Adapt all EVP_CIPHER_CTX users for it becoming opaque
[openssl.git] / ssl / s3_enc.c
1 /* ssl/s3_enc.c */
2 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
3  * All rights reserved.
4  *
5  * This package is an SSL implementation written
6  * by Eric Young (eay@cryptsoft.com).
7  * The implementation was written so as to conform with Netscapes SSL.
8  *
9  * This library is free for commercial and non-commercial use as long as
10  * the following conditions are aheared to.  The following conditions
11  * apply to all code found in this distribution, be it the RC4, RSA,
12  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
13  * included with this distribution is covered by the same copyright terms
14  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
15  *
16  * Copyright remains Eric Young's, and as such any Copyright notices in
17  * the code are not to be removed.
18  * If this package is used in a product, Eric Young should be given attribution
19  * as the author of the parts of the library used.
20  * This can be in the form of a textual message at program startup or
21  * in documentation (online or textual) provided with the package.
22  *
23  * Redistribution and use in source and binary forms, with or without
24  * modification, are permitted provided that the following conditions
25  * are met:
26  * 1. Redistributions of source code must retain the copyright
27  *    notice, this list of conditions and the following disclaimer.
28  * 2. Redistributions in binary form must reproduce the above copyright
29  *    notice, this list of conditions and the following disclaimer in the
30  *    documentation and/or other materials provided with the distribution.
31  * 3. All advertising materials mentioning features or use of this software
32  *    must display the following acknowledgement:
33  *    "This product includes cryptographic software written by
34  *     Eric Young (eay@cryptsoft.com)"
35  *    The word 'cryptographic' can be left out if the rouines from the library
36  *    being used are not cryptographic related :-).
37  * 4. If you include any Windows specific code (or a derivative thereof) from
38  *    the apps directory (application code) you must include an acknowledgement:
39  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
40  *
41  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
42  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
43  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
44  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
45  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
46  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
47  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
48  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
49  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
50  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
51  * SUCH DAMAGE.
52  *
53  * The licence and distribution terms for any publically available version or
54  * derivative of this code cannot be changed.  i.e. this code cannot simply be
55  * copied and put under another distribution licence
56  * [including the GNU Public Licence.]
57  */
58 /* ====================================================================
59  * Copyright (c) 1998-2007 The OpenSSL Project.  All rights reserved.
60  *
61  * Redistribution and use in source and binary forms, with or without
62  * modification, are permitted provided that the following conditions
63  * are met:
64  *
65  * 1. Redistributions of source code must retain the above copyright
66  *    notice, this list of conditions and the following disclaimer.
67  *
68  * 2. Redistributions in binary form must reproduce the above copyright
69  *    notice, this list of conditions and the following disclaimer in
70  *    the documentation and/or other materials provided with the
71  *    distribution.
72  *
73  * 3. All advertising materials mentioning features or use of this
74  *    software must display the following acknowledgment:
75  *    "This product includes software developed by the OpenSSL Project
76  *    for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
77  *
78  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
79  *    endorse or promote products derived from this software without
80  *    prior written permission. For written permission, please contact
81  *    openssl-core@openssl.org.
82  *
83  * 5. Products derived from this software may not be called "OpenSSL"
84  *    nor may "OpenSSL" appear in their names without prior written
85  *    permission of the OpenSSL Project.
86  *
87  * 6. Redistributions of any form whatsoever must retain the following
88  *    acknowledgment:
89  *    "This product includes software developed by the OpenSSL Project
90  *    for use in the OpenSSL Toolkit (http://www.openssl.org/)"
91  *
92  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
93  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
94  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
95  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
96  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
97  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
98  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
99  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
100  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
101  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
102  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
103  * OF THE POSSIBILITY OF SUCH DAMAGE.
104  * ====================================================================
105  *
106  * This product includes cryptographic software written by Eric Young
107  * (eay@cryptsoft.com).  This product includes software written by Tim
108  * Hudson (tjh@cryptsoft.com).
109  *
110  */
111 /* ====================================================================
112  * Copyright 2005 Nokia. All rights reserved.
113  *
114  * The portions of the attached software ("Contribution") is developed by
115  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
116  * license.
