Add dh_kdf support to provider
[openssl.git] / doc / man3 / EVP_PKEY_CTX_ctrl.pod
1 =pod
2
3 =head1 NAME
4
5 EVP_PKEY_CTX_ctrl,
6 EVP_PKEY_CTX_ctrl_str,
7 EVP_PKEY_CTX_ctrl_uint64,
8 EVP_PKEY_CTX_md,
9 EVP_PKEY_CTX_set_signature_md,
10 EVP_PKEY_CTX_get_signature_md,
11 EVP_PKEY_CTX_set_mac_key,
12 EVP_PKEY_CTX_set_group_name,
13 EVP_PKEY_CTX_get_group_name,
14 EVP_PKEY_CTX_set_rsa_padding,
15 EVP_PKEY_CTX_get_rsa_padding,
16 EVP_PKEY_CTX_set_rsa_pss_saltlen,
17 EVP_PKEY_CTX_get_rsa_pss_saltlen,
18 EVP_PKEY_CTX_set_rsa_keygen_bits,
19 EVP_PKEY_CTX_set_rsa_keygen_pubexp,
20 EVP_PKEY_CTX_set_rsa_keygen_primes,
21 EVP_PKEY_CTX_set_rsa_mgf1_md_name,
22 EVP_PKEY_CTX_set_rsa_mgf1_md,
23 EVP_PKEY_CTX_get_rsa_mgf1_md,
24 EVP_PKEY_CTX_get_rsa_mgf1_md_name,
25 EVP_PKEY_CTX_set_rsa_oaep_md_name,
26 EVP_PKEY_CTX_set_rsa_oaep_md,
27 EVP_PKEY_CTX_get_rsa_oaep_md,
28 EVP_PKEY_CTX_get_rsa_oaep_md_name,
29 EVP_PKEY_CTX_set0_rsa_oaep_label,
30 EVP_PKEY_CTX_get0_rsa_oaep_label,
31 EVP_PKEY_CTX_set_dsa_paramgen_bits,
32 EVP_PKEY_CTX_set_dsa_paramgen_q_bits,
33 EVP_PKEY_CTX_set_dsa_paramgen_md,
34 EVP_PKEY_CTX_set_dsa_paramgen_md_props,
35 EVP_PKEY_CTX_set_dsa_paramgen_gindex,
36 EVP_PKEY_CTX_set_dsa_paramgen_type,
37 EVP_PKEY_CTX_set_dsa_paramgen_seed,
38 EVP_PKEY_CTX_set_dh_paramgen_prime_len,
39 EVP_PKEY_CTX_set_dh_paramgen_subprime_len,
40 EVP_PKEY_CTX_set_dh_paramgen_generator,
41 EVP_PKEY_CTX_set_dh_paramgen_type,
42 EVP_PKEY_CTX_set_dh_paramgen_gindex,
43 EVP_PKEY_CTX_set_dh_paramgen_seed,
44 EVP_PKEY_CTX_set_dh_rfc5114,
45 EVP_PKEY_CTX_set_dhx_rfc5114,
46 EVP_PKEY_CTX_set_dh_pad,
47 EVP_PKEY_CTX_set_dh_nid,
48 EVP_PKEY_CTX_set_dh_kdf_type,
49 EVP_PKEY_CTX_get_dh_kdf_type,
50 EVP_PKEY_CTX_set0_dh_kdf_oid,
51 EVP_PKEY_CTX_get0_dh_kdf_oid,
52 EVP_PKEY_CTX_set_dh_kdf_md,
53 EVP_PKEY_CTX_get_dh_kdf_md,
54 EVP_PKEY_CTX_set_dh_kdf_outlen,
55 EVP_PKEY_CTX_get_dh_kdf_outlen,
56 EVP_PKEY_CTX_set0_dh_kdf_ukm,
57 EVP_PKEY_CTX_get0_dh_kdf_ukm,
58 EVP_PKEY_CTX_set_ec_paramgen_curve_nid,
59 EVP_PKEY_CTX_set_ec_param_enc,
60 EVP_PKEY_CTX_set_ecdh_cofactor_mode,
61 EVP_PKEY_CTX_get_ecdh_cofactor_mode,
62 EVP_PKEY_CTX_set_ecdh_kdf_type,
63 EVP_PKEY_CTX_get_ecdh_kdf_type,
64 EVP_PKEY_CTX_set_ecdh_kdf_md,
65 EVP_PKEY_CTX_get_ecdh_kdf_md,
66 EVP_PKEY_CTX_set_ecdh_kdf_outlen,
67 EVP_PKEY_CTX_get_ecdh_kdf_outlen,
68 EVP_PKEY_CTX_set0_ecdh_kdf_ukm,
69 EVP_PKEY_CTX_get0_ecdh_kdf_ukm,
70 EVP_PKEY_CTX_set1_id, EVP_PKEY_CTX_get1_id, EVP_PKEY_CTX_get1_id_len
71 - algorithm specific control operations
72
73 =head1 SYNOPSIS
74
75  #include <openssl/evp.h>
76
77  int EVP_PKEY_CTX_ctrl(EVP_PKEY_CTX *ctx, int keytype, int optype,
78                        int cmd, int p1, void *p2);
79  int EVP_PKEY_CTX_ctrl_uint64(EVP_PKEY_CTX *ctx, int keytype, int optype,
80                               int cmd, uint64_t value);
81  int EVP_PKEY_CTX_ctrl_str(EVP_PKEY_CTX *ctx, const char *type,
82                            const char *value);
83
84  int EVP_PKEY_CTX_md(EVP_PKEY_CTX *ctx, int optype, int cmd, const char *md);
85
86  int EVP_PKEY_CTX_set_signature_md(EVP_PKEY_CTX *ctx, const EVP_MD *md);
87  int EVP_PKEY_CTX_get_signature_md(EVP_PKEY_CTX *ctx, const EVP_MD **pmd);
88
89  int EVP_PKEY_CTX_set_mac_key(EVP_PKEY_CTX *ctx, const unsigned char *key,
90                               int len);
91  int EVP_PKEY_CTX_set_group_name(EVP_PKEY_CTX *ctx, const char *name);
92  int EVP_PKEY_CTX_get_group_name(EVP_PKEY_CTX *ctx, char *name, size_t namelen);
93
