crypto/evp/e_des3.c

   1 /* crypto/evp/e_des3.c */
   2 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
   3  * All rights reserved.
   4  *
   5  * This package is an SSL implementation written
   6  * by Eric Young (eay@cryptsoft.com).
   7  * The implementation was written so as to conform with Netscapes SSL.
   8  *
   9  * This library is free for commercial and non-commercial use as long as
  10  * the following conditions are aheared to.  The following conditions
  11  * apply to all code found in this distribution, be it the RC4, RSA,
  12  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
  13  * included with this distribution is covered by the same copyright terms
  14  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
  15  *
  16  * Copyright remains Eric Young's, and as such any Copyright notices in
  17  * the code are not to be removed.
  18  * If this package is used in a product, Eric Young should be given attribution
  19  * as the author of the parts of the library used.
  20  * This can be in the form of a textual message at program startup or
  21  * in documentation (online or textual) provided with the package.
  22  *
  23  * Redistribution and use in source and binary forms, with or without
  24  * modification, are permitted provided that the following conditions
  25  * are met:
  26  * 1. Redistributions of source code must retain the copyright
  27  *    notice, this list of conditions and the following disclaimer.
  28  * 2. Redistributions in binary form must reproduce the above copyright
  29  *    notice, this list of conditions and the following disclaimer in the
  30  *    documentation and/or other materials provided with the distribution.
  31  * 3. All advertising materials mentioning features or use of this software
  32  *    must display the following acknowledgement:
  33  *    "This product includes cryptographic software written by
  34  *     Eric Young (eay@cryptsoft.com)"
  35  *    The word 'cryptographic' can be left out if the rouines from the library
  36  *    being used are not cryptographic related :-).
  37  * 4. If you include any Windows specific code (or a derivative thereof) from
  38  *    the apps directory (application code) you must include an acknowledgement:
  39  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
  40  *
  41  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
  42  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  43  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  44  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
  45  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  46  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  47  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  49  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  50  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  51  * SUCH DAMAGE.
  52  *
  53  * The licence and distribution terms for any publically available version or
  54  * derivative of this code cannot be changed.  i.e. this code cannot simply be
  55  * copied and put under another distribution licence
  56  * [including the GNU Public Licence.]
  57  */
  58
  59 #include <stdio.h>
  60 #include "cryptlib.h"
  61 #ifndef OPENSSL_NO_DES
  62 # include <openssl/evp.h>
  63 # include <openssl/objects.h>
  64 # include "evp_locl.h"
  65 # include <openssl/des.h>
  66 # include <openssl/rand.h>
  67
  68 typedef struct {
  69     union {
  70         double align;
  71         DES_key_schedule ks[3];
  72     } ks;
  73     union {
  74         void (*cbc) (const void *, void *, size_t, const void *, void *);
  75     } stream;
  76 } DES_EDE_KEY;
  77 # define ks1 ks.ks[0]
  78 # define ks2 ks.ks[1]
  79 # define ks3 ks.ks[2]
  80
  81 # if defined(AES_ASM) && (defined(__sparc) || defined(__sparc__))
  82 /* ---------^^^ this is not a typo, just a way to detect that
  83  * assembler support was in general requested... */
  84 #  include "sparc_arch.h"
  85
  86 extern unsigned int OPENSSL_sparcv9cap_P[];
