6f4c1048588da9b388fd995c4fd47709b690cf0f
[openssl.git] / crypto / rsa / rsa_ameth.c
1 /* crypto/rsa/rsa_ameth.c */
2 /*
3  * Written by Dr Stephen N Henson (steve@openssl.org) for the OpenSSL project
4  * 2006.
5  */
6 /* ====================================================================
7  * Copyright (c) 2006 The OpenSSL Project.  All rights reserved.
8  *
9  * Redistribution and use in source and binary forms, with or without
10  * modification, are permitted provided that the following conditions
11  * are met:
12  *
13  * 1. Redistributions of source code must retain the above copyright
14  *    notice, this list of conditions and the following disclaimer.
15  *
16  * 2. Redistributions in binary form must reproduce the above copyright
17  *    notice, this list of conditions and the following disclaimer in
18  *    the documentation and/or other materials provided with the
19  *    distribution.
20  *
21  * 3. All advertising materials mentioning features or use of this
22  *    software must display the following acknowledgment:
23  *    "This product includes software developed by the OpenSSL Project
24  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
25  *
26  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
27  *    endorse or promote products derived from this software without
28  *    prior written permission. For written permission, please contact
29  *    licensing@OpenSSL.org.
30  *
31  * 5. Products derived from this software may not be called "OpenSSL"
32  *    nor may "OpenSSL" appear in their names without prior written
33  *    permission of the OpenSSL Project.
34  *
35  * 6. Redistributions of any form whatsoever must retain the following
36  *    acknowledgment:
37  *    "This product includes software developed by the OpenSSL Project
38  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
39  *
40  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
41  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
43  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
44  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
45  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
46  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
47  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
49  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
50  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
51  * OF THE POSSIBILITY OF SUCH DAMAGE.
52  * ====================================================================
53  *
54  * This product includes cryptographic software written by Eric Young
55  * (eay@cryptsoft.com).  This product includes software written by Tim
56  * Hudson (tjh@cryptsoft.com).
57  *
58  */
59
60 #include <stdio.h>
61 #include "cryptlib.h"
62 #include <openssl/asn1t.h>
63 #include <openssl/x509.h>
64 #include <openssl/rsa.h>
65 #include <openssl/bn.h>
66 #ifndef OPENSSL_NO_CMS
67 # include <openssl/cms.h>
68 #endif
69 #include "asn1_locl.h"
70
71 static int rsa_cms_sign(CMS_SignerInfo *si);
72 static int rsa_cms_verify(CMS_SignerInfo *si);
73 static int rsa_cms_decrypt(CMS_RecipientInfo *ri);
74 static int rsa_cms_encrypt(CMS_RecipientInfo *ri);
75
76 static int rsa_pub_encode(X509_PUBKEY *pk, const EVP_PKEY *pkey)
77 {
78     unsigned char *penc = NULL;
79     int penclen;
80     penclen = i2d_RSAPublicKey(pkey->pkey.rsa, &penc);
81     if (penclen <= 0)
82         return 0;
83     if (X509_PUBKEY_set0_param(pk, OBJ_nid2obj(EVP_PKEY_RSA),
84                                V_ASN1_NULL, NULL, penc, penclen))
85         return 1;
86
87     OPENSSL_free(penc);
88     return 0;
89 }
90
91 static int rsa_pub_decode(EVP_PKEY *pkey, X509_PUBKEY *pubkey)
92 {
93     const unsigned char *p;
94     int pklen;
95     RSA *rsa = NULL;
96     if (!X509_PUBKEY_get0_param(NULL, &p, &pklen, NULL, pubkey))
97         return 0;
98     if (!(rsa = d2i_RSAPublicKey(NULL, &p, pklen))) {
99         RSAerr(RSA_F_RSA_PUB_DECODE, ERR_R_RSA_LIB);
100         return 0;
101     }
102     EVP_PKEY_assign_RSA(pkey, rsa);
103     return 1;
104 }
105
106 static int rsa_pub_cmp(const EVP_PKEY *a, const EVP_PKEY *b)
107 {
108     if (BN_cmp(b->pkey.rsa->n, a->pkey.rsa->n) != 0
109         || BN_cmp(b->pkey.rsa->e, a->pkey.rsa->e) != 0)