117  *
118  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
119  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
120  * support (see RFC 4279) to OpenSSL.
121  *
122  * No patent licenses or other rights except those expressly stated in
123  * the OpenSSL open source license shall be deemed granted or received
124  * expressly, by implication, estoppel, or otherwise.
125  *
126  * No assurances are provided by Nokia that the Contribution does not
127  * infringe the patent or other intellectual property rights of any third
128  * party or that the license provides you with all the necessary rights
129  * to make use of the Contribution.
130  *
131  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
132  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
133  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
134  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
135  * OTHERWISE.
136  */
137
138 #include <stdio.h>
139 #include "ssl_locl.h"
140 #include <openssl/evp.h>
141 #include <openssl/md5.h>
142
143 static int ssl3_generate_key_block(SSL *s, unsigned char *km, int num)
144 {
145     EVP_MD_CTX *m5;
146     EVP_MD_CTX *s1;
147     unsigned char buf[16], smd[SHA_DIGEST_LENGTH];
148     unsigned char c = 'A';
149     unsigned int i, j, k;
150     int ret = 0;
151
152 #ifdef CHARSET_EBCDIC
153     c = os_toascii[c];          /* 'A' in ASCII */
154 #endif
155     k = 0;
156     m5 = EVP_MD_CTX_new();
157     s1 = EVP_MD_CTX_new();
158     if (m5 == NULL || s1 == NULL) {
159         SSLerr(SSL_F_SSL3_GENERATE_KEY_BLOCK, ERR_R_MALLOC_FAILURE);
160         goto err;
161     }
162     EVP_MD_CTX_set_flags(m5, EVP_MD_CTX_FLAG_NON_FIPS_ALLOW);
163     for (i = 0; (int)i < num; i += MD5_DIGEST_LENGTH) {
164         k++;
165         if (k > sizeof buf) {
166             /* bug: 'buf' is too small for this ciphersuite */
167             SSLerr(SSL_F_SSL3_GENERATE_KEY_BLOCK, ERR_R_INTERNAL_ERROR);
168             return 0;
169         }
170
171         for (j = 0; j < k; j++)
172             buf[j] = c;
173         c++;
174         EVP_DigestInit_ex(s1, EVP_sha1(), NULL);
175         EVP_DigestUpdate(s1, buf, k);
176         EVP_DigestUpdate(s1, s->session->master_key,
177                          s->session->master_key_length);
178         EVP_DigestUpdate(s1, s->s3->server_random, SSL3_RANDOM_SIZE);
179         EVP_DigestUpdate(s1, s->s3->client_random, SSL3_RANDOM_SIZE);
180         EVP_DigestFinal_ex(s1, smd, NULL);
181
182         EVP_DigestInit_ex(m5, EVP_md5(), NULL);
183         EVP_DigestUpdate(m5, s->session->master_key,
184                          s->session->master_key_length);
185         EVP_DigestUpdate(m5, smd, SHA_DIGEST_LENGTH);
186         if ((int)(i + MD5_DIGEST_LENGTH) > num) {
187             EVP_DigestFinal_ex(m5, smd, NULL);
188             memcpy(km, smd, (num - i));
189         } else
190             EVP_DigestFinal_ex(m5, km, NULL);
191
192         km += MD5_DIGEST_LENGTH;
193     }
194     OPENSSL_cleanse(smd, sizeof(smd));
195     ret = 1;
196  err:
197     EVP_MD_CTX_free(m5);
198     EVP_MD_CTX_free(s1);
199     return ret;
200 }
201
202 int ssl3_change_cipher_state(SSL *s, int which)
203 {
204     unsigned char *p, *mac_secret;
205     unsigned char exp_key[EVP_MAX_KEY_LENGTH];
206     unsigned char exp_iv[EVP_MAX_IV_LENGTH];
207     unsigned char *ms, *key, *iv;
208     EVP_CIPHER_CTX *dd;
209     const EVP_CIPHER *c;
210 #ifndef OPENSSL_NO_COMP
211     COMP_METHOD *comp;
212 #endif
213     const EVP_MD *m;
214     int n, i, j, k, cl;
215     int reuse_dd = 0;
216
217     c = s->s3->tmp.new_sym_enc;
218     m = s->s3->tmp.new_hash;
219     /* m == NULL will lead to a crash later */
220     OPENSSL_assert(m);
