crypto/ecdsa/ecs_ossl.c

   1 /* crypto/ecdsa/ecs_ossl.c */
   2 /*
   3  * Written by Nils Larsch for the OpenSSL project
   4  */
   5 /* ====================================================================
   6  * Copyright (c) 1998-2004 The OpenSSL Project.  All rights reserved.
   7  *
   8  * Redistribution and use in source and binary forms, with or without
   9  * modification, are permitted provided that the following conditions
  10  * are met:
  11  *
  12  * 1. Redistributions of source code must retain the above copyright
  13  *    notice, this list of conditions and the following disclaimer.
  14  *
  15  * 2. Redistributions in binary form must reproduce the above copyright
  16  *    notice, this list of conditions and the following disclaimer in
  17  *    the documentation and/or other materials provided with the
  18  *    distribution.
  19  *
  20  * 3. All advertising materials mentioning features or use of this
  21  *    software must display the following acknowledgment:
  22  *    "This product includes software developed by the OpenSSL Project
  23  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
  24  *
  25  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
  26  *    endorse or promote products derived from this software without
  27  *    prior written permission. For written permission, please contact
  28  *    openssl-core@OpenSSL.org.
  29  *
  30  * 5. Products derived from this software may not be called "OpenSSL"
  31  *    nor may "OpenSSL" appear in their names without prior written
  32  *    permission of the OpenSSL Project.
  33  *
  34  * 6. Redistributions of any form whatsoever must retain the following
  35  *    acknowledgment:
  36  *    "This product includes software developed by the OpenSSL Project
  37  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
  38  *
  39  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
  40  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  41  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
  42  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
  43  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
  44  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
  45  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
  46  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  47  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
  48  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
  49  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
  50  * OF THE POSSIBILITY OF SUCH DAMAGE.
  51  * ====================================================================
  52  *
  53  * This product includes cryptographic software written by Eric Young
  54  * (eay@cryptsoft.com).  This product includes software written by Tim
  55  * Hudson (tjh@cryptsoft.com).
  56  *
  57  */
  58
  59 #include "ecs_locl.h"
  60 #include <openssl/err.h>
  61 #include <openssl/obj_mac.h>
  62 #include <openssl/bn.h>
  63
  64 static ECDSA_SIG *ecdsa_do_sign(const unsigned char *dgst, int dlen,
  65                                 const BIGNUM *, const BIGNUM *,
  66                                 EC_KEY *eckey);
  67 static int ecdsa_sign_setup(EC_KEY *eckey, BN_CTX *ctx_in, BIGNUM **kinvp,
  68                             BIGNUM **rp);
  69 static int ecdsa_do_verify(const unsigned char *dgst, int dgst_len,
  70                            const ECDSA_SIG *sig, EC_KEY *eckey);
  71
  72 static ECDSA_METHOD openssl_ecdsa_meth = {
  73     "OpenSSL ECDSA method",
  74     ecdsa_do_sign,
  75     ecdsa_sign_setup,
  76     ecdsa_do_verify,
  77 #if 0
  78     NULL,                       /* init */
  79     NULL,                       /* finish */
  80 #endif
  81     0,                          /* flags */
  82     NULL                        /* app_data */
  83 };
  84
  85 const ECDSA_METHOD *ECDSA_OpenSSL(void)
  86 {
  87     return &openssl_ecdsa_meth;
  88 }
  89
  90 static int ecdsa_sign_setup(EC_KEY *eckey, BN_CTX *ctx_in, BIGNUM **kinvp,
  91                             BIGNUM **rp)
  92 {
  93     BN_CTX *ctx = NULL;
  94     BIGNUM *k = NULL, *r = NULL, *order = NULL, *X = NULL;
  95     EC_POINT *tmp_point = NULL;
  96     const EC_GROUP *group;
  97     int ret = 0;
  98     int order_bits;
  99
 100     if (eckey == NULL || (group = EC_KEY_get0_group(eckey)) == NULL) {
 101         ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_PASSED_NULL_PARAMETER);
 102         return 0;
 103     }
 104
 105     if (ctx_in == NULL) {
 106         if ((ctx = BN_CTX_new()) == NULL) {
 107             ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_MALLOC_FAILURE);
 108             return 0;
 109         }
 110     } else
 111         ctx = ctx_in;
 112
 113     k = BN_new();               /* this value is later returned in *kinvp */
 114     r = BN_new();               /* this value is later returned in *rp */
 115     order = BN_new();
 116     X = BN_new();
 117     if (!k || !r || !order || !X) {
 118         ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_MALLOC_FAILURE);
 119         goto err;
 120     }
 121     if ((tmp_point = EC_POINT_new(group)) == NULL) {
 122         ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_EC_LIB);
 123         goto err;
 124     }
 125     if (!EC_GROUP_get_order(group, order, ctx)) {
 126         ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_EC_LIB);
 127         goto err;
 128     }
 129
 130     /* Preallocate space */
 131     order_bits = BN_num_bits(order);
 132     if (!BN_set_bit(k, order_bits)
 133         || !BN_set_bit(r, order_bits)
 134         || !BN_set_bit(X, order_bits))
 135         goto err;
 136
 137     do {
 138         /* get random k */
 139         do
 140             if (!BN_rand_range(k, order)) {
 141                 ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP,
 142                          ECDSA_R_RANDOM_NUMBER_GENERATION_FAILED);
 143                 goto err;
 144             }
 145         while (BN_is_zero(k)) ;
 146
 147         /*
 148          * We do not want timing information to leak the length of k, so we
 149          * compute G*k using an equivalent scalar of fixed bit-length.
