2a3c321618dcbc145d585f1a72f3bea22283c5e3
[openssl.git] / fips / rand / fips_drbg_ctr.c
1 /* fips/rand/fips_drbg_ctr.c */
2 /* Written by Dr Stephen N Henson (steve@openssl.org) for the OpenSSL
3  * project.
4  */
5 /* ====================================================================
6  * Copyright (c) 2011 The OpenSSL Project.  All rights reserved.
7  *
8  * Redistribution and use in source and binary forms, with or without
9  * modification, are permitted provided that the following conditions
10  * are met:
11  *
12  * 1. Redistributions of source code must retain the above copyright
13  *    notice, this list of conditions and the following disclaimer. 
14  *
15  * 2. Redistributions in binary form must reproduce the above copyright
16  *    notice, this list of conditions and the following disclaimer in
17  *    the documentation and/or other materials provided with the
18  *    distribution.
19  *
20  * 3. All advertising materials mentioning features or use of this
21  *    software must display the following acknowledgment:
22  *    "This product includes software developed by the OpenSSL Project
23  *    for use in the OpenSSL Toolkit. (http://www.OpenSSL.org/)"
24  *
25  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
26  *    endorse or promote products derived from this software without
27  *    prior written permission. For written permission, please contact
28  *    licensing@OpenSSL.org.
29  *
30  * 5. Products derived from this software may not be called "OpenSSL"
31  *    nor may "OpenSSL" appear in their names without prior written
32  *    permission of the OpenSSL Project.
33  *
34  * 6. Redistributions of any form whatsoever must retain the following
35  *    acknowledgment:
36  *    "This product includes software developed by the OpenSSL Project
37  *    for use in the OpenSSL Toolkit (http://www.OpenSSL.org/)"
38  *
39  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
40  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
41  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
42  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
43  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
44  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
45  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
46  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
47  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
48  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
49  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
50  * OF THE POSSIBILITY OF SUCH DAMAGE.
51  * ====================================================================
52  */
53
54 #include <stdlib.h>
55 #include <string.h>
56 #include <openssl/crypto.h>
57 #include <openssl/evp.h>
58 #include <openssl/aes.h>
59 #include <openssl/fips.h>
60 #include <openssl/fips_rand.h>
61 #include "fips_rand_lcl.h"
62
63 static void inc_128(DRBG_CTR_CTX *cctx)
64         {
65         int i;
66         unsigned char c;
67         unsigned char *p = cctx->V + 15;
68         for (i = 0; i < 16; i++)
69                 {
70                 c = *p;
71                 c++;
72                 *p = c;
73                 if (c)
74                         return;
75                 p--;
76                 }
77         }
78
79 static void ctr_XOR(DRBG_CTR_CTX *cctx, const unsigned char *in, size_t inlen)
80         {
81         size_t i, n;
82         /* Any zero padding will have no effect on the result as we
83          * are XORing. So just process however much input we have.
84          */
85
86         if (!in || !inlen)
87                 return;
88
89         if (inlen < cctx->keylen)
90                 n = inlen;
91         else
92                 n = cctx->keylen;
93
94         for (i = 0; i < n; i++)
95                 cctx->K[i] ^= in[i];
96         if (inlen <= cctx->keylen)
97                 return;
98
99         n = inlen - cctx->keylen;
100         /* Should never happen */
101         if (n > 16)
102                 n = 16;
103         for (i = 0; i < 16; i++)
104                 cctx->V[i] ^= in[i + cctx->keylen];
105         }
106
107 /* Process a complete block using BCC algorithm of SPP 800-90 10.4.3 */
108
109 static void ctr_BCC_block(DRBG_CTR_CTX *cctx, unsigned char *out,
110                                 const unsigned char *in)
111         {
112         int i;
113         for (i = 0; i < 16; i++)
114                 out[i] ^= in[i];
115         AES_encrypt(out, out, &cctx->df_ks);
116 #if 0
117 fprintf(stderr, "BCC in+out\n");
118 BIO_dump_fp(stderr, in, 16);
119 BIO_dump_fp(stderr, out, 16);
120 #endif
121         }
122
123 /* Handle several BCC operations for as much data as we need for K and X */
124 static void ctr_BCC_blocks(DRBG_CTR_CTX *cctx, const unsigned char *in)
125         {
126         ctr_BCC_block(cctx, cctx->KX, in);
127         ctr_BCC_block(cctx, cctx->KX + 16, in);
128         if (cctx->keylen != 16)
129                 ctr_BCC_block(cctx, cctx->KX + 32, in);
130         }
131 /* Initialise BCC blocks: these have the value 0,1,2 in leftmost positions:
132  * see 10.4.2 stage 7.