221 #ifndef OPENSSL_NO_COMP
222     if (s->s3->tmp.new_compression == NULL)
223         comp = NULL;
224     else
225         comp = s->s3->tmp.new_compression->method;
226 #endif
227
228     if (which & SSL3_CC_READ) {
229         if (s->enc_read_ctx != NULL)
230             reuse_dd = 1;
231         else if ((s->enc_read_ctx = EVP_CIPHER_CTX_new()) == NULL)
232             goto err;
233         else
234             /*
235              * make sure it's intialized in case we exit later with an error
236              */
237             EVP_CIPHER_CTX_reset(s->enc_read_ctx);
238         dd = s->enc_read_ctx;
239
240         if (ssl_replace_hash(&s->read_hash, m) == NULL) {
241                 SSLerr(SSL_F_SSL3_CHANGE_CIPHER_STATE, ERR_R_INTERNAL_ERROR);
242                 goto err2;
243         }
244 #ifndef OPENSSL_NO_COMP
245         /* COMPRESS */
246         COMP_CTX_free(s->expand);
247         s->expand = NULL;
248         if (comp != NULL) {
249             s->expand = COMP_CTX_new(comp);
250             if (s->expand == NULL) {
251                 SSLerr(SSL_F_SSL3_CHANGE_CIPHER_STATE,
252                        SSL_R_COMPRESSION_LIBRARY_ERROR);
253                 goto err2;
254             }
255             if (!RECORD_LAYER_setup_comp_buffer(&s->rlayer))
256                 goto err;
257         }
258 #endif
259         RECORD_LAYER_reset_read_sequence(&s->rlayer);
260         mac_secret = &(s->s3->read_mac_secret[0]);
261     } else {
262         if (s->enc_write_ctx != NULL)
263             reuse_dd = 1;
264         else if ((s->enc_write_ctx = EVP_CIPHER_CTX_new()) == NULL)
265             goto err;
266         else
267             /*
268              * make sure it's intialized in case we exit later with an error
269              */
270             EVP_CIPHER_CTX_reset(s->enc_write_ctx);
271         dd = s->enc_write_ctx;
272         if (ssl_replace_hash(&s->write_hash, m) == NULL) {
273                 SSLerr(SSL_F_SSL3_CHANGE_CIPHER_STATE, ERR_R_INTERNAL_ERROR);
274                 goto err2;
275         }
276 #ifndef OPENSSL_NO_COMP
277         /* COMPRESS */
278         COMP_CTX_free(s->compress);
279         s->compress = NULL;
280         if (comp != NULL) {
281             s->compress = COMP_CTX_new(comp);
282             if (s->compress == NULL) {
283                 SSLerr(SSL_F_SSL3_CHANGE_CIPHER_STATE,
284                        SSL_R_COMPRESSION_LIBRARY_ERROR);
285                 goto err2;
286             }
287         }
288 #endif
289         RECORD_LAYER_reset_write_sequence(&s->rlayer);
290         mac_secret = &(s->s3->write_mac_secret[0]);
291     }
292
293     if (reuse_dd)
294         EVP_CIPHER_CTX_reset(dd);
295
296     p = s->s3->tmp.key_block;
297     i = EVP_MD_size(m);
298     if (i < 0)
299         goto err2;
300     cl = EVP_CIPHER_key_length(c);
301     j = cl;
302     k = EVP_CIPHER_iv_length(c);
303     if ((which == SSL3_CHANGE_CIPHER_CLIENT_WRITE) ||
304         (which == SSL3_CHANGE_CIPHER_SERVER_READ)) {
305         ms = &(p[0]);
306         n = i + i;
307         key = &(p[n]);
308         n += j + j;
309         iv = &(p[n]);
310         n += k + k;
311     } else {
312         n = i;
313         ms = &(p[n]);
314         n += i + j;
315         key = &(p[n]);
316         n += j + k;
317         iv = &(p[n]);
318         n += k;
319     }
320
321     if (n > s->s3->tmp.key_block_length) {
322         SSLerr(SSL_F_SSL3_CHANGE_CIPHER_STATE, ERR_R_INTERNAL_ERROR);
323         goto err2;
324     }
325
326     memcpy(mac_secret, ms, i);
327
328     EVP_CipherInit_ex(dd, c, NULL, key, iv, (which & SSL3_CC_WRITE));
329
330 #ifdef OPENSSL_SSL_TRACE_CRYPTO
331     if (s->msg_callback) {
332
333         int wh = which & SSL3_CC_WRITE ?
