crypto/rsa/rsa_chk.c

   1 /*
   2  * Copyright 1999-2017 The OpenSSL Project Authors. All Rights Reserved.
   3  *
   4  * Licensed under the Apache License 2.0 (the "License").  You may not use
   5  * this file except in compliance with the License.  You can obtain a copy
   6  * in the file LICENSE in the source distribution or at
   7  * https://www.openssl.org/source/license.html
   8  */
   9
  10 #include <openssl/bn.h>
  11 #include <openssl/err.h>
  12 #include "rsa_locl.h"
  13
  14 int RSA_check_key(const RSA *key)
  15 {
  16     return RSA_check_key_ex(key, NULL);
  17 }
  18
  19 /*
  20  * NOTE: Key validation requires separate checks to be able to be accessed
  21  *  individually. These should be visible from the PKEY API..
  22  *  See rsa_sp800_56b_check_public, rsa_sp800_56b_check_private and
  23  *      rsa_sp800_56b_check_keypair.
  24  */
  25 int RSA_check_key_ex(const RSA *key, BN_GENCB *cb)
  26 {
  27 #ifdef FIPS_MODE
  28     if (!(rsa_sp800_56b_check_public(key)
  29             && rsa_sp800_56b_check_private(key)
  30             && rsa_sp800_56b_check_keypair(key, NULL, -1, RSA_bits(key))
  31         return 0;
  32
  33 #else
  34     BIGNUM *i, *j, *k, *l, *m;
  35     BN_CTX *ctx;
  36     int ret = 1, ex_primes = 0, idx;
  37     RSA_PRIME_INFO *pinfo;
  38
  39     if (key->p == NULL || key->q == NULL || key->n == NULL
  40             || key->e == NULL || key->d == NULL) {
  41         RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_VALUE_MISSING);
  42         return 0;
  43     }
  44
  45     /* multi-prime? */
  46     if (key->version == RSA_ASN1_VERSION_MULTI) {
  47         ex_primes = sk_RSA_PRIME_INFO_num(key->prime_infos);
  48         if (ex_primes <= 0
  49                 || (ex_primes + 2) > rsa_multip_cap(BN_num_bits(key->n))) {
  50             RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_INVALID_MULTI_PRIME_KEY);
  51             return 0;
  52         }
  53     }
  54
  55     i = BN_new();
  56     j = BN_new();
  57     k = BN_new();
  58     l = BN_new();
  59     m = BN_new();
  60     ctx = BN_CTX_new();
  61     if (i == NULL || j == NULL || k == NULL || l == NULL
  62             || m == NULL || ctx == NULL) {
  63         ret = -1;
  64         RSAerr(RSA_F_RSA_CHECK_KEY_EX, ERR_R_MALLOC_FAILURE);
  65         goto err;
  66     }
  67
  68     if (BN_is_one(key->e)) {
  69         ret = 0;
  70         RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_BAD_E_VALUE);
  71     }
  72     if (!BN_is_odd(key->e)) {
  73         ret = 0;
  74         RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_BAD_E_VALUE);
  75     }
  76
  77     /* p prime? */
  78     if (BN_is_prime_ex(key->p, BN_prime_checks, NULL, cb) != 1) {
  79         ret = 0;
  80         RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_P_NOT_PRIME);
  81     }
  82
  83     /* q prime? */
  84     if (BN_is_prime_ex(key->q, BN_prime_checks, NULL, cb) != 1) {
  85         ret = 0;
  86         RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_Q_NOT_PRIME);
  87     }
  88
  89     /* r_i prime? */
  90     for (idx = 0; idx < ex_primes; idx++) {
  91         pinfo = sk_RSA_PRIME_INFO_value(key->prime_infos, idx);
  92         if (BN_is_prime_ex(pinfo->r, BN_prime_checks, NULL, cb) != 1) {
  93             ret = 0;
  94             RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_MP_R_NOT_PRIME);
  95         }
  96     }
  97
  98     /* n = p*q * r_3...r_i? */
  99     if (!BN_mul(i, key->p, key->q, ctx)) {
 100         ret = -1;
 101         goto err;
 102     }
 103     for (idx = 0; idx < ex_primes; idx++) {
 104         pinfo = sk_RSA_PRIME_INFO_value(key->prime_infos, idx);
 105         if (!BN_mul(i, i, pinfo->r, ctx)) {
 106             ret = -1;
 107             goto err;
 108         }
 109     }
 110     if (BN_cmp(i, key->n) != 0) {
 111         ret = 0;
 112         if (ex_primes)
 113             RSAerr(RSA_F_RSA_CHECK_KEY_EX,
 114                    RSA_R_N_DOES_NOT_EQUAL_PRODUCT_OF_PRIMES);
