Add vpaes-amrv8.pl module.
[openssl.git] / crypto / evp / e_aes.c
1 /* ====================================================================
2  * Copyright (c) 2001-2014 The OpenSSL Project.  All rights reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions
6  * are met:
7  *
8  * 1. Redistributions of source code must retain the above copyright
9  *    notice, this list of conditions and the following disclaimer.
10  *
11  * 2. Redistributions in binary form must reproduce the above copyright
12  *    notice, this list of conditions and the following disclaimer in
13  *    the documentation and/or other materials provided with the
14  *    distribution.
15  *
16  * 3. All advertising materials mentioning features or use of this
17  *    software must display the following acknowledgment:
18  *    "This product includes software developed by the OpenSSL Project
19  *    for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
20  *
21  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
22  *    endorse or promote products derived from this software without
23  *    prior written permission. For written permission, please contact
24  *    openssl-core@openssl.org.
25  *
26  * 5. Products derived from this software may not be called "OpenSSL"
27  *    nor may "OpenSSL" appear in their names without prior written
28  *    permission of the OpenSSL Project.
29  *
30  * 6. Redistributions of any form whatsoever must retain the following
31  *    acknowledgment:
32  *    "This product includes software developed by the OpenSSL Project
33  *    for use in the OpenSSL Toolkit (http://www.openssl.org/)"
34  *
35  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
36  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
37  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
38  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
39  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
40  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
41  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
42  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
43  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
44  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
45  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
46  * OF THE POSSIBILITY OF SUCH DAMAGE.
47  * ====================================================================
48  *
49  */
50
51 #include <openssl/opensslconf.h>
52 #ifndef OPENSSL_NO_AES
53 # include <openssl/evp.h>
54 # include <openssl/err.h>
55 # include <string.h>
56 # include <assert.h>
57 # include <openssl/aes.h>
58 # include "evp_locl.h"
59 # include "modes_lcl.h"
60 # include <openssl/rand.h>
61
62 typedef struct {
63     union {
64         double align;
65         AES_KEY ks;
66     } ks;
67     block128_f block;
68     union {
69         cbc128_f cbc;
70         ctr128_f ctr;
71     } stream;
72 } EVP_AES_KEY;
73
74 typedef struct {
75     union {
76         double align;
77         AES_KEY ks;
78     } ks;                       /* AES key schedule to use */
79     int key_set;                /* Set if key initialised */
80     int iv_set;                 /* Set if an iv is set */
81     GCM128_CONTEXT gcm;
82     unsigned char *iv;          /* Temporary IV store */
83     int ivlen;                  /* IV length */
84     int taglen;
85     int iv_gen;                 /* It is OK to generate IVs */
86     int tls_aad_len;            /* TLS AAD length */
87     ctr128_f ctr;
88 } EVP_AES_GCM_CTX;
89
90 typedef struct {
91     union {
92         double align;
93         AES_KEY ks;
94     } ks1, ks2;                 /* AES key schedules to use */
95     XTS128_CONTEXT xts;
96     void (*stream) (const unsigned char *in,
97                     unsigned char *out, size_t length,
98                     const AES_KEY *key1, const AES_KEY *key2,
99                     const unsigned char iv[16]);
100 } EVP_AES_XTS_CTX;
101
102 typedef struct {
103     union {
104         double align;
105         AES_KEY ks;
106     } ks;                       /* AES key schedule to use */
107     int key_set;                /* Set if key initialised */
108     int iv_set;                 /* Set if an iv is set */
109     int tag_set;                /* Set if tag is valid */
110     int len_set;                /* Set if message length set */
111     int L, M;                   /* L and M parameters from RFC3610 */
112     CCM128_CONTEXT ccm;
113     ccm128_f str;
114 } EVP_AES_CCM_CTX;
115
116 # ifndef OPENSSL_NO_OCB
117 typedef struct {
118     union {
119         double align;
120         AES_KEY ks;
121     } ksenc;                    /* AES key schedule to use for encryption */
122     union {
123         double align;
124         AES_KEY ks;
125     } ksdec;                    /* AES key schedule to use for decryption */
126     int key_set;                /* Set if key initialised */
127     int iv_set;                 /* Set if an iv is set */
128     OCB128_CONTEXT ocb;
129     unsigned char *iv;          /* Temporary IV store */
130     unsigned char tag[16];
131     unsigned char data_buf[16]; /* Store partial data blocks */
132     unsigned char aad_buf[16];  /* Store partial AAD blocks */
133     int data_buf_len;
134     int aad_buf_len;
135     int ivlen;                  /* IV length */
136     int taglen;
137 } EVP_AES_OCB_CTX;
138 # endif
139
140 # define MAXBITCHUNK     ((size_t)1<<(sizeof(size_t)*8-4))
141
142 # ifdef VPAES_ASM
143 int vpaes_set_encrypt_key(const unsigned char *userKey, int bits,
144                           AES_KEY *key);
145 int vpaes_set_decrypt_key(const unsigned char *userKey, int bits,
146                           AES_KEY *key);
147
148 void vpaes_encrypt(const unsigned char *in, unsigned char *out,
149                    const AES_KEY *key);
150 void vpaes_decrypt(const unsigned char *in, unsigned char *out,
151                    const AES_KEY *key);
152
153 void vpaes_cbc_encrypt(const unsigned char *in,
154                        unsigned char *out,
155                        size_t length,
156                        const AES_KEY *key, unsigned char *ivec, int enc);
157 # endif
158 # ifdef BSAES_ASM
159 void bsaes_cbc_encrypt(const unsigned char *in, unsigned char *out,
160                        size_t length, const AES_KEY *key,
161                        unsigned char ivec[16], int enc);
162 void bsaes_ctr32_encrypt_blocks(const unsigned char *in, unsigned char *out,
163                                 size_t len, const AES_KEY *key,
164                                 const unsigned char ivec[16]);
165 void bsaes_xts_encrypt(const unsigned char *inp, unsigned char *out,
166                        size_t len, const AES_KEY *key1,
167                        const AES_KEY *key2, const unsigned char iv[16]);
168 void bsaes_xts_decrypt(const unsigned char *inp, unsigned char *out,
169                        size_t len, const AES_KEY *key1,
170                        const AES_KEY *key2, const unsigned char iv[16]);
171 # endif
172 # ifdef AES_CTR_ASM
173 void AES_ctr32_encrypt(const unsigned char *in, unsigned char *out,
174                        size_t blocks, const AES_KEY *key,
175                        const unsigned char ivec[AES_BLOCK_SIZE]);
176 # endif
177 # ifdef AES_XTS_ASM
178 void AES_xts_encrypt(const char *inp, char *out, size_t len,
179                      const AES_KEY *key1, const AES_KEY *key2,
180                      const unsigned char iv[16]);
181 void AES_xts_decrypt(const char *inp, char *out, size_t len,
182                      const AES_KEY *key1, const AES_KEY *key2,
183                      const unsigned char iv[16]);
184 # endif
185
186 # if     defined(OPENSSL_CPUID_OBJ) && (defined(__powerpc__) || defined(__ppc__) || defined(_ARCH_PPC))
187 #  include "ppc_arch.h"
188 #  ifdef VPAES_ASM
189 #   define VPAES_CAPABLE (OPENSSL_ppccap_P & PPC_ALTIVEC)
190 #  endif
191 #  define HWAES_CAPABLE  (OPENSSL_ppccap_P & PPC_CRYPTO207)
192 #  define HWAES_set_encrypt_key aes_p8_set_encrypt_key
193 #  define HWAES_set_decrypt_key aes_p8_set_decrypt_key
194 #  define HWAES_encrypt aes_p8_encrypt
195 #  define HWAES_decrypt aes_p8_decrypt
196 #  define HWAES_cbc_encrypt aes_p8_cbc_encrypt
197 #  define HWAES_ctr32_encrypt_blocks aes_p8_ctr32_encrypt_blocks
198 # endif
199
200 # if     defined(AES_ASM) && !defined(I386_ONLY) &&      (  \
201         ((defined(__i386)       || defined(__i386__)    || \
202           defined(_M_IX86)) && defined(OPENSSL_IA32_SSE2))|| \
203         defined(__x86_64)       || defined(__x86_64__)  || \
204         defined(_M_AMD64)       || defined(_M_X64)      || \
205         defined(__INTEL__)                              )
206
207 extern unsigned int OPENSSL_ia32cap_P[];
208
209 #  ifdef VPAES_ASM
210 #   define VPAES_CAPABLE   (OPENSSL_ia32cap_P[1]&(1<<(41-32)))
211 #  endif
212 #  ifdef BSAES_ASM
213 #   define BSAES_CAPABLE   (OPENSSL_ia32cap_P[1]&(1<<(41-32)))
214 #  endif
215 /*
216  * AES-NI section
217  */
218 #  define AESNI_CAPABLE   (OPENSSL_ia32cap_P[1]&(1<<(57-32)))
219
220 int aesni_set_encrypt_key(const unsigned char *userKey, int bits,
221                           AES_KEY *key);
222 int aesni_set_decrypt_key(const unsigned char *userKey, int bits,
223                           AES_KEY *key);
224
225 void aesni_encrypt(const unsigned char *in, unsigned char *out,
226                    const AES_KEY *key);
227 void aesni_decrypt(const unsigned char *in, unsigned char *out,
228                    const AES_KEY *key);
229
230 void aesni_ecb_encrypt(const unsigned char *in,
231                        unsigned char *out,
232                        size_t length, const AES_KEY *key, int enc);
233 void aesni_cbc_encrypt(const unsigned char *in,
234                        unsigned char *out,
235                        size_t length,
236                        const AES_KEY *key, unsigned char *ivec, int enc);
237
238 void aesni_ctr32_encrypt_blocks(const unsigned char *in,
239                                 unsigned char *out,
240                                 size_t blocks,
241                                 const void *key, const unsigned char *ivec);
242
243 void aesni_xts_encrypt(const unsigned char *in,
244                        unsigned char *out,
245                        size_t length,
246                        const AES_KEY *key1, const AES_KEY *key2,
247                        const unsigned char iv[16]);
248
249 void aesni_xts_decrypt(const unsigned char *in,
250                        unsigned char *out,
251                        size_t length,
252                        const AES_KEY *key1, const AES_KEY *key2,
253                        const unsigned char iv[16]);
254
255 void aesni_ccm64_encrypt_blocks(const unsigned char *in,
256                                 unsigned char *out,
257                                 size_t blocks,
258                                 const void *key,
259                                 const unsigned char ivec[16],
260                                 unsigned char cmac[16]);
261
262 void aesni_ccm64_decrypt_blocks(const unsigned char *in,
263                                 unsigned char *out,
264                                 size_t blocks,
265                                 const void *key,
266                                 const unsigned char ivec[16],
267                                 unsigned char cmac[16]);
268
269 #  if defined(__x86_64) || defined(__x86_64__) || defined(_M_AMD64) || defined(_M_X64)
270 size_t aesni_gcm_encrypt(const unsigned char *in,
271                          unsigned char *out,
272                          size_t len,
273                          const void *key, unsigned char ivec[16], u64 *Xi);
274 #   define AES_gcm_encrypt aesni_gcm_encrypt
275 size_t aesni_gcm_decrypt(const unsigned char *in,
276                          unsigned char *out,
277                          size_t len,
278                          const void *key, unsigned char ivec[16], u64 *Xi);
279 #   define AES_gcm_decrypt aesni_gcm_decrypt
280 void gcm_ghash_avx(u64 Xi[2], const u128 Htable[16], const u8 *in,
281                    size_t len);
282 #   define AES_GCM_ASM(gctx)       (gctx->ctr==aesni_ctr32_encrypt_blocks && \
283                                  gctx->gcm.ghash==gcm_ghash_avx)
284 #   define AES_GCM_ASM2(gctx)      (gctx->gcm.block==(block128_f)aesni_encrypt && \
285                                  gctx->gcm.ghash==gcm_ghash_avx)
286 #   undef AES_GCM_ASM2          /* minor size optimization */
287 #  endif
288
289 static int aesni_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
290                           const unsigned char *iv, int enc)
291 {
292     int ret, mode;
293     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
294
295     mode = ctx->cipher->flags & EVP_CIPH_MODE;
296     if ((mode == EVP_CIPH_ECB_MODE || mode == EVP_CIPH_CBC_MODE)
297         && !enc) {
298         ret = aesni_set_decrypt_key(key, ctx->key_len * 8, ctx->cipher_data);
299         dat->block = (block128_f) aesni_decrypt;
300         dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
301             (cbc128_f) aesni_cbc_encrypt : NULL;
302     } else {
303         ret = aesni_set_encrypt_key(key, ctx->key_len * 8, ctx->cipher_data);
304         dat->block = (block128_f) aesni_encrypt;
305         if (mode == EVP_CIPH_CBC_MODE)
306             dat->stream.cbc = (cbc128_f) aesni_cbc_encrypt;
307         else if (mode == EVP_CIPH_CTR_MODE)
308             dat->stream.ctr = (ctr128_f) aesni_ctr32_encrypt_blocks;
309         else
310             dat->stream.cbc = NULL;
311     }
312
313     if (ret < 0) {
314         EVPerr(EVP_F_AESNI_INIT_KEY, EVP_R_AES_KEY_SETUP_FAILED);
315         return 0;
316     }
317
318     return 1;
319 }
320
321 static int aesni_cbc_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
322                             const unsigned char *in, size_t len)
323 {
324     aesni_cbc_encrypt(in, out, len, ctx->cipher_data, ctx->iv, ctx->encrypt);
325
326     return 1;
327 }
328
329 static int aesni_ecb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
330                             const unsigned char *in, size_t len)
331 {
332     size_t bl = ctx->cipher->block_size;
333
334     if (len < bl)
335         return 1;
336
337     aesni_ecb_encrypt(in, out, len, ctx->cipher_data, ctx->encrypt);
338
339     return 1;
340 }
341
342 #  define aesni_ofb_cipher aes_ofb_cipher
343 static int aesni_ofb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
344                             const unsigned char *in, size_t len);
345
346 #  define aesni_cfb_cipher aes_cfb_cipher
347 static int aesni_cfb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
348                             const unsigned char *in, size_t len);
349
350 #  define aesni_cfb8_cipher aes_cfb8_cipher
351 static int aesni_cfb8_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
352                              const unsigned char *in, size_t len);
353
354 #  define aesni_cfb1_cipher aes_cfb1_cipher
355 static int aesni_cfb1_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
356                              const unsigned char *in, size_t len);
357
358 #  define aesni_ctr_cipher aes_ctr_cipher
359 static int aesni_ctr_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
360                             const unsigned char *in, size_t len);
361
362 static int aesni_gcm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
363                               const unsigned char *iv, int enc)
364 {
365     EVP_AES_GCM_CTX *gctx = ctx->cipher_data;
366     if (!iv && !key)
367         return 1;
368     if (key) {
369         aesni_set_encrypt_key(key, ctx->key_len * 8, &gctx->ks.ks);
370         CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks, (block128_f) aesni_encrypt);
371         gctx->ctr = (ctr128_f) aesni_ctr32_encrypt_blocks;
372         /*
373          * If we have an iv can set it directly, otherwise use saved IV.