334             TLS1_RT_CRYPTO_WRITE : TLS1_RT_CRYPTO_READ;
335         s->msg_callback(2, s->version, wh | TLS1_RT_CRYPTO_MAC,
336                         mac_secret, EVP_MD_size(m), s, s->msg_callback_arg);
337         if (c->key_len)
338             s->msg_callback(2, s->version, wh | TLS1_RT_CRYPTO_KEY,
339                             key, c->key_len, s, s->msg_callback_arg);
340         if (k) {
341             s->msg_callback(2, s->version, wh | TLS1_RT_CRYPTO_IV,
342                             iv, k, s, s->msg_callback_arg);
343         }
344     }
345 #endif
346
347     OPENSSL_cleanse(exp_key, sizeof(exp_key));
348     OPENSSL_cleanse(exp_iv, sizeof(exp_iv));
349     return (1);
350  err:
351     SSLerr(SSL_F_SSL3_CHANGE_CIPHER_STATE, ERR_R_MALLOC_FAILURE);
352  err2:
353     OPENSSL_cleanse(exp_key, sizeof(exp_key));
354     OPENSSL_cleanse(exp_iv, sizeof(exp_iv));
355     return (0);
356 }
357
358 int ssl3_setup_key_block(SSL *s)
359 {
360     unsigned char *p;
361     const EVP_CIPHER *c;
362     const EVP_MD *hash;
363     int num;
364     int ret = 0;
365     SSL_COMP *comp;
366
367     if (s->s3->tmp.key_block_length != 0)
368         return (1);
369
370     if (!ssl_cipher_get_evp(s->session, &c, &hash, NULL, NULL, &comp, 0)) {
371         SSLerr(SSL_F_SSL3_SETUP_KEY_BLOCK, SSL_R_CIPHER_OR_HASH_UNAVAILABLE);
372         return (0);
373     }
374
375     s->s3->tmp.new_sym_enc = c;
376     s->s3->tmp.new_hash = hash;
377 #ifdef OPENSSL_NO_COMP
378     s->s3->tmp.new_compression = NULL;
379 #else
380     s->s3->tmp.new_compression = comp;
381 #endif
382
383     num = EVP_MD_size(hash);
384     if (num < 0)
385         return 0;
386
387     num = EVP_CIPHER_key_length(c) + num + EVP_CIPHER_iv_length(c);
388     num *= 2;
389
390     ssl3_cleanup_key_block(s);
391
392     if ((p = OPENSSL_malloc(num)) == NULL)
393         goto err;
394
395     s->s3->tmp.key_block_length = num;
396     s->s3->tmp.key_block = p;
397
398     ret = ssl3_generate_key_block(s, p, num);
399
400     if (!(s->options & SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS)) {
401         /*
402          * enable vulnerability countermeasure for CBC ciphers with known-IV
403          * problem (http://www.openssl.org/~bodo/tls-cbc.txt)
404          */
405         s->s3->need_empty_fragments = 1;
406
407         if (s->session->cipher != NULL) {
408             if (s->session->cipher->algorithm_enc == SSL_eNULL)
409                 s->s3->need_empty_fragments = 0;
410
411 #ifndef OPENSSL_NO_RC4
412             if (s->session->cipher->algorithm_enc == SSL_RC4)
413                 s->s3->need_empty_fragments = 0;
414 #endif
415         }
416     }
417
418     return ret;
419
420  err:
421     SSLerr(SSL_F_SSL3_SETUP_KEY_BLOCK, ERR_R_MALLOC_FAILURE);
422     return (0);
423 }
424
425 void ssl3_cleanup_key_block(SSL *s)
426 {
427     OPENSSL_clear_free(s->s3->tmp.key_block, s->s3->tmp.key_block_length);
428     s->s3->tmp.key_block = NULL;
429     s->s3->tmp.key_block_length = 0;
430 }
431
432 void ssl3_init_finished_mac(SSL *s)
433 {
434     ssl3_free_digest_list(s);
435     s->s3->handshake_buffer = BIO_new(BIO_s_mem());
436     (void)BIO_set_close(s->s3->handshake_buffer, BIO_CLOSE);
437 }
438
439 /*
440  * Free digest list. Also frees handshake buffer since they are always freed
441  * together.