94  #include <openssl/rsa.h>
95
96  int EVP_PKEY_CTX_set_rsa_padding(EVP_PKEY_CTX *ctx, int pad);
97  int EVP_PKEY_CTX_get_rsa_padding(EVP_PKEY_CTX *ctx, int *pad);
98  int EVP_PKEY_CTX_set_rsa_pss_saltlen(EVP_PKEY_CTX *ctx, int saltlen);
99  int EVP_PKEY_CTX_get_rsa_pss_saltlen(EVP_PKEY_CTX *ctx, int *saltlen);
100  int EVP_PKEY_CTX_set_rsa_keygen_bits(EVP_PKEY_CTX *ctx, int mbits);
101  int EVP_PKEY_CTX_set_rsa_keygen_pubexp(EVP_PKEY_CTX *ctx, BIGNUM *pubexp);
102  int EVP_PKEY_CTX_set_rsa_keygen_primes(EVP_PKEY_CTX *ctx, int primes);
103  int EVP_PKEY_CTX_set_rsa_mgf1_md_name(EVP_PKEY_CTX *ctx, const char *mdname,
104                                      const char *mdprops);
105  int EVP_PKEY_CTX_set_rsa_mgf1_md(EVP_PKEY_CTX *ctx, const EVP_MD *md);
106  int EVP_PKEY_CTX_get_rsa_mgf1_md(EVP_PKEY_CTX *ctx, const EVP_MD **md);
107  int EVP_PKEY_CTX_get_rsa_mgf1_md_name(EVP_PKEY_CTX *ctx, char *name,
108                                        size_t namelen);
109  int EVP_PKEY_CTX_set_rsa_oaep_md_name(EVP_PKEY_CTX *ctx, const char *mdname,
110                                        const char *mdprops);
111  int EVP_PKEY_CTX_set_rsa_oaep_md(EVP_PKEY_CTX *ctx, const EVP_MD *md);
112  int EVP_PKEY_CTX_get_rsa_oaep_md(EVP_PKEY_CTX *ctx, const EVP_MD **md);
113  int EVP_PKEY_CTX_get_rsa_oaep_md_name(EVP_PKEY_CTX *ctx, char *name,
114                                        size_t namelen);
115  int EVP_PKEY_CTX_set0_rsa_oaep_label(EVP_PKEY_CTX *ctx, unsigned char *label,
116                                       int len);
117  int EVP_PKEY_CTX_get0_rsa_oaep_label(EVP_PKEY_CTX *ctx, unsigned char **label);
118
119  #include <openssl/dsa.h>
120
121  int EVP_PKEY_CTX_set_dsa_paramgen_bits(EVP_PKEY_CTX *ctx, int nbits);
122  int EVP_PKEY_CTX_set_dsa_paramgen_q_bits(EVP_PKEY_CTX *ctx, int qbits);
123  int EVP_PKEY_CTX_set_dsa_paramgen_md(EVP_PKEY_CTX *ctx, const EVP_MD *md);
124  int EVP_PKEY_CTX_set_dsa_paramgen_md_props(EVP_PKEY_CTX *ctx,
125                                             const char *md_name,
126                                             const char *md_properties);
127  int EVP_PKEY_CTX_set_dsa_paramgen_type(EVP_PKEY_CTX *ctx, const char *name);
128  int EVP_PKEY_CTX_set_dsa_paramgen_gindex(EVP_PKEY_CTX *ctx, int gindex);
129  int EVP_PKEY_CTX_set_dsa_paramgen_seed(EVP_PKEY_CTX *ctx,
130                                         const unsigned char *seed,
131                                         size_t seedlen);
132
133  #include <openssl/dh.h>
134
135  int EVP_PKEY_CTX_set_dh_paramgen_prime_len(EVP_PKEY_CTX *ctx, int len);
136  int EVP_PKEY_CTX_set_dh_paramgen_subprime_len(EVP_PKEY_CTX *ctx, int len);
137  int EVP_PKEY_CTX_set_dh_paramgen_generator(EVP_PKEY_CTX *ctx, int gen);
138  int EVP_PKEY_CTX_set_dh_paramgen_type(EVP_PKEY_CTX *ctx, int type);
139  int EVP_PKEY_CTX_set_dh_pad(EVP_PKEY_CTX *ctx, int pad);
140  int EVP_PKEY_CTX_set_dh_nid(EVP_PKEY_CTX *ctx, int nid);
141  int EVP_PKEY_CTX_set_dh_rfc5114(EVP_PKEY_CTX *ctx, int rfc5114);
142  int EVP_PKEY_CTX_set_dhx_rfc5114(EVP_PKEY_CTX *ctx, int rfc5114);
143  int EVP_PKEY_CTX_set_dh_paramgen_gindex(EVP_PKEY_CTX *ctx, int gindex);
144  int EVP_PKEY_CTX_set_dh_paramgen_seed(EVP_PKEY_CTX *ctx,
145                                         const unsigned char *seed,
146                                         size_t seedlen);
147  int EVP_PKEY_CTX_set_dh_kdf_type(EVP_PKEY_CTX *ctx, int kdf);
148  int EVP_PKEY_CTX_get_dh_kdf_type(EVP_PKEY_CTX *ctx);