374          */
375         if (iv == NULL && gctx->iv_set)
376             iv = gctx->iv;
377         if (iv) {
378             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
379             gctx->iv_set = 1;
380         }
381         gctx->key_set = 1;
382     } else {
383         /* If key set use IV, otherwise copy */
384         if (gctx->key_set)
385             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
386         else
387             memcpy(gctx->iv, iv, gctx->ivlen);
388         gctx->iv_set = 1;
389         gctx->iv_gen = 0;
390     }
391     return 1;
392 }
393
394 #  define aesni_gcm_cipher aes_gcm_cipher
395 static int aesni_gcm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
396                             const unsigned char *in, size_t len);
397
398 static int aesni_xts_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
399                               const unsigned char *iv, int enc)
400 {
401     EVP_AES_XTS_CTX *xctx = ctx->cipher_data;
402     if (!iv && !key)
403         return 1;
404
405     if (key) {
406         /* key_len is two AES keys */
407         if (enc) {
408             aesni_set_encrypt_key(key, ctx->key_len * 4, &xctx->ks1.ks);
409             xctx->xts.block1 = (block128_f) aesni_encrypt;
410             xctx->stream = aesni_xts_encrypt;
411         } else {
412             aesni_set_decrypt_key(key, ctx->key_len * 4, &xctx->ks1.ks);
413             xctx->xts.block1 = (block128_f) aesni_decrypt;
414             xctx->stream = aesni_xts_decrypt;
415         }
416
417         aesni_set_encrypt_key(key + ctx->key_len / 2,
418                               ctx->key_len * 4, &xctx->ks2.ks);
419         xctx->xts.block2 = (block128_f) aesni_encrypt;
420
421         xctx->xts.key1 = &xctx->ks1;
422     }
423
424     if (iv) {
425         xctx->xts.key2 = &xctx->ks2;
426         memcpy(ctx->iv, iv, 16);
427     }
428
429     return 1;
430 }
431
432 #  define aesni_xts_cipher aes_xts_cipher
433 static int aesni_xts_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
434                             const unsigned char *in, size_t len);
435
436 static int aesni_ccm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
437                               const unsigned char *iv, int enc)
438 {
439     EVP_AES_CCM_CTX *cctx = ctx->cipher_data;
440     if (!iv && !key)
441         return 1;
442     if (key) {
443         aesni_set_encrypt_key(key, ctx->key_len * 8, &cctx->ks.ks);
444         CRYPTO_ccm128_init(&cctx->ccm, cctx->M, cctx->L,
445                            &cctx->ks, (block128_f) aesni_encrypt);
446         cctx->str = enc ? (ccm128_f) aesni_ccm64_encrypt_blocks :
447             (ccm128_f) aesni_ccm64_decrypt_blocks;
448         cctx->key_set = 1;
449     }
450     if (iv) {
451         memcpy(ctx->iv, iv, 15 - cctx->L);
452         cctx->iv_set = 1;
453     }
454     return 1;
455 }
456
457 #  define aesni_ccm_cipher aes_ccm_cipher
458 static int aesni_ccm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
459                             const unsigned char *in, size_t len);
460
461 #  ifndef OPENSSL_NO_OCB
462 static int aesni_ocb_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
463                               const unsigned char *iv, int enc)
464 {
465     EVP_AES_OCB_CTX *octx = ctx->cipher_data;
466     if (!iv && !key)
467         return 1;
468     if (key) {
469         do {
470             /*
471              * We set both the encrypt and decrypt key here because decrypt
472              * needs both. We could possibly optimise to remove setting the
473              * decrypt for an encryption operation.
474              */
475             aesni_set_encrypt_key(key, ctx->key_len * 8, &octx->ksenc.ks);
476             aesni_set_decrypt_key(key, ctx->key_len * 8, &octx->ksdec.ks);
477             if (!CRYPTO_ocb128_init(&octx->ocb,
478                                     &octx->ksenc.ks, &octx->ksdec.ks,
479                                     (block128_f) aesni_encrypt,
480                                     (block128_f) aesni_decrypt))
481                 return 0;
482         }
483         while (0);
484
485         /*
486          * If we have an iv we can set it directly, otherwise use saved IV.
487          */
488         if (iv == NULL && octx->iv_set)
489             iv = octx->iv;
490         if (iv) {
491             if (CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen)
492                 != 1)
493                 return 0;
494             octx->iv_set = 1;
495         }
496         octx->key_set = 1;
497     } else {
498         /* If key set use IV, otherwise copy */
499         if (octx->key_set)
500             CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen);
501         else
502             memcpy(octx->iv, iv, octx->ivlen);
503         octx->iv_set = 1;
504     }
505     return 1;
506 }
507
508 #   define aesni_ocb_cipher aes_ocb_cipher
509 static int aesni_ocb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
510                             const unsigned char *in, size_t len);
511 #  endif                        /* OPENSSL_NO_OCB */
512
513 #  define BLOCK_CIPHER_generic(nid,keylen,blocksize,ivlen,nmode,mode,MODE,flags) \
514 static const EVP_CIPHER aesni_##keylen##_##mode = { \
515         nid##_##keylen##_##nmode,blocksize,keylen/8,ivlen, \
516         flags|EVP_CIPH_##MODE##_MODE,   \
517         aesni_init_key,                 \
518         aesni_##mode##_cipher,          \
519         NULL,                           \
520         sizeof(EVP_AES_KEY),            \
521         NULL,NULL,NULL,NULL }; \
522 static const EVP_CIPHER aes_##keylen##_##mode = { \
523         nid##_##keylen##_##nmode,blocksize,     \
524         keylen/8,ivlen, \
525         flags|EVP_CIPH_##MODE##_MODE,   \
526         aes_init_key,                   \
527         aes_##mode##_cipher,            \
528         NULL,                           \
529         sizeof(EVP_AES_KEY),            \
530         NULL,NULL,NULL,NULL }; \
531 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
532 { return AESNI_CAPABLE?&aesni_##keylen##_##mode:&aes_##keylen##_##mode; }
533
534 #  define BLOCK_CIPHER_custom(nid,keylen,blocksize,ivlen,mode,MODE,flags) \
535 static const EVP_CIPHER aesni_##keylen##_##mode = { \
536         nid##_##keylen##_##mode,blocksize, \
537         (EVP_CIPH_##MODE##_MODE==EVP_CIPH_XTS_MODE?2:1)*keylen/8, ivlen, \
538         flags|EVP_CIPH_##MODE##_MODE,   \
539         aesni_##mode##_init_key,        \
540         aesni_##mode##_cipher,          \
541         aes_##mode##_cleanup,           \
542         sizeof(EVP_AES_##MODE##_CTX),   \
543         NULL,NULL,aes_##mode##_ctrl,NULL }; \
544 static const EVP_CIPHER aes_##keylen##_##mode = { \
545         nid##_##keylen##_##mode,blocksize, \
546         (EVP_CIPH_##MODE##_MODE==EVP_CIPH_XTS_MODE?2:1)*keylen/8, ivlen, \
547         flags|EVP_CIPH_##MODE##_MODE,   \
548         aes_##mode##_init_key,          \
549         aes_##mode##_cipher,            \
550         aes_##mode##_cleanup,           \
551         sizeof(EVP_AES_##MODE##_CTX),   \
552         NULL,NULL,aes_##mode##_ctrl,NULL }; \
553 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
554 { return AESNI_CAPABLE?&aesni_##keylen##_##mode:&aes_##keylen##_##mode; }
555
556 # elif   defined(AES_ASM) && (defined(__sparc) || defined(__sparc__))
557
558 #  include "sparc_arch.h"
559
560 extern unsigned int OPENSSL_sparcv9cap_P[];
561
562 #  define SPARC_AES_CAPABLE       (OPENSSL_sparcv9cap_P[1] & CFR_AES)
563
564 void aes_t4_set_encrypt_key(const unsigned char *key, int bits, AES_KEY *ks);
565 void aes_t4_set_decrypt_key(const unsigned char *key, int bits, AES_KEY *ks);
566 void aes_t4_encrypt(const unsigned char *in, unsigned char *out,
567                     const AES_KEY *key);
568 void aes_t4_decrypt(const unsigned char *in, unsigned char *out,
569                     const AES_KEY *key);
570 /*
571  * Key-length specific subroutines were chosen for following reason.
572  * Each SPARC T4 core can execute up to 8 threads which share core's
573  * resources. Loading as much key material to registers allows to
574  * minimize references to shared memory interface, as well as amount
575  * of instructions in inner loops [much needed on T4]. But then having
576  * non-key-length specific routines would require conditional branches
577  * either in inner loops or on subroutines' entries. Former is hardly
578  * acceptable, while latter means code size increase to size occupied
579  * by multiple key-length specfic subroutines, so why fight?
