Remove outdated DEBUG flags.
[openssl.git] / ssl / ssl_ciph.c
1 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
2  * All rights reserved.
3  *
4  * This package is an SSL implementation written
5  * by Eric Young (eay@cryptsoft.com).
6  * The implementation was written so as to conform with Netscapes SSL.
7  *
8  * This library is free for commercial and non-commercial use as long as
9  * the following conditions are aheared to.  The following conditions
10  * apply to all code found in this distribution, be it the RC4, RSA,
11  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
12  * included with this distribution is covered by the same copyright terms
13  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
14  *
15  * Copyright remains Eric Young's, and as such any Copyright notices in
16  * the code are not to be removed.
17  * If this package is used in a product, Eric Young should be given attribution
18  * as the author of the parts of the library used.
19  * This can be in the form of a textual message at program startup or
20  * in documentation (online or textual) provided with the package.
21  *
22  * Redistribution and use in source and binary forms, with or without
23  * modification, are permitted provided that the following conditions
24  * are met:
25  * 1. Redistributions of source code must retain the copyright
26  *    notice, this list of conditions and the following disclaimer.
27  * 2. Redistributions in binary form must reproduce the above copyright
28  *    notice, this list of conditions and the following disclaimer in the
29  *    documentation and/or other materials provided with the distribution.
30  * 3. All advertising materials mentioning features or use of this software
31  *    must display the following acknowledgement:
32  *    "This product includes cryptographic software written by
33  *     Eric Young (eay@cryptsoft.com)"
34  *    The word 'cryptographic' can be left out if the rouines from the library
35  *    being used are not cryptographic related :-).
36  * 4. If you include any Windows specific code (or a derivative thereof) from
37  *    the apps directory (application code) you must include an acknowledgement:
38  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
39  *
40  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
41  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
43  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
44  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
45  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
46  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
47  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
48  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
49  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
50  * SUCH DAMAGE.
51  *
52  * The licence and distribution terms for any publically available version or
53  * derivative of this code cannot be changed.  i.e. this code cannot simply be
54  * copied and put under another distribution licence
55  * [including the GNU Public Licence.]
56  */
57 /* ====================================================================
58  * Copyright (c) 1998-2007 The OpenSSL Project.  All rights reserved.
59  *
60  * Redistribution and use in source and binary forms, with or without
61  * modification, are permitted provided that the following conditions
62  * are met:
63  *
64  * 1. Redistributions of source code must retain the above copyright
65  *    notice, this list of conditions and the following disclaimer.
66  *
67  * 2. Redistributions in binary form must reproduce the above copyright
68  *    notice, this list of conditions and the following disclaimer in
69  *    the documentation and/or other materials provided with the
70  *    distribution.
71  *
72  * 3. All advertising materials mentioning features or use of this
73  *    software must display the following acknowledgment:
74  *    "This product includes software developed by the OpenSSL Project
75  *    for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
76  *
77  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
78  *    endorse or promote products derived from this software without
79  *    prior written permission. For written permission, please contact
80  *    openssl-core@openssl.org.
81  *
82  * 5. Products derived from this software may not be called "OpenSSL"
83  *    nor may "OpenSSL" appear in their names without prior written
84  *    permission of the OpenSSL Project.
85  *
86  * 6. Redistributions of any form whatsoever must retain the following
87  *    acknowledgment:
88  *    "This product includes software developed by the OpenSSL Project
89  *    for use in the OpenSSL Toolkit (http://www.openssl.org/)"
90  *
91  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
92  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
93  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
94  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
95  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
96  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
97  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
98  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
99  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
100  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
101  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
102  * OF THE POSSIBILITY OF SUCH DAMAGE.
103  * ====================================================================
104  *
105  * This product includes cryptographic software written by Eric Young
106  * (eay@cryptsoft.com).  This product includes software written by Tim
107  * Hudson (tjh@cryptsoft.com).
108  *
109  */
110 /* ====================================================================
111  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
112  * ECC cipher suite support in OpenSSL originally developed by
113  * SUN MICROSYSTEMS, INC., and contributed to the OpenSSL project.
114  */
115 /* ====================================================================
116  * Copyright 2005 Nokia. All rights reserved.
117  *
118  * The portions of the attached software ("Contribution") is developed by
119  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
120  * license.
121  *
122  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
123  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
124  * support (see RFC 4279) to OpenSSL.
125  *
126  * No patent licenses or other rights except those expressly stated in
127  * the OpenSSL open source license shall be deemed granted or received
128  * expressly, by implication, estoppel, or otherwise.