110         return 0;
111     return 1;
112 }
113
114 static int old_rsa_priv_decode(EVP_PKEY *pkey,
115                                const unsigned char **pder, int derlen)
116 {
117     RSA *rsa;
118     if (!(rsa = d2i_RSAPrivateKey(NULL, pder, derlen))) {
119         RSAerr(RSA_F_OLD_RSA_PRIV_DECODE, ERR_R_RSA_LIB);
120         return 0;
121     }
122     EVP_PKEY_assign_RSA(pkey, rsa);
123     return 1;
124 }
125
126 static int old_rsa_priv_encode(const EVP_PKEY *pkey, unsigned char **pder)
127 {
128     return i2d_RSAPrivateKey(pkey->pkey.rsa, pder);
129 }
130
131 static int rsa_priv_encode(PKCS8_PRIV_KEY_INFO *p8, const EVP_PKEY *pkey)
132 {
133     unsigned char *rk = NULL;
134     int rklen;
135     rklen = i2d_RSAPrivateKey(pkey->pkey.rsa, &rk);
136
137     if (rklen <= 0) {
138         RSAerr(RSA_F_RSA_PRIV_ENCODE, ERR_R_MALLOC_FAILURE);
139         return 0;
140     }
141
142     if (!PKCS8_pkey_set0(p8, OBJ_nid2obj(NID_rsaEncryption), 0,
143                          V_ASN1_NULL, NULL, rk, rklen)) {
144         RSAerr(RSA_F_RSA_PRIV_ENCODE, ERR_R_MALLOC_FAILURE);
145         return 0;
146     }
147
148     return 1;
149 }
150
151 static int rsa_priv_decode(EVP_PKEY *pkey, PKCS8_PRIV_KEY_INFO *p8)
152 {
153     const unsigned char *p;
154     int pklen;
155     if (!PKCS8_pkey_get0(NULL, &p, &pklen, NULL, p8))
156         return 0;
157     return old_rsa_priv_decode(pkey, &p, pklen);
158 }
159
160 static int int_rsa_size(const EVP_PKEY *pkey)
161 {
162     return RSA_size(pkey->pkey.rsa);
163 }
164
165 static int rsa_bits(const EVP_PKEY *pkey)
166 {
167     return BN_num_bits(pkey->pkey.rsa->n);
168 }
169
170 static int rsa_security_bits(const EVP_PKEY *pkey)
171 {
172     return RSA_security_bits(pkey->pkey.rsa);
173 }
174
175 static void int_rsa_free(EVP_PKEY *pkey)
176 {
177     RSA_free(pkey->pkey.rsa);
178 }
179
180 static void update_buflen(const BIGNUM *b, size_t *pbuflen)
181 {
182     size_t i;
183     if (!b)
184         return;
185     if (*pbuflen < (i = (size_t)BN_num_bytes(b)))
186         *pbuflen = i;
187 }
188
189 static int do_rsa_print(BIO *bp, const RSA *x, int off, int priv)
190 {
191     char *str;
192     const char *s;
193     unsigned char *m = NULL;
194     int ret = 0, mod_len = 0;
195     size_t buf_len = 0;
196
197     update_buflen(x->n, &buf_len);
198     update_buflen(x->e, &buf_len);
199
200     if (priv) {
201         update_buflen(x->d, &buf_len);
202         update_buflen(x->p, &buf_len);
203         update_buflen(x->q, &buf_len);
204         update_buflen(x->dmp1, &buf_len);
205         update_buflen(x->dmq1, &buf_len);
206         update_buflen(x->iqmp, &buf_len);
207     }
208
209     m = (unsigned char *)OPENSSL_malloc(buf_len + 10);
210     if (m == NULL) {
211         RSAerr(RSA_F_DO_RSA_PRINT, ERR_R_MALLOC_FAILURE);
212         goto err;
213     }
214
215     if (x->n != NULL)
216         mod_len = BN_num_bits(x->n);
217
218     if (!BIO_indent(bp, off, 128))
219         goto err;
220
221     if (priv && x->d) {
222         if (BIO_printf(bp, "Private-Key: (%d bit)\n", mod_len)
223             <= 0)
224             goto err;
225         str = "modulus:";
226         s = "publicExponent:";
227     } else {
228         if (BIO_printf(bp, "Public-Key: (%d bit)\n", mod_len)
229             <= 0)
230             goto err;
231         str = "Modulus:";
232         s = "Exponent:";
233     }
234     if (!ASN1_bn_print(bp, str, x->n, m, off))
235         goto err;
236     if (!ASN1_bn_print(bp, s, x->e, m, off))
237         goto err;
238     if (priv) {
239         if (!ASN1_bn_print(bp, "privateExponent:", x->d, m, off))
240             goto err;
241         if (!ASN1_bn_print(bp, "prime1:", x->p, m, off))
242             goto err;
243         if (!ASN1_bn_print(bp, "prime2:", x->q, m, off))
244             goto err;
245         if (!ASN1_bn_print(bp, "exponent1:", x->dmp1, m, off))
246             goto err;
247         if (!ASN1_bn_print(bp, "exponent2:", x->dmq1, m, off))
248             goto err;
249         if (!ASN1_bn_print(bp, "coefficient:", x->iqmp, m, off))
250             goto err;
251     }
252     ret = 1;
253  err:
254     if (m != NULL)
255         OPENSSL_free(m);
256     return (ret);