  87
  88 #  define SPARC_DES_CAPABLE       (OPENSSL_sparcv9cap_P[1] & CFR_DES)
  89
  90 void des_t4_key_expand(const void *key, DES_key_schedule *ks);
  91 void des_t4_ede3_cbc_encrypt(const void *inp, void *out, size_t len,
  92                              DES_key_schedule *ks, unsigned char iv[8]);
  93 void des_t4_ede3_cbc_decrypt(const void *inp, void *out, size_t len,
  94                              DES_key_schedule *ks, unsigned char iv[8]);
  95 # endif
  96
  97 static int des_ede_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
  98                             const unsigned char *iv, int enc);
  99
 100 static int des_ede3_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
 101                              const unsigned char *iv, int enc);
 102
 103 static int des3_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr);
 104
 105 # define data(ctx) ((DES_EDE_KEY *)(ctx)->cipher_data)
 106
 107 /*
 108  * Because of various casts and different args can't use
 109  * IMPLEMENT_BLOCK_CIPHER
 110  */
 111
 112 static int des_ede_ecb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 113                               const unsigned char *in, size_t inl)
 114 {
 115     BLOCK_CIPHER_ecb_loop()
 116         DES_ecb3_encrypt((const_DES_cblock *)(in + i),
 117                          (DES_cblock *)(out + i),
 118                          &data(ctx)->ks1, &data(ctx)->ks2,
 119                          &data(ctx)->ks3, ctx->encrypt);
 120     return 1;
 121 }
 122
 123 static int des_ede_ofb_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 124                               const unsigned char *in, size_t inl)
 125 {
 126     while (inl >= EVP_MAXCHUNK) {
 127         DES_ede3_ofb64_encrypt(in, out, (long)EVP_MAXCHUNK,
 128                                &data(ctx)->ks1, &data(ctx)->ks2,
 129                                &data(ctx)->ks3, (DES_cblock *)ctx->iv,
 130                                &ctx->num);
 131         inl -= EVP_MAXCHUNK;
 132         in += EVP_MAXCHUNK;
 133         out += EVP_MAXCHUNK;
 134     }
 135     if (inl)
 136         DES_ede3_ofb64_encrypt(in, out, (long)inl,
 137                                &data(ctx)->ks1, &data(ctx)->ks2,
 138                                &data(ctx)->ks3, (DES_cblock *)ctx->iv,
 139                                &ctx->num);
 140
 141     return 1;
 142 }
 143
 144 static int des_ede_cbc_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 145                               const unsigned char *in, size_t inl)
 146 {
 147     DES_EDE_KEY *dat = data(ctx);
 148
 149 # ifdef KSSL_DEBUG
 150     {
 151         int i;
 152         fprintf(stderr, "des_ede_cbc_cipher(ctx=%p, buflen=%d)\n", ctx,
 153                 ctx->buf_len);
 154         fprintf(stderr, "\t iv= ");
 155         for (i = 0; i < 8; i++)
 156             fprintf(stderr, "%02X", ctx->iv[i]);
 157         fprintf(stderr, "\n");
 158     }
 159 # endif                         /* KSSL_DEBUG */
 160     if (dat->stream.cbc) {
 161         (*dat->stream.cbc) (in, out, inl, &dat->ks, ctx->iv);
 162         return 1;
 163     }
 164
 165     while (inl >= EVP_MAXCHUNK) {
 166         DES_ede3_cbc_encrypt(in, out, (long)EVP_MAXCHUNK,
 167                              &dat->ks1, &dat->ks2, &dat->ks3,
 168                              (DES_cblock *)ctx->iv, ctx->encrypt);
 169         inl -= EVP_MAXCHUNK;
 170         in += EVP_MAXCHUNK;
 171         out += EVP_MAXCHUNK;
 172     }
 173     if (inl)
 174         DES_ede3_cbc_encrypt(in, out, (long)inl,
 175                              &dat->ks1, &dat->ks2, &dat->ks3,
 176                              (DES_cblock *)ctx->iv, ctx->encrypt);
 177     return 1;
 178 }
 179
 180 static int des_ede_cfb64_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 181                                 const unsigned char *in, size_t inl)
 182 {
 183     while (inl >= EVP_MAXCHUNK) {
 184         DES_ede3_cfb64_encrypt(in, out, (long)EVP_MAXCHUNK,
 185                                &data(ctx)->ks1, &data(ctx)->ks2,