442  */
443
444 void ssl3_free_digest_list(SSL *s)
445 {
446     BIO_free(s->s3->handshake_buffer);
447     s->s3->handshake_buffer = NULL;
448     EVP_MD_CTX_free(s->s3->handshake_dgst);
449     s->s3->handshake_dgst = NULL;
450 }
451
452 void ssl3_finish_mac(SSL *s, const unsigned char *buf, int len)
453 {
454     if (s->s3->handshake_dgst == NULL)
455         BIO_write(s->s3->handshake_buffer, (void *)buf, len);
456     else
457         EVP_DigestUpdate(s->s3->handshake_dgst, buf, len);
458 }
459
460 int ssl3_digest_cached_records(SSL *s, int keep)
461 {
462     const EVP_MD *md;
463     long hdatalen;
464     void *hdata;
465
466     if (s->s3->handshake_dgst == NULL) {
467         hdatalen = BIO_get_mem_data(s->s3->handshake_buffer, &hdata);
468         if (hdatalen <= 0) {
469             SSLerr(SSL_F_SSL3_DIGEST_CACHED_RECORDS, SSL_R_BAD_HANDSHAKE_LENGTH);
470             return 0;
471         }
472
473         s->s3->handshake_dgst = EVP_MD_CTX_new();
474         if (s->s3->handshake_dgst == NULL) {
475             SSLerr(SSL_F_SSL3_DIGEST_CACHED_RECORDS, ERR_R_MALLOC_FAILURE);
476             return 0;
477         }
478
479         md = ssl_handshake_md(s);
480         if (md == NULL) {
481             SSLerr(SSL_F_SSL3_DIGEST_CACHED_RECORDS, ERR_R_INTERNAL_ERROR);
482             return 0;
483         }
484
485         EVP_DigestInit_ex(s->s3->handshake_dgst, md, NULL);
486         EVP_DigestUpdate(s->s3->handshake_dgst, hdata, hdatalen);
487
488     }
489     if (keep == 0) {
490         BIO_free(s->s3->handshake_buffer);
491         s->s3->handshake_buffer = NULL;
492     }
493
494     return 1;
495 }
496
497 int ssl3_final_finish_mac(SSL *s, const char *sender, int len, unsigned char *p)
498 {
499     int ret;
500     EVP_MD_CTX *ctx = NULL;
501
502     if (!ssl3_digest_cached_records(s, 0))
503         return 0;
504
505     if (EVP_MD_CTX_type(s->s3->handshake_dgst) != NID_md5_sha1) {
506         SSLerr(SSL_F_SSL3_FINAL_FINISH_MAC, SSL_R_NO_REQUIRED_DIGEST);
507         return 0;
508     }
509
510     ctx = EVP_MD_CTX_new();
511     if (ctx == NULL) {
512         SSLerr(SSL_F_SSL3_FINAL_FINISH_MAC, ERR_R_MALLOC_FAILURE);
513         return 0;
514     }
515     EVP_MD_CTX_copy_ex(ctx, s->s3->handshake_dgst);
516
517     ret = EVP_MD_CTX_size(ctx);
518     if (ret < 0) {
519         EVP_MD_CTX_reset(ctx);
520         return 0;
521     }
522
523     if ((sender != NULL && EVP_DigestUpdate(ctx, sender, len) <= 0)
524             || EVP_MD_CTX_ctrl(ctx, EVP_CTRL_SSL3_MASTER_SECRET,
525                                s->session->master_key_length,
526                                s->session->master_key) <= 0
527             || EVP_DigestFinal_ex(ctx, p, NULL) <= 0) {
528         SSLerr(SSL_F_SSL3_FINAL_FINISH_MAC, ERR_R_INTERNAL_ERROR);
529         ret = 0;
530     }
531
532     EVP_MD_CTX_free(ctx);