 150          *
 151          * We unconditionally perform both of these additions to prevent a
 152          * small timing information leakage.  We then choose the sum that is
 153          * one bit longer than the order.  This guarantees the code
 154          * path used in the constant time implementations elsewhere.
 155          *
 156          * TODO: revisit the BN_copy aiming for a memory access agnostic
 157          * conditional copy.
 158          */
 159         if (!BN_add(r, k, order)
 160             || !BN_add(X, r, order)
 161             || !BN_copy(k, BN_num_bits(r) > order_bits ? r : X))
 162             goto err;
 163
 164         /* compute r the x-coordinate of generator * k */
 165         if (!EC_POINT_mul(group, tmp_point, k, NULL, NULL, ctx)) {
 166             ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_EC_LIB);
 167             goto err;
 168         }
 169         if (EC_METHOD_get_field_type(EC_GROUP_method_of(group)) ==
 170             NID_X9_62_prime_field) {
 171             if (!EC_POINT_get_affine_coordinates_GFp
 172                 (group, tmp_point, X, NULL, ctx)) {
 173                 ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_EC_LIB);
 174                 goto err;
 175             }
 176         }
 177 #ifndef OPENSSL_NO_EC2M
 178         else {                  /* NID_X9_62_characteristic_two_field */
 179
 180             if (!EC_POINT_get_affine_coordinates_GF2m(group,
 181                                                       tmp_point, X, NULL,
 182                                                       ctx)) {
 183                 ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_EC_LIB);
 184                 goto err;
 185             }
 186         }
 187 #endif
 188         if (!BN_nnmod(r, X, order, ctx)) {
 189             ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_BN_LIB);
 190             goto err;
 191         }
 192     }
 193     while (BN_is_zero(r));
 194
 195     /* compute the inverse of k */
 196     if (EC_GROUP_get_mont_data(group) != NULL) {
 197         /*
 198          * We want inverse in constant time, therefore we utilize the fact
 199          * order must be prime and use Fermats Little Theorem instead.
 200          */
 201         if (!BN_set_word(X, 2)) {
 202             ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_BN_LIB);
 203             goto err;
 204         }
 205         if (!BN_mod_sub(X, order, X, order, ctx)) {
 206             ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_BN_LIB);
 207             goto err;
 208         }
 209         BN_set_flags(X, BN_FLG_CONSTTIME);
 210         if (!BN_mod_exp_mont_consttime
 211             (k, k, X, order, ctx, EC_GROUP_get_mont_data(group))) {
 212             ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_BN_LIB);
 213             goto err;
 214         }
 215     } else {
 216         if (!BN_mod_inverse(k, k, order, ctx)) {
 217             ECDSAerr(ECDSA_F_ECDSA_SIGN_SETUP, ERR_R_BN_LIB);
 218             goto err;
 219         }
 220     }
 221
 222     /* clear old values if necessary */
 223     if (*rp != NULL)
 224         BN_clear_free(*rp);
 225     if (*kinvp != NULL)
 226         BN_clear_free(*kinvp);
 227     /* save the pre-computed values  */
 228     *rp = r;
 229     *kinvp = k;
 230     ret = 1;
 231  err:
 232     if (!ret) {
 233         if (k != NULL)
 234             BN_clear_free(k);
 235         if (r != NULL)
 236             BN_clear_free(r);
 237     }
 238     if (ctx_in == NULL)
 239         BN_CTX_free(ctx);
 240     if (order != NULL)
 241         BN_free(order);
 242     if (tmp_point != NULL)
 243         EC_POINT_free(tmp_point);
 244     if (X)
 245         BN_clear_free(X);
 246     return (ret);
 247 }
 248
 249 static ECDSA_SIG *ecdsa_do_sign(const unsigned char *dgst, int dgst_len,
 250                                 const BIGNUM *in_kinv, const BIGNUM *in_r,
 251                                 EC_KEY *eckey)
 252 {
 253     int ok = 0, i;
 254     BIGNUM *kinv = NULL, *s, *m = NULL, *tmp = NULL, *order = NULL;