133  */
134 static void ctr_BCC_init(DRBG_CTR_CTX *cctx)
135         {
136         memset(cctx->KX, 0, 48);
137         memset(cctx->bltmp, 0, 16);
138         ctr_BCC_block(cctx, cctx->KX, cctx->bltmp);
139         cctx->bltmp[3] = 1;
140         ctr_BCC_block(cctx, cctx->KX + 16, cctx->bltmp);
141         if (cctx->keylen != 16)
142                 {
143                 cctx->bltmp[3] = 2;
144                 ctr_BCC_block(cctx, cctx->KX + 32, cctx->bltmp);
145                 }
146         }
147
148 /* Process several blocks into BCC algorithm, some possibly partial */
149 static void ctr_BCC_update(DRBG_CTR_CTX *cctx,
150                                 const unsigned char *in, size_t inlen)
151         {
152         if (!in || !inlen)
153                 return;
154         /* If we have partial block handle it first */
155         if (cctx->bltmp_pos)
156                 {
157                 size_t left = 16 - cctx->bltmp_pos;
158                 /* If we now have a complete block process it */
159                 if (inlen >= left)
160                         {
161                         memcpy(cctx->bltmp + cctx->bltmp_pos, in, left);
162                         ctr_BCC_blocks(cctx, cctx->bltmp);
163                         cctx->bltmp_pos = 0;
164                         inlen -= left;
165                         in += left;
166                         }
167                 }
168         /* Process zero or more complete blocks */
169         while (inlen >= 16)
170                 {
171                 ctr_BCC_blocks(cctx, in);
172                 in += 16;
173                 inlen -= 16;
174                 }
175         /* Copy any remaining partial block to the temporary buffer */
176         if (inlen > 0)
177                 {
178                 memcpy(cctx->bltmp + cctx->bltmp_pos, in, inlen);
179                 cctx->bltmp_pos += inlen;
180                 }
181         }
182
183 static void ctr_BCC_final(DRBG_CTR_CTX *cctx)
184         {
185         if (cctx->bltmp_pos)
186                 {
187                 memset(cctx->bltmp + cctx->bltmp_pos, 0, 16 - cctx->bltmp_pos);
188                 ctr_BCC_blocks(cctx, cctx->bltmp);
189                 }
190         }
191
192 static void ctr_df(DRBG_CTR_CTX *cctx,
193                         const unsigned char *in1, size_t in1len,
194                         const unsigned char *in2, size_t in2len,
195                         const unsigned char *in3, size_t in3len)
196         {
197         size_t inlen;
198         unsigned char *p = cctx->bltmp;
199         static unsigned char c80 = 0x80;
200
201         ctr_BCC_init(cctx);
202         if (!in1)
203                 in1len = 0;
204         if (!in2)
205                 in2len = 0;
206         if (!in3)
207                 in3len = 0;
208         inlen = in1len + in2len + in3len;
209         /* Initialise L||N in temporary block */
210         *p++ = (inlen >> 24) & 0xff;
211         *p++ = (inlen >> 16) & 0xff;
212         *p++ = (inlen >> 8) & 0xff;
213         *p++ = inlen & 0xff;
214         /* NB keylen is at most 32 bytes */
215         *p++ = 0;
216         *p++ = 0;
217         *p++ = 0;
218         *p = (unsigned char)((cctx->keylen + 16) & 0xff);
219         cctx->bltmp_pos = 8;
220         ctr_BCC_update(cctx, in1, in1len);
221         ctr_BCC_update(cctx, in2, in2len);
222         ctr_BCC_update(cctx, in3, in3len);
223         ctr_BCC_update(cctx, &c80, 1);
224         ctr_BCC_final(cctx);
225         /* Set up key K */
226         AES_set_encrypt_key(cctx->KX, cctx->keylen * 8, &cctx->df_kxks);
227         /* X follows key K */
228         AES_encrypt(cctx->KX + cctx->keylen, cctx->KX, &cctx->df_kxks);
229         AES_encrypt(cctx->KX, cctx->KX + 16, &cctx->df_kxks);
230         if (cctx->keylen != 16)
231                 AES_encrypt(cctx->KX + 16, cctx->KX + 32, &cctx->df_kxks);
232 #if 0
233 fprintf(stderr, "Output of ctr_df:\n");
234 BIO_dump_fp(stderr, cctx->KX, cctx->keylen + 16);
235 #endif
236         }
237
238 /* NB the no-df  Update in SP800-90 specifies a constant input length
239  * of seedlen, however other uses of this algorithm pad the input with
240  * zeroes if necessary and have up to two parameters XORed together,
241  * handle both cases in this function instead.
