a2022bb6a2638a00785c63ce1799108c34408a70
[openssl.git] / crypto / rsa / rsa_pmeth.c
1 /* crypto/rsa/rsa_pmeth.c */
2 /*
3  * Written by Dr Stephen N Henson (steve@openssl.org) for the OpenSSL project
4  * 2006.
5  */
6 /* ====================================================================
7  * Copyright (c) 2006 The OpenSSL Project.  All rights reserved.
8  *
9  * Redistribution and use in source and binary forms, with or without
10  * modification, are permitted provided that the following conditions
11  * are met:
12  *
13  * 1. Redistributions of source code must retain the above copyright
14  *    notice, this list of conditions and the following disclaimer.
15  *
16  * 2. Redistributions in binary form must reproduce the above copyright
17  *    notice, this list of conditions and the following disclaimer in
18  *    the documentation and/or other materials provided with the
19  *    distribution.
20  *
21  * 3. All advertising materials mentioning features or use of this
22  *    software must display the following acknowledgment:
23  *    "This product includes software developed by the OpenSSL Project
24  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
25  *
26  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
27  *    endorse or promote products derived from this software without
28  *    prior written permission. For written permission, please contact
29  *    licensing@OpenSSL.org.
30  *
31  * 5. Products derived from this software may not be called "OpenSSL"
32  *    nor may "OpenSSL" appear in their names without prior written
33  *    permission of the OpenSSL Project.
34  *
35  * 6. Redistributions of any form whatsoever must retain the following
36  *    acknowledgment:
37  *    "This product includes software developed by the OpenSSL Project
38  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
39  *
40  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
41  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
43  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
44  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
45  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
46  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
47  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
49  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
50  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
51  * OF THE POSSIBILITY OF SUCH DAMAGE.
52  * ====================================================================
53  *
54  * This product includes cryptographic software written by Eric Young
55  * (eay@cryptsoft.com).  This product includes software written by Tim
56  * Hudson (tjh@cryptsoft.com).
57  *
58  */
59
60 #include <stdio.h>
61 #include "internal/cryptlib.h"
62 #include <openssl/asn1t.h>
63 #include <openssl/x509.h>
64 #include <openssl/rsa.h>
65 #include <openssl/bn.h>
66 #include <openssl/evp.h>
67 #include <openssl/x509v3.h>
68 #ifndef OPENSSL_NO_CMS
69 # include <openssl/cms.h>
70 #endif
71 #include "internal/evp_int.h"
72 #include "rsa_locl.h"
73
74 /* RSA pkey context structure */
75
76 typedef struct {
77     /* Key gen parameters */
78     int nbits;
79     BIGNUM *pub_exp;
80     /* Keygen callback info */
81     int gentmp[2];
82     /* RSA padding mode */
83     int pad_mode;
84     /* message digest */
85     const EVP_MD *md;
86     /* message digest for MGF1 */
87     const EVP_MD *mgf1md;
88     /* PSS salt length */
