  * Redistribution and use in source and binary forms, with or without
24  * modification, are permitted provided that the following conditions
25  * are met:
26  * 1. Redistributions of source code must retain the copyright
27  *    notice, this list of conditions and the following disclaimer.
28  * 2. Redistributions in binary form must reproduce the above copyright
29  *    notice, this list of conditions and the following disclaimer in the
30  *    documentation and/or other materials provided with the distribution.
31  * 3. All advertising materials mentioning features or use of this software
32  *    must display the following acknowledgement:
33  *    "This product includes cryptographic software written by
34  *     Eric Young (eay@cryptsoft.com)"
35  *    The word 'cryptographic' can be left out if the rouines from the library
36  *    being used are not cryptographic related :-).
37  * 4. If you include any Windows specific code (or a derivative thereof) from 
38  *    the apps directory (application code) you must include an acknowledgement:
39  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
40  * 
41  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
42  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
43  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
44  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
45  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
46  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
47  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
49  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
50  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
51  * SUCH DAMAGE.
52  * 
53  * The licence and distribution terms for any publically available version or
54  * derivative of this code cannot be changed.  i.e. this code cannot simply be
55  * copied and put under another distribution licence
56  * [including the GNU Public Licence.]
57  */
58
59 /* Original version from Steven Schoch <schoch@sheba.arc.nasa.gov> */
60
61 #include <stdio.h>
62 #include "cryptlib.h"
63 #include <openssl/bn.h>
64 #include <openssl/dsa.h>
65 #include <openssl/rand.h>
66 #include <openssl/asn1.h>
67 #include <openssl/asn1_mac.h>
68
69 int DSA_do_verify(const unsigned char *dgst, int dgst_len, DSA_SIG *sig,
70                   DSA *dsa)
71         {
72         BN_CTX *ctx;
73         BIGNUM u1,u2,t1;
74         BN_MONT_CTX *mont=NULL;
75         int ret = -1;
76
77         if ((ctx=BN_CTX_new()) == NULL) goto err;
78         BN_init(&u1);
79         BN_init(&u2);
80         BN_init(&t1);
81
82         /* Calculate W = inv(S) mod Q
83          * save W in u2 */
84         if ((BN_mod_inverse(&u2,sig->s,dsa->q,ctx)) == NULL) goto err;
85
86         /* save M in u1 */
87         if (BN_bin2bn(dgst,dgst_len,&u1) == NULL) goto err;
88
89         /* u1 = M * w mod q */
90         if (!BN_mod_mul(&u1,&u1,&u2,dsa->q,ctx)) goto err;
91
92         /* u2 = r * w mod q */
93         if (!BN_mod_mul(&u2,sig->r,&u2,dsa->q,ctx)) goto err;
94
95         if ((dsa->method_mont_p == NULL) && (dsa->flags & DSA_FLAG_CACHE_MONT_P))
96                 {
97                 if ((dsa->method_mont_p=(char *)BN_MONT_CTX_new()) != NULL)
98                         if (!BN_MONT_CTX_set((BN_MONT_CTX *)dsa->method_mont_p,
99                                 dsa->p,ctx)) goto err;
100                 }
101         mont=(BN_MONT_CTX *)dsa->method_mont_p;
102
103 #if 0
104         {
105         BIGNUM t2;
106
107         BN_init(&t2);
108         /* v = ( g^u1 * y^u2 mod p ) mod q */
109         /* let t1 = g ^ u1 mod p */
110         if (!BN_mod_exp_mont(&t1,dsa->g,&u1,dsa->p,ctx,mont)) goto err;
111         /* let t2 = y ^ u2 mod p */
112         if (!BN_mod_exp_mont(&t2,dsa->pub_key,&u2,dsa->p,ctx,mont)) goto err;
113         /* let u1 = t1 * t2 mod p */
114         if (!BN_mod_mul(&u1,&t1,&t2,dsa->p,ctx)) goto err_bn;
115         BN_free(&t2);
116         }
117         /* let u1 = u1 mod q */
118         if (!BN_mod(&u1,&u1,dsa->q,ctx)) goto err;
119 #else
120         {
121         if (!BN_mod_exp2_mont(&t1,dsa->g,&u1,dsa->pub_key,&u2,dsa->p,ctx,mont))
122                 goto err;
123         /* BN_copy(&u1,&t1); */
124         /* let u1 = u1 mod q */
125         if (!BN_mod(&u1,&t1,dsa->q,ctx)) goto err;
126         }
127 #endif
128         /* V is now in u1.  If the signature is correct, it will be
129          * equal to R. */
130         ret=(BN_ucmp(&u1, sig->r) == 0);
131
132         err:
133         if (ret != 1) DSAerr(DSA_F_DSA_DO_VERIFY,ERR_R_BN_LIB);
134         if (ctx != NULL) BN_CTX_free(ctx);
135         BN_free(&u1);
136         BN_free(&u2);
137         BN_free(&t1);
138         return(ret);
139         }
140
141 /* data has already been hashed (probably with SHA or SHA-1). */
142 /* returns
143  *      1: correct signature
144  *      0: incorrect signature
145  *     -1: error
146  */
147 int DSA_verify(int type, const unsigned char *dgst, int dgst_len,
148              unsigned char *sigbuf, int siglen, DSA *dsa)
149         {
150         DSA_SIG *s;
151         int ret=-1;
152
153         s = DSA_SIG_new();
154         if (s == NULL) return(ret);
155         if (d2i_DSA_SIG(&s,&sigbuf,siglen) == NULL) goto err;
156         ret=DSA_do_verify(dgst,dgst_len,s,dsa);
157 err:
158         DSA_SIG_free(s);
159         return(ret);
160         }