 186                                &data(ctx)->ks3, (DES_cblock *)ctx->iv,
 187                                &ctx->num, ctx->encrypt);
 188         inl -= EVP_MAXCHUNK;
 189         in += EVP_MAXCHUNK;
 190         out += EVP_MAXCHUNK;
 191     }
 192     if (inl)
 193         DES_ede3_cfb64_encrypt(in, out, (long)inl,
 194                                &data(ctx)->ks1, &data(ctx)->ks2,
 195                                &data(ctx)->ks3, (DES_cblock *)ctx->iv,
 196                                &ctx->num, ctx->encrypt);
 197     return 1;
 198 }
 199
 200 /*
 201  * Although we have a CFB-r implementation for 3-DES, it doesn't pack the
 202  * right way, so wrap it here
 203  */
 204 static int des_ede3_cfb1_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 205                                 const unsigned char *in, size_t inl)
 206 {
 207     size_t n;
 208     unsigned char c[1], d[1];
 209
 210     for (n = 0; n < inl; ++n) {
 211         c[0] = (in[n / 8] & (1 << (7 - n % 8))) ? 0x80 : 0;
 212         DES_ede3_cfb_encrypt(c, d, 1, 1,
 213                              &data(ctx)->ks1, &data(ctx)->ks2,
 214                              &data(ctx)->ks3, (DES_cblock *)ctx->iv,
 215                              ctx->encrypt);
 216         out[n / 8] = (out[n / 8] & ~(0x80 >> (unsigned int)(n % 8)))
 217             | ((d[0] & 0x80) >> (unsigned int)(n % 8));
 218     }
 219
 220     return 1;
 221 }
 222
 223 static int des_ede3_cfb8_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 224                                 const unsigned char *in, size_t inl)
 225 {
 226     while (inl >= EVP_MAXCHUNK) {
 227         DES_ede3_cfb_encrypt(in, out, 8, (long)EVP_MAXCHUNK,
 228                              &data(ctx)->ks1, &data(ctx)->ks2,
 229                              &data(ctx)->ks3, (DES_cblock *)ctx->iv,
 230                              ctx->encrypt);
 231         inl -= EVP_MAXCHUNK;
 232         in += EVP_MAXCHUNK;
 233         out += EVP_MAXCHUNK;
 234     }
 235     if (inl)
 236         DES_ede3_cfb_encrypt(in, out, 8, (long)inl,
 237                              &data(ctx)->ks1, &data(ctx)->ks2,
 238                              &data(ctx)->ks3, (DES_cblock *)ctx->iv,
 239                              ctx->encrypt);
 240     return 1;
 241 }
 242
 243 BLOCK_CIPHER_defs(des_ede, DES_EDE_KEY, NID_des_ede, 8, 16, 8, 64,
 244                   EVP_CIPH_RAND_KEY | EVP_CIPH_FLAG_DEFAULT_ASN1,
 245                   des_ede_init_key, NULL, NULL, NULL, des3_ctrl)
 246 # define des_ede3_cfb64_cipher des_ede_cfb64_cipher
 247 # define des_ede3_ofb_cipher des_ede_ofb_cipher
 248 # define des_ede3_cbc_cipher des_ede_cbc_cipher
 249 # define des_ede3_ecb_cipher des_ede_ecb_cipher
 250     BLOCK_CIPHER_defs(des_ede3, DES_EDE_KEY, NID_des_ede3, 8, 24, 8, 64,
 251                   EVP_CIPH_RAND_KEY | EVP_CIPH_FLAG_DEFAULT_ASN1,
 252                   des_ede3_init_key, NULL, NULL, NULL, des3_ctrl)
 253
 254     BLOCK_CIPHER_def_cfb(des_ede3, DES_EDE_KEY, NID_des_ede3, 24, 8, 1,
 255                      EVP_CIPH_RAND_KEY | EVP_CIPH_FLAG_DEFAULT_ASN1,
 256                      des_ede3_init_key, NULL, NULL, NULL, des3_ctrl)
 257
 258     BLOCK_CIPHER_def_cfb(des_ede3, DES_EDE_KEY, NID_des_ede3, 24, 8, 8,
 259                      EVP_CIPH_RAND_KEY | EVP_CIPH_FLAG_DEFAULT_ASN1,
 260                      des_ede3_init_key, NULL, NULL, NULL, des3_ctrl)
 261
 262 static int des_ede_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
 263                             const unsigned char *iv, int enc)
 264 {
 265     DES_cblock *deskey = (DES_cblock *)key;
 266     DES_EDE_KEY *dat = data(ctx);
 267
 268     dat->stream.cbc = NULL;
 269 # if defined(SPARC_DES_CAPABLE)
 270     if (SPARC_DES_CAPABLE) {
 271         int mode = ctx->cipher->flags & EVP_CIPH_MODE;
 272
 273         if (mode == EVP_CIPH_CBC_MODE) {
 274             des_t4_key_expand(&deskey[0], &dat->ks1);
 275             des_t4_key_expand(&deskey[1], &dat->ks2);