 115         else
 116             RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_N_DOES_NOT_EQUAL_P_Q);
 117     }
 118
 119     /* d*e = 1  mod \lambda(n)? */
 120     if (!BN_sub(i, key->p, BN_value_one())) {
 121         ret = -1;
 122         goto err;
 123     }
 124     if (!BN_sub(j, key->q, BN_value_one())) {
 125         ret = -1;
 126         goto err;
 127     }
 128
 129     /* now compute k = \lambda(n) = LCM(i, j, r_3 - 1...) */
 130     if (!BN_mul(l, i, j, ctx)) {
 131         ret = -1;
 132         goto err;
 133     }
 134     if (!BN_gcd(m, i, j, ctx)) {
 135         ret = -1;
 136         goto err;
 137     }
 138     for (idx = 0; idx < ex_primes; idx++) {
 139         pinfo = sk_RSA_PRIME_INFO_value(key->prime_infos, idx);
 140         if (!BN_sub(k, pinfo->r, BN_value_one())) {
 141             ret = -1;
 142             goto err;
 143         }
 144         if (!BN_mul(l, l, k, ctx)) {
 145             ret = -1;
 146             goto err;
 147         }
 148         if (!BN_gcd(m, m, k, ctx)) {
 149             ret = -1;
 150             goto err;
 151         }
 152     }
 153     if (!BN_div(k, NULL, l, m, ctx)) { /* remainder is 0 */
 154         ret = -1;
 155         goto err;
 156     }
 157     if (!BN_mod_mul(i, key->d, key->e, k, ctx)) {
 158         ret = -1;
 159         goto err;
 160     }
 161
 162     if (!BN_is_one(i)) {
 163         ret = 0;
 164         RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_D_E_NOT_CONGRUENT_TO_1);
 165     }
 166
 167     if (key->dmp1 != NULL && key->dmq1 != NULL && key->iqmp != NULL) {
 168         /* dmp1 = d mod (p-1)? */
 169         if (!BN_sub(i, key->p, BN_value_one())) {
 170             ret = -1;
 171             goto err;
 172         }
 173         if (!BN_mod(j, key->d, i, ctx)) {
 174             ret = -1;
 175             goto err;
 176         }
 177         if (BN_cmp(j, key->dmp1) != 0) {
 178             ret = 0;
 179             RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_DMP1_NOT_CONGRUENT_TO_D);
 180         }
 181
 182         /* dmq1 = d mod (q-1)? */
 183         if (!BN_sub(i, key->q, BN_value_one())) {
 184             ret = -1;
 185             goto err;
 186         }
 187         if (!BN_mod(j, key->d, i, ctx)) {
 188             ret = -1;
 189             goto err;
 190         }
 191         if (BN_cmp(j, key->dmq1) != 0) {
 192             ret = 0;
 193             RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_DMQ1_NOT_CONGRUENT_TO_D);
 194         }
 195
 196         /* iqmp = q^-1 mod p? */
 197         if (!BN_mod_inverse(i, key->q, key->p, ctx)) {
 198             ret = -1;
 199             goto err;
 200         }
 201         if (BN_cmp(i, key->iqmp) != 0) {
 202             ret = 0;
 203             RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_IQMP_NOT_INVERSE_OF_Q);
 204         }
 205     }
 206
 207     for (idx = 0; idx < ex_primes; idx++) {
 208         pinfo = sk_RSA_PRIME_INFO_value(key->prime_infos, idx);
 209         /* d_i = d mod (r_i - 1)? */
 210         if (!BN_sub(i, pinfo->r, BN_value_one())) {
 211             ret = -1;
 212             goto err;
 213         }
 214         if (!BN_mod(j, key->d, i, ctx)) {
 215             ret = -1;
 216             goto err;
 217         }
 218         if (BN_cmp(j, pinfo->d) != 0) {
 219             ret = 0;
 220             RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_MP_EXPONENT_NOT_CONGRUENT_TO_D);
 221         }
 222         /* t_i = R_i ^ -1 mod r_i ? */
 223         if (!BN_mod_inverse(i, pinfo->pp, pinfo->r, ctx)) {
 224             ret = -1;
 225             goto err;
 226         }
 227         if (BN_cmp(i, pinfo->t) != 0) {
 228             ret = 0;
 229             RSAerr(RSA_F_RSA_CHECK_KEY_EX, RSA_R_MP_COEFFICIENT_NOT_INVERSE_OF_R);
 230         }
 231     }
 232
 233  err:
 234     BN_free(i);
 235     BN_free(j);
 236     BN_free(k);
 237     BN_free(l);
 238     BN_free(m);
 239     BN_CTX_free(ctx);
 240     return ret;
 241 #endif /* FIPS_MODE */
 242 }