PBKDF2 updates to conform to SP800-132
[openssl.git] / crypto / kdf / pbkdf2.c
1 /*
2  * Copyright 2018-2019 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the Apache License 2.0 (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 #include <stdlib.h>
11 #include <stdarg.h>
12 #include <string.h>
13 #include <openssl/hmac.h>
14 #include <openssl/evp.h>
15 #include <openssl/kdf.h>
16 #include "internal/cryptlib.h"
17 #include "internal/evp_int.h"
18 #include "kdf_local.h"
19
20 /* Constants specified in SP800-132 */
21 #define KDF_PBKDF2_MIN_KEY_LEN_BITS  112
22 #define KDF_PBKDF2_MAX_KEY_LEN_DIGEST_RATIO 0xFFFFFFFF
23 #define KDF_PBKDF2_MIN_ITERATIONS 1000
24 #define KDF_PBKDF2_MIN_SALT_LEN   (128 / 8)
25 /*
26  * For backwards compatibility reasons,
27  * Extra checks are done by default in fips mode only.
28  */
29 #ifdef FIPS_MODE
30 # define KDF_PBKDF2_DEFAULT_CHECKS 1
31 #else
32 # define KDF_PBKDF2_DEFAULT_CHECKS 0
33 #endif /* FIPS_MODE */
34
35 static void kdf_pbkdf2_reset(EVP_KDF_IMPL *impl);
36 static void kdf_pbkdf2_init(EVP_KDF_IMPL *impl);
37 static int  pbkdf2_derive(const char *pass, size_t passlen,
38                           const unsigned char *salt, int saltlen, int iter,
39                           const EVP_MD *digest, unsigned char *key,
40                           size_t keylen, int extra_checks);
41
42 struct evp_kdf_impl_st {
43     unsigned char *pass;
44     size_t pass_len;
45     unsigned char *salt;
46     size_t salt_len;
47     int iter;
48     const EVP_MD *md;
49     int lower_bound_checks;
50 };
51
52 static EVP_KDF_IMPL *kdf_pbkdf2_new(void)
53 {
54     EVP_KDF_IMPL *impl;
55
56     impl = OPENSSL_zalloc(sizeof(*impl));
57     if (impl == NULL) {
58         KDFerr(KDF_F_KDF_PBKDF2_NEW, ERR_R_MALLOC_FAILURE);
59         return NULL;
60     }
61     kdf_pbkdf2_init(impl);
62     return impl;
63 }
64
65 static void kdf_pbkdf2_free(EVP_KDF_IMPL *impl)
66 {
67     kdf_pbkdf2_reset(impl);
68     OPENSSL_free(impl);
69 }
70
71 static void kdf_pbkdf2_reset(EVP_KDF_IMPL *impl)
72 {
73     OPENSSL_free(impl->salt);
74     OPENSSL_clear_free(impl->pass, impl->pass_len);
75     memset(impl, 0, sizeof(*impl));
76     kdf_pbkdf2_init(impl);
77 }
78
79 static void kdf_pbkdf2_init(EVP_KDF_IMPL *impl)
80 {
81     impl->iter = PKCS5_DEFAULT_ITER;
82     impl->md = EVP_sha1();
83     impl->lower_bound_checks = KDF_PBKDF2_DEFAULT_CHECKS;
84 }
85
86 static int pbkdf2_set_membuf(unsigned char **buffer, size_t *buflen,
87                              const unsigned char *new_buffer,
88                              size_t new_buflen)
89 {
90     if (new_buffer == NULL)
91         return 1;
92
93     OPENSSL_clear_free(*buffer, *buflen);
94
95     if (new_buflen > 0) {
96         *buffer = OPENSSL_memdup(new_buffer, new_buflen);
97     } else {
98         *buffer = OPENSSL_malloc(1);
99     }
100     if (*buffer == NULL) {
101         KDFerr(KDF_F_PBKDF2_SET_MEMBUF, ERR_R_MALLOC_FAILURE);
102         return 0;
103     }
104
105     *buflen = new_buflen;
106     return 1;
107 }
108
109 static int kdf_pbkdf2_ctrl(EVP_KDF_IMPL *impl, int cmd, va_list args)
110 {
111     int iter, pkcs5, min_iter;
112     const unsigned char *p;
113     size_t len;
114     const EVP_MD *md;
115
116     switch (cmd) {
117     case EVP_KDF_CTRL_SET_PBKDF2_PKCS5_MODE:
118         pkcs5 = va_arg(args, int);
119         impl->lower_bound_checks = (pkcs5 == 0) ? 1 : 0;
120         return 1;
121     case EVP_KDF_CTRL_SET_PASS:
122         p = va_arg(args, const unsigned char *);
123         len = va_arg(args, size_t);
124         return pbkdf2_set_membuf(&impl->pass, &impl->pass_len, p, len);