257 }
258
259 static int rsa_pub_print(BIO *bp, const EVP_PKEY *pkey, int indent,
260                          ASN1_PCTX *ctx)
261 {
262     return do_rsa_print(bp, pkey->pkey.rsa, indent, 0);
263 }
264
265 static int rsa_priv_print(BIO *bp, const EVP_PKEY *pkey, int indent,
266                           ASN1_PCTX *ctx)
267 {
268     return do_rsa_print(bp, pkey->pkey.rsa, indent, 1);
269 }
270
271 /* Given an MGF1 Algorithm ID decode to an Algorithm Identifier */
272 static X509_ALGOR *rsa_mgf1_decode(X509_ALGOR *alg)
273 {
274     const unsigned char *p;
275     int plen;
276     if (alg == NULL)
277         return NULL;
278     if (OBJ_obj2nid(alg->algorithm) != NID_mgf1)
279         return NULL;
280     if (alg->parameter->type != V_ASN1_SEQUENCE)
281         return NULL;
282
283     p = alg->parameter->value.sequence->data;
284     plen = alg->parameter->value.sequence->length;
285     return d2i_X509_ALGOR(NULL, &p, plen);
286 }
287
288 static RSA_PSS_PARAMS *rsa_pss_decode(const X509_ALGOR *alg,
289                                       X509_ALGOR **pmaskHash)
290 {
291     const unsigned char *p;
292     int plen;
293     RSA_PSS_PARAMS *pss;
294
295     *pmaskHash = NULL;
296
297     if (!alg->parameter || alg->parameter->type != V_ASN1_SEQUENCE)
298         return NULL;
299     p = alg->parameter->value.sequence->data;
300     plen = alg->parameter->value.sequence->length;
301     pss = d2i_RSA_PSS_PARAMS(NULL, &p, plen);
302
303     if (!pss)
304         return NULL;
305
306     *pmaskHash = rsa_mgf1_decode(pss->maskGenAlgorithm);
307
308     return pss;
309 }
310
311 static int rsa_pss_param_print(BIO *bp, RSA_PSS_PARAMS *pss,
312                                X509_ALGOR *maskHash, int indent)
313 {
314     int rv = 0;
315     if (!pss) {
316         if (BIO_puts(bp, " (INVALID PSS PARAMETERS)\n") <= 0)
317             return 0;
318         return 1;
319     }
320     if (BIO_puts(bp, "\n") <= 0)
321         goto err;
322     if (!BIO_indent(bp, indent, 128))
323         goto err;
324     if (BIO_puts(bp, "Hash Algorithm: ") <= 0)
325         goto err;
326
327     if (pss->hashAlgorithm) {
328         if (i2a_ASN1_OBJECT(bp, pss->hashAlgorithm->algorithm) <= 0)
329             goto err;
330     } else if (BIO_puts(bp, "sha1 (default)") <= 0)
331         goto err;
332
333     if (BIO_puts(bp, "\n") <= 0)
334         goto err;
335
336     if (!BIO_indent(bp, indent, 128))
337         goto err;
338
339     if (BIO_puts(bp, "Mask Algorithm: ") <= 0)
340         goto err;
341     if (pss->maskGenAlgorithm) {
342         if (i2a_ASN1_OBJECT(bp, pss->maskGenAlgorithm->algorithm) <= 0)
343             goto err;
344         if (BIO_puts(bp, " with ") <= 0)
345             goto err;
346         if (maskHash) {
347             if (i2a_ASN1_OBJECT(bp, maskHash->algorithm) <= 0)
348                 goto err;
349         } else if (BIO_puts(bp, "INVALID") <= 0)
350             goto err;
351     } else if (BIO_puts(bp, "mgf1 with sha1 (default)") <= 0)
352         goto err;
353     BIO_puts(bp, "\n");
354
355     if (!BIO_indent(bp, indent, 128))
356         goto err;
357     if (BIO_puts(bp, "Salt Length: 0x") <= 0)
358         goto err;
359     if (pss->saltLength) {
360         if (i2a_ASN1_INTEGER(bp, pss->saltLength) <= 0)
361             goto err;
362     } else if (BIO_puts(bp, "14 (default)") <= 0)
363         goto err;
364     BIO_puts(bp, "\n");
365
366     if (!BIO_indent(bp, indent, 128))
367         goto err;
368     if (BIO_puts(bp, "Trailer Field: 0x") <= 0)
369         goto err;
370     if (pss->trailerField) {
371         if (i2a_ASN1_INTEGER(bp, pss->trailerField) <= 0)
372             goto err;
373     } else if (BIO_puts(bp, "BC (default)") <= 0)
374         goto err;
375     BIO_puts(bp, "\n");
376
377     rv = 1;
378
379  err:
380     return rv;
381
382 }
383
384 static int rsa_sig_print(BIO *bp, const X509_ALGOR *sigalg,
385                          const ASN1_STRING *sig, int indent, ASN1_PCTX *pctx)
386 {
387     if (OBJ_obj2nid(sigalg->algorithm) == NID_rsassaPss) {
388         int rv;
389         RSA_PSS_PARAMS *pss;
390         X509_ALGOR *maskHash;
391         pss = rsa_pss_decode(sigalg, &maskHash);