89     int saltlen;
90     /* Temp buffer */
91     unsigned char *tbuf;
92     /* OAEP label */
93     unsigned char *oaep_label;
94     size_t oaep_labellen;
95 } RSA_PKEY_CTX;
96
97 static int pkey_rsa_init(EVP_PKEY_CTX *ctx)
98 {
99     RSA_PKEY_CTX *rctx;
100     rctx = OPENSSL_zalloc(sizeof(*rctx));
101     if (rctx == NULL)
102         return 0;
103     rctx->nbits = 1024;
104     rctx->pad_mode = RSA_PKCS1_PADDING;
105     rctx->saltlen = -2;
106     ctx->data = rctx;
107     ctx->keygen_info = rctx->gentmp;
108     ctx->keygen_info_count = 2;
109
110     return 1;
111 }
112
113 static int pkey_rsa_copy(EVP_PKEY_CTX *dst, EVP_PKEY_CTX *src)
114 {
115     RSA_PKEY_CTX *dctx, *sctx;
116     if (!pkey_rsa_init(dst))
117         return 0;
118     sctx = src->data;
119     dctx = dst->data;
120     dctx->nbits = sctx->nbits;
121     if (sctx->pub_exp) {
122         dctx->pub_exp = BN_dup(sctx->pub_exp);
123         if (!dctx->pub_exp)
124             return 0;
125     }
126     dctx->pad_mode = sctx->pad_mode;
127     dctx->md = sctx->md;
128     dctx->mgf1md = sctx->mgf1md;
129     if (sctx->oaep_label) {
130         OPENSSL_free(dctx->oaep_label);
131         dctx->oaep_label = BUF_memdup(sctx->oaep_label, sctx->oaep_labellen);
132         if (!dctx->oaep_label)
133             return 0;
134         dctx->oaep_labellen = sctx->oaep_labellen;
135     }
136     return 1;
137 }
138
139 static int setup_tbuf(RSA_PKEY_CTX *ctx, EVP_PKEY_CTX *pk)
140 {
141     if (ctx->tbuf)
142         return 1;
143     ctx->tbuf = OPENSSL_malloc(EVP_PKEY_size(pk->pkey));
144     if (ctx->tbuf == NULL)
145         return 0;
146     return 1;
147 }
148
149 static void pkey_rsa_cleanup(EVP_PKEY_CTX *ctx)
150 {
151     RSA_PKEY_CTX *rctx = ctx->data;
152     if (rctx) {
153         BN_free(rctx->pub_exp);
154         OPENSSL_free(rctx->tbuf);
155         OPENSSL_free(rctx->oaep_label);
156         OPENSSL_free(rctx);
157     }
158 }
159
160 static int pkey_rsa_sign(EVP_PKEY_CTX *ctx, unsigned char *sig,
161                          size_t *siglen, const unsigned char *tbs,
162                          size_t tbslen)
163 {
164     int ret;
165     RSA_PKEY_CTX *rctx = ctx->data;
166     RSA *rsa = ctx->pkey->pkey.rsa;
167
168     if (rctx->md) {
169         if (tbslen != (size_t)EVP_MD_size(rctx->md)) {
170             RSAerr(RSA_F_PKEY_RSA_SIGN, RSA_R_INVALID_DIGEST_LENGTH);
171             return -1;
172         }
173
174         if (EVP_MD_type(rctx->md) == NID_mdc2) {
175             unsigned int sltmp;
176             if (rctx->pad_mode != RSA_PKCS1_PADDING)
177                 return -1;
178             ret = RSA_sign_ASN1_OCTET_STRING(NID_mdc2,
179                                              tbs, tbslen, sig, &sltmp, rsa);
180
181             if (ret <= 0)
182                 return ret;
183             ret = sltmp;
184         } else if (rctx->pad_mode == RSA_X931_PADDING) {
185             if ((size_t)EVP_PKEY_size(ctx->pkey) < tbslen + 1) {
186                 RSAerr(RSA_F_PKEY_RSA_SIGN, RSA_R_KEY_SIZE_TOO_SMALL);
187                 return -1;
188             }
189             if (!setup_tbuf(rctx, ctx)) {
190                 RSAerr(RSA_F_PKEY_RSA_SIGN, ERR_R_MALLOC_FAILURE);
191                 return -1;
192             }
193             memcpy(rctx->tbuf, tbs, tbslen);
194             rctx->tbuf[tbslen] = RSA_X931_hash_id(EVP_MD_type(rctx->md));
195             ret = RSA_private_encrypt(tbslen + 1, rctx->tbuf,