125
126     case EVP_KDF_CTRL_SET_SALT:
127         p = va_arg(args, const unsigned char *);
128         len = va_arg(args, size_t);
129         if (impl->lower_bound_checks != 0 && len < KDF_PBKDF2_MIN_SALT_LEN) {
130             KDFerr(KDF_F_KDF_PBKDF2_CTRL, KDF_R_INVALID_SALT_LEN);
131             return 0;
132         }
133         return pbkdf2_set_membuf(&impl->salt, &impl->salt_len, p, len);
134
135     case EVP_KDF_CTRL_SET_ITER:
136         iter = va_arg(args, int);
137         min_iter = impl->lower_bound_checks != 0 ? KDF_PBKDF2_MIN_ITERATIONS : 1;
138         if (iter < min_iter) {
139             KDFerr(KDF_F_KDF_PBKDF2_CTRL, KDF_R_INVALID_ITERATION_COUNT);
140             return 0;
141         }
142         impl->iter = iter;
143         return 1;
144
145     case EVP_KDF_CTRL_SET_MD:
146         md = va_arg(args, const EVP_MD *);
147         if (md == NULL) {
148             KDFerr(KDF_F_KDF_PBKDF2_CTRL, KDF_R_VALUE_MISSING);
149             return 0;
150         }
151
152         impl->md = md;
153         return 1;
154
155     default:
156         return -2;
157     }
158 }
159
160 static int kdf_pbkdf2_ctrl_str(EVP_KDF_IMPL *impl, const char *type,
161                                const char *value)
162 {
163     if (value == NULL) {
164         KDFerr(KDF_F_KDF_PBKDF2_CTRL_STR, KDF_R_VALUE_MISSING);
165         return 0;
166     }
167
168     if (strcmp(type, "pass") == 0)
169         return kdf_str2ctrl(impl, kdf_pbkdf2_ctrl, EVP_KDF_CTRL_SET_PASS,
170                             value);
171
172     if (strcmp(type, "hexpass") == 0)
173         return kdf_hex2ctrl(impl, kdf_pbkdf2_ctrl, EVP_KDF_CTRL_SET_PASS,
174                             value);
175
176     if (strcmp(type, "salt") == 0)
177         return kdf_str2ctrl(impl, kdf_pbkdf2_ctrl, EVP_KDF_CTRL_SET_SALT,
178                             value);
179
180     if (strcmp(type, "hexsalt") == 0)
181         return kdf_hex2ctrl(impl, kdf_pbkdf2_ctrl, EVP_KDF_CTRL_SET_SALT,
182                             value);
183
184     if (strcmp(type, "iter") == 0)
185         return call_ctrl(kdf_pbkdf2_ctrl, impl, EVP_KDF_CTRL_SET_ITER,
186                          atoi(value));
187
188     if (strcmp(type, "digest") == 0)
189         return kdf_md2ctrl(impl, kdf_pbkdf2_ctrl, EVP_KDF_CTRL_SET_MD, value);
190
191     if (strcmp(type, "pkcs5") == 0)
192         return kdf_str2ctrl(impl, kdf_pbkdf2_ctrl,
193                             EVP_KDF_CTRL_SET_PBKDF2_PKCS5_MODE, value);
194     return -2;
195 }
196
197 static int kdf_pbkdf2_derive(EVP_KDF_IMPL *impl, unsigned char *key,
198                              size_t keylen)
199 {
200     if (impl->pass == NULL) {
201         KDFerr(KDF_F_KDF_PBKDF2_DERIVE, KDF_R_MISSING_PASS);
202         return 0;
203     }
204
205     if (impl->salt == NULL) {
206         KDFerr(KDF_F_KDF_PBKDF2_DERIVE, KDF_R_MISSING_SALT);
207         return 0;
208     }
209
210     return pbkdf2_derive((char *)impl->pass, impl->pass_len,
211                          impl->salt, impl->salt_len, impl->iter,
212                          impl->md, key, keylen, impl->lower_bound_checks);
213 }
214
215 const EVP_KDF pbkdf2_kdf_meth = {
216     EVP_KDF_PBKDF2,
217     kdf_pbkdf2_new,
218     kdf_pbkdf2_free,
219     kdf_pbkdf2_reset,
220     kdf_pbkdf2_ctrl,
221     kdf_pbkdf2_ctrl_str,
222     NULL,
223     kdf_pbkdf2_derive
224 };
225
226 /*
227  * This is an implementation of PKCS#5 v2.0 password based encryption key
228  * derivation function PBKDF2. SHA1 version verified against test vectors
229  * posted by Peter Gutmann to the PKCS-TNG mailing list.