129  *
130  * No assurances are provided by Nokia that the Contribution does not
131  * infringe the patent or other intellectual property rights of any third
132  * party or that the license provides you with all the necessary rights
133  * to make use of the Contribution.
134  *
135  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
136  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
137  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
138  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
139  * OTHERWISE.
140  */
141
142 #include <stdio.h>
143 #include <openssl/objects.h>
144 #ifndef OPENSSL_NO_COMP
145 # include <openssl/comp.h>
146 #endif
147 #ifndef OPENSSL_NO_ENGINE
148 # include <openssl/engine.h>
149 #endif
150 #include "ssl_locl.h"
151
152 #define SSL_ENC_DES_IDX         0
153 #define SSL_ENC_3DES_IDX        1
154 #define SSL_ENC_RC4_IDX         2
155 #define SSL_ENC_RC2_IDX         3
156 #define SSL_ENC_IDEA_IDX        4
157 #define SSL_ENC_NULL_IDX        5
158 #define SSL_ENC_AES128_IDX      6
159 #define SSL_ENC_AES256_IDX      7
160 #define SSL_ENC_CAMELLIA128_IDX 8
161 #define SSL_ENC_CAMELLIA256_IDX 9
162 #define SSL_ENC_GOST89_IDX      10
163 #define SSL_ENC_SEED_IDX        11
164 #define SSL_ENC_AES128GCM_IDX   12
165 #define SSL_ENC_AES256GCM_IDX   13
166 #define SSL_ENC_AES128CCM_IDX   14
167 #define SSL_ENC_AES256CCM_IDX   15
168 #define SSL_ENC_AES128CCM8_IDX  16
169 #define SSL_ENC_AES256CCM8_IDX  17
170 #define SSL_ENC_GOST8912_IDX    18
171 #define SSL_ENC_CHACHA_IDX      19
172 #define SSL_ENC_NUM_IDX         20
173
174 /* NB: make sure indices in these tables match values above */
175
176 typedef struct {
177     uint32_t mask;
178     int nid;
179 } ssl_cipher_table;
180
181 /* Table of NIDs for each cipher */
182 static const ssl_cipher_table ssl_cipher_table_cipher[SSL_ENC_NUM_IDX] = {
183     {SSL_DES, NID_des_cbc},     /* SSL_ENC_DES_IDX 0 */
184     {SSL_3DES, NID_des_ede3_cbc}, /* SSL_ENC_3DES_IDX 1 */
185     {SSL_RC4, NID_rc4},         /* SSL_ENC_RC4_IDX 2 */
186     {SSL_RC2, NID_rc2_cbc},     /* SSL_ENC_RC2_IDX 3 */
187     {SSL_IDEA, NID_idea_cbc},   /* SSL_ENC_IDEA_IDX 4 */
188     {SSL_eNULL, NID_undef},     /* SSL_ENC_NULL_IDX 5 */
189     {SSL_AES128, NID_aes_128_cbc}, /* SSL_ENC_AES128_IDX 6 */
190     {SSL_AES256, NID_aes_256_cbc}, /* SSL_ENC_AES256_IDX 7 */
191     {SSL_CAMELLIA128, NID_camellia_128_cbc}, /* SSL_ENC_CAMELLIA128_IDX 8 */
192     {SSL_CAMELLIA256, NID_camellia_256_cbc}, /* SSL_ENC_CAMELLIA256_IDX 9 */
193     {SSL_eGOST2814789CNT, NID_gost89_cnt}, /* SSL_ENC_GOST89_IDX 10 */
194     {SSL_SEED, NID_seed_cbc},   /* SSL_ENC_SEED_IDX 11 */
195     {SSL_AES128GCM, NID_aes_128_gcm}, /* SSL_ENC_AES128GCM_IDX 12 */
196     {SSL_AES256GCM, NID_aes_256_gcm}, /* SSL_ENC_AES256GCM_IDX 13 */
197     {SSL_AES128CCM, NID_aes_128_ccm}, /* SSL_ENC_AES128CCM_IDX 14 */
198     {SSL_AES256CCM, NID_aes_256_ccm}, /* SSL_ENC_AES256CCM_IDX 15 */
199     {SSL_AES128CCM8, NID_aes_128_ccm}, /* SSL_ENC_AES128CCM8_IDX 16 */
200     {SSL_AES256CCM8, NID_aes_256_ccm}, /* SSL_ENC_AES256CCM8_IDX 17 */
201     {SSL_eGOST2814789CNT12, NID_gost89_cnt_12}, /* SSL_ENC_GOST8912_IDX */
202     {SSL_CHACHA20POLY1305, NID_chacha20_poly1305},
203 };
204
205 static const EVP_CIPHER *ssl_cipher_methods[SSL_ENC_NUM_IDX] = {
206     NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL,