580  */
581 void aes128_t4_cbc_encrypt(const unsigned char *in, unsigned char *out,
582                            size_t len, const AES_KEY *key,
583                            unsigned char *ivec);
584 void aes128_t4_cbc_decrypt(const unsigned char *in, unsigned char *out,
585                            size_t len, const AES_KEY *key,
586                            unsigned char *ivec);
587 void aes192_t4_cbc_encrypt(const unsigned char *in, unsigned char *out,
588                            size_t len, const AES_KEY *key,
589                            unsigned char *ivec);
590 void aes192_t4_cbc_decrypt(const unsigned char *in, unsigned char *out,
591                            size_t len, const AES_KEY *key,
592                            unsigned char *ivec);
593 void aes256_t4_cbc_encrypt(const unsigned char *in, unsigned char *out,
594                            size_t len, const AES_KEY *key,
595                            unsigned char *ivec);
596 void aes256_t4_cbc_decrypt(const unsigned char *in, unsigned char *out,
597                            size_t len, const AES_KEY *key,
598                            unsigned char *ivec);
599 void aes128_t4_ctr32_encrypt(const unsigned char *in, unsigned char *out,
600                              size_t blocks, const AES_KEY *key,
601                              unsigned char *ivec);
602 void aes192_t4_ctr32_encrypt(const unsigned char *in, unsigned char *out,
603                              size_t blocks, const AES_KEY *key,
604                              unsigned char *ivec);
605 void aes256_t4_ctr32_encrypt(const unsigned char *in, unsigned char *out,
606                              size_t blocks, const AES_KEY *key,
607                              unsigned char *ivec);
608 void aes128_t4_xts_encrypt(const unsigned char *in, unsigned char *out,
609                            size_t blocks, const AES_KEY *key1,
610                            const AES_KEY *key2, const unsigned char *ivec);
611 void aes128_t4_xts_decrypt(const unsigned char *in, unsigned char *out,
612                            size_t blocks, const AES_KEY *key1,
613                            const AES_KEY *key2, const unsigned char *ivec);
614 void aes256_t4_xts_encrypt(const unsigned char *in, unsigned char *out,
615                            size_t blocks, const AES_KEY *key1,
616                            const AES_KEY *key2, const unsigned char *ivec);
617 void aes256_t4_xts_decrypt(const unsigned char *in, unsigned char *out,
618                            size_t blocks, const AES_KEY *key1,
619                            const AES_KEY *key2, const unsigned char *ivec);
620
621 static int aes_t4_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
622                            const unsigned char *iv, int enc)
623 {
624     int ret, mode, bits;
625     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
626
627     mode = ctx->cipher->flags & EVP_CIPH_MODE;
628     bits = ctx->key_len * 8;
629     if ((mode == EVP_CIPH_ECB_MODE || mode == EVP_CIPH_CBC_MODE)
630         && !enc) {
631         ret = 0;
632         aes_t4_set_decrypt_key(key, bits, ctx->cipher_data);
633         dat->block = (block128_f) aes_t4_decrypt;
634         switch (bits) {
635         case 128:
636             dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
637                 (cbc128_f) aes128_t4_cbc_decrypt : NULL;
638             break;
639         case 192:
640             dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
641                 (cbc128_f) aes192_t4_cbc_decrypt : NULL;
642             break;
643         case 256:
644             dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
645                 (cbc128_f) aes256_t4_cbc_decrypt : NULL;
646             break;
647         default:
648             ret = -1;
649         }
650     } else {
651         ret = 0;
652         aes_t4_set_encrypt_key(key, bits, ctx->cipher_data);
653         dat->block = (block128_f) aes_t4_encrypt;
654         switch (bits) {
655         case 128:
656             if (mode == EVP_CIPH_CBC_MODE)
657                 dat->stream.cbc = (cbc128_f) aes128_t4_cbc_encrypt;
658             else if (mode == EVP_CIPH_CTR_MODE)
659                 dat->stream.ctr = (ctr128_f) aes128_t4_ctr32_encrypt;
660             else
661                 dat->stream.cbc = NULL;
662             break;
663         case 192:
664             if (mode == EVP_CIPH_CBC_MODE)
665                 dat->stream.cbc = (cbc128_f) aes192_t4_cbc_encrypt;
666             else if (mode == EVP_CIPH_CTR_MODE)
667                 dat->stream.ctr = (ctr128_f) aes192_t4_ctr32_encrypt;
668             else
669                 dat->stream.cbc = NULL;
670             break;
671         case 256:
672             if (mode == EVP_CIPH_CBC_MODE)
673                 dat->stream.cbc = (cbc128_f) aes256_t4_cbc_encrypt;
674             else if (mode == EVP_CIPH_CTR_MODE)
675                 dat->stream.ctr = (ctr128_f) aes256_t4_ctr32_encrypt;
676             else
677                 dat->stream.cbc = NULL;
678             break;
679         default:
680             ret = -1;
681         }
682     }
683
684     if (ret < 0) {
685         EVPerr(EVP_F_AES_T4_INIT_KEY, EVP_R_AES_KEY_SETUP_FAILED);
686         return 0;
687     }
688
689     return 1;
690 }
691
692 #  define aes_t4_cbc_cipher aes_cbc_cipher
693 static int aes_t4_cbc_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
694                              const unsigned char *in, size_t len);
695
696 #  define aes_t4_ecb_cipher aes_ecb_cipher
697 static int aes_t4_ecb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
698                              const unsigned char *in, size_t len);
699
700 #  define aes_t4_ofb_cipher aes_ofb_cipher
701 static int aes_t4_ofb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
702                              const unsigned char *in, size_t len);
703
704 #  define aes_t4_cfb_cipher aes_cfb_cipher
705 static int aes_t4_cfb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
706                              const unsigned char *in, size_t len);
707
708 #  define aes_t4_cfb8_cipher aes_cfb8_cipher
709 static int aes_t4_cfb8_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
710                               const unsigned char *in, size_t len);
711
712 #  define aes_t4_cfb1_cipher aes_cfb1_cipher
713 static int aes_t4_cfb1_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
714                               const unsigned char *in, size_t len);
715
716 #  define aes_t4_ctr_cipher aes_ctr_cipher
717 static int aes_t4_ctr_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
718                              const unsigned char *in, size_t len);
719
720 static int aes_t4_gcm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
721                                const unsigned char *iv, int enc)
722 {
723     EVP_AES_GCM_CTX *gctx = ctx->cipher_data;
724     if (!iv && !key)
725         return 1;
726     if (key) {
727         int bits = ctx->key_len * 8;
728         aes_t4_set_encrypt_key(key, bits, &gctx->ks.ks);
729         CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks,
730                            (block128_f) aes_t4_encrypt);
731         switch (bits) {
732         case 128:
733             gctx->ctr = (ctr128_f) aes128_t4_ctr32_encrypt;
734             break;
735         case 192:
736             gctx->ctr = (ctr128_f) aes192_t4_ctr32_encrypt;
737             break;
738         case 256:
739             gctx->ctr = (ctr128_f) aes256_t4_ctr32_encrypt;
740             break;
741         default:
742             return 0;
743         }
744         /*
745          * If we have an iv can set it directly, otherwise use saved IV.
746          */
747         if (iv == NULL && gctx->iv_set)
748             iv = gctx->iv;
749         if (iv) {
750             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
751             gctx->iv_set = 1;
752         }
753         gctx->key_set = 1;
754     } else {
755         /* If key set use IV, otherwise copy */
756         if (gctx->key_set)
757             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
758         else
759             memcpy(gctx->iv, iv, gctx->ivlen);
760         gctx->iv_set = 1;
761         gctx->iv_gen = 0;
762     }
763     return 1;
764 }
765
766 #  define aes_t4_gcm_cipher aes_gcm_cipher
767 static int aes_t4_gcm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
768                              const unsigned char *in, size_t len);
769
770 static int aes_t4_xts_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
771                                const unsigned char *iv, int enc)
772 {
773     EVP_AES_XTS_CTX *xctx = ctx->cipher_data;
774     if (!iv && !key)
775         return 1;
776
777     if (key) {
778         int bits = ctx->key_len * 4;
779         xctx->stream = NULL;
780         /* key_len is two AES keys */
781         if (enc) {
782             aes_t4_set_encrypt_key(key, bits, &xctx->ks1.ks);
783             xctx->xts.block1 = (block128_f) aes_t4_encrypt;
784             switch (bits) {
785             case 128:
786                 xctx->stream = aes128_t4_xts_encrypt;
787                 break;
788             case 256:
789                 xctx->stream = aes256_t4_xts_encrypt;
790                 break;
791             default:
792                 return 0;
793             }
794         } else {
795             aes_t4_set_decrypt_key(key, ctx->key_len * 4, &xctx->ks1.ks);
796             xctx->xts.block1 = (block128_f) aes_t4_decrypt;
797             switch (bits) {
798             case 128:
799                 xctx->stream = aes128_t4_xts_decrypt;
800                 break;
801             case 256:
802                 xctx->stream = aes256_t4_xts_decrypt;
803                 break;
804             default:
805                 return 0;
806             }
807         }
808
809         aes_t4_set_encrypt_key(key + ctx->key_len / 2,
810                                ctx->key_len * 4, &xctx->ks2.ks);
811         xctx->xts.block2 = (block128_f) aes_t4_encrypt;
812
813         xctx->xts.key1 = &xctx->ks1;
814     }
815
816     if (iv) {
817         xctx->xts.key2 = &xctx->ks2;
818         memcpy(ctx->iv, iv, 16);
819     }
820
821     return 1;
822 }
823
824 #  define aes_t4_xts_cipher aes_xts_cipher
825 static int aes_t4_xts_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
826                              const unsigned char *in, size_t len);
827
828 static int aes_t4_ccm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
829                                const unsigned char *iv, int enc)
830 {
831     EVP_AES_CCM_CTX *cctx = ctx->cipher_data;
832     if (!iv && !key)
833         return 1;
834     if (key) {
835         int bits = ctx->key_len * 8;
836         aes_t4_set_encrypt_key(key, bits, &cctx->ks.ks);
837         CRYPTO_ccm128_init(&cctx->ccm, cctx->M, cctx->L,
838                            &cctx->ks, (block128_f) aes_t4_encrypt);
839         cctx->str = NULL;
840         cctx->key_set = 1;
841     }
842     if (iv) {
843         memcpy(ctx->iv, iv, 15 - cctx->L);
844         cctx->iv_set = 1;
845     }
846     return 1;
847 }
848
849 #  define aes_t4_ccm_cipher aes_ccm_cipher
850 static int aes_t4_ccm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
851                              const unsigned char *in, size_t len);
852
853 #  ifndef OPENSSL_NO_OCB
854 static int aes_t4_ocb_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
855                                const unsigned char *iv, int enc)
856 {
857     EVP_AES_OCB_CTX *octx = ctx->cipher_data;
858     if (!iv && !key)
859         return 1;
860     if (key) {
861         do {
862             /*
863              * We set both the encrypt and decrypt key here because decrypt
864              * needs both. We could possibly optimise to remove setting the
865              * decrypt for an encryption operation.
866              */
867             aes_t4_set_encrypt_key(key, ctx->key_len * 8, &octx->ksenc.ks);
868             aes_t4_set_decrypt_key(key, ctx->key_len * 8, &octx->ksdec.ks);
869             if (!CRYPTO_ocb128_init(&octx->ocb,
870                                     &octx->ksenc.ks, &octx->ksdec.ks,
871                                     (block128_f) aes_t4_encrypt,
872                                     (block128_f) aes_t4_decrypt))
873                 return 0;
874         }
875         while (0);
876
877         /*
878          * If we have an iv we can set it directly, otherwise use saved IV.