392         rv = rsa_pss_param_print(bp, pss, maskHash, indent);
393         if (pss)
394             RSA_PSS_PARAMS_free(pss);
395         if (maskHash)
396             X509_ALGOR_free(maskHash);
397         if (!rv)
398             return 0;
399     } else if (!sig && BIO_puts(bp, "\n") <= 0)
400         return 0;
401     if (sig)
402         return X509_signature_dump(bp, sig, indent);
403     return 1;
404 }
405
406 static int rsa_pkey_ctrl(EVP_PKEY *pkey, int op, long arg1, void *arg2)
407 {
408     X509_ALGOR *alg = NULL;
409     switch (op) {
410
411     case ASN1_PKEY_CTRL_PKCS7_SIGN:
412         if (arg1 == 0)
413             PKCS7_SIGNER_INFO_get0_algs(arg2, NULL, NULL, &alg);
414         break;
415
416     case ASN1_PKEY_CTRL_PKCS7_ENCRYPT:
417         if (arg1 == 0)
418             PKCS7_RECIP_INFO_get0_alg(arg2, &alg);
419         break;
420 #ifndef OPENSSL_NO_CMS
421     case ASN1_PKEY_CTRL_CMS_SIGN:
422         if (arg1 == 0)
423             return rsa_cms_sign(arg2);
424         else if (arg1 == 1)
425             return rsa_cms_verify(arg2);
426         break;
427
428     case ASN1_PKEY_CTRL_CMS_ENVELOPE:
429         if (arg1 == 0)
430             return rsa_cms_encrypt(arg2);
431         else if (arg1 == 1)
432             return rsa_cms_decrypt(arg2);
433         break;
434
435     case ASN1_PKEY_CTRL_CMS_RI_TYPE:
436         *(int *)arg2 = CMS_RECIPINFO_TRANS;
437         return 1;
438 #endif
439
440     case ASN1_PKEY_CTRL_DEFAULT_MD_NID:
441         *(int *)arg2 = NID_sha256;
442         return 1;
443
444     default:
445         return -2;
446
447     }
448
449     if (alg)
450         X509_ALGOR_set0(alg, OBJ_nid2obj(NID_rsaEncryption), V_ASN1_NULL, 0);
451
452     return 1;
453
454 }
455
456 /* allocate and set algorithm ID from EVP_MD, default SHA1 */
457 static int rsa_md_to_algor(X509_ALGOR **palg, const EVP_MD *md)
458 {
459     if (EVP_MD_type(md) == NID_sha1)
460         return 1;
461     *palg = X509_ALGOR_new();
462     if (!*palg)
463         return 0;
464     X509_ALGOR_set_md(*palg, md);
465     return 1;
466 }
467
468 /* Allocate and set MGF1 algorithm ID from EVP_MD */
469 static int rsa_md_to_mgf1(X509_ALGOR **palg, const EVP_MD *mgf1md)
470 {
471     X509_ALGOR *algtmp = NULL;
472     ASN1_STRING *stmp = NULL;
473     *palg = NULL;
474     if (EVP_MD_type(mgf1md) == NID_sha1)
475         return 1;
476     /* need to embed algorithm ID inside another */
477     if (!rsa_md_to_algor(&algtmp, mgf1md))
478         goto err;
479     if (!ASN1_item_pack(algtmp, ASN1_ITEM_rptr(X509_ALGOR), &stmp))
480          goto err;
481     *palg = X509_ALGOR_new();
482     if (!*palg)
483         goto err;
484     X509_ALGOR_set0(*palg, OBJ_nid2obj(NID_mgf1), V_ASN1_SEQUENCE, stmp);
485     stmp = NULL;
486  err:
487     if (stmp)
488         ASN1_STRING_free(stmp);
489     if (algtmp)
490         X509_ALGOR_free(algtmp);
491     if (*palg)
492         return 1;
493     return 0;
494 }
495
496 /* convert algorithm ID to EVP_MD, default SHA1 */
497 static const EVP_MD *rsa_algor_to_md(X509_ALGOR *alg)
498 {
499     const EVP_MD *md;
500     if (!alg)
501         return EVP_sha1();
502     md = EVP_get_digestbyobj(alg->algorithm);
503     if (md == NULL)
504         RSAerr(RSA_F_RSA_ALGOR_TO_MD, RSA_R_UNKNOWN_DIGEST);
505     return md;
506 }
507
508 /* convert MGF1 algorithm ID to EVP_MD, default SHA1 */
509 static const EVP_MD *rsa_mgf1_to_md(X509_ALGOR *alg, X509_ALGOR *maskHash)
510 {
511     const EVP_MD *md;
512     if (!alg)
513         return EVP_sha1();
514     /* Check mask and lookup mask hash algorithm */
515     if (OBJ_obj2nid(alg->algorithm) != NID_mgf1) {
516         RSAerr(RSA_F_RSA_MGF1_TO_MD, RSA_R_UNSUPPORTED_MASK_ALGORITHM);
517         return NULL;
518     }
519     if (!maskHash) {
520         RSAerr(RSA_F_RSA_MGF1_TO_MD, RSA_R_UNSUPPORTED_MASK_PARAMETER);
521         return NULL;
522     }
523     md = EVP_get_digestbyobj(maskHash->algorithm);
524     if (md == NULL) {
525         RSAerr(RSA_F_RSA_MGF1_TO_MD, RSA_R_UNKNOWN_MASK_DIGEST);
526         return NULL;
527     }
528     return md;
529 }
530
531 /*
532  * Convert EVP_PKEY_CTX is PSS mode into corresponding algorithm parameter,
533  * suitable for setting an AlgorithmIdentifier.