149  int EVP_PKEY_CTX_set0_dh_kdf_oid(EVP_PKEY_CTX *ctx, ASN1_OBJECT *oid);
150  int EVP_PKEY_CTX_get0_dh_kdf_oid(EVP_PKEY_CTX *ctx, ASN1_OBJECT **oid);
151  int EVP_PKEY_CTX_set_dh_kdf_md(EVP_PKEY_CTX *ctx, const EVP_MD *md);
152  int EVP_PKEY_CTX_get_dh_kdf_md(EVP_PKEY_CTX *ctx, const EVP_MD **md);
153  int EVP_PKEY_CTX_set_dh_kdf_outlen(EVP_PKEY_CTX *ctx, int len);
154  int EVP_PKEY_CTX_get_dh_kdf_outlen(EVP_PKEY_CTX *ctx, int *len);
155  int EVP_PKEY_CTX_set0_dh_kdf_ukm(EVP_PKEY_CTX *ctx, unsigned char *ukm, int len);
156  int EVP_PKEY_CTX_get0_dh_kdf_ukm(EVP_PKEY_CTX *ctx, unsigned char **ukm);
157
158  #include <openssl/ec.h>
159
160  int EVP_PKEY_CTX_set_ec_paramgen_curve_nid(EVP_PKEY_CTX *ctx, int nid);
161  int EVP_PKEY_CTX_set_ec_param_enc(EVP_PKEY_CTX *ctx, int param_enc);
162  int EVP_PKEY_CTX_set_ecdh_cofactor_mode(EVP_PKEY_CTX *ctx, int cofactor_mode);
163  int EVP_PKEY_CTX_get_ecdh_cofactor_mode(EVP_PKEY_CTX *ctx);
164  int EVP_PKEY_CTX_set_ecdh_kdf_type(EVP_PKEY_CTX *ctx, int kdf);
165  int EVP_PKEY_CTX_get_ecdh_kdf_type(EVP_PKEY_CTX *ctx);
166  int EVP_PKEY_CTX_set_ecdh_kdf_md(EVP_PKEY_CTX *ctx, const EVP_MD *md);
167  int EVP_PKEY_CTX_get_ecdh_kdf_md(EVP_PKEY_CTX *ctx, const EVP_MD **md);
168  int EVP_PKEY_CTX_set_ecdh_kdf_outlen(EVP_PKEY_CTX *ctx, int len);
169  int EVP_PKEY_CTX_get_ecdh_kdf_outlen(EVP_PKEY_CTX *ctx, int *len);
170  int EVP_PKEY_CTX_set0_ecdh_kdf_ukm(EVP_PKEY_CTX *ctx, unsigned char *ukm, int len);
171  int EVP_PKEY_CTX_get0_ecdh_kdf_ukm(EVP_PKEY_CTX *ctx, unsigned char **ukm);
172
173  int EVP_PKEY_CTX_set1_id(EVP_PKEY_CTX *ctx, void *id, size_t id_len);
174  int EVP_PKEY_CTX_get1_id(EVP_PKEY_CTX *ctx, void *id);
175  int EVP_PKEY_CTX_get1_id_len(EVP_PKEY_CTX *ctx, size_t *id_len);
176
177 =head1 DESCRIPTION
178
179 The function EVP_PKEY_CTX_ctrl() sends a control operation to the context
180 I<ctx>. The key type used must match I<keytype> if it is not -1. The parameter
181 I<optype> is a mask indicating which operations the control can be applied to.
182 The control command is indicated in I<cmd> and any additional arguments in
183 I<p1> and I<p2>.
184
185 For I<cmd> = B<EVP_PKEY_CTRL_SET_MAC_KEY>, I<p1> is the length of the MAC key,
186 and I<p2> is the MAC key. This is used by Poly1305, SipHash, HMAC and CMAC.
187
188 Applications will not normally call EVP_PKEY_CTX_ctrl() directly but will
189 instead call one of the algorithm specific macros below.
190
191 The function EVP_PKEY_CTX_ctrl_uint64() is a wrapper that directly passes a
192 uint64 value as I<p2> to EVP_PKEY_CTX_ctrl().
193
194 The function EVP_PKEY_CTX_ctrl_str() allows an application to send an algorithm
195 specific control operation to a context I<ctx> in string form. This is
196 intended to be used for options specified on the command line or in text
197 files. The commands supported are documented in the openssl utility
198 command line pages for the option I<-pkeyopt> which is supported by the
199 I<pkeyutl>, I<genpkey> and I<req> commands.
200
201 The function EVP_PKEY_CTX_md() sends a message digest control operation
202 to the context I<ctx>. The message digest is specified by its name I<md>.
203
204 The EVP_PKEY_CTX_set_signature_md() function sets the message digest type used
205 in a signature. It can be used in the RSA, DSA and ECDSA algorithms.
206
207 The EVP_PKEY_CTX_get_signature_md() function gets the message digest type used
208 in a signature. It can be used in the RSA, DSA and ECDSA algorithms.