879          */
880         if (iv == NULL && octx->iv_set)
881             iv = octx->iv;
882         if (iv) {
883             if (CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen)
884                 != 1)
885                 return 0;
886             octx->iv_set = 1;
887         }
888         octx->key_set = 1;
889     } else {
890         /* If key set use IV, otherwise copy */
891         if (octx->key_set)
892             CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen);
893         else
894             memcpy(octx->iv, iv, octx->ivlen);
895         octx->iv_set = 1;
896     }
897     return 1;
898 }
899
900 #   define aes_t4_ocb_cipher aes_ocb_cipher
901 static int aes_t4_ocb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
902                              const unsigned char *in, size_t len);
903 #  endif                        /* OPENSSL_NO_OCB */
904
905 #  define BLOCK_CIPHER_generic(nid,keylen,blocksize,ivlen,nmode,mode,MODE,flags) \
906 static const EVP_CIPHER aes_t4_##keylen##_##mode = { \
907         nid##_##keylen##_##nmode,blocksize,keylen/8,ivlen, \
908         flags|EVP_CIPH_##MODE##_MODE,   \
909         aes_t4_init_key,                \
910         aes_t4_##mode##_cipher,         \
911         NULL,                           \
912         sizeof(EVP_AES_KEY),            \
913         NULL,NULL,NULL,NULL }; \
914 static const EVP_CIPHER aes_##keylen##_##mode = { \
915         nid##_##keylen##_##nmode,blocksize,     \
916         keylen/8,ivlen, \
917         flags|EVP_CIPH_##MODE##_MODE,   \
918         aes_init_key,                   \
919         aes_##mode##_cipher,            \
920         NULL,                           \
921         sizeof(EVP_AES_KEY),            \
922         NULL,NULL,NULL,NULL }; \
923 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
924 { return SPARC_AES_CAPABLE?&aes_t4_##keylen##_##mode:&aes_##keylen##_##mode; }
925
926 #  define BLOCK_CIPHER_custom(nid,keylen,blocksize,ivlen,mode,MODE,flags) \
927 static const EVP_CIPHER aes_t4_##keylen##_##mode = { \
928         nid##_##keylen##_##mode,blocksize, \
929         (EVP_CIPH_##MODE##_MODE==EVP_CIPH_XTS_MODE?2:1)*keylen/8, ivlen, \
930         flags|EVP_CIPH_##MODE##_MODE,   \
931         aes_t4_##mode##_init_key,       \
932         aes_t4_##mode##_cipher,         \
933         aes_##mode##_cleanup,           \
934         sizeof(EVP_AES_##MODE##_CTX),   \
935         NULL,NULL,aes_##mode##_ctrl,NULL }; \
936 static const EVP_CIPHER aes_##keylen##_##mode = { \
937         nid##_##keylen##_##mode,blocksize, \
938         (EVP_CIPH_##MODE##_MODE==EVP_CIPH_XTS_MODE?2:1)*keylen/8, ivlen, \
939         flags|EVP_CIPH_##MODE##_MODE,   \
940         aes_##mode##_init_key,          \
941         aes_##mode##_cipher,            \
942         aes_##mode##_cleanup,           \
943         sizeof(EVP_AES_##MODE##_CTX),   \
944         NULL,NULL,aes_##mode##_ctrl,NULL }; \
945 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
946 { return SPARC_AES_CAPABLE?&aes_t4_##keylen##_##mode:&aes_##keylen##_##mode; }
947
948 # else
949
950 #  define BLOCK_CIPHER_generic(nid,keylen,blocksize,ivlen,nmode,mode,MODE,flags) \
951 static const EVP_CIPHER aes_##keylen##_##mode = { \
952         nid##_##keylen##_##nmode,blocksize,keylen/8,ivlen, \
953         flags|EVP_CIPH_##MODE##_MODE,   \
954         aes_init_key,                   \
955         aes_##mode##_cipher,            \
956         NULL,                           \
957         sizeof(EVP_AES_KEY),            \
958         NULL,NULL,NULL,NULL }; \
959 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
960 { return &aes_##keylen##_##mode; }
961
962 #  define BLOCK_CIPHER_custom(nid,keylen,blocksize,ivlen,mode,MODE,flags) \
963 static const EVP_CIPHER aes_##keylen##_##mode = { \
964         nid##_##keylen##_##mode,blocksize, \
965         (EVP_CIPH_##MODE##_MODE==EVP_CIPH_XTS_MODE?2:1)*keylen/8, ivlen, \
966         flags|EVP_CIPH_##MODE##_MODE,   \
967         aes_##mode##_init_key,          \
968         aes_##mode##_cipher,            \
969         aes_##mode##_cleanup,           \
970         sizeof(EVP_AES_##MODE##_CTX),   \
971         NULL,NULL,aes_##mode##_ctrl,NULL }; \
972 const EVP_CIPHER *EVP_aes_##keylen##_##mode(void) \
973 { return &aes_##keylen##_##mode; }
974
975 # endif
976
977 # if defined(OPENSSL_CPUID_OBJ) && (defined(__arm__) || defined(__arm) || defined(__aarch64__))
978 #  include "arm_arch.h"
979 #  if __ARM_MAX_ARCH__>=7
980 #   if defined(BSAES_ASM)
981 #    define BSAES_CAPABLE (OPENSSL_armcap_P & ARMV7_NEON)
982 #   endif
983 #   define HWAES_CAPABLE (OPENSSL_armcap_P & ARMV8_AES)
984 #   define HWAES_set_encrypt_key aes_v8_set_encrypt_key
985 #   define HWAES_set_decrypt_key aes_v8_set_decrypt_key
986 #   define HWAES_encrypt aes_v8_encrypt
987 #   define HWAES_decrypt aes_v8_decrypt
988 #   define HWAES_cbc_encrypt aes_v8_cbc_encrypt
989 #   define HWAES_ctr32_encrypt_blocks aes_v8_ctr32_encrypt_blocks
990 #  endif
991 # endif
992
993 # if defined(HWAES_CAPABLE)
994 int HWAES_set_encrypt_key(const unsigned char *userKey, const int bits,
995                           AES_KEY *key);
996 int HWAES_set_decrypt_key(const unsigned char *userKey, const int bits,
997                           AES_KEY *key);
998 void HWAES_encrypt(const unsigned char *in, unsigned char *out,
999                    const AES_KEY *key);
1000 void HWAES_decrypt(const unsigned char *in, unsigned char *out,
1001                    const AES_KEY *key);
1002 void HWAES_cbc_encrypt(const unsigned char *in, unsigned char *out,
1003                        size_t length, const AES_KEY *key,
1004                        unsigned char *ivec, const int enc);
1005 void HWAES_ctr32_encrypt_blocks(const unsigned char *in, unsigned char *out,
1006                                 size_t len, const AES_KEY *key,
1007                                 const unsigned char ivec[16]);
1008 # endif
1009
1010 # define BLOCK_CIPHER_generic_pack(nid,keylen,flags)             \
1011         BLOCK_CIPHER_generic(nid,keylen,16,16,cbc,cbc,CBC,flags|EVP_CIPH_FLAG_DEFAULT_ASN1)     \
1012         BLOCK_CIPHER_generic(nid,keylen,16,0,ecb,ecb,ECB,flags|EVP_CIPH_FLAG_DEFAULT_ASN1)      \
1013         BLOCK_CIPHER_generic(nid,keylen,1,16,ofb128,ofb,OFB,flags|EVP_CIPH_FLAG_DEFAULT_ASN1)   \
1014         BLOCK_CIPHER_generic(nid,keylen,1,16,cfb128,cfb,CFB,flags|EVP_CIPH_FLAG_DEFAULT_ASN1)   \
1015         BLOCK_CIPHER_generic(nid,keylen,1,16,cfb1,cfb1,CFB,flags)       \
1016         BLOCK_CIPHER_generic(nid,keylen,1,16,cfb8,cfb8,CFB,flags)       \
1017         BLOCK_CIPHER_generic(nid,keylen,1,16,ctr,ctr,CTR,flags)
1018
1019 static int aes_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
1020                         const unsigned char *iv, int enc)
1021 {
1022     int ret, mode;
1023     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1024
1025     mode = ctx->cipher->flags & EVP_CIPH_MODE;
1026     if ((mode == EVP_CIPH_ECB_MODE || mode == EVP_CIPH_CBC_MODE)
1027         && !enc)
1028 # ifdef HWAES_CAPABLE
1029         if (HWAES_CAPABLE) {
1030             ret = HWAES_set_decrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1031             dat->block = (block128_f) HWAES_decrypt;
1032             dat->stream.cbc = NULL;
1033 #  ifdef HWAES_cbc_encrypt
1034             if (mode == EVP_CIPH_CBC_MODE)
1035                 dat->stream.cbc = (cbc128_f) HWAES_cbc_encrypt;
1036 #  endif
1037         } else
1038 # endif
1039 # ifdef BSAES_CAPABLE
1040         if (BSAES_CAPABLE && mode == EVP_CIPH_CBC_MODE) {
1041             ret = AES_set_decrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1042             dat->block = (block128_f) AES_decrypt;
1043             dat->stream.cbc = (cbc128_f) bsaes_cbc_encrypt;
1044         } else
1045 # endif
1046 # ifdef VPAES_CAPABLE
1047         if (VPAES_CAPABLE) {
1048             ret = vpaes_set_decrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1049             dat->block = (block128_f) vpaes_decrypt;
1050             dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
1051                 (cbc128_f) vpaes_cbc_encrypt : NULL;
1052         } else
1053 # endif
1054         {
1055             ret = AES_set_decrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1056             dat->block = (block128_f) AES_decrypt;
1057             dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
1058                 (cbc128_f) AES_cbc_encrypt : NULL;
1059     } else
1060 # ifdef HWAES_CAPABLE
1061     if (HWAES_CAPABLE) {
1062         ret = HWAES_set_encrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1063         dat->block = (block128_f) HWAES_encrypt;
1064         dat->stream.cbc = NULL;
1065 #  ifdef HWAES_cbc_encrypt
1066         if (mode == EVP_CIPH_CBC_MODE)
1067             dat->stream.cbc = (cbc128_f) HWAES_cbc_encrypt;
1068         else
1069 #  endif
1070 #  ifdef HWAES_ctr32_encrypt_blocks
1071         if (mode == EVP_CIPH_CTR_MODE)
1072             dat->stream.ctr = (ctr128_f) HWAES_ctr32_encrypt_blocks;
1073         else
1074 #  endif
1075             (void)0;            /* terminate potentially open 'else' */
1076     } else
1077 # endif
1078 # ifdef BSAES_CAPABLE
1079     if (BSAES_CAPABLE && mode == EVP_CIPH_CTR_MODE) {
1080         ret = AES_set_encrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1081         dat->block = (block128_f) AES_encrypt;
1082         dat->stream.ctr = (ctr128_f) bsaes_ctr32_encrypt_blocks;
1083     } else
1084 # endif
1085 # ifdef VPAES_CAPABLE
1086     if (VPAES_CAPABLE) {
1087         ret = vpaes_set_encrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1088         dat->block = (block128_f) vpaes_encrypt;
1089         dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
1090             (cbc128_f) vpaes_cbc_encrypt : NULL;
1091     } else
1092 # endif
1093     {
1094         ret = AES_set_encrypt_key(key, ctx->key_len * 8, &dat->ks.ks);
1095         dat->block = (block128_f) AES_encrypt;
1096         dat->stream.cbc = mode == EVP_CIPH_CBC_MODE ?
1097             (cbc128_f) AES_cbc_encrypt : NULL;
1098 # ifdef AES_CTR_ASM
1099         if (mode == EVP_CIPH_CTR_MODE)
1100             dat->stream.ctr = (ctr128_f) AES_ctr32_encrypt;
1101 # endif
1102     }
1103
1104     if (ret < 0) {
1105         EVPerr(EVP_F_AES_INIT_KEY, EVP_R_AES_KEY_SETUP_FAILED);
1106         return 0;
1107     }
1108
1109     return 1;
1110 }
1111
1112 static int aes_cbc_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1113                           const unsigned char *in, size_t len)
1114 {
1115     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1116
1117     if (dat->stream.cbc)
1118         (*dat->stream.cbc) (in, out, len, &dat->ks, ctx->iv, ctx->encrypt);
1119     else if (ctx->encrypt)
1120         CRYPTO_cbc128_encrypt(in, out, len, &dat->ks, ctx->iv, dat->block);
1121     else
1122         CRYPTO_cbc128_decrypt(in, out, len, &dat->ks, ctx->iv, dat->block);
1123
1124     return 1;
1125 }
1126
1127 static int aes_ecb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1128                           const unsigned char *in, size_t len)
1129 {
1130     size_t bl = ctx->cipher->block_size;
1131     size_t i;
1132     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1133
1134     if (len < bl)
1135         return 1;
1136
1137     for (i = 0, len -= bl; i <= len; i += bl)
1138         (*dat->block) (in + i, out + i, &dat->ks);
1139
1140     return 1;
1141 }
1142
1143 static int aes_ofb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1144                           const unsigned char *in, size_t len)
1145 {
1146     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1147
1148     CRYPTO_ofb128_encrypt(in, out, len, &dat->ks,
1149                           ctx->iv, &ctx->num, dat->block);
1150     return 1;
1151 }
1152
1153 static int aes_cfb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1154                           const unsigned char *in, size_t len)
1155 {
1156     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1157
1158     CRYPTO_cfb128_encrypt(in, out, len, &dat->ks,
1159                           ctx->iv, &ctx->num, ctx->encrypt, dat->block);
1160     return 1;
1161 }
1162
1163 static int aes_cfb8_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1164                            const unsigned char *in, size_t len)
1165 {
1166     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1167
1168     CRYPTO_cfb128_8_encrypt(in, out, len, &dat->ks,
1169                             ctx->iv, &ctx->num, ctx->encrypt, dat->block);
1170     return 1;
1171 }
1172
1173 static int aes_cfb1_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1174                            const unsigned char *in, size_t len)
1175 {
1176     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1177
1178     if (ctx->flags & EVP_CIPH_FLAG_LENGTH_BITS) {
1179         CRYPTO_cfb128_1_encrypt(in, out, len, &dat->ks,
1180                                 ctx->iv, &ctx->num, ctx->encrypt, dat->block);
1181         return 1;
1182     }
1183
1184     while (len >= MAXBITCHUNK) {
1185         CRYPTO_cfb128_1_encrypt(in, out, MAXBITCHUNK * 8, &dat->ks,
1186                                 ctx->iv, &ctx->num, ctx->encrypt, dat->block);
1187         len -= MAXBITCHUNK;
1188     }
1189     if (len)
1190         CRYPTO_cfb128_1_encrypt(in, out, len * 8, &dat->ks,
1191                                 ctx->iv, &ctx->num, ctx->encrypt, dat->block);
1192
1193     return 1;
1194 }
1195
1196 static int aes_ctr_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1197                           const unsigned char *in, size_t len)
1198 {
1199     unsigned int num = ctx->num;
1200     EVP_AES_KEY *dat = (EVP_AES_KEY *) ctx->cipher_data;
1201
1202     if (dat->stream.ctr)
1203         CRYPTO_ctr128_encrypt_ctr32(in, out, len, &dat->ks,
1204                                     ctx->iv, ctx->buf, &num, dat->stream.ctr);
1205     else
1206         CRYPTO_ctr128_encrypt(in, out, len, &dat->ks,
1207                               ctx->iv, ctx->buf, &num, dat->block);
1208     ctx->num = (size_t)num;
1209     return 1;
1210 }
1211
1212 BLOCK_CIPHER_generic_pack(NID_aes, 128, 0)
1213     BLOCK_CIPHER_generic_pack(NID_aes, 192, 0)
1214     BLOCK_CIPHER_generic_pack(NID_aes, 256, 0)
1215
1216 static int aes_gcm_cleanup(EVP_CIPHER_CTX *c)
1217 {
1218     EVP_AES_GCM_CTX *gctx = c->cipher_data;
1219     OPENSSL_cleanse(&gctx->gcm, sizeof(gctx->gcm));
1220     if (gctx->iv != c->iv)
1221         OPENSSL_free(gctx->iv);
1222     return 1;
1223 }
1224
1225 /* increment counter (64-bit int) by 1 */
1226 static void ctr64_inc(unsigned char *counter)
1227 {
1228     int n = 8;
1229     unsigned char c;
1230
1231     do {
1232         --n;
1233         c = counter[n];
1234         ++c;
1235         counter[n] = c;
1236         if (c)
1237             return;
1238     } while (n);
1239 }
1240
1241 static int aes_gcm_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr)
1242 {
1243     EVP_AES_GCM_CTX *gctx = c->cipher_data;
1244     switch (type) {
1245     case EVP_CTRL_INIT:
1246         gctx->key_set = 0;
1247         gctx->iv_set = 0;
1248         gctx->ivlen = c->cipher->iv_len;
1249         gctx->iv = c->iv;
1250         gctx->taglen = -1;
1251         gctx->iv_gen = 0;
1252         gctx->tls_aad_len = -1;
1253         return 1;
1254
1255     case EVP_CTRL_AEAD_SET_IVLEN:
1256         if (arg <= 0)
1257             return 0;
1258         /* Allocate memory for IV if needed */
1259         if ((arg > EVP_MAX_IV_LENGTH) && (arg > gctx->ivlen)) {
1260             if (gctx->iv != c->iv)
1261                 OPENSSL_free(gctx->iv);
1262             gctx->iv = OPENSSL_malloc(arg);
1263             if (!gctx->iv)
1264                 return 0;
1265         }
1266         gctx->ivlen = arg;
1267         return 1;
1268
1269     case EVP_CTRL_AEAD_SET_TAG:
1270         if (arg <= 0 || arg > 16 || c->encrypt)
1271             return 0;
1272         memcpy(c->buf, ptr, arg);
1273         gctx->taglen = arg;
1274         return 1;
1275
1276     case EVP_CTRL_AEAD_GET_TAG:
1277         if (arg <= 0 || arg > 16 || !c->encrypt || gctx->taglen < 0)
1278             return 0;
1279         memcpy(ptr, c->buf, arg);
1280         return 1;
1281
1282     case EVP_CTRL_GCM_SET_IV_FIXED:
1283         /* Special case: -1 length restores whole IV */
1284         if (arg == -1) {
1285             memcpy(gctx->iv, ptr, gctx->ivlen);
1286             gctx->iv_gen = 1;
1287             return 1;
1288         }
1289         /*
1290          * Fixed field must be at least 4 bytes and invocation field at least
1291          * 8.