242  */
243
244 static void ctr_Update(DRBG_CTX *dctx,
245                 const unsigned char *in1, size_t in1len,
246                 const unsigned char *in2, size_t in2len,
247                 const unsigned char *nonce, size_t noncelen)
248         {
249         DRBG_CTR_CTX *cctx = &dctx->d.ctr;
250         /* ks is already setup for correct key */
251         inc_128(cctx);
252         AES_encrypt(cctx->V, cctx->K, &cctx->ks);
253         /* If keylen longer than 128 bits need extra encrypt */
254         if (cctx->keylen != 16)
255                 {
256                 inc_128(cctx);
257                 AES_encrypt(cctx->V, cctx->K + 16, &cctx->ks);
258                 }
259         inc_128(cctx);
260         AES_encrypt(cctx->V, cctx->V, &cctx->ks);
261         /* If 192 bit key part of V is on end of K */
262         if (cctx->keylen == 24)
263                 {
264                 memcpy(cctx->V + 8, cctx->V, 8);
265                 memcpy(cctx->V, cctx->K + 24, 8);
266                 }
267
268         if (dctx->flags & DRBG_FLAG_CTR_USE_DF)
269                 {
270                 /* If no input reuse existing derived value */
271                 if (in1 || nonce || in2)
272                         ctr_df(cctx, in1, in1len, nonce, noncelen, in2, in2len);
273                 /* If this a reuse input in1len != 0 */
274                 if (in1len)
275                         ctr_XOR(cctx, cctx->KX, dctx->seedlen);
276                 }
277         else
278                 {
279                 ctr_XOR(cctx, in1, in1len);
280                 ctr_XOR(cctx, in2, in2len);
281                 }
282
283         AES_set_encrypt_key(cctx->K, dctx->strength, &cctx->ks);
284 #if 0
285 fprintf(stderr, "K+V after update is:\n");
286 BIO_dump_fp(stderr, cctx->K, cctx->keylen);
287 BIO_dump_fp(stderr, cctx->V, 16);
288 #endif
289         }
290
291 static int drbg_ctr_instantiate(DRBG_CTX *dctx,
292                         const unsigned char *ent, size_t entlen,
293                         const unsigned char *nonce, size_t noncelen,
294                         const unsigned char *pers, size_t perslen)
295         {
296         DRBG_CTR_CTX *cctx = &dctx->d.ctr;
297         memset(cctx->K, 0, sizeof(cctx->K));
298         memset(cctx->V, 0, sizeof(cctx->V));
299         AES_set_encrypt_key(cctx->K, dctx->strength, &cctx->ks);
300         ctr_Update(dctx, ent, entlen, pers, perslen, nonce, noncelen);
301         return 1;
302         }
303
304 static int drbg_ctr_reseed(DRBG_CTX *dctx, 
305                         const unsigned char *ent, size_t entlen,
306                         const unsigned char *adin, size_t adinlen)
307         {
308         ctr_Update(dctx, ent, entlen, adin, adinlen, NULL, 0);
309         return 1;
310         }
311
312 static int drbg_ctr_generate(DRBG_CTX *dctx,
313                         unsigned char *out, size_t outlen,
314                         const unsigned char *adin, size_t adinlen)
315         {
316         DRBG_CTR_CTX *cctx = &dctx->d.ctr;
317         if (adin && adinlen)
318                 {
319                 ctr_Update(dctx, adin, adinlen, NULL, 0, NULL, 0);
320                 /* This means we reuse derived value */
321                 if (dctx->flags & DRBG_FLAG_CTR_USE_DF)
322                         {
323                         adin = NULL;
324                         adinlen = 1;
325                         }
326                 }
327         else
328                 adinlen = 0;
329
330         for (;;)
331                 {
332                 inc_128(cctx);
333                 if (!(dctx->flags & DRBG_FLAG_TEST) && !dctx->lb_valid)
334                         {