533
534     return ret;
535 }
536
537 int ssl3_generate_master_secret(SSL *s, unsigned char *out, unsigned char *p,
538                                 int len)
539 {
540     static const unsigned char *salt[3] = {
541 #ifndef CHARSET_EBCDIC
542         (const unsigned char *)"A",
543         (const unsigned char *)"BB",
544         (const unsigned char *)"CCC",
545 #else
546         (const unsigned char *)"\x41",
547         (const unsigned char *)"\x42\x42",
548         (const unsigned char *)"\x43\x43\x43",
549 #endif
550     };
551     unsigned char buf[EVP_MAX_MD_SIZE];
552     EVP_MD_CTX *ctx = EVP_MD_CTX_new();
553     int i, ret = 0;
554     unsigned int n;
555 #ifdef OPENSSL_SSL_TRACE_CRYPTO
556     unsigned char *tmpout = out;
557 #endif
558
559     if (ctx == NULL) {
560         SSLerr(SSL_F_SSL3_GENERATE_MASTER_SECRET, ERR_R_MALLOC_FAILURE);
561         return 0;
562     }
563     for (i = 0; i < 3; i++) {
564         if (EVP_DigestInit_ex(ctx, s->ctx->sha1, NULL) <= 0
565                 || EVP_DigestUpdate(ctx, salt[i],
566                                     strlen((const char *)salt[i])) <= 0
567                 || EVP_DigestUpdate(ctx, p, len) <= 0
568                 || EVP_DigestUpdate(ctx, &(s->s3->client_random[0]),
569                                     SSL3_RANDOM_SIZE) <= 0
570                 || EVP_DigestUpdate(ctx, &(s->s3->server_random[0]),
571                                     SSL3_RANDOM_SIZE) <= 0
572                 || EVP_DigestFinal_ex(ctx, buf, &n) <= 0
573
574                 || EVP_DigestInit_ex(ctx, s->ctx->md5, NULL) <= 0
575                 || EVP_DigestUpdate(ctx, p, len) <= 0
576                 || EVP_DigestUpdate(ctx, buf, n) <= 0
577                 || EVP_DigestFinal_ex(ctx, out, &n) <= 0) {
578             SSLerr(SSL_F_SSL3_GENERATE_MASTER_SECRET, ERR_R_INTERNAL_ERROR);
579             ret = 0;
580             break;
581         }
582         out += n;
583         ret += n;
584     }
585     EVP_MD_CTX_free(ctx);
586
587 #ifdef OPENSSL_SSL_TRACE_CRYPTO
588     if (ret > 0 && s->msg_callback) {
589         s->msg_callback(2, s->version, TLS1_RT_CRYPTO_PREMASTER,
590                         p, len, s, s->msg_callback_arg);
591         s->msg_callback(2, s->version, TLS1_RT_CRYPTO_CLIENT_RANDOM,
592                         s->s3->client_random, SSL3_RANDOM_SIZE,
593                         s, s->msg_callback_arg);
594         s->msg_callback(2, s->version, TLS1_RT_CRYPTO_SERVER_RANDOM,
595                         s->s3->server_random, SSL3_RANDOM_SIZE,
596                         s, s->msg_callback_arg);
597         s->msg_callback(2, s->version, TLS1_RT_CRYPTO_MASTER,
598                         tmpout, SSL3_MASTER_SECRET_SIZE,
599                         s, s->msg_callback_arg);
600     }
601 #endif
602     OPENSSL_cleanse(buf, sizeof(buf));
603     return (ret);