 255     const BIGNUM *ckinv;
 256     BN_CTX *ctx = NULL;
 257     const EC_GROUP *group;
 258     ECDSA_SIG *ret;
 259     ECDSA_DATA *ecdsa;
 260     const BIGNUM *priv_key;
 261
 262     ecdsa = ecdsa_check(eckey);
 263     group = EC_KEY_get0_group(eckey);
 264     priv_key = EC_KEY_get0_private_key(eckey);
 265
 266     if (group == NULL || priv_key == NULL || ecdsa == NULL) {
 267         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_PASSED_NULL_PARAMETER);
 268         return NULL;
 269     }
 270
 271     ret = ECDSA_SIG_new();
 272     if (!ret) {
 273         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_MALLOC_FAILURE);
 274         return NULL;
 275     }
 276     s = ret->s;
 277
 278     if ((ctx = BN_CTX_new()) == NULL || (order = BN_new()) == NULL ||
 279         (tmp = BN_new()) == NULL || (m = BN_new()) == NULL) {
 280         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_MALLOC_FAILURE);
 281         goto err;
 282     }
 283
 284     if (!EC_GROUP_get_order(group, order, ctx)) {
 285         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_EC_LIB);
 286         goto err;
 287     }
 288     i = BN_num_bits(order);
 289     /*
 290      * Need to truncate digest if it is too long: first truncate whole bytes.
 291      */
 292     if (8 * dgst_len > i)
 293         dgst_len = (i + 7) / 8;
 294     if (!BN_bin2bn(dgst, dgst_len, m)) {
 295         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_BN_LIB);
 296         goto err;
 297     }
 298     /* If still too long truncate remaining bits with a shift */
 299     if ((8 * dgst_len > i) && !BN_rshift(m, m, 8 - (i & 0x7))) {
 300         ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_BN_LIB);
 301         goto err;
 302     }
 303     do {
 304         if (in_kinv == NULL || in_r == NULL) {
 305             if (!ECDSA_sign_setup(eckey, ctx, &kinv, &ret->r)) {
 306                 ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_ECDSA_LIB);
 307                 goto err;
 308             }
 309             ckinv = kinv;
 310         } else {
 311             ckinv = in_kinv;
 312             if (BN_copy(ret->r, in_r) == NULL) {
 313                 ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_MALLOC_FAILURE);
 314                 goto err;
 315             }
 316         }
 317
 318         if (!BN_mod_mul(tmp, priv_key, ret->r, order, ctx)) {
 319             ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_BN_LIB);
 320             goto err;
 321         }
 322         if (!BN_mod_add_quick(s, tmp, m, order)) {
 323             ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_BN_LIB);
 324             goto err;
 325         }
 326         if (!BN_mod_mul(s, s, ckinv, order, ctx)) {
 327             ECDSAerr(ECDSA_F_ECDSA_DO_SIGN, ERR_R_BN_LIB);
 328             goto err;
 329         }
 330         if (BN_is_zero(s)) {
 331             /*
 332              * if kinv and r have been supplied by the caller don't to
 333              * generate new kinv and r values
 334              */
 335             if (in_kinv != NULL && in_r != NULL) {
 336                 ECDSAerr(ECDSA_F_ECDSA_DO_SIGN,
 337                          ECDSA_R_NEED_NEW_SETUP_VALUES);
 338                 goto err;
 339             }
 340         } else
 341             /* s != 0 => we have a valid signature */
 342             break;
 343     }
 344     while (1);
 345
 346     ok = 1;
 347  err:
 348     if (!ok) {
 349         ECDSA_SIG_free(ret);
 350         ret = NULL;
 351     }
 352     if (ctx)
 353         BN_CTX_free(ctx);
 354     if (m)
 355         BN_clear_free(m);
 356     if (tmp)
 357         BN_clear_free(tmp);
 358     if (order)
 359         BN_free(order);
 360     if (kinv)
 361         BN_clear_free(kinv);
 362     return ret;
 363 }
 364
 365 static int ecdsa_do_verify(const unsigned char *dgst, int dgst_len,
 366                            const ECDSA_SIG *sig, EC_KEY *eckey)
 367 {
 368     int ret = -1, i;
 369     BN_CTX *ctx;
 370     BIGNUM *order, *u1, *u2, *m, *X;