 276             memcpy(&dat->ks3, &dat->ks1, sizeof(dat->ks1));
 277             dat->stream.cbc = enc ? des_t4_ede3_cbc_encrypt :
 278                 des_t4_ede3_cbc_decrypt;
 279             return 1;
 280         }
 281     }
 282 # endif
 283 # ifdef EVP_CHECK_DES_KEY
 284     if (DES_set_key_checked(&deskey[0], &dat->ks1)
 285         ! !DES_set_key_checked(&deskey[1], &dat->ks2))
 286         return 0;
 287 # else
 288     DES_set_key_unchecked(&deskey[0], &dat->ks1);
 289     DES_set_key_unchecked(&deskey[1], &dat->ks2);
 290 # endif
 291     memcpy(&dat->ks3, &dat->ks1, sizeof(dat->ks1));
 292     return 1;
 293 }
 294
 295 static int des_ede3_init_key(EVP_CIPHER_CTX *ctx, const unsigned char *key,
 296                              const unsigned char *iv, int enc)
 297 {
 298     DES_cblock *deskey = (DES_cblock *)key;
 299     DES_EDE_KEY *dat = data(ctx);
 300
 301 # ifdef KSSL_DEBUG
 302     {
 303         int i;
 304         fprintf(stderr, "des_ede3_init_key(ctx=%p)\n", ctx);
 305         fprintf(stderr, "\tKEY= ");
 306         for (i = 0; i < 24; i++)
 307             fprintf(stderr, "%02X", key[i]);
 308         fprintf(stderr, "\n");
 309         if (iv) {
 310             fprintf(stderr, "\t IV= ");
 311             for (i = 0; i < 8; i++)
 312                 fprintf(stderr, "%02X", iv[i]);
 313             fprintf(stderr, "\n");
 314         }
 315     }
 316 # endif                         /* KSSL_DEBUG */
 317
 318     dat->stream.cbc = NULL;
 319 # if defined(SPARC_DES_CAPABLE)
 320     if (SPARC_DES_CAPABLE) {
 321         int mode = ctx->cipher->flags & EVP_CIPH_MODE;
 322
 323         if (mode == EVP_CIPH_CBC_MODE) {
 324             des_t4_key_expand(&deskey[0], &dat->ks1);
 325             des_t4_key_expand(&deskey[1], &dat->ks2);
 326             des_t4_key_expand(&deskey[2], &dat->ks3);
 327             dat->stream.cbc = enc ? des_t4_ede3_cbc_encrypt :
 328                 des_t4_ede3_cbc_decrypt;
 329             return 1;
 330         }
 331     }
 332 # endif
 333 # ifdef EVP_CHECK_DES_KEY
 334     if (DES_set_key_checked(&deskey[0], &dat->ks1)
 335         || DES_set_key_checked(&deskey[1], &dat->ks2)
 336         || DES_set_key_checked(&deskey[2], &dat->ks3))
 337         return 0;
 338 # else
 339     DES_set_key_unchecked(&deskey[0], &dat->ks1);
 340     DES_set_key_unchecked(&deskey[1], &dat->ks2);
 341     DES_set_key_unchecked(&deskey[2], &dat->ks3);
 342 # endif
 343     return 1;
 344 }
 345
 346 static int des3_ctrl(EVP_CIPHER_CTX *c, int type, int arg, void *ptr)
 347 {
 348
 349     DES_cblock *deskey = ptr;
 350
 351     switch (type) {
 352     case EVP_CTRL_RAND_KEY:
 353         if (RAND_bytes(ptr, c->key_len) <= 0)
 354             return 0;
 355         DES_set_odd_parity(deskey);
 356         if (c->key_len >= 16)
 357             DES_set_odd_parity(deskey + 1);
 358         if (c->key_len >= 24)
 359             DES_set_odd_parity(deskey + 2);
 360         return 1;
 361
 362     default:
 363         return -1;
 364     }
 365 }
 366
 367 const EVP_CIPHER *EVP_des_ede(void)
 368 {
 369     return &des_ede_ecb;
 370 }
 371
 372 const EVP_CIPHER *EVP_des_ede3(void)
 373 {
 374     return &des_ede3_ecb;
 375 }
 376
 377 # ifndef OPENSSL_NO_SHA
 378
 379 #  include <openssl/sha.h>
 380
 381 static const unsigned char wrap_iv[8] =
 382     { 0x4a, 0xdd, 0xa2, 0x2c, 0x79, 0xe8, 0x21, 0x05 };
 383
 384 static int des_ede3_unwrap(EVP_CIPHER_CTX *ctx, unsigned char *out,
 385                            const unsigned char *in, size_t inl)
 386 {
 387     unsigned char icv[8], iv[8], sha1tmp[SHA_DIGEST_LENGTH];
 388     int rv = -1;
 389     if (inl < 24)
 390         return -1;
 391     if (!out)
 392         return inl - 16;
 393     memcpy(ctx->iv, wrap_iv, 8);
 394     /* Decrypt first block which will end up as icv */
 395     des_ede_cbc_cipher(ctx, icv, in, 8);
 396     /* Decrypt central blocks */
 397     /*
 398      * If decrypting in place move whole output along a block so the next
 399      * des_ede_cbc_cipher is in place.