209
210 All the remaining "functions" are implemented as macros.
211
212 Key generation typically involves setting up parameters to be used and
213 generating the private and public key data. Some algorithm implementations
214 allow private key data to be set explicitly using the EVP_PKEY_CTX_set_mac_key()
215 macro. In this case key generation is simply the process of setting up the
216 parameters for the key and then setting the raw key data to the value explicitly
217 provided by that macro. Normally applications would call
218 L<EVP_PKEY_new_raw_private_key(3)> or similar functions instead of this macro.
219
220 The EVP_PKEY_CTX_set_mac_key() macro can be used with any of the algorithms
221 supported by the L<EVP_PKEY_new_raw_private_key(3)> function.
222
223 EVP_PKEY_CTX_set_group_name() sets the group name to I<name> for parameter and
224 key generation. For example for EC keys this will set the curve name and for
225 DH keys it will set the name of the finite field group.
226
227 EVP_PKEY_CTX_get_group_name() finds the group name that's currently
228 set with I<ctx>, and writes it to the location that I<name> points at, as long
229 as its size I<namelen> is large enough to store that name, including a
230 terminating NUL byte.
231
232 =head2 RSA parameters
233
234 The EVP_PKEY_CTX_set_rsa_padding() function sets the RSA padding mode for I<ctx>.
235 The I<pad> parameter can take the value B<RSA_PKCS1_PADDING> for PKCS#1
236 padding, B<RSA_SSLV23_PADDING> for SSLv23 padding, B<RSA_NO_PADDING> for
237 no padding, B<RSA_PKCS1_OAEP_PADDING> for OAEP padding (encrypt and
238 decrypt only), B<RSA_X931_PADDING> for X9.31 padding (signature operations
239 only), B<RSA_PKCS1_PSS_PADDING> (sign and verify only) and
240 B<RSA_PKCS1_WITH_TLS_PADDING> for TLS RSA ClientKeyExchange message padding
241 (decryption only).
242
243 Two RSA padding modes behave differently if EVP_PKEY_CTX_set_signature_md()
244 is used. If this macro is called for PKCS#1 padding the plaintext buffer is
245 an actual digest value and is encapsulated in a DigestInfo structure according
246 to PKCS#1 when signing and this structure is expected (and stripped off) when
247 verifying. If this control is not used with RSA and PKCS#1 padding then the
248 supplied data is used directly and not encapsulated. In the case of X9.31
249 padding for RSA the algorithm identifier byte is added or checked and removed
250 if this control is called. If it is not called then the first byte of the plaintext
251 buffer is expected to be the algorithm identifier byte.
252
253 The EVP_PKEY_CTX_get_rsa_padding() function gets the RSA padding mode for I<ctx>.
254
255 The EVP_PKEY_CTX_set_rsa_pss_saltlen() function sets the RSA PSS salt
256 length to I<saltlen>. As its name implies it is only supported for PSS
257 padding. If this function is not called then the maximum salt length
258 is used when signing and auto detection when verifying. Three special
259 values are supported:
260
261 =over 4
262
263 =item B<RSA_PSS_SALTLEN_DIGEST>
264
265 sets the salt length to the digest length.
266
267 =item B<RSA_PSS_SALTLEN_MAX>
268
269 sets the salt length to the maximum permissible value.
270
271 =item B<RSA_PSS_SALTLEN_AUTO>
272
273 causes the salt length to be automatically determined based on the
274 B<PSS> block structure when verifying.  When signing, it has the same
275 meaning as B<RSA_PSS_SALTLEN_MAX>.
276
277 =back
278
279 The EVP_PKEY_CTX_get_rsa_pss_saltlen() function gets the RSA PSS salt length
280 for I<ctx>. The padding mode must already have been set to
281 B<RSA_PKCS1_PSS_PADDING>.
282
283 The EVP_PKEY_CTX_set_rsa_keygen_bits() macro sets the RSA key length for
284 RSA key generation to I<bits>. If not specified 2048 bits is used.
285
286 The EVP_PKEY_CTX_set_rsa_keygen_pubexp() macro sets the public exponent value
287 for RSA key generation to I<pubexp>. Currently it should be an odd integer. The
288 I<pubexp> pointer is used internally by this function so it should not be
289 modified or freed after the call. If not specified 65537 is used.
290
291 The EVP_PKEY_CTX_set_rsa_keygen_primes() macro sets the number of primes for
292 RSA key generation to I<primes>. If not specified 2 is used.
293
294 The EVP_PKEY_CTX_set_rsa_mgf1_md_name() function sets the MGF1 digest for RSA
295 padding schemes to the digest named I<mdname>. If the RSA algorithm
296 implementation for the selected provider supports it then the digest will be
297 fetched using the properties I<mdprops>. If not explicitly set the signing
298 digest is used. The padding mode must have been set to B<RSA_PKCS1_OAEP_PADDING>
299 or B<RSA_PKCS1_PSS_PADDING>.
300
301 The EVP_PKEY_CTX_set_rsa_mgf1_md() function does the same as
302 EVP_PKEY_CTX_set_rsa_mgf1_md_name() except that the name of the digest is
303 inferred from the supplied I<md> and it is not possible to specify any
304 properties.
305
306 The EVP_PKEY_CTX_get_rsa_mgf1_md_name() function gets the name of the MGF1
307 digest algorithm for I<ctx>. If not explicitly set the signing digest is used.
308 The padding mode must have been set to B<RSA_PKCS1_OAEP_PADDING> or
309 B<RSA_PKCS1_PSS_PADDING>.
310
311 The EVP_PKEY_CTX_get_rsa_mgf1_md() function does the same as
312 EVP_PKEY_CTX_get_rsa_mgf1_md_name() except that it returns a pointer to an
313 EVP_MD object instead. Note that only known, built-in EVP_MD objects will be
314 returned. The EVP_MD object may be NULL if the digest is not one of these (such
315 as a digest only implemented in a third party provider).