 371     EC_POINT *point = NULL;
 372     const EC_GROUP *group;
 373     const EC_POINT *pub_key;
 374
 375     /* check input values */
 376     if (eckey == NULL || (group = EC_KEY_get0_group(eckey)) == NULL ||
 377         (pub_key = EC_KEY_get0_public_key(eckey)) == NULL || sig == NULL) {
 378         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ECDSA_R_MISSING_PARAMETERS);
 379         return -1;
 380     }
 381
 382     ctx = BN_CTX_new();
 383     if (!ctx) {
 384         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_MALLOC_FAILURE);
 385         return -1;
 386     }
 387     BN_CTX_start(ctx);
 388     order = BN_CTX_get(ctx);
 389     u1 = BN_CTX_get(ctx);
 390     u2 = BN_CTX_get(ctx);
 391     m = BN_CTX_get(ctx);
 392     X = BN_CTX_get(ctx);
 393     if (!X) {
 394         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 395         goto err;
 396     }
 397
 398     if (!EC_GROUP_get_order(group, order, ctx)) {
 399         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_EC_LIB);
 400         goto err;
 401     }
 402
 403     if (BN_is_zero(sig->r) || BN_is_negative(sig->r) ||
 404         BN_ucmp(sig->r, order) >= 0 || BN_is_zero(sig->s) ||
 405         BN_is_negative(sig->s) || BN_ucmp(sig->s, order) >= 0) {
 406         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ECDSA_R_BAD_SIGNATURE);
 407         ret = 0;                /* signature is invalid */
 408         goto err;
 409     }
 410     /* calculate tmp1 = inv(S) mod order */
 411     if (!BN_mod_inverse(u2, sig->s, order, ctx)) {
 412         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 413         goto err;
 414     }
 415     /* digest -> m */
 416     i = BN_num_bits(order);
 417     /*
 418      * Need to truncate digest if it is too long: first truncate whole bytes.
 419      */
 420     if (8 * dgst_len > i)
 421         dgst_len = (i + 7) / 8;
 422     if (!BN_bin2bn(dgst, dgst_len, m)) {
 423         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 424         goto err;
 425     }
 426     /* If still too long truncate remaining bits with a shift */
 427     if ((8 * dgst_len > i) && !BN_rshift(m, m, 8 - (i & 0x7))) {
 428         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 429         goto err;
 430     }
 431     /* u1 = m * tmp mod order */
 432     if (!BN_mod_mul(u1, m, u2, order, ctx)) {
 433         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 434         goto err;
 435     }
 436     /* u2 = r * w mod q */
 437     if (!BN_mod_mul(u2, sig->r, u2, order, ctx)) {
 438         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 439         goto err;
 440     }
 441
 442     if ((point = EC_POINT_new(group)) == NULL) {
 443         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_MALLOC_FAILURE);
 444         goto err;
 445     }
 446     if (!EC_POINT_mul(group, point, u1, pub_key, u2, ctx)) {
 447         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_EC_LIB);
 448         goto err;
 449     }
 450     if (EC_METHOD_get_field_type(EC_GROUP_method_of(group)) ==
 451         NID_X9_62_prime_field) {
 452         if (!EC_POINT_get_affine_coordinates_GFp(group, point, X, NULL, ctx)) {
 453             ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_EC_LIB);
 454             goto err;
 455         }
 456     }
 457 #ifndef OPENSSL_NO_EC2M
 458     else {                      /* NID_X9_62_characteristic_two_field */
 459
 460         if (!EC_POINT_get_affine_coordinates_GF2m(group, point, X, NULL, ctx)) {
 461             ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_EC_LIB);
 462             goto err;
 463         }
 464     }
 465 #endif
 466     if (!BN_nnmod(u1, X, order, ctx)) {
 467         ECDSAerr(ECDSA_F_ECDSA_DO_VERIFY, ERR_R_BN_LIB);
 468         goto err;
 469     }
 470     /*  if the signature is correct u1 is equal to sig->r */
 471     ret = (BN_ucmp(u1, sig->r) == 0);
 472  err:
 473     BN_CTX_end(ctx);
 474     BN_CTX_free(ctx);
 475     if (point)
 476         EC_POINT_free(point);
 477     return ret;
 478 }