 400      */
 401     if (out == in) {
 402         memmove(out, out + 8, inl - 8);
 403         in -= 8;
 404     }
 405     des_ede_cbc_cipher(ctx, out, in + 8, inl - 16);
 406     /* Decrypt final block which will be IV */
 407     des_ede_cbc_cipher(ctx, iv, in + inl - 8, 8);
 408     /* Reverse order of everything */
 409     BUF_reverse(icv, NULL, 8);
 410     BUF_reverse(out, NULL, inl - 16);
 411     BUF_reverse(ctx->iv, iv, 8);
 412     /* Decrypt again using new IV */
 413     des_ede_cbc_cipher(ctx, out, out, inl - 16);
 414     des_ede_cbc_cipher(ctx, icv, icv, 8);
 415     /* Work out SHA1 hash of first portion */
 416     SHA1(out, inl - 16, sha1tmp);
 417
 418     if (!CRYPTO_memcmp(sha1tmp, icv, 8))
 419         rv = inl - 16;
 420     OPENSSL_cleanse(icv, 8);
 421     OPENSSL_cleanse(sha1tmp, SHA_DIGEST_LENGTH);
 422     OPENSSL_cleanse(iv, 8);
 423     OPENSSL_cleanse(ctx->iv, 8);
 424     if (rv == -1)
 425         OPENSSL_cleanse(out, inl - 16);
 426
 427     return rv;
 428 }
 429
 430 static int des_ede3_wrap(EVP_CIPHER_CTX *ctx, unsigned char *out,
 431                          const unsigned char *in, size_t inl)
 432 {
 433     unsigned char sha1tmp[SHA_DIGEST_LENGTH];
 434     if (!out)
 435         return inl + 16;
 436     /* Copy input to output buffer + 8 so we have space for IV */
 437     memmove(out + 8, in, inl);
 438     /* Work out ICV */
 439     SHA1(in, inl, sha1tmp);
 440     memcpy(out + inl + 8, sha1tmp, 8);
 441     OPENSSL_cleanse(sha1tmp, SHA_DIGEST_LENGTH);
 442     /* Generate random IV */
 443     RAND_bytes(ctx->iv, 8);
 444     memcpy(out, ctx->iv, 8);
 445     /* Encrypt everything after IV in place */
 446     des_ede_cbc_cipher(ctx, out + 8, out + 8, inl + 8);
 447     BUF_reverse(out, NULL, inl + 16);
 448     memcpy(ctx->iv, wrap_iv, 8);
 449     des_ede_cbc_cipher(ctx, out, out, inl + 16);
 450     return inl + 16;
 451 }
 452
 453 static int des_ede3_wrap_cipher(EVP_CIPHER_CTX *ctx, unsigned char *out,
 454                                 const unsigned char *in, size_t inl)
 455 {
 456     /*
 457      * Sanity check input length: we typically only wrap keys so EVP_MAXCHUNK
 458      * is more than will ever be needed. Also input length must be a multiple
 459      * of 8 bits.
 460      */
 461     if (inl >= EVP_MAXCHUNK || inl % 8)
 462         return -1;
 463     if (ctx->encrypt)
 464         return des_ede3_wrap(ctx, out, in, inl);
 465     else
 466         return des_ede3_unwrap(ctx, out, in, inl);
 467 }
 468
 469 static const EVP_CIPHER des3_wrap = {
 470     NID_id_smime_alg_CMS3DESwrap,
 471     8, 24, 0,
 472     EVP_CIPH_WRAP_MODE | EVP_CIPH_CUSTOM_IV | EVP_CIPH_FLAG_CUSTOM_CIPHER
 473         | EVP_CIPH_FLAG_DEFAULT_ASN1,
 474     des_ede3_init_key, des_ede3_wrap_cipher,
 475     NULL,
 476     sizeof(DES_EDE_KEY),
 477     NULL, NULL, NULL, NULL
 478 };
 479
 480 const EVP_CIPHER *EVP_des_ede3_wrap(void)
 481 {
 482     return &des3_wrap;
 483 }
 484
 485 # endif
 486 #endif