1292          */
1293         if ((arg < 4) || (gctx->ivlen - arg) < 8)
1294             return 0;
1295         if (arg)
1296             memcpy(gctx->iv, ptr, arg);
1297         if (c->encrypt && RAND_bytes(gctx->iv + arg, gctx->ivlen - arg) <= 0)
1298             return 0;
1299         gctx->iv_gen = 1;
1300         return 1;
1301
1302     case EVP_CTRL_GCM_IV_GEN:
1303         if (gctx->iv_gen == 0 || gctx->key_set == 0)
1304             return 0;
1305         CRYPTO_gcm128_setiv(&gctx->gcm, gctx->iv, gctx->ivlen);
1306         if (arg <= 0 || arg > gctx->ivlen)
1307             arg = gctx->ivlen;
1308         memcpy(ptr, gctx->iv + gctx->ivlen - arg, arg);
1309         /*
1310          * Invocation field will be at least 8 bytes in size and so no need
1311          * to check wrap around or increment more than last 8 bytes.
1312          */
1313         ctr64_inc(gctx->iv + gctx->ivlen - 8);
1314         gctx->iv_set = 1;
1315         return 1;
1316
1317     case EVP_CTRL_GCM_SET_IV_INV:
1318         if (gctx->iv_gen == 0 || gctx->key_set == 0 || c->encrypt)
1319             return 0;
1320         memcpy(gctx->iv + gctx->ivlen - arg, ptr, arg);
1321         CRYPTO_gcm128_setiv(&gctx->gcm, gctx->iv, gctx->ivlen);
1322         gctx->iv_set = 1;
1323         return 1;
1324
1325     case EVP_CTRL_AEAD_TLS1_AAD:
1326         /* Save the AAD for later use */
1327         if (arg != 13)
1328             return 0;
1329         memcpy(c->buf, ptr, arg);
1330         gctx->tls_aad_len = arg;
1331         {
1332             unsigned int len = c->buf[arg - 2] << 8 | c->buf[arg - 1];
1333             /* Correct length for explicit IV */
1334             len -= EVP_GCM_TLS_EXPLICIT_IV_LEN;
1335             /* If decrypting correct for tag too */
1336             if (!c->encrypt)
1337                 len -= EVP_GCM_TLS_TAG_LEN;
1338             c->buf[arg - 2] = len >> 8;
1339             c->buf[arg - 1] = len & 0xff;
1340         }
1341         /* Extra padding: tag appended to record */
1342         return EVP_GCM_TLS_TAG_LEN;
1343
1344     case EVP_CTRL_COPY:
1345         {
1346             EVP_CIPHER_CTX *out = ptr;
1347             EVP_AES_GCM_CTX *gctx_out = out->cipher_data;
1348             if (gctx->gcm.key) {
1349                 if (gctx->gcm.key != &gctx->ks)
1350                     return 0;
1351                 gctx_out->gcm.key = &gctx_out->ks;
1352             }
1353             if (gctx->iv == c->iv)
1354                 gctx_out->iv = out->iv;
1355             else {
1356                 gctx_out->iv = OPENSSL_malloc(gctx->ivlen);
1357                 if (!gctx_out->iv)
1358                     return 0;
1359                 memcpy(gctx_out->iv, gctx->iv, gctx->ivlen);
1360             }
1361             return 1;
1362         }
1363
1364     default:
1365         return -1;
1366
1367     }
1368 }
1369
1370 static int aes_gcm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
1371                             const unsigned char *iv, int enc)
1372 {
1373     EVP_AES_GCM_CTX *gctx = ctx->cipher_data;
1374     if (!iv && !key)
1375         return 1;
1376     if (key) {
1377         do {
1378 # ifdef HWAES_CAPABLE
1379             if (HWAES_CAPABLE) {
1380                 HWAES_set_encrypt_key(key, ctx->key_len * 8, &gctx->ks.ks);
1381                 CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks,
1382                                    (block128_f) HWAES_encrypt);
1383 #  ifdef HWAES_ctr32_encrypt_blocks
1384                 gctx->ctr = (ctr128_f) HWAES_ctr32_encrypt_blocks;
1385 #  else
1386                 gctx->ctr = NULL;
1387 #  endif
1388                 break;
1389             } else
1390 # endif
1391 # ifdef BSAES_CAPABLE
1392             if (BSAES_CAPABLE) {
1393                 AES_set_encrypt_key(key, ctx->key_len * 8, &gctx->ks.ks);
1394                 CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks,
1395                                    (block128_f) AES_encrypt);
1396                 gctx->ctr = (ctr128_f) bsaes_ctr32_encrypt_blocks;
1397                 break;
1398             } else
1399 # endif
1400 # ifdef VPAES_CAPABLE
1401             if (VPAES_CAPABLE) {
1402                 vpaes_set_encrypt_key(key, ctx->key_len * 8, &gctx->ks.ks);
1403                 CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks,
1404                                    (block128_f) vpaes_encrypt);
1405                 gctx->ctr = NULL;
1406                 break;
1407             } else
1408 # endif
1409                 (void)0;        /* terminate potentially open 'else' */
1410
1411             AES_set_encrypt_key(key, ctx->key_len * 8, &gctx->ks.ks);
1412             CRYPTO_gcm128_init(&gctx->gcm, &gctx->ks,
1413                                (block128_f) AES_encrypt);
1414 # ifdef AES_CTR_ASM
1415             gctx->ctr = (ctr128_f) AES_ctr32_encrypt;
1416 # else
1417             gctx->ctr = NULL;
1418 # endif
1419         } while (0);
1420
1421         /*
1422          * If we have an iv can set it directly, otherwise use saved IV.
1423          */
1424         if (iv == NULL && gctx->iv_set)
1425             iv = gctx->iv;
1426         if (iv) {
1427             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
1428             gctx->iv_set = 1;
1429         }
1430         gctx->key_set = 1;
1431     } else {
1432         /* If key set use IV, otherwise copy */
1433         if (gctx->key_set)
1434             CRYPTO_gcm128_setiv(&gctx->gcm, iv, gctx->ivlen);
1435         else
1436             memcpy(gctx->iv, iv, gctx->ivlen);
1437         gctx->iv_set = 1;
1438         gctx->iv_gen = 0;
1439     }
1440     return 1;
1441 }
1442
1443 /*
1444  * Handle TLS GCM packet format. This consists of the last portion of the IV
1445  * followed by the payload and finally the tag. On encrypt generate IV,
1446  * encrypt payload and write the tag. On verify retrieve IV, decrypt payload
1447  * and verify tag.
1448  */
1449
1450 static int aes_gcm_tls_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1451                               const unsigned char *in, size_t len)
1452 {
1453     EVP_AES_GCM_CTX *gctx = ctx->cipher_data;
1454     int rv = -1;
1455     /* Encrypt/decrypt must be performed in place */
1456     if (out != in
1457         || len < (EVP_GCM_TLS_EXPLICIT_IV_LEN + EVP_GCM_TLS_TAG_LEN))
1458         return -1;
1459     /*
1460      * Set IV from start of buffer or generate IV and write to start of
1461      * buffer.
1462      */
1463     if (EVP_CIPHER_CTX_ctrl(ctx, ctx->encrypt ?