534  */
535
536 static ASN1_STRING *rsa_ctx_to_pss(EVP_PKEY_CTX *pkctx)
537 {
538     const EVP_MD *sigmd, *mgf1md;
539     RSA_PSS_PARAMS *pss = NULL;
540     ASN1_STRING *os = NULL;
541     EVP_PKEY *pk = EVP_PKEY_CTX_get0_pkey(pkctx);
542     int saltlen, rv = 0;
543     if (EVP_PKEY_CTX_get_signature_md(pkctx, &sigmd) <= 0)
544         goto err;
545     if (EVP_PKEY_CTX_get_rsa_mgf1_md(pkctx, &mgf1md) <= 0)
546         goto err;
547     if (!EVP_PKEY_CTX_get_rsa_pss_saltlen(pkctx, &saltlen))
548         goto err;
549     if (saltlen == -1)
550         saltlen = EVP_MD_size(sigmd);
551     else if (saltlen == -2) {
552         saltlen = EVP_PKEY_size(pk) - EVP_MD_size(sigmd) - 2;
553         if (((EVP_PKEY_bits(pk) - 1) & 0x7) == 0)
554             saltlen--;
555     }
556     pss = RSA_PSS_PARAMS_new();
557     if (!pss)
558         goto err;
559     if (saltlen != 20) {
560         pss->saltLength = ASN1_INTEGER_new();
561         if (!pss->saltLength)
562             goto err;
563         if (!ASN1_INTEGER_set(pss->saltLength, saltlen))
564             goto err;
565     }
566     if (!rsa_md_to_algor(&pss->hashAlgorithm, sigmd))
567         goto err;
568     if (!rsa_md_to_mgf1(&pss->maskGenAlgorithm, mgf1md))
569         goto err;
570     /* Finally create string with pss parameter encoding. */
571     if (!ASN1_item_pack(pss, ASN1_ITEM_rptr(RSA_PSS_PARAMS), &os))
572          goto err;
573     rv = 1;
574  err:
575     if (pss)
576         RSA_PSS_PARAMS_free(pss);
577     if (rv)
578         return os;
579     if (os)
580         ASN1_STRING_free(os);
581     return NULL;
582 }
583
584 /*
585  * From PSS AlgorithmIdentifier set public key parameters. If pkey isn't NULL
586  * then the EVP_MD_CTX is setup and initalised. If it is NULL parameters are
587  * passed to pkctx instead.
588  */
589
590 static int rsa_pss_to_ctx(EVP_MD_CTX *ctx, EVP_PKEY_CTX *pkctx,
591                           X509_ALGOR *sigalg, EVP_PKEY *pkey)
592 {
593     int rv = -1;
594     int saltlen;
595     const EVP_MD *mgf1md = NULL, *md = NULL;
596     RSA_PSS_PARAMS *pss;
597     X509_ALGOR *maskHash;
598     /* Sanity check: make sure it is PSS */
599     if (OBJ_obj2nid(sigalg->algorithm) != NID_rsassaPss) {
600         RSAerr(RSA_F_RSA_PSS_TO_CTX, RSA_R_UNSUPPORTED_SIGNATURE_TYPE);
601         return -1;
602     }
603     /* Decode PSS parameters */
604     pss = rsa_pss_decode(sigalg, &maskHash);
605
606     if (pss == NULL) {
607         RSAerr(RSA_F_RSA_PSS_TO_CTX, RSA_R_INVALID_PSS_PARAMETERS);
608         goto err;
609     }
610     mgf1md = rsa_mgf1_to_md(pss->maskGenAlgorithm, maskHash);
611     if (!mgf1md)
612         goto err;
613     md = rsa_algor_to_md(pss->hashAlgorithm);
614     if (!md)
615         goto err;
616
617     if (pss->saltLength) {
618         saltlen = ASN1_INTEGER_get(pss->saltLength);
619
620         /*
621          * Could perform more salt length sanity checks but the main RSA
622          * routines will trap other invalid values anyway.