196                                       sig, rsa, RSA_X931_PADDING);
197         } else if (rctx->pad_mode == RSA_PKCS1_PADDING) {
198             unsigned int sltmp;
199             ret = RSA_sign(EVP_MD_type(rctx->md),
200                            tbs, tbslen, sig, &sltmp, rsa);
201             if (ret <= 0)
202                 return ret;
203             ret = sltmp;
204         } else if (rctx->pad_mode == RSA_PKCS1_PSS_PADDING) {
205             if (!setup_tbuf(rctx, ctx))
206                 return -1;
207             if (!RSA_padding_add_PKCS1_PSS_mgf1(rsa,
208                                                 rctx->tbuf, tbs,
209                                                 rctx->md, rctx->mgf1md,
210                                                 rctx->saltlen))
211                 return -1;
212             ret = RSA_private_encrypt(RSA_size(rsa), rctx->tbuf,
213                                       sig, rsa, RSA_NO_PADDING);
214         } else
215             return -1;
216     } else
217         ret = RSA_private_encrypt(tbslen, tbs, sig, ctx->pkey->pkey.rsa,
218                                   rctx->pad_mode);
219     if (ret < 0)
220         return ret;
221     *siglen = ret;
222     return 1;
223 }
224
225 static int pkey_rsa_verifyrecover(EVP_PKEY_CTX *ctx,
226                                   unsigned char *rout, size_t *routlen,
227                                   const unsigned char *sig, size_t siglen)
228 {
229     int ret;
230     RSA_PKEY_CTX *rctx = ctx->data;
231
232     if (rctx->md) {
233         if (rctx->pad_mode == RSA_X931_PADDING) {
234             if (!setup_tbuf(rctx, ctx))
235                 return -1;
236             ret = RSA_public_decrypt(siglen, sig,
237                                      rctx->tbuf, ctx->pkey->pkey.rsa,
238                                      RSA_X931_PADDING);
239             if (ret < 1)
240                 return 0;
241             ret--;
242             if (rctx->tbuf[ret] != RSA_X931_hash_id(EVP_MD_type(rctx->md))) {
243                 RSAerr(RSA_F_PKEY_RSA_VERIFYRECOVER,
244                        RSA_R_ALGORITHM_MISMATCH);
245                 return 0;
246             }
247             if (ret != EVP_MD_size(rctx->md)) {
248                 RSAerr(RSA_F_PKEY_RSA_VERIFYRECOVER,
249                        RSA_R_INVALID_DIGEST_LENGTH);
250                 return 0;
251             }
252             if (rout)
253                 memcpy(rout, rctx->tbuf, ret);
254         } else if (rctx->pad_mode == RSA_PKCS1_PADDING) {
255             size_t sltmp;
256             ret = int_rsa_verify(EVP_MD_type(rctx->md),
257                                  NULL, 0, rout, &sltmp,
258                                  sig, siglen, ctx->pkey->pkey.rsa);
259             if (ret <= 0)
260                 return 0;
261             ret = sltmp;
262         } else
263             return -1;
264     } else
265         ret = RSA_public_decrypt(siglen, sig, rout, ctx->pkey->pkey.rsa,
266                                  rctx->pad_mode);
267     if (ret < 0)
268         return ret;
269     *routlen = ret;
270     return 1;
271 }
272
273 static int pkey_rsa_verify(EVP_PKEY_CTX *ctx,
274                            const unsigned char *sig, size_t siglen,
275                            const unsigned char *tbs, size_t tbslen)
276 {
277     RSA_PKEY_CTX *rctx = ctx->data;
278     RSA *rsa = ctx->pkey->pkey.rsa;
279     size_t rslen;