1464                             EVP_CTRL_GCM_IV_GEN : EVP_CTRL_GCM_SET_IV_INV,
1465                             EVP_GCM_TLS_EXPLICIT_IV_LEN, out) <= 0)
1466         goto err;
1467     /* Use saved AAD */
1468     if (CRYPTO_gcm128_aad(&gctx->gcm, ctx->buf, gctx->tls_aad_len))
1469         goto err;
1470     /* Fix buffer and length to point to payload */
1471     in += EVP_GCM_TLS_EXPLICIT_IV_LEN;
1472     out += EVP_GCM_TLS_EXPLICIT_IV_LEN;
1473     len -= EVP_GCM_TLS_EXPLICIT_IV_LEN + EVP_GCM_TLS_TAG_LEN;
1474     if (ctx->encrypt) {
1475         /* Encrypt payload */
1476         if (gctx->ctr) {
1477             size_t bulk = 0;
1478 # if defined(AES_GCM_ASM)
1479             if (len >= 32 && AES_GCM_ASM(gctx)) {
1480                 if (CRYPTO_gcm128_encrypt(&gctx->gcm, NULL, NULL, 0))
1481                     return -1;
1482
1483                 bulk = AES_gcm_encrypt(in, out, len,
1484                                        gctx->gcm.key,
1485                                        gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1486                 gctx->gcm.len.u[1] += bulk;
1487             }
1488 # endif
1489             if (CRYPTO_gcm128_encrypt_ctr32(&gctx->gcm,
1490                                             in + bulk,
1491                                             out + bulk,
1492                                             len - bulk, gctx->ctr))
1493                 goto err;
1494         } else {
1495             size_t bulk = 0;
1496 # if defined(AES_GCM_ASM2)
1497             if (len >= 32 && AES_GCM_ASM2(gctx)) {
1498                 if (CRYPTO_gcm128_encrypt(&gctx->gcm, NULL, NULL, 0))
1499                     return -1;
1500
1501                 bulk = AES_gcm_encrypt(in, out, len,
1502                                        gctx->gcm.key,
1503                                        gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1504                 gctx->gcm.len.u[1] += bulk;
1505             }
1506 # endif
1507             if (CRYPTO_gcm128_encrypt(&gctx->gcm,
1508                                       in + bulk, out + bulk, len - bulk))
1509                 goto err;
1510         }
1511         out += len;
1512         /* Finally write tag */
1513         CRYPTO_gcm128_tag(&gctx->gcm, out, EVP_GCM_TLS_TAG_LEN);
1514         rv = len + EVP_GCM_TLS_EXPLICIT_IV_LEN + EVP_GCM_TLS_TAG_LEN;
1515     } else {
1516         /* Decrypt */
1517         if (gctx->ctr) {
1518             size_t bulk = 0;
1519 # if defined(AES_GCM_ASM)
1520             if (len >= 16 && AES_GCM_ASM(gctx)) {
1521                 if (CRYPTO_gcm128_decrypt(&gctx->gcm, NULL, NULL, 0))
1522                     return -1;
1523
1524                 bulk = AES_gcm_decrypt(in, out, len,
1525                                        gctx->gcm.key,
1526                                        gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1527                 gctx->gcm.len.u[1] += bulk;
1528             }
1529 # endif
1530             if (CRYPTO_gcm128_decrypt_ctr32(&gctx->gcm,
1531                                             in + bulk,
1532                                             out + bulk,
1533                                             len - bulk, gctx->ctr))
1534                 goto err;
1535         } else {
1536             size_t bulk = 0;
1537 # if defined(AES_GCM_ASM2)
1538             if (len >= 16 && AES_GCM_ASM2(gctx)) {
1539                 if (CRYPTO_gcm128_decrypt(&gctx->gcm, NULL, NULL, 0))
1540                     return -1;
1541
1542                 bulk = AES_gcm_decrypt(in, out, len,
1543                                        gctx->gcm.key,
1544                                        gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1545                 gctx->gcm.len.u[1] += bulk;
1546             }
1547 # endif
1548             if (CRYPTO_gcm128_decrypt(&gctx->gcm,
1549                                       in + bulk, out + bulk, len - bulk))
1550                 goto err;
1551         }
1552         /* Retrieve tag */
1553         CRYPTO_gcm128_tag(&gctx->gcm, ctx->buf, EVP_GCM_TLS_TAG_LEN);
1554         /* If tag mismatch wipe buffer */
1555         if (memcmp(ctx->buf, in + len, EVP_GCM_TLS_TAG_LEN)) {
1556             OPENSSL_cleanse(out, len);
1557             goto err;
1558         }
1559         rv = len;
1560     }
1561
1562  err:
1563     gctx->iv_set = 0;
1564     gctx->tls_aad_len = -1;
1565     return rv;
1566 }
1567
1568 static int aes_gcm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1569                           const unsigned char *in, size_t len)
1570 {
1571     EVP_AES_GCM_CTX *gctx = ctx->cipher_data;
1572     /* If not set up, return error */
1573     if (!gctx->key_set)
1574         return -1;
1575
1576     if (gctx->tls_aad_len >= 0)
1577         return aes_gcm_tls_cipher(ctx, out, in, len);
1578
1579     if (!gctx->iv_set)
1580         return -1;
1581     if (in) {
1582         if (out == NULL) {
1583             if (CRYPTO_gcm128_aad(&gctx->gcm, in, len))
1584                 return -1;
1585         } else if (ctx->encrypt) {
1586             if (gctx->ctr) {
1587                 size_t bulk = 0;
1588 # if defined(AES_GCM_ASM)
1589                 if (len >= 32 && AES_GCM_ASM(gctx)) {
1590                     size_t res = (16 - gctx->gcm.mres) % 16;
1591
1592                     if (CRYPTO_gcm128_encrypt(&gctx->gcm, in, out, res))
1593                         return -1;
1594
1595                     bulk = AES_gcm_encrypt(in + res,
1596                                            out + res, len - res,
1597                                            gctx->gcm.key, gctx->gcm.Yi.c,
1598                                            gctx->gcm.Xi.u);
1599                     gctx->gcm.len.u[1] += bulk;
1600                     bulk += res;
1601                 }
1602 # endif
1603                 if (CRYPTO_gcm128_encrypt_ctr32(&gctx->gcm,
1604                                                 in + bulk,
1605                                                 out + bulk,
1606                                                 len - bulk, gctx->ctr))
1607                     return -1;
1608             } else {
1609                 size_t bulk = 0;
1610 # if defined(AES_GCM_ASM2)
1611                 if (len >= 32 && AES_GCM_ASM2(gctx)) {
1612                     size_t res = (16 - gctx->gcm.mres) % 16;
1613
1614                     if (CRYPTO_gcm128_encrypt(&gctx->gcm, in, out, res))
1615                         return -1;
1616
1617                     bulk = AES_gcm_encrypt(in + res,
1618                                            out + res, len - res,
1619                                            gctx->gcm.key, gctx->gcm.Yi.c,
1620                                            gctx->gcm.Xi.u);
1621                     gctx->gcm.len.u[1] += bulk;
1622                     bulk += res;
1623                 }
1624 # endif
1625                 if (CRYPTO_gcm128_encrypt(&gctx->gcm,
1626                                           in + bulk, out + bulk, len - bulk))
1627                     return -1;
1628             }
1629         } else {
1630             if (gctx->ctr) {
1631                 size_t bulk = 0;
1632 # if defined(AES_GCM_ASM)
1633                 if (len >= 16 && AES_GCM_ASM(gctx)) {
1634                     size_t res = (16 - gctx->gcm.mres) % 16;
1635
1636                     if (CRYPTO_gcm128_decrypt(&gctx->gcm, in, out, res))
1637                         return -1;
1638
1639                     bulk = AES_gcm_decrypt(in + res,
1640                                            out + res, len - res,
1641                                            gctx->gcm.key,
1642                                            gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1643                     gctx->gcm.len.u[1] += bulk;
1644                     bulk += res;
1645                 }
1646 # endif
1647                 if (CRYPTO_gcm128_decrypt_ctr32(&gctx->gcm,
1648                                                 in + bulk,
1649                                                 out + bulk,
1650                                                 len - bulk, gctx->ctr))
1651                     return -1;
1652             } else {
1653                 size_t bulk = 0;
1654 # if defined(AES_GCM_ASM2)
1655                 if (len >= 16 && AES_GCM_ASM2(gctx)) {
1656                     size_t res = (16 - gctx->gcm.mres) % 16;
1657
1658                     if (CRYPTO_gcm128_decrypt(&gctx->gcm, in, out, res))
1659                         return -1;
1660
1661                     bulk = AES_gcm_decrypt(in + res,
1662                                            out + res, len - res,
1663                                            gctx->gcm.key,
1664                                            gctx->gcm.Yi.c, gctx->gcm.Xi.u);
1665                     gctx->gcm.len.u[1] += bulk;
1666                     bulk += res;
1667                 }
1668 # endif
1669                 if (CRYPTO_gcm128_decrypt(&gctx->gcm,
1670                                           in + bulk, out + bulk, len - bulk))
1671                     return -1;
1672             }
1673         }
1674         return len;
1675     } else {
1676         if (!ctx->encrypt) {
1677             if (gctx->taglen < 0)
1678                 return -1;
1679             if (CRYPTO_gcm128_finish(&gctx->gcm, ctx->buf, gctx->taglen) != 0)
1680                 return -1;
1681             gctx->iv_set = 0;
1682             return 0;
1683         }
1684         CRYPTO_gcm128_tag(&gctx->gcm, ctx->buf, 16);
1685         gctx->taglen = 16;
1686         /* Don't reuse the IV */
1687         gctx->iv_set = 0;
1688         return 0;
1689     }
1690
1691 }
1692
1693 # define CUSTOM_FLAGS    (EVP_CIPH_FLAG_DEFAULT_ASN1 \
1694                 | EVP_CIPH_CUSTOM_IV | EVP_CIPH_FLAG_CUSTOM_CIPHER \
1695                 | EVP_CIPH_ALWAYS_CALL_INIT | EVP_CIPH_CTRL_INIT \
1696                 | EVP_CIPH_CUSTOM_COPY)
1697
1698 BLOCK_CIPHER_custom(NID_aes, 128, 1, 12, gcm, GCM,
1699                     EVP_CIPH_FLAG_AEAD_CIPHER | CUSTOM_FLAGS)
1700     BLOCK_CIPHER_custom(NID_aes, 192, 1, 12, gcm, GCM,
1701                     EVP_CIPH_FLAG_AEAD_CIPHER | CUSTOM_FLAGS)
1702     BLOCK_CIPHER_custom(NID_aes, 256, 1, 12, gcm, GCM,
1703                     EVP_CIPH_FLAG_AEAD_CIPHER | CUSTOM_FLAGS)
1704
1705 static int aes_xts_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr)
1706 {
1707     EVP_AES_XTS_CTX *xctx = c->cipher_data;
1708     if (type == EVP_CTRL_COPY) {
1709         EVP_CIPHER_CTX *out = ptr;
1710         EVP_AES_XTS_CTX *xctx_out = out->cipher_data;
1711         if (xctx->xts.key1) {
1712             if (xctx->xts.key1 != &xctx->ks1)
1713                 return 0;
1714             xctx_out->xts.key1 = &xctx_out->ks1;
1715         }
1716         if (xctx->xts.key2) {
1717             if (xctx->xts.key2 != &xctx->ks2)
1718                 return 0;
1719             xctx_out->xts.key2 = &xctx_out->ks2;
1720         }
1721         return 1;
1722     } else if (type != EVP_CTRL_INIT)
1723         return -1;
1724     /* key1 and key2 are used as an indicator both key and IV are set */
1725     xctx->xts.key1 = NULL;
1726     xctx->xts.key2 = NULL;
1727     return 1;
1728 }
1729
1730 static int aes_xts_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
1731                             const unsigned char *iv, int enc)
1732 {
1733     EVP_AES_XTS_CTX *xctx = ctx->cipher_data;
1734     if (!iv && !key)
1735         return 1;
1736
1737     if (key)
1738         do {
1739 # ifdef AES_XTS_ASM
1740             xctx->stream = enc ? AES_xts_encrypt : AES_xts_decrypt;
1741 # else
1742             xctx->stream = NULL;
1743 # endif
1744             /* key_len is two AES keys */
1745 # ifdef HWAES_CAPABLE
1746             if (HWAES_CAPABLE) {
1747                 if (enc) {
1748                     HWAES_set_encrypt_key(key, ctx->key_len * 4,