316
317 The EVP_PKEY_CTX_set_rsa_oaep_md_name() function sets the message digest type
318 used in RSA OAEP to the digest named I<mdname>.  If the RSA algorithm
319 implementation for the selected provider supports it then the digest will be
320 fetched using the properties I<mdprops>. The padding mode must have been set to
321 B<RSA_PKCS1_OAEP_PADDING>.
322
323 The EVP_PKEY_CTX_set_rsa_oaep_md() function does the same as
324 EVP_PKEY_CTX_set_rsa_oaep_md_name() except that the name of the digest is
325 inferred from the supplied I<md> and it is not possible to specify any
326 properties.
327
328 The EVP_PKEY_CTX_get_rsa_oaep_md_name() function gets the message digest
329 algorithm name used in RSA OAEP and stores it in the buffer I<name> which is of
330 size I<namelen>. The padding mode must have been set to
331 B<RSA_PKCS1_OAEP_PADDING>. The buffer should be sufficiently large for any
332 expected digest algorithm names or the function will fail.
333
334 The EVP_PKEY_CTX_get_rsa_oaep_md() function does the same as
335 EVP_PKEY_CTX_get_rsa_oaep_md_name() except that it returns a pointer to an
336 EVP_MD object instead. Note that only known, built-in EVP_MD objects will be
337 returned. The EVP_MD object may be NULL if the digest is not one of these (such
338 as a digest only implemented in a third party provider).
339
340 The EVP_PKEY_CTX_set0_rsa_oaep_label() function sets the RSA OAEP label to
341 I<label> and its length to I<len>. If I<label> is NULL or I<len> is 0,
342 the label is cleared. The library takes ownership of the label so the
343 caller should not free the original memory pointed to by I<label>.
344 The padding mode must have been set to B<RSA_PKCS1_OAEP_PADDING>.
345
346 The EVP_PKEY_CTX_get0_rsa_oaep_label() function gets the RSA OAEP label to
347 I<label>. The return value is the label length. The padding mode
348 must have been set to B<RSA_PKCS1_OAEP_PADDING>. The resulting pointer is owned
349 by the library and should not be freed by the caller.
350
351 B<RSA_PKCS1_WITH_TLS_PADDING> is used when decrypting an RSA encrypted TLS
352 pre-master secret in a TLS ClientKeyExchange message. It is the same as
353 RSA_PKCS1_PADDING except that it additionally verifies that the result is the
354 correct length and the first two bytes are the protocol version initially
355 requested by the client. If the encrypted content is publicly invalid then the
356 decryption will fail. However, if the padding checks fail then decryption will
357 still appear to succeed but a random TLS premaster secret will be returned
358 instead. This padding mode accepts two parameters which can be set using the
359 L<EVP_PKEY_CTX_set_params(3)> function. These are
360 OSSL_ASYM_CIPHER_PARAM_TLS_CLIENT_VERSION and
361 OSSL_ASYM_CIPHER_PARAM_TLS_NEGOTIATED_VERSION, both of which are expected to be
362 unsigned integers. Normally only the first of these will be set and represents
363 the TLS protocol version that was first requested by the client (e.g. 0x0303 for
364 TLSv1.2, 0x0302 for TLSv1.1 etc). Historically some buggy clients would use the
365 negotiated protocol version instead of the protocol version first requested. If
366 this behaviour should be tolerated then
367 OSSL_ASYM_CIPHER_PARAM_TLS_NEGOTIATED_VERSION should be set to the actual
368 negotiated protocol version. Otherwise it should be left unset.
369
370 =head2 DSA parameters
371
372 The EVP_PKEY_CTX_set_dsa_paramgen_bits() method sets the number of bits used
373 for DSA parameter generation to I<nbits>. If not specified, 2048 is used.
374
375 The EVP_PKEY_CTX_set_dsa_paramgen_q_bits() method sets the number of bits in the
376 subprime parameter I<q> for DSA parameter generation to I<qbits>. If not
377 specified, 224 is used. If a digest function is specified below, this parameter
378 is ignored and instead, the number of bits in I<q> matches the size of the
379 digest.
380
381 The EVP_PKEY_CTX_set_dsa_paramgen_md() method sets the digest function used for
382 DSA parameter generation to I<md>. If not specified, one of SHA-1, SHA-224, or
383 SHA-256 is selected to match the bit length of I<q> above.
384
385 The EVP_PKEY_CTX_set_dsa_paramgen_md_props() method sets the digest function
386 used for DSA parameter generation using I<md_name> and I<md_properties> to
387 retrieve the digest from a provider.
388 If not specified, I<md_name> will be set to one of SHA-1, SHA-224, or
389 SHA-256 depending on the bit length of I<q> above. I<md_properties> is a
390 property query string that has a default value of '' if not specified.
391
392 The EVP_PKEY_CTX_set_dsa_paramgen_gindex() method sets the I<gindex> used by
393 the generator G. The default value is -1 which uses unverifiable g, otherwise
394 a positive value uses verifiable g. This value must be saved if key validation
395 of g is required, since it is not part of a persisted key.
396
397 The EVP_PKEY_CTX_set_dsa_paramgen_seed() method sets the I<seed> to use for
398 generation rather than using a randomly generated value for the seed. This is
399 useful for testing purposes only and can fail if the seed does not produce
400 primes for both p & q on its first iteration. This value must be saved if
401 key validation of p, q, and verifiable g are required, since it is not part of
402 a persisted key.