207     NULL, NULL
208 };
209
210 #define SSL_COMP_NULL_IDX       0
211 #define SSL_COMP_ZLIB_IDX       1
212 #define SSL_COMP_NUM_IDX        2
213
214 static STACK_OF(SSL_COMP) *ssl_comp_methods = NULL;
215
216 /*
217  * Constant SSL_MAX_DIGEST equal to size of digests array should be defined
218  * in the ssl_locl.h
219  */
220
221 #define SSL_MD_NUM_IDX  SSL_MAX_DIGEST
222
223 /* NB: make sure indices in this table matches values above */
224 static const ssl_cipher_table ssl_cipher_table_mac[SSL_MD_NUM_IDX] = {
225     {SSL_MD5, NID_md5},         /* SSL_MD_MD5_IDX 0 */
226     {SSL_SHA1, NID_sha1},       /* SSL_MD_SHA1_IDX 1 */
227     {SSL_GOST94, NID_id_GostR3411_94}, /* SSL_MD_GOST94_IDX 2 */
228     {SSL_GOST89MAC, NID_id_Gost28147_89_MAC}, /* SSL_MD_GOST89MAC_IDX 3 */
229     {SSL_SHA256, NID_sha256},   /* SSL_MD_SHA256_IDX 4 */
230     {SSL_SHA384, NID_sha384},   /* SSL_MD_SHA384_IDX 5 */
231     {SSL_GOST12_256, NID_id_GostR3411_2012_256},  /* SSL_MD_GOST12_256_IDX 6 */
232     {SSL_GOST89MAC12, NID_gost_mac_12},           /* SSL_MD_GOST89MAC12_IDX 7 */
233     {SSL_GOST12_512, NID_id_GostR3411_2012_512},  /* SSL_MD_GOST12_512_IDX 8 */
234     {0, NID_md5_sha1},          /* SSL_MD_MD5_SHA1_IDX 9 */
235     {0, NID_sha224},            /* SSL_MD_SHA224_IDX 10 */
236     {0, NID_sha512}             /* SSL_MD_SHA512_IDX 11 */
237 };
238
239 static const EVP_MD *ssl_digest_methods[SSL_MD_NUM_IDX] = {
240     NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL
241 };
242
243 /* Utility function for table lookup */
244 static int ssl_cipher_info_find(const ssl_cipher_table * table,
245                                 size_t table_cnt, uint32_t mask)
246 {
247     size_t i;
248     for (i = 0; i < table_cnt; i++, table++) {
249         if (table->mask == mask)
250             return i;
251     }
252     return -1;
253 }
254
255 #define ssl_cipher_info_lookup(table, x) \
256     ssl_cipher_info_find(table, OSSL_NELEM(table), x)
257
258 /*
259  * PKEY_TYPE for GOST89MAC is known in advance, but, because implementation
260  * is engine-provided, we'll fill it only if corresponding EVP_PKEY_METHOD is
261  * found
262  */
263 static int ssl_mac_pkey_id[SSL_MD_NUM_IDX] = {
264     /* MD5, SHA, GOST94, MAC89 */
265     EVP_PKEY_HMAC, EVP_PKEY_HMAC, EVP_PKEY_HMAC, NID_undef,
266     /* SHA256, SHA384, GOST2012_256, MAC89-12 */
267     EVP_PKEY_HMAC, EVP_PKEY_HMAC, EVP_PKEY_HMAC, NID_undef,
268     /* GOST2012_512 */
269     EVP_PKEY_HMAC,
270 };
271
272 static int ssl_mac_secret_size[SSL_MD_NUM_IDX] = {
273     0, 0, 0, 0, 0, 0, 0, 0, 0, 0
274 };
275
276 #define CIPHER_ADD      1
277 #define CIPHER_KILL     2
278 #define CIPHER_DEL      3
279 #define CIPHER_ORD      4
280 #define CIPHER_SPECIAL  5
281
282 typedef struct cipher_order_st {
283     const SSL_CIPHER *cipher;
284     int active;
285     int dead;
286     struct cipher_order_st *next, *prev;
287 } CIPHER_ORDER;
288
289 static const SSL_CIPHER cipher_aliases[] = {
290     /* "ALL" doesn't include eNULL (must be specifically enabled) */
291     {0, SSL_TXT_ALL, 0, 0, 0, ~SSL_eNULL, 0, 0, 0, 0, 0, 0},
292     /* "COMPLEMENTOFALL" */
293     {0, SSL_TXT_CMPALL, 0, 0, 0, SSL_eNULL, 0, 0, 0, 0, 0, 0},
294
295     /*
296      * "COMPLEMENTOFDEFAULT" (does *not* include ciphersuites not found in
297      * ALL!)