1749                                           &xctx->ks1.ks);
1750                     xctx->xts.block1 = (block128_f) HWAES_encrypt;
1751                 } else {
1752                     HWAES_set_decrypt_key(key, ctx->key_len * 4,
1753                                           &xctx->ks1.ks);
1754                     xctx->xts.block1 = (block128_f) HWAES_decrypt;
1755                 }
1756
1757                 HWAES_set_encrypt_key(key + ctx->key_len / 2,
1758                                       ctx->key_len * 4, &xctx->ks2.ks);
1759                 xctx->xts.block2 = (block128_f) HWAES_encrypt;
1760
1761                 xctx->xts.key1 = &xctx->ks1;
1762                 break;
1763             } else
1764 # endif
1765 # ifdef BSAES_CAPABLE
1766             if (BSAES_CAPABLE)
1767                 xctx->stream = enc ? bsaes_xts_encrypt : bsaes_xts_decrypt;
1768             else
1769 # endif
1770 # ifdef VPAES_CAPABLE
1771             if (VPAES_CAPABLE) {
1772                 if (enc) {
1773                     vpaes_set_encrypt_key(key, ctx->key_len * 4,
1774                                           &xctx->ks1.ks);
1775                     xctx->xts.block1 = (block128_f) vpaes_encrypt;
1776                 } else {
1777                     vpaes_set_decrypt_key(key, ctx->key_len * 4,
1778                                           &xctx->ks1.ks);
1779                     xctx->xts.block1 = (block128_f) vpaes_decrypt;
1780                 }
1781
1782                 vpaes_set_encrypt_key(key + ctx->key_len / 2,
1783                                       ctx->key_len * 4, &xctx->ks2.ks);
1784                 xctx->xts.block2 = (block128_f) vpaes_encrypt;
1785
1786                 xctx->xts.key1 = &xctx->ks1;
1787                 break;
1788             } else
1789 # endif
1790                 (void)0;        /* terminate potentially open 'else' */
1791
1792             if (enc) {
1793                 AES_set_encrypt_key(key, ctx->key_len * 4, &xctx->ks1.ks);
1794                 xctx->xts.block1 = (block128_f) AES_encrypt;
1795             } else {
1796                 AES_set_decrypt_key(key, ctx->key_len * 4, &xctx->ks1.ks);
1797                 xctx->xts.block1 = (block128_f) AES_decrypt;
1798             }
1799
1800             AES_set_encrypt_key(key + ctx->key_len / 2,
1801                                 ctx->key_len * 4, &xctx->ks2.ks);
1802             xctx->xts.block2 = (block128_f) AES_encrypt;
1803
1804             xctx->xts.key1 = &xctx->ks1;
1805         } while (0);
1806
1807     if (iv) {
1808         xctx->xts.key2 = &xctx->ks2;
1809         memcpy(ctx->iv, iv, 16);
1810     }
1811
1812     return 1;
1813 }
1814
1815 static int aes_xts_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1816                           const unsigned char *in, size_t len)
1817 {
1818     EVP_AES_XTS_CTX *xctx = ctx->cipher_data;
1819     if (!xctx->xts.key1 || !xctx->xts.key2)
1820         return 0;
1821     if (!out || !in || len < AES_BLOCK_SIZE)
1822         return 0;
1823     if (xctx->stream)
1824         (*xctx->stream) (in, out, len,
1825                          xctx->xts.key1, xctx->xts.key2, ctx->iv);
1826     else if (CRYPTO_xts128_encrypt(&xctx->xts, ctx->iv, in, out, len,
1827                                    ctx->encrypt))
1828         return 0;
1829     return 1;
1830 }
1831
1832 # define aes_xts_cleanup NULL
1833
1834 # define XTS_FLAGS       (EVP_CIPH_FLAG_DEFAULT_ASN1 | EVP_CIPH_CUSTOM_IV \
1835                          | EVP_CIPH_ALWAYS_CALL_INIT | EVP_CIPH_CTRL_INIT \
1836                          | EVP_CIPH_CUSTOM_COPY)
1837
1838 BLOCK_CIPHER_custom(NID_aes, 128, 1, 16, xts, XTS, XTS_FLAGS)
1839     BLOCK_CIPHER_custom(NID_aes, 256, 1, 16, xts, XTS, XTS_FLAGS)
1840
1841 static int aes_ccm_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr)
1842 {
1843     EVP_AES_CCM_CTX *cctx = c->cipher_data;
1844     switch (type) {
1845     case EVP_CTRL_INIT:
1846         cctx->key_set = 0;
1847         cctx->iv_set = 0;
1848         cctx->L = 8;
1849         cctx->M = 12;
1850         cctx->tag_set = 0;
1851         cctx->len_set = 0;
1852         return 1;
1853
1854     case EVP_CTRL_AEAD_SET_IVLEN:
1855         arg = 15 - arg;
1856     case EVP_CTRL_CCM_SET_L:
1857         if (arg < 2 || arg > 8)
1858             return 0;
1859         cctx->L = arg;
1860         return 1;
1861
1862     case EVP_CTRL_AEAD_SET_TAG:
1863         if ((arg & 1) || arg < 4 || arg > 16)
1864             return 0;
1865         if ((c->encrypt && ptr) || (!c->encrypt && !ptr))
1866             return 0;
1867         if (ptr) {
1868             cctx->tag_set = 1;
1869             memcpy(c->buf, ptr, arg);
1870         }
1871         cctx->M = arg;
1872         return 1;
1873
1874     case EVP_CTRL_AEAD_GET_TAG:
1875         if (!c->encrypt || !cctx->tag_set)
1876             return 0;
1877         if (!CRYPTO_ccm128_tag(&cctx->ccm, ptr, (size_t)arg))
1878             return 0;
1879         cctx->tag_set = 0;
1880         cctx->iv_set = 0;
1881         cctx->len_set = 0;
1882         return 1;
1883
1884     case EVP_CTRL_COPY:
1885         {
1886             EVP_CIPHER_CTX *out = ptr;
1887             EVP_AES_CCM_CTX *cctx_out = out->cipher_data;
1888             if (cctx->ccm.key) {
1889                 if (cctx->ccm.key != &cctx->ks)
1890                     return 0;
1891                 cctx_out->ccm.key = &cctx_out->ks;
1892             }
1893             return 1;
1894         }
1895
1896     default:
1897         return -1;
1898
1899     }
1900 }
1901
1902 static int aes_ccm_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
1903                             const unsigned char *iv, int enc)
1904 {
1905     EVP_AES_CCM_CTX *cctx = ctx->cipher_data;
1906     if (!iv && !key)
1907         return 1;
1908     if (key)
1909         do {
1910 # ifdef HWAES_CAPABLE
1911             if (HWAES_CAPABLE) {
1912                 HWAES_set_encrypt_key(key, ctx->key_len * 8, &cctx->ks.ks);
1913
1914                 CRYPTO_ccm128_init(&cctx->ccm, cctx->M, cctx->L,
1915                                    &cctx->ks, (block128_f) HWAES_encrypt);
1916                 cctx->str = NULL;
1917                 cctx->key_set = 1;
1918                 break;
1919             } else
1920 # endif
1921 # ifdef VPAES_CAPABLE
1922             if (VPAES_CAPABLE) {
1923                 vpaes_set_encrypt_key(key, ctx->key_len * 8, &cctx->ks.ks);
1924                 CRYPTO_ccm128_init(&cctx->ccm, cctx->M, cctx->L,
1925                                    &cctx->ks, (block128_f) vpaes_encrypt);
1926                 cctx->str = NULL;
1927                 cctx->key_set = 1;
1928                 break;
1929             }
1930 # endif
1931             AES_set_encrypt_key(key, ctx->key_len * 8, &cctx->ks.ks);
1932             CRYPTO_ccm128_init(&cctx->ccm, cctx->M, cctx->L,
1933                                &cctx->ks, (block128_f) AES_encrypt);
1934             cctx->str = NULL;
1935             cctx->key_set = 1;
1936         } while (0);
1937     if (iv) {
1938         memcpy(ctx->iv, iv, 15 - cctx->L);
1939         cctx->iv_set = 1;
1940     }
1941     return 1;
1942 }
1943
1944 static int aes_ccm_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
1945                           const unsigned char *in, size_t len)
1946 {
1947     EVP_AES_CCM_CTX *cctx = ctx->cipher_data;
1948     CCM128_CONTEXT *ccm = &cctx->ccm;
1949     /* If not set up, return error */
1950     if (!cctx->iv_set && !cctx->key_set)
1951         return -1;
1952     if (!ctx->encrypt && !cctx->tag_set)
1953         return -1;
1954     if (!out) {
1955         if (!in) {
1956             if (CRYPTO_ccm128_setiv(ccm, ctx->iv, 15 - cctx->L, len))
1957                 return -1;
1958             cctx->len_set = 1;
1959             return len;
1960         }
1961         /* If have AAD need message length */
1962         if (!cctx->len_set && len)
1963             return -1;
1964         CRYPTO_ccm128_aad(ccm, in, len);
1965         return len;
1966     }
1967     /* EVP_*Final() doesn't return any data */
1968     if (!in)
1969         return 0;
1970     /* If not set length yet do it */
1971     if (!cctx->len_set) {
1972         if (CRYPTO_ccm128_setiv(ccm, ctx->iv, 15 - cctx->L, len))
1973             return -1;
1974         cctx->len_set = 1;
1975     }
1976     if (ctx->encrypt) {
1977         if (cctx->str ? CRYPTO_ccm128_encrypt_ccm64(ccm, in, out, len,
1978                                                     cctx->str) :
1979             CRYPTO_ccm128_encrypt(ccm, in, out, len))
1980             return -1;
1981         cctx->tag_set = 1;
1982         return len;
1983     } else {
1984         int rv = -1;
1985         if (cctx->str ? !CRYPTO_ccm128_decrypt_ccm64(ccm, in, out, len,
1986                                                      cctx->str) :
1987             !CRYPTO_ccm128_decrypt(ccm, in, out, len)) {
1988             unsigned char tag[16];
1989             if (CRYPTO_ccm128_tag(ccm, tag, cctx->M)) {
1990                 if (!memcmp(tag, ctx->buf, cctx->M))
1991                     rv = len;
1992             }
1993         }
1994         if (rv == -1)
1995             OPENSSL_cleanse(out, len);
1996         cctx->iv_set = 0;
1997         cctx->tag_set = 0;
1998         cctx->len_set = 0;
1999         return rv;
2000     }
2001
2002 }
2003
2004 # define aes_ccm_cleanup NULL
2005
2006 BLOCK_CIPHER_custom(NID_aes, 128, 1, 12, ccm, CCM, CUSTOM_FLAGS)
2007     BLOCK_CIPHER_custom(NID_aes, 192, 1, 12, ccm, CCM, CUSTOM_FLAGS)
2008     BLOCK_CIPHER_custom(NID_aes, 256, 1, 12, ccm, CCM, CUSTOM_FLAGS)
2009
2010 typedef struct {
2011     union {
2012         double align;
2013         AES_KEY ks;
2014     } ks;
2015     /* Indicates if IV has been set */
2016     unsigned char *iv;
2017 } EVP_AES_WRAP_CTX;
2018
2019 static int aes_wrap_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
2020                              const unsigned char *iv, int enc)
2021 {
2022     EVP_AES_WRAP_CTX *wctx = ctx->cipher_data;
2023     if (!iv && !key)
2024         return 1;
2025     if (key) {
2026         if (ctx->encrypt)
2027             AES_set_encrypt_key(key, ctx->key_len * 8, &wctx->ks.ks);
2028         else
2029             AES_set_decrypt_key(key, ctx->key_len * 8, &wctx->ks.ks);
2030         if (!iv)
2031             wctx->iv = NULL;
2032     }
2033     if (iv) {
2034         memcpy(ctx->iv, iv, EVP_CIPHER_CTX_iv_length(ctx));
2035         wctx->iv = ctx->iv;
2036     }
2037     return 1;
2038 }
2039
2040 static int aes_wrap_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
2041                            const unsigned char *in, size_t inlen)
2042 {
2043     EVP_AES_WRAP_CTX *wctx = ctx->cipher_data;
2044     size_t rv;
2045     /* AES wrap with padding has IV length of 4, without padding 8 */
2046     int pad = EVP_CIPHER_CTX_iv_length(ctx) == 4;
2047     /* No final operation so always return zero length */
2048     if (!in)
2049         return 0;
2050     /* Input length must always be non-zero */
2051     if (!inlen)
2052         return -1;
2053     /* If decrypting need at least 16 bytes and multiple of 8 */
2054     if (!ctx->encrypt && (inlen < 16 || inlen & 0x7))
2055         return -1;
2056     /* If not padding input must be multiple of 8 */
2057     if (!pad && inlen & 0x7)
2058         return -1;
2059     if (!out) {
2060         if (ctx->encrypt) {
2061             /* If padding round up to multiple of 8 */
2062             if (pad)
2063                 inlen = (inlen + 7) / 8 * 8;
2064             /* 8 byte prefix */
2065             return inlen + 8;
2066         } else {
2067             /*
2068              * If not padding output will be exactly 8 bytes smaller than
2069              * input. If padding it will be at least 8 bytes smaller but we
2070              * don't know how much.