280     if (rctx->md) {
281         if (rctx->pad_mode == RSA_PKCS1_PADDING)
282             return RSA_verify(EVP_MD_type(rctx->md), tbs, tbslen,
283                               sig, siglen, rsa);
284         if (rctx->pad_mode == RSA_X931_PADDING) {
285             if (pkey_rsa_verifyrecover(ctx, NULL, &rslen, sig, siglen) <= 0)
286                 return 0;
287         } else if (rctx->pad_mode == RSA_PKCS1_PSS_PADDING) {
288             int ret;
289             if (!setup_tbuf(rctx, ctx))
290                 return -1;
291             ret = RSA_public_decrypt(siglen, sig, rctx->tbuf,
292                                      rsa, RSA_NO_PADDING);
293             if (ret <= 0)
294                 return 0;
295             ret = RSA_verify_PKCS1_PSS_mgf1(rsa, tbs,
296                                             rctx->md, rctx->mgf1md,
297                                             rctx->tbuf, rctx->saltlen);
298             if (ret <= 0)
299                 return 0;
300             return 1;
301         } else
302             return -1;
303     } else {
304         if (!setup_tbuf(rctx, ctx))
305             return -1;
306         rslen = RSA_public_decrypt(siglen, sig, rctx->tbuf,
307                                    rsa, rctx->pad_mode);
308         if (rslen == 0)
309             return 0;
310     }
311
312     if ((rslen != tbslen) || memcmp(tbs, rctx->tbuf, rslen))
313         return 0;
314
315     return 1;
316
317 }
318
319 static int pkey_rsa_encrypt(EVP_PKEY_CTX *ctx,
320                             unsigned char *out, size_t *outlen,
321                             const unsigned char *in, size_t inlen)
322 {
323     int ret;
324     RSA_PKEY_CTX *rctx = ctx->data;
325     if (rctx->pad_mode == RSA_PKCS1_OAEP_PADDING) {
326         int klen = RSA_size(ctx->pkey->pkey.rsa);
327         if (!setup_tbuf(rctx, ctx))
328             return -1;
329         if (!RSA_padding_add_PKCS1_OAEP_mgf1(rctx->tbuf, klen,
330                                              in, inlen,
331                                              rctx->oaep_label,
332                                              rctx->oaep_labellen,
333                                              rctx->md, rctx->mgf1md))
334             return -1;
335         ret = RSA_public_encrypt(klen, rctx->tbuf, out,
336                                  ctx->pkey->pkey.rsa, RSA_NO_PADDING);
337     } else
338         ret = RSA_public_encrypt(inlen, in, out, ctx->pkey->pkey.rsa,
339                                  rctx->pad_mode);
340     if (ret < 0)
341         return ret;
342     *outlen = ret;
343     return 1;
344 }
345
346 static int pkey_rsa_decrypt(EVP_PKEY_CTX *ctx,
347                             unsigned char *out, size_t *outlen,
348                             const unsigned char *in, size_t inlen)
349 {
350     int ret;
351     RSA_PKEY_CTX *rctx = ctx->data;
352     if (rctx->pad_mode == RSA_PKCS1_OAEP_PADDING) {
353         int i;
354         if (!setup_tbuf(rctx, ctx))
355             return -1;
356         ret = RSA_private_decrypt(inlen, in, rctx->tbuf,
357                                   ctx->pkey->pkey.rsa, RSA_NO_PADDING);
358         if (ret <= 0)
359             return ret;
360         for (i = 0; i < ret; i++) {
361             if (rctx->tbuf[i])
362                 break;
363         }
364         ret = RSA_padding_check_PKCS1_OAEP_mgf1(out, ret, rctx->tbuf + i,
365                                                 ret - i, ret,