230  *
231  * The constraints specified by SP800-132 have been added i.e.
232  *  - Check the range of the key length.
233  *  - Minimum iteration count of 1000.
234  *  - Randomly-generated portion of the salt shall be at least 128 bits.
235  */
236 static int pbkdf2_derive(const char *pass, size_t passlen,
237                          const unsigned char *salt, int saltlen, int iter,
238                          const EVP_MD *digest, unsigned char *key,
239                          size_t keylen, int lower_bound_checks)
240 {
241     int ret = 0;
242     unsigned char digtmp[EVP_MAX_MD_SIZE], *p, itmp[4];
243     int cplen, j, k, tkeylen, mdlen;
244     unsigned long i = 1;
245     HMAC_CTX *hctx_tpl = NULL, *hctx = NULL;
246
247     mdlen = EVP_MD_size(digest);
248     if (mdlen <= 0)
249         return 0;
250
251     /*
252      * This check should always be done because keylen / mdlen >= (2^32 - 1)
253      * results in an overflow of the loop counter 'i'.
254      */
255     if ((keylen / mdlen) >= KDF_PBKDF2_MAX_KEY_LEN_DIGEST_RATIO) {
256         KDFerr(KDF_F_PBKDF2_DERIVE, KDF_R_INVALID_KEY_LEN);
257         return 0;
258     }
259
260     if (lower_bound_checks) {
261          if ((keylen * 8) < KDF_PBKDF2_MIN_KEY_LEN_BITS) {
262              KDFerr(KDF_F_PBKDF2_DERIVE, KDF_R_INVALID_KEY_LEN);
263              return 0;
264          }
265          if (saltlen < KDF_PBKDF2_MIN_SALT_LEN) {
266              KDFerr(KDF_F_PBKDF2_DERIVE, KDF_R_INVALID_SALT_LEN);
267             return 0;
268          }
269          if (iter < KDF_PBKDF2_MIN_ITERATIONS) {
270              KDFerr(KDF_F_PBKDF2_DERIVE, KDF_R_INVALID_ITERATION_COUNT);
271              return 0;
272          }
273     }
274
275     hctx_tpl = HMAC_CTX_new();
276     if (hctx_tpl == NULL)
277         return 0;
278     p = key;
279     tkeylen = keylen;
280     if (!HMAC_Init_ex(hctx_tpl, pass, passlen, digest, NULL))
281         goto err;
282     hctx = HMAC_CTX_new();
283     if (hctx == NULL)
284         goto err;
285     while (tkeylen) {
286         if (tkeylen > mdlen)
287             cplen = mdlen;
288         else
289             cplen = tkeylen;
290         /*
291          * We are unlikely to ever use more than 256 blocks (5120 bits!) but
292          * just in case...
293          */
294         itmp[0] = (unsigned char)((i >> 24) & 0xff);
295         itmp[1] = (unsigned char)((i >> 16) & 0xff);
296         itmp[2] = (unsigned char)((i >> 8) & 0xff);
297         itmp[3] = (unsigned char)(i & 0xff);
298         if (!HMAC_CTX_copy(hctx, hctx_tpl))
299             goto err;
300         if (!HMAC_Update(hctx, salt, saltlen)
301                 || !HMAC_Update(hctx, itmp, 4)
302                 || !HMAC_Final(hctx, digtmp, NULL))
303             goto err;
304         memcpy(p, digtmp, cplen);
305         for (j = 1; j < iter; j++) {
306             if (!HMAC_CTX_copy(hctx, hctx_tpl))
307                 goto err;
308             if (!HMAC_Update(hctx, digtmp, mdlen)
309                     || !HMAC_Final(hctx, digtmp, NULL))
310                 goto err;
311             for (k = 0; k < cplen; k++)
312                 p[k] ^= digtmp[k];
313         }
314         tkeylen -= cplen;
315         i++;
316         p += cplen;
317     }
318     ret = 1;
319
320 err:
321     HMAC_CTX_free(hctx);
322     HMAC_CTX_free(hctx_tpl);
323     return ret;
324 }