2071              */
2072             return inlen - 8;
2073         }
2074     }
2075     if (pad) {
2076         if (ctx->encrypt)
2077             rv = CRYPTO_128_wrap_pad(&wctx->ks.ks, wctx->iv,
2078                                      out, in, inlen,
2079                                      (block128_f) AES_encrypt);
2080         else
2081             rv = CRYPTO_128_unwrap_pad(&wctx->ks.ks, wctx->iv,
2082                                        out, in, inlen,
2083                                        (block128_f) AES_decrypt);
2084     } else {
2085         if (ctx->encrypt)
2086             rv = CRYPTO_128_wrap(&wctx->ks.ks, wctx->iv,
2087                                  out, in, inlen, (block128_f) AES_encrypt);
2088         else
2089             rv = CRYPTO_128_unwrap(&wctx->ks.ks, wctx->iv,
2090                                    out, in, inlen, (block128_f) AES_decrypt);
2091     }
2092     return rv ? (int)rv : -1;
2093 }
2094
2095 # define WRAP_FLAGS      (EVP_CIPH_WRAP_MODE \
2096                 | EVP_CIPH_CUSTOM_IV | EVP_CIPH_FLAG_CUSTOM_CIPHER \
2097                 | EVP_CIPH_ALWAYS_CALL_INIT | EVP_CIPH_FLAG_DEFAULT_ASN1)
2098
2099 static const EVP_CIPHER aes_128_wrap = {
2100     NID_id_aes128_wrap,
2101     8, 16, 8, WRAP_FLAGS,
2102     aes_wrap_init_key, aes_wrap_cipher,
2103     NULL,
2104     sizeof(EVP_AES_WRAP_CTX),
2105     NULL, NULL, NULL, NULL
2106 };
2107
2108 const EVP_CIPHER *EVP_aes_128_wrap(void)
2109 {
2110     return &aes_128_wrap;
2111 }
2112
2113 static const EVP_CIPHER aes_192_wrap = {
2114     NID_id_aes192_wrap,
2115     8, 24, 8, WRAP_FLAGS,
2116     aes_wrap_init_key, aes_wrap_cipher,
2117     NULL,
2118     sizeof(EVP_AES_WRAP_CTX),
2119     NULL, NULL, NULL, NULL
2120 };
2121
2122 const EVP_CIPHER *EVP_aes_192_wrap(void)
2123 {
2124     return &aes_192_wrap;
2125 }
2126
2127 static const EVP_CIPHER aes_256_wrap = {
2128     NID_id_aes256_wrap,
2129     8, 32, 8, WRAP_FLAGS,
2130     aes_wrap_init_key, aes_wrap_cipher,
2131     NULL,
2132     sizeof(EVP_AES_WRAP_CTX),
2133     NULL, NULL, NULL, NULL
2134 };
2135
2136 const EVP_CIPHER *EVP_aes_256_wrap(void)
2137 {
2138     return &aes_256_wrap;
2139 }
2140
2141 static const EVP_CIPHER aes_128_wrap_pad = {
2142     NID_id_aes128_wrap_pad,
2143     8, 16, 4, WRAP_FLAGS,
2144     aes_wrap_init_key, aes_wrap_cipher,
2145     NULL,
2146     sizeof(EVP_AES_WRAP_CTX),
2147     NULL, NULL, NULL, NULL
2148 };
2149
2150 const EVP_CIPHER *EVP_aes_128_wrap_pad(void)
2151 {
2152     return &aes_128_wrap_pad;
2153 }
2154
2155 static const EVP_CIPHER aes_192_wrap_pad = {
2156     NID_id_aes192_wrap_pad,
2157     8, 24, 4, WRAP_FLAGS,
2158     aes_wrap_init_key, aes_wrap_cipher,
2159     NULL,
2160     sizeof(EVP_AES_WRAP_CTX),
2161     NULL, NULL, NULL, NULL
2162 };
2163
2164 const EVP_CIPHER *EVP_aes_192_wrap_pad(void)
2165 {
2166     return &aes_192_wrap_pad;
2167 }
2168
2169 static const EVP_CIPHER aes_256_wrap_pad = {
2170     NID_id_aes256_wrap_pad,
2171     8, 32, 4, WRAP_FLAGS,
2172     aes_wrap_init_key, aes_wrap_cipher,
2173     NULL,
2174     sizeof(EVP_AES_WRAP_CTX),
2175     NULL, NULL, NULL, NULL
2176 };
2177
2178 const EVP_CIPHER *EVP_aes_256_wrap_pad(void)
2179 {
2180     return &aes_256_wrap_pad;
2181 }
2182
2183 # ifndef OPENSSL_NO_OCB
2184 static int aes_ocb_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr)
2185 {
2186     EVP_AES_OCB_CTX *octx = c->cipher_data;
2187     EVP_CIPHER_CTX *newc;
2188     EVP_AES_OCB_CTX *new_octx;
2189
2190     switch (type) {
2191     case EVP_CTRL_INIT:
2192         octx->key_set = 0;
2193         octx->iv_set = 0;
2194         octx->ivlen = c->cipher->iv_len;
2195         octx->iv = c->iv;
2196         octx->taglen = 16;
2197         octx->data_buf_len = 0;
2198         octx->aad_buf_len = 0;
2199         return 1;
2200
2201     case EVP_CTRL_AEAD_SET_IVLEN:
2202         /* IV len must be 1 to 15 */
2203         if (arg <= 0 || arg > 15)
2204             return 0;
2205
2206         octx->ivlen = arg;
2207         return 1;
2208
2209     case EVP_CTRL_AEAD_SET_TAG:
2210         if (!ptr) {
2211             /* Tag len must be 0 to 16 */
2212             if (arg < 0 || arg > 16)
2213                 return 0;
2214
2215             octx->taglen = arg;
2216             return 1;
2217         }
2218         if (arg != octx->taglen || c->encrypt)
2219             return 0;
2220         memcpy(octx->tag, ptr, arg);
2221         return 1;
2222
2223     case EVP_CTRL_AEAD_GET_TAG:
2224         if (arg != octx->taglen || !c->encrypt)
2225             return 0;
2226
2227         memcpy(ptr, octx->tag, arg);
2228         return 1;
2229
2230     case EVP_CTRL_COPY:
2231         newc = (EVP_CIPHER_CTX *)ptr;
2232         new_octx = newc->cipher_data;
2233         return CRYPTO_ocb128_copy_ctx(&new_octx->ocb, &octx->ocb,
2234                                       &new_octx->ksenc.ks,
2235                                       &new_octx->ksdec.ks);
2236
2237     default:
2238         return -1;
2239
2240     }
2241 }
2242
2243 static int aes_ocb_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
2244                             const unsigned char *iv, int enc)
2245 {
2246     EVP_AES_OCB_CTX *octx = ctx->cipher_data;
2247     if (!iv && !key)
2248         return 1;
2249     if (key) {
2250         do {
2251             /*
2252              * We set both the encrypt and decrypt key here because decrypt
2253              * needs both. We could possibly optimise to remove setting the
2254              * decrypt for an encryption operation.
2255              */
2256 #  ifdef VPAES_CAPABLE
2257             if (VPAES_CAPABLE) {
2258                 vpaes_set_encrypt_key(key, ctx->key_len * 8, &octx->ksenc.ks);
2259                 vpaes_set_decrypt_key(key, ctx->key_len * 8, &octx->ksdec.ks);
2260                 if (!CRYPTO_ocb128_init(&octx->ocb,
2261                                         &octx->ksenc.ks, &octx->ksdec.ks,
2262                                         (block128_f) vpaes_encrypt,
2263                                         (block128_f) vpaes_decrypt))
2264                     return 0;
2265                 break;
2266             }
2267 #  endif
2268             AES_set_encrypt_key(key, ctx->key_len * 8, &octx->ksenc.ks);
2269             AES_set_decrypt_key(key, ctx->key_len * 8, &octx->ksdec.ks);
2270             if (!CRYPTO_ocb128_init(&octx->ocb,
2271                                     &octx->ksenc.ks, &octx->ksdec.ks,
2272                                     (block128_f) AES_encrypt,
2273                                     (block128_f) AES_decrypt))
2274                 return 0;
2275         }
2276         while (0);
2277
2278         /*
2279          * If we have an iv we can set it directly, otherwise use saved IV.
2280          */
2281         if (iv == NULL && octx->iv_set)
2282             iv = octx->iv;
2283         if (iv) {
2284             if (CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen)
2285                 != 1)
2286                 return 0;
2287             octx->iv_set = 1;
2288         }
2289         octx->key_set = 1;
2290     } else {
2291         /* If key set use IV, otherwise copy */
2292         if (octx->key_set)
2293             CRYPTO_ocb128_setiv(&octx->ocb, iv, octx->ivlen, octx->taglen);
2294         else
2295             memcpy(octx->iv, iv, octx->ivlen);
2296         octx->iv_set = 1;
2297     }
2298     return 1;
2299 }
2300
2301 static int aes_ocb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
2302                           const unsigned char *in, size_t len)
2303 {
2304     unsigned char *buf;
2305     int *buf_len;
2306     int written_len = 0;
2307     size_t trailing_len;
2308     EVP_AES_OCB_CTX *octx = ctx->cipher_data;
2309
2310     /* If IV or Key not set then return error */
2311     if (!octx->iv_set)
2312         return -1;
2313
2314     if (!octx->key_set)
2315         return -1;
2316
2317     if (in) {
2318         /*
2319          * Need to ensure we are only passing full blocks to low level OCB
2320          * routines. We do it here rather than in EVP_EncryptUpdate/
2321          * EVP_DecryptUpdate because we need to pass full blocks of AAD too
2322          * and those routines don't support that
2323          */
2324
2325         /* Are we dealing with AAD or normal data here? */
2326         if (out == NULL) {
2327             buf = octx->aad_buf;
2328             buf_len = &(octx->aad_buf_len);
2329         } else {
2330             buf = octx->data_buf;
2331             buf_len = &(octx->data_buf_len);
2332         }
2333
2334         /*
2335          * If we've got a partially filled buffer from a previous call then
2336          * use that data first
2337          */
2338         if (*buf_len) {
2339             unsigned int remaining;
2340
2341             remaining = 16 - (*buf_len);
2342             if (remaining > len) {
2343                 memcpy(buf + (*buf_len), in, len);
2344                 *(buf_len) += len;
2345                 return 0;
2346             }
2347             memcpy(buf + (*buf_len), in, remaining);
2348
2349             /*
2350              * If we get here we've filled the buffer, so process it
2351              */
2352             len -= remaining;
2353             in += remaining;
2354             if (out == NULL) {
2355                 if (!CRYPTO_ocb128_aad(&octx->ocb, buf, 16))
2356                     return -1;
2357             } else if (ctx->encrypt) {
2358                 if (!CRYPTO_ocb128_encrypt(&octx->ocb, buf, out, 16))
2359                     return -1;
2360             } else {
2361                 if (!CRYPTO_ocb128_decrypt(&octx->ocb, buf, out, 16))
2362                     return -1;
2363             }
2364             written_len = 16;
2365             *buf_len = 0;
2366         }
2367
2368         /* Do we have a partial block to handle at the end? */
2369         trailing_len = len % 16;
2370
2371         /*
2372          * If we've got some full blocks to handle, then process these first
2373          */
2374         if (len != trailing_len) {
2375             if (out == NULL) {
2376                 if (!CRYPTO_ocb128_aad(&octx->ocb, in, len - trailing_len))
2377                     return -1;
2378             } else if (ctx->encrypt) {
2379                 if (!CRYPTO_ocb128_encrypt
2380                     (&octx->ocb, in, out, len - trailing_len))
2381                     return -1;
2382             } else {
2383                 if (!CRYPTO_ocb128_decrypt
2384                     (&octx->ocb, in, out, len - trailing_len))
2385                     return -1;
2386             }
2387             written_len += len - trailing_len;
2388             in += len - trailing_len;
2389         }
2390
2391         /* Handle any trailing partial block */
2392         if (trailing_len) {
2393             memcpy(buf, in, trailing_len);
2394             *buf_len = trailing_len;
2395         }
2396
2397         return written_len;
2398     } else {
2399         /*
2400          * First of all empty the buffer of any partial block that we might
2401          * have been provided - both for data and AAD
2402          */
2403         if (octx->data_buf_len) {
2404             if (ctx->encrypt) {
2405                 if (!CRYPTO_ocb128_encrypt(&octx->ocb, octx->data_buf, out,
2406                                            octx->data_buf_len))
2407                     return -1;
2408             } else {
2409                 if (!CRYPTO_ocb128_decrypt(&octx->ocb, octx->data_buf, out,
2410                                            octx->data_buf_len))
2411                     return -1;
2412             }
2413             written_len = octx->data_buf_len;
2414             octx->data_buf_len = 0;
2415         }
2416         if (octx->aad_buf_len) {
2417             if (!CRYPTO_ocb128_aad
2418                 (&octx->ocb, octx->aad_buf, octx->aad_buf_len))
2419                 return -1;
2420             octx->aad_buf_len = 0;
2421         }
2422         /* If decrypting then verify */
2423         if (!ctx->encrypt) {
2424             if (octx->taglen < 0)
2425                 return -1;
2426             if (CRYPTO_ocb128_finish(&octx->ocb,
2427                                      octx->tag, octx->taglen) != 0)
2428                 return -1;
2429             octx->iv_set = 0;
2430             return written_len;
2431         }
2432         /* If encrypting then just get the tag */
2433         if (CRYPTO_ocb128_tag(&octx->ocb, octx->tag, 16) != 1)
2434             return -1;
2435         /* Don't reuse the IV */
2436         octx->iv_set = 0;
2437         return written_len;
2438     }
2439 }
2440
2441 static int aes_ocb_cleanup(EVP_CIPHER_CTX *c)
2442 {
2443     EVP_AES_OCB_CTX *octx = c->cipher_data;
2444     CRYPTO_ocb128_cleanup(&octx->ocb);
2445     return 1;
2446 }
2447
2448 BLOCK_CIPHER_custom(NID_aes, 128, 16, 12, ocb, OCB, CUSTOM_FLAGS)
2449     BLOCK_CIPHER_custom(NID_aes, 192, 16, 12, ocb, OCB, CUSTOM_FLAGS)
2450     BLOCK_CIPHER_custom(NID_aes, 256, 16, 12, ocb, OCB, CUSTOM_FLAGS)
2451 # endif                         /* OPENSSL_NO_OCB */
2452 #endif