366                                                 rctx->oaep_label,
367                                                 rctx->oaep_labellen,
368                                                 rctx->md, rctx->mgf1md);
369     } else
370         ret = RSA_private_decrypt(inlen, in, out, ctx->pkey->pkey.rsa,
371                                   rctx->pad_mode);
372     if (ret < 0)
373         return ret;
374     *outlen = ret;
375     return 1;
376 }
377
378 static int check_padding_md(const EVP_MD *md, int padding)
379 {
380     if (!md)
381         return 1;
382
383     if (padding == RSA_NO_PADDING) {
384         RSAerr(RSA_F_CHECK_PADDING_MD, RSA_R_INVALID_PADDING_MODE);
385         return 0;
386     }
387
388     if (padding == RSA_X931_PADDING) {
389         if (RSA_X931_hash_id(EVP_MD_type(md)) == -1) {
390             RSAerr(RSA_F_CHECK_PADDING_MD, RSA_R_INVALID_X931_DIGEST);
391             return 0;
392         }
393         return 1;
394     }
395
396     return 1;
397 }
398
399 static int pkey_rsa_ctrl(EVP_PKEY_CTX *ctx, int type, int p1, void *p2)
400 {
401     RSA_PKEY_CTX *rctx = ctx->data;
402     switch (type) {
403     case EVP_PKEY_CTRL_RSA_PADDING:
404         if ((p1 >= RSA_PKCS1_PADDING) && (p1 <= RSA_PKCS1_PSS_PADDING)) {
405             if (!check_padding_md(rctx->md, p1))
406                 return 0;
407             if (p1 == RSA_PKCS1_PSS_PADDING) {
408                 if (!(ctx->operation &
409                       (EVP_PKEY_OP_SIGN | EVP_PKEY_OP_VERIFY)))
410                     goto bad_pad;
411                 if (!rctx->md)
412                     rctx->md = EVP_sha1();
413             }
414             if (p1 == RSA_PKCS1_OAEP_PADDING) {
415                 if (!(ctx->operation & EVP_PKEY_OP_TYPE_CRYPT))
416                     goto bad_pad;
417                 if (!rctx->md)
418                     rctx->md = EVP_sha1();
419             }
420             rctx->pad_mode = p1;
421             return 1;
422         }
423  bad_pad:
424         RSAerr(RSA_F_PKEY_RSA_CTRL,
425                RSA_R_ILLEGAL_OR_UNSUPPORTED_PADDING_MODE);
426         return -2;
427
428     case EVP_PKEY_CTRL_GET_RSA_PADDING:
429         *(int *)p2 = rctx->pad_mode;
430         return 1;
431
432     case EVP_PKEY_CTRL_RSA_PSS_SALTLEN:
433     case EVP_PKEY_CTRL_GET_RSA_PSS_SALTLEN:
434         if (rctx->pad_mode != RSA_PKCS1_PSS_PADDING) {
435             RSAerr(RSA_F_PKEY_RSA_CTRL, RSA_R_INVALID_PSS_SALTLEN);
436             return -2;
437         }
438         if (type == EVP_PKEY_CTRL_GET_RSA_PSS_SALTLEN)
439             *(int *)p2 = rctx->saltlen;
440         else {
441             if (p1 < -2)
442                 return -2;
443             rctx->saltlen = p1;
444         }
445         return 1;
446
447     case EVP_PKEY_CTRL_RSA_KEYGEN_BITS:
448         if (p1 < 512) {
449             RSAerr(RSA_F_PKEY_RSA_CTRL, RSA_R_KEY_SIZE_TOO_SMALL);
450             return -2;
451         }
452         rctx->nbits = p1;
453         return 1;
454
455     case EVP_PKEY_CTRL_RSA_KEYGEN_PUBEXP:
456         if (!p2)
457             return -2;
458         BN_free(rctx->pub_exp);
459         rctx->pub_exp = p2;
460         return 1;
461
462     case EVP_PKEY_CTRL_RSA_OAEP_MD:
463     case EVP_PKEY_CTRL_GET_RSA_OAEP_MD:
464         if (rctx->pad_mode != RSA_PKCS1_OAEP_PADDING) {
465             RSAerr(RSA_F_PKEY_RSA_CTRL, RSA_R_INVALID_PADDING_MODE);
466             return -2;
467         }