623          */
624         if (saltlen < 0) {
625             RSAerr(RSA_F_RSA_PSS_TO_CTX, RSA_R_INVALID_SALT_LENGTH);
626             goto err;
627         }
628     } else
629         saltlen = 20;
630
631     /*
632      * low-level routines support only trailer field 0xbc (value 1) and
633      * PKCS#1 says we should reject any other value anyway.
634      */
635     if (pss->trailerField && ASN1_INTEGER_get(pss->trailerField) != 1) {
636         RSAerr(RSA_F_RSA_PSS_TO_CTX, RSA_R_INVALID_TRAILER);
637         goto err;
638     }
639
640     /* We have all parameters now set up context */
641
642     if (pkey) {
643         if (!EVP_DigestVerifyInit(ctx, &pkctx, md, NULL, pkey))
644             goto err;
645     } else {
646         const EVP_MD *checkmd;
647         if (EVP_PKEY_CTX_get_signature_md(pkctx, &checkmd) <= 0)
648             goto err;
649         if (EVP_MD_type(md) != EVP_MD_type(checkmd)) {
650             RSAerr(RSA_F_RSA_PSS_TO_CTX, RSA_R_DIGEST_DOES_NOT_MATCH);
651             goto err;
652         }
653     }
654
655     if (EVP_PKEY_CTX_set_rsa_padding(pkctx, RSA_PKCS1_PSS_PADDING) <= 0)
656         goto err;
657
658     if (EVP_PKEY_CTX_set_rsa_pss_saltlen(pkctx, saltlen) <= 0)
659         goto err;
660
661     if (EVP_PKEY_CTX_set_rsa_mgf1_md(pkctx, mgf1md) <= 0)
662         goto err;
663     /* Carry on */
664     rv = 1;
665
666  err:
667     RSA_PSS_PARAMS_free(pss);
668     if (maskHash)
669         X509_ALGOR_free(maskHash);
670     return rv;
671 }
672
673 static int rsa_cms_verify(CMS_SignerInfo *si)
674 {
675     int nid, nid2;
676     X509_ALGOR *alg;
677     EVP_PKEY_CTX *pkctx = CMS_SignerInfo_get0_pkey_ctx(si);
678     CMS_SignerInfo_get0_algs(si, NULL, NULL, NULL, &alg);
679     nid = OBJ_obj2nid(alg->algorithm);
680     if (nid == NID_rsaEncryption)
681         return 1;
682     if (nid == NID_rsassaPss)
683         return rsa_pss_to_ctx(NULL, pkctx, alg, NULL);
684     /* Workaround for some implementation that use a signature OID */
685     if (OBJ_find_sigid_algs(nid, NULL, &nid2)) {
686         if (nid2 == NID_rsaEncryption)
687             return 1;
688     }
689     return 0;
690 }
691
692 /*
693  * Customised RSA item verification routine. This is called when a signature
694  * is encountered requiring special handling. We currently only handle PSS.
695  */
696
697 static int rsa_item_verify(EVP_MD_CTX *ctx, const ASN1_ITEM *it, void *asn,
698                            X509_ALGOR *sigalg, ASN1_BIT_STRING *sig,
699                            EVP_PKEY *pkey)
700 {
701     /* Sanity check: make sure it is PSS */
702     if (OBJ_obj2nid(sigalg->algorithm) != NID_rsassaPss) {
703         RSAerr(RSA_F_RSA_ITEM_VERIFY, RSA_R_UNSUPPORTED_SIGNATURE_TYPE);
704         return -1;
705     }
706     if (rsa_pss_to_ctx(ctx, NULL, sigalg, pkey) > 0) {
707         /* Carry on */
708         return 2;
709     }
710     return -1;
711 }
712
713 static int rsa_cms_sign(CMS_SignerInfo *si)
714 {
715     int pad_mode = RSA_PKCS1_PADDING;
716     X509_ALGOR *alg;
717     EVP_PKEY_CTX *pkctx = CMS_SignerInfo_get0_pkey_ctx(si);
718     ASN1_STRING *os = NULL;
719     CMS_SignerInfo_get0_algs(si, NULL, NULL, NULL, &alg);
720     if (pkctx) {
721         if (EVP_PKEY_CTX_get_rsa_padding(pkctx, &pad_mode) <= 0)
722             return 0;
723     }
724     if (pad_mode == RSA_PKCS1_PADDING) {
725         X509_ALGOR_set0(alg, OBJ_nid2obj(NID_rsaEncryption), V_ASN1_NULL, 0);
726         return 1;
727     }
728     /* We don't support it */
729     if (pad_mode != RSA_PKCS1_PSS_PADDING)
730         return 0;
731     os = rsa_ctx_to_pss(pkctx);
732     if (!os)
733         return 0;