403
404 The EVP_PKEY_CTX_set_dsa_paramgen_type() method sets the generation type to
405 use FIPS186-4 generation if I<name> is "fips186_4", or FIPS186-2 generation if
406 I<name> is "fips186_2". The default value is "fips186_4".
407
408 =head2 DH parameters
409
410 The EVP_PKEY_CTX_set_dh_paramgen_prime_len() macro sets the length of the DH
411 prime parameter I<p> for DH parameter generation. If this macro is not called
412 then 2048 is used. Only accepts lengths greater than or equal to 256.
413
414 The EVP_PKEY_CTX_set_dh_paramgen_subprime_len() macro sets the length of the DH
415 optional subprime parameter I<q> for DH parameter generation. The default is
416 256 if the prime is at least 2048 bits long or 160 otherwise. The DH
417 paramgen type must have been set to "fips186_4".
418
419 The EVP_PKEY_CTX_set_dh_paramgen_generator() macro sets DH generator to I<gen>
420 for DH parameter generation. If not specified 2 is used.
421
422 The EVP_PKEY_CTX_set_dh_paramgen_type() macro sets the key type for DH
423 parameter generation. The supported parameters are:
424
425 =over 4
426
427 =item B<DH_PARAMGEN_TYPE_GROUP>
428
429 Use a named group. If only the safe prime parameter I<p> is set this can be
430 used to select a ffdhe safe prime group of the correct size.
431
432 =item B<DH_PARAMGEN_TYPE_FIPS_186_4>
433
434 FIPS186-4 FFC parameter generator.
435
436 =item B<DH_PARAMGEN_TYPE_FIPS_186_2>
437
438 FIPS186-2 FFC parameter generator (X9.42 DH).
439
440 =item B<DH_PARAMGEN_TYPE_GENERATOR>
441
442 Uses a safe prime generator g (PKCS#3 format).
443
444 =back
445
446 The default is B<DH_PARAMGEN_TYPE_GENERATOR>.
447
448 The EVP_PKEY_CTX_set_dh_paramgen_gindex() method sets the I<gindex> used by
449 the generator G. The default value is -1 which uses unverifiable g, otherwise
450 a positive value uses verifiable g. This value must be saved if key validation
451 of g is required, since it is not part of a persisted key.
452
453 The EVP_PKEY_CTX_set_dh_paramgen_seed() method sets the I<seed> to use for
454 generation rather than using a randomly generated value for the seed. This is
455 useful for testing purposes only and can fail if the seed does not produce
456 primes for both p & q on its first iteration. This value must be saved if
457 key validation of p, q, and verifiable g are required, since it is not part of
458 a persisted key.
459
460 The EVP_PKEY_CTX_set_dh_pad() function sets the DH padding mode.
461 If I<pad> is 1 the shared secret is padded with zeros up to the size of the DH
462 prime I<p>.
463 If I<pad> is zero (the default) then no padding is performed.
464
465 EVP_PKEY_CTX_set_dh_nid() sets the DH parameters to values corresponding to
466 I<nid> as defined in RFC7919 or RFC3526. The I<nid> parameter must be
467 B<NID_ffdhe2048>, B<NID_ffdhe3072>, B<NID_ffdhe4096>, B<NID_ffdhe6144>,
468 B<NID_ffdhe8192>, B<NID_modp_1536>, B<NID_modp_2048>, B<NID_modp_3072>,
469 B<NID_modp_4096>, B<NID_modp_6144>, B<NID_modp_8192> or B<NID_undef> to clear
470 the stored value. This macro can be called during parameter or key generation.
471 The nid parameter and the rfc5114 parameter are mutually exclusive.
472
473 The EVP_PKEY_CTX_set_dh_rfc5114() and EVP_PKEY_CTX_set_dhx_rfc5114() macros are
474 synonymous. They set the DH parameters to the values defined in RFC5114. The
475 I<rfc5114> parameter must be 1, 2 or 3 corresponding to RFC5114 sections
476 2.1, 2.2 and 2.3. or 0 to clear the stored value. This macro can be called
477 during parameter generation. The I<ctx> must have a key type of
478 B<EVP_PKEY_DHX>.
479 The rfc5114 parameter and the nid parameter are mutually exclusive.
480
481 =head2 DH key derivation function parameters
482
483 Note that all of the following functions require that the I<ctx> parameter has
484 a private key type of B<EVP_PKEY_DHX>. When using key derivation, the output of
485 EVP_PKEY_derive() is the output of the KDF instead of the DH shared secret.
486 The KDF output is typically used as a Key Encryption Key (KEK) that in turn
487 encrypts a Content Encryption Key (CEK).
488
489 The EVP_PKEY_CTX_set_dh_kdf_type() method sets the key derivation function type
490 to I<kdf> for DH key derivation. Possible values are B<EVP_PKEY_DH_KDF_NONE>
491 and B<EVP_PKEY_DH_KDF_X9_42> which uses the key derivation specified in RFC2631
492 (based on the keying algorithm described in X9.42). When using key derivation,
493 the I<kdf_oid>, I<kdf_md> and I<kdf_outlen> parameters must also be specified.
494
495 The EVP_PKEY_CTX_get_dh_kdf_type() method gets the key derivation function type
496 for I<ctx> used for DH key derivation. Possible values are B<EVP_PKEY_DH_KDF_NONE>
497 and B<EVP_PKEY_DH_KDF_X9_42>.