468         if (type == EVP_PKEY_CTRL_GET_RSA_OAEP_MD)
469             *(const EVP_MD **)p2 = rctx->md;
470         else
471             rctx->md = p2;
472         return 1;
473
474     case EVP_PKEY_CTRL_MD:
475         if (!check_padding_md(p2, rctx->pad_mode))
476             return 0;
477         rctx->md = p2;
478         return 1;
479
480     case EVP_PKEY_CTRL_GET_MD:
481         *(const EVP_MD **)p2 = rctx->md;
482         return 1;
483
484     case EVP_PKEY_CTRL_RSA_MGF1_MD:
485     case EVP_PKEY_CTRL_GET_RSA_MGF1_MD:
486         if (rctx->pad_mode != RSA_PKCS1_PSS_PADDING
487             && rctx->pad_mode != RSA_PKCS1_OAEP_PADDING) {
488             RSAerr(RSA_F_PKEY_RSA_CTRL, RSA_R_INVALID_MGF1_MD);
489             return -2;
490         }
491         if (type == EVP_PKEY_CTRL_GET_RSA_MGF1_MD) {
492             if (rctx->mgf1md)
493                 *(const EVP_MD **)p2 = rctx->mgf1md;
494             else
495                 *(const EVP_MD **)p2 = rctx->md;
496         } else
497             rctx->mgf1md = p2;
498         return 1;
499
500     case EVP_PKEY_CTRL_RSA_OAEP_LABEL:
501         if (rctx->pad_mode != RSA_PKCS1_OAEP_PADDING) {
502             RSAerr(RSA_F_PKEY_RSA_CTRL, RSA_R_INVALID_PADDING_MODE);
503             return -2;
504         }
505         OPENSSL_free(rctx->oaep_label);
506         if (p2 && p1 > 0) {
507             rctx->oaep_label = p2;
508             rctx->oaep_labellen = p1;
509         } else {
510             rctx->oaep_label = NULL;
511             rctx->oaep_labellen = 0;
512         }
513         return 1;
514
515     case EVP_PKEY_CTRL_GET_RSA_OAEP_LABEL:
516         if (rctx->pad_mode != RSA_PKCS1_OAEP_PADDING) {
517             RSAerr(RSA_F_PKEY_RSA_CTRL, RSA_R_INVALID_PADDING_MODE);
518             return -2;
519         }
520         *(unsigned char **)p2 = rctx->oaep_label;
521         return rctx->oaep_labellen;
522
523     case EVP_PKEY_CTRL_DIGESTINIT:
524     case EVP_PKEY_CTRL_PKCS7_ENCRYPT:
525     case EVP_PKEY_CTRL_PKCS7_DECRYPT:
526     case EVP_PKEY_CTRL_PKCS7_SIGN:
527         return 1;
528 #ifndef OPENSSL_NO_CMS
529     case EVP_PKEY_CTRL_CMS_DECRYPT:
530     case EVP_PKEY_CTRL_CMS_ENCRYPT:
531     case EVP_PKEY_CTRL_CMS_SIGN:
532         return 1;
533 #endif
534     case EVP_PKEY_CTRL_PEER_KEY:
535         RSAerr(RSA_F_PKEY_RSA_CTRL,
536                RSA_R_OPERATION_NOT_SUPPORTED_FOR_THIS_KEYTYPE);
537         return -2;
538
539     default:
540         return -2;
541
542     }
543 }
544
545 static int pkey_rsa_ctrl_str(EVP_PKEY_CTX *ctx,
546                              const char *type, const char *value)
547 {
548     if (!value) {
549         RSAerr(RSA_F_PKEY_RSA_CTRL_STR, RSA_R_VALUE_MISSING);
550         return 0;
551     }
552     if (strcmp(type, "rsa_padding_mode") == 0) {
553         int pm;
554         if (strcmp(value, "pkcs1") == 0)
555             pm = RSA_PKCS1_PADDING;
556         else if (strcmp(value, "sslv23") == 0)
557             pm = RSA_SSLV23_PADDING;
558         else if (strcmp(value, "none") == 0)
559             pm = RSA_NO_PADDING;
560         else if (strcmp(value, "oeap") == 0)
561             pm = RSA_PKCS1_OAEP_PADDING;
562         else if (strcmp(value, "oaep") == 0)
563             pm = RSA_PKCS1_OAEP_PADDING;
564         else if (strcmp(value, "x931") == 0)
565             pm = RSA_X931_PADDING;
566         else if (strcmp(value, "pss") == 0)
567             pm = RSA_PKCS1_PSS_PADDING;