734     X509_ALGOR_set0(alg, OBJ_nid2obj(NID_rsassaPss), V_ASN1_SEQUENCE, os);
735     return 1;
736 }
737
738 static int rsa_item_sign(EVP_MD_CTX *ctx, const ASN1_ITEM *it, void *asn,
739                          X509_ALGOR *alg1, X509_ALGOR *alg2,
740                          ASN1_BIT_STRING *sig)
741 {
742     int pad_mode;
743     EVP_PKEY_CTX *pkctx = ctx->pctx;
744     if (EVP_PKEY_CTX_get_rsa_padding(pkctx, &pad_mode) <= 0)
745         return 0;
746     if (pad_mode == RSA_PKCS1_PADDING)
747         return 2;
748     if (pad_mode == RSA_PKCS1_PSS_PADDING) {
749         ASN1_STRING *os1 = NULL;
750         os1 = rsa_ctx_to_pss(pkctx);
751         if (!os1)
752             return 0;
753         /* Duplicate parameters if we have to */
754         if (alg2) {
755             ASN1_STRING *os2 = ASN1_STRING_dup(os1);
756             if (!os2) {
757                 ASN1_STRING_free(os1);
758                 return 0;
759             }
760             X509_ALGOR_set0(alg2, OBJ_nid2obj(NID_rsassaPss),
761                             V_ASN1_SEQUENCE, os2);
762         }
763         X509_ALGOR_set0(alg1, OBJ_nid2obj(NID_rsassaPss),
764                         V_ASN1_SEQUENCE, os1);
765         return 3;
766     }
767     return 2;
768 }
769
770 static RSA_OAEP_PARAMS *rsa_oaep_decode(const X509_ALGOR *alg,
771                                         X509_ALGOR **pmaskHash)
772 {
773     const unsigned char *p;
774     int plen;
775     RSA_OAEP_PARAMS *pss;
776
777     *pmaskHash = NULL;
778
779     if (!alg->parameter || alg->parameter->type != V_ASN1_SEQUENCE)
780         return NULL;
781     p = alg->parameter->value.sequence->data;
782     plen = alg->parameter->value.sequence->length;
783     pss = d2i_RSA_OAEP_PARAMS(NULL, &p, plen);
784
785     if (!pss)
786         return NULL;
787
788     *pmaskHash = rsa_mgf1_decode(pss->maskGenFunc);
789
790     return pss;
791 }
792
793 static int rsa_cms_decrypt(CMS_RecipientInfo *ri)
794 {
795     EVP_PKEY_CTX *pkctx;
796     X509_ALGOR *cmsalg;
797     int nid;
798     int rv = -1;
799     unsigned char *label = NULL;
800     int labellen = 0;
801     const EVP_MD *mgf1md = NULL, *md = NULL;
802     RSA_OAEP_PARAMS *oaep;
803     X509_ALGOR *maskHash;
804     pkctx = CMS_RecipientInfo_get0_pkey_ctx(ri);
805     if (!pkctx)
806         return 0;
807     if (!CMS_RecipientInfo_ktri_get0_algs(ri, NULL, NULL, &cmsalg))
808         return -1;
809     nid = OBJ_obj2nid(cmsalg->algorithm);
810     if (nid == NID_rsaEncryption)
811         return 1;
812     if (nid != NID_rsaesOaep) {
813         RSAerr(RSA_F_RSA_CMS_DECRYPT, RSA_R_UNSUPPORTED_ENCRYPTION_TYPE);
814         return -1;
815     }
816     /* Decode OAEP parameters */
817     oaep = rsa_oaep_decode(cmsalg, &maskHash);
818
819     if (oaep == NULL) {
820         RSAerr(RSA_F_RSA_CMS_DECRYPT, RSA_R_INVALID_OAEP_PARAMETERS);
821         goto err;
822     }
823
824     mgf1md = rsa_mgf1_to_md(oaep->maskGenFunc, maskHash);
825     if (!mgf1md)
826         goto err;
827     md = rsa_algor_to_md(oaep->hashFunc);
828     if (!md)
829         goto err;
830
831     if (oaep->pSourceFunc) {
832         X509_ALGOR *plab = oaep->pSourceFunc;
833         if (OBJ_obj2nid(plab->algorithm) != NID_pSpecified) {
834             RSAerr(RSA_F_RSA_CMS_DECRYPT, RSA_R_UNSUPPORTED_LABEL_SOURCE);
835             goto err;
836         }
837         if (plab->parameter->type != V_ASN1_OCTET_STRING) {
838             RSAerr(RSA_F_RSA_CMS_DECRYPT, RSA_R_INVALID_LABEL);
839             goto err;
840         }
841
842         label = plab->parameter->value.octet_string->data;
843         /* Stop label being freed when OAEP parameters are freed */