498
499 The EVP_PKEY_CTX_set0_dh_kdf_oid() method sets the key derivation function
500 object identifier to I<oid> for DH key derivation. This OID should identify
501 the algorithm to be used with the Content Encryption Key.
502 The library takes ownership of the object identifier so the caller should not
503 free the original memory pointed to by I<oid>.
504
505 The EVP_PKEY_CTX_get0_dh_kdf_oid() method gets the key derivation function oid
506 for I<ctx> used for DH key derivation. The resulting pointer is owned by the
507 library and should not be freed by the caller.
508
509 The EVP_PKEY_CTX_set_dh_kdf_md() method sets the key derivation function
510 message digest to I<md> for DH key derivation. Note that RFC2631 specifies
511 that this digest should be SHA1 but OpenSSL tolerates other digests.
512
513 The EVP_PKEY_CTX_get_dh_kdf_md() method gets the key derivation function
514 message digest for I<ctx> used for DH key derivation.
515
516 The EVP_PKEY_CTX_set_dh_kdf_outlen() method sets the key derivation function
517 output length to I<len> for DH key derivation.
518
519 The EVP_PKEY_CTX_get_dh_kdf_outlen() method gets the key derivation function
520 output length for I<ctx> used for DH key derivation.
521
522 The EVP_PKEY_CTX_set0_dh_kdf_ukm() method sets the user key material to
523 I<ukm> and its length to I<len> for DH key derivation. This parameter is optional
524 and corresponds to the partyAInfo field in RFC2631 terms. The specification
525 requires that it is 512 bits long but this is not enforced by OpenSSL.
526 The library takes ownership of the user key material so the caller should not
527 free the original memory pointed to by I<ukm>.
528
529 The EVP_PKEY_CTX_get0_dh_kdf_ukm() method gets the user key material for I<ctx>.
530 The return value is the user key material length. The resulting pointer is owned
531 by the library and should not be freed by the caller.
532
533 =head2 EC parameters
534
535 Use EVP_PKEY_CTX_set_group_name() (described above) to set the curve name to
536 I<name> for parameter and key generation.
537
538 EVP_PKEY_CTX_set_ec_paramgen_curve_nid() does the same as
539 EVP_PKEY_CTX_set_group_name(), but is specific to EC and uses a I<nid> rather
540 than a name string.
541
542 For EC parameter generation, one of EVP_PKEY_CTX_set_group_name()
543 or EVP_PKEY_CTX_set_ec_paramgen_curve_nid() must be called or an error occurs
544 because there is no default curve.
545 These function can also be called to set the curve explicitly when
546 generating an EC key.
547
548 EVP_PKEY_CTX_get_group_name() (described above) can be used to obtain the curve
549 name that's currently set with I<ctx>.
550
551 The EVP_PKEY_CTX_set_ec_param_enc() macro sets the EC parameter encoding to
552 I<param_enc> when generating EC parameters or an EC key. The encoding can be
553 B<OPENSSL_EC_EXPLICIT_CURVE> for explicit parameters (the default in versions
554 of OpenSSL before 1.1.0) or B<OPENSSL_EC_NAMED_CURVE> to use named curve form.
555 For maximum compatibility the named curve form should be used. Note: the
556 B<OPENSSL_EC_NAMED_CURVE> value was added in OpenSSL 1.1.0; previous
557 versions should use 0 instead.
558
559 =head2 ECDH parameters
560
561 The EVP_PKEY_CTX_set_ecdh_cofactor_mode() macro sets the cofactor mode to
562 I<cofactor_mode> for ECDH key derivation. Possible values are 1 to enable
563 cofactor key derivation, 0 to disable it and -1 to clear the stored cofactor
564 mode and fallback to the private key cofactor mode.
565
566 The EVP_PKEY_CTX_get_ecdh_cofactor_mode() macro returns the cofactor mode for
567 I<ctx> used for ECDH key derivation. Possible values are 1 when cofactor key
568 derivation is enabled and 0 otherwise.
569
570 =head2 ECDH key derivation function parameters
571
572 The EVP_PKEY_CTX_set_ecdh_kdf_type() macro sets the key derivation function type
573 to I<kdf> for ECDH key derivation. Possible values are B<EVP_PKEY_ECDH_KDF_NONE>
574 and B<EVP_PKEY_ECDH_KDF_X9_63> which uses the key derivation specified in X9.63.
575 When using key derivation, the I<kdf_md> and I<kdf_outlen> parameters must
576 also be specified.
577
578 The EVP_PKEY_CTX_get_ecdh_kdf_type() macro returns the key derivation function
579 type for I<ctx> used for ECDH key derivation. Possible values are
580 B<EVP_PKEY_ECDH_KDF_NONE> and B<EVP_PKEY_ECDH_KDF_X9_63>.
581
582 The EVP_PKEY_CTX_set_ecdh_kdf_md() macro sets the key derivation function
583 message digest to I<md> for ECDH key derivation. Note that X9.63 specifies
584 that this digest should be SHA1 but OpenSSL tolerates other digests.
585
586 The EVP_PKEY_CTX_get_ecdh_kdf_md() macro gets the key derivation function
587 message digest for I<ctx> used for ECDH key derivation.
588
589 The EVP_PKEY_CTX_set_ecdh_kdf_outlen() macro sets the key derivation function
590 output length to I<len> for ECDH key derivation.
591
592 The EVP_PKEY_CTX_get_ecdh_kdf_outlen() macro gets the key derivation function
593 output length for I<ctx> used for ECDH key derivation.