604 }
605
606 int ssl3_alert_code(int code)
607 {
608     switch (code) {
609     case SSL_AD_CLOSE_NOTIFY:
610         return (SSL3_AD_CLOSE_NOTIFY);
611     case SSL_AD_UNEXPECTED_MESSAGE:
612         return (SSL3_AD_UNEXPECTED_MESSAGE);
613     case SSL_AD_BAD_RECORD_MAC:
614         return (SSL3_AD_BAD_RECORD_MAC);
615     case SSL_AD_DECRYPTION_FAILED:
616         return (SSL3_AD_BAD_RECORD_MAC);
617     case SSL_AD_RECORD_OVERFLOW:
618         return (SSL3_AD_BAD_RECORD_MAC);
619     case SSL_AD_DECOMPRESSION_FAILURE:
620         return (SSL3_AD_DECOMPRESSION_FAILURE);
621     case SSL_AD_HANDSHAKE_FAILURE:
622         return (SSL3_AD_HANDSHAKE_FAILURE);
623     case SSL_AD_NO_CERTIFICATE:
624         return (SSL3_AD_NO_CERTIFICATE);
625     case SSL_AD_BAD_CERTIFICATE:
626         return (SSL3_AD_BAD_CERTIFICATE);
627     case SSL_AD_UNSUPPORTED_CERTIFICATE:
628         return (SSL3_AD_UNSUPPORTED_CERTIFICATE);
629     case SSL_AD_CERTIFICATE_REVOKED:
630         return (SSL3_AD_CERTIFICATE_REVOKED);
631     case SSL_AD_CERTIFICATE_EXPIRED:
632         return (SSL3_AD_CERTIFICATE_EXPIRED);
633     case SSL_AD_CERTIFICATE_UNKNOWN:
634         return (SSL3_AD_CERTIFICATE_UNKNOWN);
635     case SSL_AD_ILLEGAL_PARAMETER:
636         return (SSL3_AD_ILLEGAL_PARAMETER);
637     case SSL_AD_UNKNOWN_CA:
638         return (SSL3_AD_BAD_CERTIFICATE);
639     case SSL_AD_ACCESS_DENIED:
640         return (SSL3_AD_HANDSHAKE_FAILURE);
641     case SSL_AD_DECODE_ERROR:
642         return (SSL3_AD_HANDSHAKE_FAILURE);
643     case SSL_AD_DECRYPT_ERROR:
644         return (SSL3_AD_HANDSHAKE_FAILURE);
645     case SSL_AD_EXPORT_RESTRICTION:
646         return (SSL3_AD_HANDSHAKE_FAILURE);
647     case SSL_AD_PROTOCOL_VERSION:
648         return (SSL3_AD_HANDSHAKE_FAILURE);
649     case SSL_AD_INSUFFICIENT_SECURITY:
650         return (SSL3_AD_HANDSHAKE_FAILURE);
651     case SSL_AD_INTERNAL_ERROR:
652         return (SSL3_AD_HANDSHAKE_FAILURE);
653     case SSL_AD_USER_CANCELLED:
654         return (SSL3_AD_HANDSHAKE_FAILURE);
655     case SSL_AD_NO_RENEGOTIATION:
656         return (-1);            /* Don't send it :-) */
657     case SSL_AD_UNSUPPORTED_EXTENSION:
658         return (SSL3_AD_HANDSHAKE_FAILURE);
659     case SSL_AD_CERTIFICATE_UNOBTAINABLE:
660         return (SSL3_AD_HANDSHAKE_FAILURE);
661     case SSL_AD_UNRECOGNIZED_NAME:
662         return (SSL3_AD_HANDSHAKE_FAILURE);
663     case SSL_AD_BAD_CERTIFICATE_STATUS_RESPONSE:
664         return (SSL3_AD_HANDSHAKE_FAILURE);
665     case SSL_AD_BAD_CERTIFICATE_HASH_VALUE:
666         return (SSL3_AD_HANDSHAKE_FAILURE);
667     case SSL_AD_UNKNOWN_PSK_IDENTITY:
668         return (TLS1_AD_UNKNOWN_PSK_IDENTITY);
669     case SSL_AD_INAPPROPRIATE_FALLBACK:
670         return (TLS1_AD_INAPPROPRIATE_FALLBACK);
671     default:
672         return (-1);
673     }
674 }