844         plab->parameter->value.octet_string->data = NULL;
845         labellen = plab->parameter->value.octet_string->length;
846     }
847
848     if (EVP_PKEY_CTX_set_rsa_padding(pkctx, RSA_PKCS1_OAEP_PADDING) <= 0)
849         goto err;
850     if (EVP_PKEY_CTX_set_rsa_oaep_md(pkctx, md) <= 0)
851         goto err;
852     if (EVP_PKEY_CTX_set_rsa_mgf1_md(pkctx, mgf1md) <= 0)
853         goto err;
854     if (EVP_PKEY_CTX_set0_rsa_oaep_label(pkctx, label, labellen) <= 0)
855         goto err;
856     /* Carry on */
857     rv = 1;
858
859  err:
860     RSA_OAEP_PARAMS_free(oaep);
861     if (maskHash)
862         X509_ALGOR_free(maskHash);
863     return rv;
864 }
865
866 static int rsa_cms_encrypt(CMS_RecipientInfo *ri)
867 {
868     const EVP_MD *md, *mgf1md;
869     RSA_OAEP_PARAMS *oaep = NULL;
870     ASN1_STRING *os = NULL;
871     X509_ALGOR *alg;
872     EVP_PKEY_CTX *pkctx = CMS_RecipientInfo_get0_pkey_ctx(ri);
873     int pad_mode = RSA_PKCS1_PADDING, rv = 0, labellen;
874     unsigned char *label;
875     CMS_RecipientInfo_ktri_get0_algs(ri, NULL, NULL, &alg);
876     if (pkctx) {
877         if (EVP_PKEY_CTX_get_rsa_padding(pkctx, &pad_mode) <= 0)
878             return 0;
879     }
880     if (pad_mode == RSA_PKCS1_PADDING) {
881         X509_ALGOR_set0(alg, OBJ_nid2obj(NID_rsaEncryption), V_ASN1_NULL, 0);
882         return 1;
883     }
884     /* Not supported */
885     if (pad_mode != RSA_PKCS1_OAEP_PADDING)
886         return 0;
887     if (EVP_PKEY_CTX_get_rsa_oaep_md(pkctx, &md) <= 0)
888         goto err;
889     if (EVP_PKEY_CTX_get_rsa_mgf1_md(pkctx, &mgf1md) <= 0)
890         goto err;
891     labellen = EVP_PKEY_CTX_get0_rsa_oaep_label(pkctx, &label);
892     if (labellen < 0)
893         goto err;
894     oaep = RSA_OAEP_PARAMS_new();
895     if (!oaep)
896         goto err;
897     if (!rsa_md_to_algor(&oaep->hashFunc, md))
898         goto err;
899     if (!rsa_md_to_mgf1(&oaep->maskGenFunc, mgf1md))
900         goto err;
901     if (labellen > 0) {
902         ASN1_OCTET_STRING *los = ASN1_OCTET_STRING_new();
903         oaep->pSourceFunc = X509_ALGOR_new();
904         if (!oaep->pSourceFunc)
905             goto err;
906         if (!los)
907             goto err;
908         if (!ASN1_OCTET_STRING_set(los, label, labellen)) {
909             ASN1_OCTET_STRING_free(los);
910             goto err;
911         }
912         X509_ALGOR_set0(oaep->pSourceFunc, OBJ_nid2obj(NID_pSpecified),
913                         V_ASN1_OCTET_STRING, los);
914     }
915     /* create string with pss parameter encoding. */
916     if (!ASN1_item_pack(oaep, ASN1_ITEM_rptr(RSA_OAEP_PARAMS), &os))
917          goto err;
918     X509_ALGOR_set0(alg, OBJ_nid2obj(NID_rsaesOaep), V_ASN1_SEQUENCE, os);
919     os = NULL;
920     rv = 1;
921  err:
922     if (oaep)
923         RSA_OAEP_PARAMS_free(oaep);
924     if (os)
925         ASN1_STRING_free(os);
926     return rv;
927 }
928
929 const EVP_PKEY_ASN1_METHOD rsa_asn1_meths[] = {
930     {
931      EVP_PKEY_RSA,
932      EVP_PKEY_RSA,
933      ASN1_PKEY_SIGPARAM_NULL,
934
935      "RSA",
936      "OpenSSL RSA method",
937
938      rsa_pub_decode,
939      rsa_pub_encode,
940      rsa_pub_cmp,
941      rsa_pub_print,
942
943      rsa_priv_decode,
944      rsa_priv_encode,
945      rsa_priv_print,
946
947      int_rsa_size,
948      rsa_bits,
949      rsa_security_bits,
950
951      0, 0, 0, 0, 0, 0,
952
953      rsa_sig_print,
954      int_rsa_free,
955      rsa_pkey_ctrl,
956      old_rsa_priv_decode,
957      old_rsa_priv_encode,
958      rsa_item_verify,
959      rsa_item_sign},
960
961     {
962      EVP_PKEY_RSA2,
963      EVP_PKEY_RSA,
964      ASN1_PKEY_ALIAS}
965 };