568         else {
569             RSAerr(RSA_F_PKEY_RSA_CTRL_STR, RSA_R_UNKNOWN_PADDING_TYPE);
570             return -2;
571         }
572         return EVP_PKEY_CTX_set_rsa_padding(ctx, pm);
573     }
574
575     if (strcmp(type, "rsa_pss_saltlen") == 0) {
576         int saltlen;
577         saltlen = atoi(value);
578         return EVP_PKEY_CTX_set_rsa_pss_saltlen(ctx, saltlen);
579     }
580
581     if (strcmp(type, "rsa_keygen_bits") == 0) {
582         int nbits;
583         nbits = atoi(value);
584         return EVP_PKEY_CTX_set_rsa_keygen_bits(ctx, nbits);
585     }
586
587     if (strcmp(type, "rsa_keygen_pubexp") == 0) {
588         int ret;
589         BIGNUM *pubexp = NULL;
590         if (!BN_asc2bn(&pubexp, value))
591             return 0;
592         ret = EVP_PKEY_CTX_set_rsa_keygen_pubexp(ctx, pubexp);
593         if (ret <= 0)
594             BN_free(pubexp);
595         return ret;
596     }
597
598     if (strcmp(type, "rsa_mgf1_md") == 0) {
599         const EVP_MD *md;
600         if ((md = EVP_get_digestbyname(value)) == NULL) {
601             RSAerr(RSA_F_PKEY_RSA_CTRL_STR, RSA_R_INVALID_DIGEST);
602             return 0;
603         }
604         return EVP_PKEY_CTX_set_rsa_mgf1_md(ctx, md);
605     }
606
607     if (strcmp(type, "rsa_oaep_md") == 0) {
608         const EVP_MD *md;
609         if ((md = EVP_get_digestbyname(value)) == NULL) {
610             RSAerr(RSA_F_PKEY_RSA_CTRL_STR, RSA_R_INVALID_DIGEST);
611             return 0;
612         }
613         return EVP_PKEY_CTX_set_rsa_oaep_md(ctx, md);
614     }
615     if (strcmp(type, "rsa_oaep_label") == 0) {
616         unsigned char *lab;
617         long lablen;
618         int ret;
619         lab = string_to_hex(value, &lablen);
620         if (!lab)
621             return 0;
622         ret = EVP_PKEY_CTX_set0_rsa_oaep_label(ctx, lab, lablen);
623         if (ret <= 0)
624             OPENSSL_free(lab);
625         return ret;
626     }
627
628     return -2;
629 }
630
631 static int pkey_rsa_keygen(EVP_PKEY_CTX *ctx, EVP_PKEY *pkey)
632 {
633     RSA *rsa = NULL;
634     RSA_PKEY_CTX *rctx = ctx->data;
635     BN_GENCB *pcb;
636     int ret;
637     if (rctx->pub_exp == NULL) {
638         rctx->pub_exp = BN_new();
639         if (rctx->pub_exp == NULL || !BN_set_word(rctx->pub_exp, RSA_F4))
640             return 0;
641     }
642     rsa = RSA_new();
643     if (rsa == NULL)
644         return 0;
645     if (ctx->pkey_gencb) {
646         pcb = BN_GENCB_new();
647         if (pcb == NULL) {
648             RSA_free(rsa);
649             return 0;
650         }
651         evp_pkey_set_cb_translate(pcb, ctx);
652     } else
653         pcb = NULL;
654     ret = RSA_generate_key_ex(rsa, rctx->nbits, rctx->pub_exp, pcb);
655     BN_GENCB_free(pcb);
656     if (ret > 0)
657         EVP_PKEY_assign_RSA(pkey, rsa);
658     else
659         RSA_free(rsa);
660     return ret;
661 }
662
663 const EVP_PKEY_METHOD rsa_pkey_meth = {
664     EVP_PKEY_RSA,
665     EVP_PKEY_FLAG_AUTOARGLEN,
666     pkey_rsa_init,
667     pkey_rsa_copy,
668     pkey_rsa_cleanup,
669
670     0, 0,
671
672     0,
673     pkey_rsa_keygen,
674
675     0,
676     pkey_rsa_sign,
677
678     0,
679     pkey_rsa_verify,
680
681     0,
682     pkey_rsa_verifyrecover,
683
684     0, 0, 0, 0,
685
686     0,
687     pkey_rsa_encrypt,
688
689     0,
690     pkey_rsa_decrypt,
691
692     0, 0,
693
694     pkey_rsa_ctrl,
695     pkey_rsa_ctrl_str
696 };