594
595 The EVP_PKEY_CTX_set0_ecdh_kdf_ukm() macro sets the user key material to I<ukm>
596 for ECDH key derivation. This parameter is optional and corresponds to the
597 shared info in X9.63 terms. The library takes ownership of the user key material
598 so the caller should not free the original memory pointed to by I<ukm>.
599
600 The EVP_PKEY_CTX_get0_ecdh_kdf_ukm() macro gets the user key material for I<ctx>.
601 The return value is the user key material length. The resulting pointer is owned
602 by the library and should not be freed by the caller.
603
604 =head2 Other parameters
605
606 The EVP_PKEY_CTX_set1_id(), EVP_PKEY_CTX_get1_id() and EVP_PKEY_CTX_get1_id_len()
607 macros are used to manipulate the special identifier field for specific signature
608 algorithms such as SM2. The EVP_PKEY_CTX_set1_id() sets an ID pointed by I<id> with
609 the length I<id_len> to the library. The library takes a copy of the id so that
610 the caller can safely free the original memory pointed to by I<id>. The
611 EVP_PKEY_CTX_get1_id_len() macro returns the length of the ID set via a previous
612 call to EVP_PKEY_CTX_set1_id(). The length is usually used to allocate adequate
613 memory for further calls to EVP_PKEY_CTX_get1_id(). The EVP_PKEY_CTX_get1_id()
614 macro returns the previously set ID value to caller in I<id>. The caller should
615 allocate adequate memory space for the I<id> before calling EVP_PKEY_CTX_get1_id().
616
617 =head1 RETURN VALUES
618
619 All other functions and macros described on this page return a positive value
620 for success and 0 or a negative value for failure. In particular a return value
621 of -2 indicates the operation is not supported by the public key algorithm.
622
623 =head1 SEE ALSO
624
625 L<EVP_PKEY_CTX_set_params(3)>,
626 L<EVP_PKEY_CTX_new(3)>,
627 L<EVP_PKEY_encrypt(3)>,
628 L<EVP_PKEY_decrypt(3)>,
629 L<EVP_PKEY_sign(3)>,
630 L<EVP_PKEY_verify(3)>,
631 L<EVP_PKEY_verify_recover(3)>,
632 L<EVP_PKEY_derive(3)>,
633 L<EVP_PKEY_keygen(3)>
634
635 =head1 HISTORY
636
637 EVP_PKEY_CTX_get_signature_md(), EVP_PKEY_CTX_set_signature_md(),
638 EVP_PKEY_CTX_set_dh_pad(), EVP_PKEY_CTX_set_rsa_padding(),
639 EVP_PKEY_CTX_get_rsa_padding(), EVP_PKEY_CTX_get_rsa_mgf1_md(),
640 EVP_PKEY_CTX_set_rsa_mgf1_md(), EVP_PKEY_CTX_set_rsa_oaep_md(),
641 EVP_PKEY_CTX_get_rsa_oaep_md(), EVP_PKEY_CTX_set0_rsa_oaep_label(),
642 EVP_PKEY_CTX_get0_rsa_oaep_label(), EVP_PKEY_CTX_set_rsa_pss_saltlen(),
643 EVP_PKEY_CTX_get_rsa_pss_saltlen(), EVP_PKEY_CTX_set_dsa_paramgen_bits(),
644 EVP_PKEY_CTX_set_dsa_paramgen_q_bits(), EVP_PKEY_CTX_set_dsa_paramgen_md().
645 EVP_PKEY_CTX_set_dh_kdf_type(), EVP_PKEY_CTX_get_dh_kdf_type(),
646 EVP_PKEY_CTX_set0_dh_kdf_oid(), EVP_PKEY_CTX_get0_dh_kdf_oid(),
647 EVP_PKEY_CTX_set_dh_kdf_md(), EVP_PKEY_CTX_get_dh_kdf_md(),
648 EVP_PKEY_CTX_set_dh_kdf_outlen(), EVP_PKEY_CTX_get_dh_kdf_outlen(),
649 EVP_PKEY_CTX_set0_dh_kdf_ukm() and EVP_PKEY_CTX_get0_dh_kdf_ukm()
650 were macros in OpenSSL 1.1.1 and below.
651 From OpenSSL 3.0 they are functions.
652
653 EVP_PKEY_CTX_get_rsa_oaep_md_name(), EVP_PKEY_CTX_get_rsa_mgf1_md_name(),
654 EVP_PKEY_CTX_set_rsa_mgf1_md_name(), EVP_PKEY_CTX_set_rsa_oaep_md_name(),
655 EVP_PKEY_CTX_set_dsa_paramgen_md_props(), EVP_PKEY_CTX_set_dsa_paramgen_gindex(),
656 EVP_PKEY_CTX_set_dsa_paramgen_type(), EVP_PKEY_CTX_set_dsa_paramgen_seed(),
657 EVP_PKEY_CTX_set_group_name() and EVP_PKEY_CTX_get_group_name()
658 were added in OpenSSL 3.0.
659
660 The EVP_PKEY_CTX_set1_id(), EVP_PKEY_CTX_get1_id() and
661 EVP_PKEY_CTX_get1_id_len() macros were added in 1.1.1, other functions were
662 added in OpenSSL 1.0.0.
663
664 =head1 COPYRIGHT
665
666 Copyright 2006-2020 The OpenSSL Project Authors. All Rights Reserved.
667
668 Licensed under the Apache License 2.0 (the "License").  You may not use
669 this file except in compliance with the License.  You can obtain a copy
670 in the file LICENSE in the source distribution or at
671 L<https://www.openssl.org/source/license.html>.
672
673 =cut