335                         AES_encrypt(cctx->V, dctx->lb, &cctx->ks);
336                         dctx->lb_valid = 1;
337                         continue;
338                         }
339                 if (outlen < 16)
340                         {
341                         /* Use K as temp space as it will be updated */
342                         AES_encrypt(cctx->V, cctx->K, &cctx->ks);
343                         if (!drbg_cprng_test(dctx, cctx->K))
344                                 return 0;
345                         memcpy(out, cctx->K, outlen);
346                         break;
347                         }
348                 AES_encrypt(cctx->V, out, &cctx->ks);
349                 if (!drbg_cprng_test(dctx, out))
350                         return 0;
351                 out += 16;
352                 outlen -= 16;
353                 if (outlen == 0)
354                         break;
355                 }
356
357         ctr_Update(dctx, adin, adinlen, NULL, 0, NULL, 0);
358
359         return 1;
360
361         }
362
363 static int drbg_ctr_uninstantiate(DRBG_CTX *dctx)
364         {
365         memset(&dctx->d.ctr, 0, sizeof(DRBG_CTR_CTX));
366         return 1;
367         }
368
369 int fips_drbg_ctr_init(DRBG_CTX *dctx)
370         {
371         DRBG_CTR_CTX *cctx = &dctx->d.ctr;
372
373         size_t keylen;
374
375         switch (dctx->type)
376                 {
377                 case NID_aes_128_ctr:
378                 keylen = 16;
379                 break;
380
381                 case NID_aes_192_ctr:
382                 keylen = 24;
383                 break;
384
385                 case NID_aes_256_ctr:
386                 keylen = 32;
387                 break;
388
389                 default:
390                 return -2;
391                 }
392
393         dctx->instantiate = drbg_ctr_instantiate;
394         dctx->reseed = drbg_ctr_reseed;
395         dctx->generate = drbg_ctr_generate;
396         dctx->uninstantiate = drbg_ctr_uninstantiate;
397
398         cctx->keylen = keylen;
399         dctx->strength = keylen * 8;
400         dctx->blocklength = 16;
401         dctx->seedlen = keylen + 16;
402
403         if (dctx->flags & DRBG_FLAG_CTR_USE_DF)
404                 {
405                 /* df initialisation */
406                 static unsigned char df_key[32] =
407                         {
408                         0x00,0x01,0x02,0x03,0x04,0x05,0x06,0x07,
409                         0x08,0x09,0x0a,0x0b,0x0c,0x0d,0x0e,0x0f,
410                         0x10,0x11,0x12,0x13,0x14,0x15,0x16,0x17,
411                         0x18,0x19,0x1a,0x1b,0x1c,0x1d,0x1e,0x1f 
412                         };
413                 /* Set key schedule for df_key */
414                 AES_set_encrypt_key(df_key, dctx->strength, &cctx->df_ks);
415
416                 dctx->min_entropy = cctx->keylen;
417                 dctx->max_entropy = DRBG_MAX_LENGTH;
418                 dctx->min_nonce = dctx->min_entropy / 2;
419                 dctx->max_nonce = DRBG_MAX_LENGTH;
420                 dctx->max_pers = DRBG_MAX_LENGTH;
421                 dctx->max_adin = DRBG_MAX_LENGTH;
422                 }
423         else
424                 {
425                 dctx->min_entropy = dctx->seedlen;
426                 dctx->max_entropy = dctx->seedlen;
427                 /* Nonce not used */
428                 dctx->min_nonce = 0;
429                 dctx->max_nonce = 0;
430                 dctx->max_pers = dctx->seedlen;
431                 dctx->max_adin = dctx->seedlen;
432                 }
433
434         dctx->max_request = 1<<19;
435         dctx->reseed_interval = 1<<24;
436
437         return 1;
438         }