298      */
299     {0, SSL_TXT_CMPDEF, 0, 0, 0, ~SSL_eNULL, 0, 0, SSL_NOT_DEFAULT, 0, 0, 0},
300
301     /*
302      * key exchange aliases (some of those using only a single bit here
303      * combine multiple key exchange algs according to the RFCs, e.g. kDHE
304      * combines DHE_DSS and DHE_RSA)
305      */
306     {0, SSL_TXT_kRSA, 0, SSL_kRSA, 0, 0, 0, 0, 0, 0, 0, 0},
307
308     {0, SSL_TXT_kEDH, 0, SSL_kDHE, 0, 0, 0, 0, 0, 0, 0, 0},
309     {0, SSL_TXT_kDHE, 0, SSL_kDHE, 0, 0, 0, 0, 0, 0, 0, 0},
310     {0, SSL_TXT_DH, 0, SSL_kDHE, 0, 0, 0, 0, 0, 0, 0,
311      0},
312
313     {0, SSL_TXT_kEECDH, 0, SSL_kECDHE, 0, 0, 0, 0, 0, 0, 0, 0},
314     {0, SSL_TXT_kECDHE, 0, SSL_kECDHE, 0, 0, 0, 0, 0, 0, 0, 0},
315     {0, SSL_TXT_ECDH, 0, SSL_kECDHE, 0, 0, 0, 0, 0,
316      0, 0, 0},
317
318     {0, SSL_TXT_kPSK, 0, SSL_kPSK, 0, 0, 0, 0, 0, 0, 0, 0},
319     {0, SSL_TXT_kRSAPSK, 0, SSL_kRSAPSK, 0, 0, 0, 0, 0, 0, 0, 0},
320     {0, SSL_TXT_kECDHEPSK, 0, SSL_kECDHEPSK, 0, 0, 0, 0, 0, 0, 0, 0},
321     {0, SSL_TXT_kDHEPSK, 0, SSL_kDHEPSK, 0, 0, 0, 0, 0, 0, 0, 0},
322     {0, SSL_TXT_kSRP, 0, SSL_kSRP, 0, 0, 0, 0, 0, 0, 0, 0},
323     {0, SSL_TXT_kGOST, 0, SSL_kGOST, 0, 0, 0, 0, 0, 0, 0, 0},
324
325     /* server authentication aliases */
326     {0, SSL_TXT_aRSA, 0, 0, SSL_aRSA, 0, 0, 0, 0, 0, 0, 0},
327     {0, SSL_TXT_aDSS, 0, 0, SSL_aDSS, 0, 0, 0, 0, 0, 0, 0},
328     {0, SSL_TXT_DSS, 0, 0, SSL_aDSS, 0, 0, 0, 0, 0, 0, 0},
329     {0, SSL_TXT_aNULL, 0, 0, SSL_aNULL, 0, 0, 0, 0, 0, 0, 0},
330     {0, SSL_TXT_aECDSA, 0, 0, SSL_aECDSA, 0, 0, 0, 0, 0, 0, 0},
331     {0, SSL_TXT_ECDSA, 0, 0, SSL_aECDSA, 0, 0, 0, 0, 0, 0, 0},
332     {0, SSL_TXT_aPSK, 0, 0, SSL_aPSK, 0, 0, 0, 0, 0, 0, 0},
333     {0, SSL_TXT_aGOST01, 0, 0, SSL_aGOST01, 0, 0, 0, 0, 0, 0, 0},
334     {0, SSL_TXT_aGOST12, 0, 0, SSL_aGOST12, 0, 0, 0, 0, 0, 0, 0},
335     {0, SSL_TXT_aGOST, 0, 0, SSL_aGOST01 | SSL_aGOST12, 0, 0, 0,
336      0, 0, 0, 0},
337     {0, SSL_TXT_aSRP, 0, 0, SSL_aSRP, 0, 0, 0, 0, 0, 0, 0},
338
339     /* aliases combining key exchange and server authentication */
340     {0, SSL_TXT_EDH, 0, SSL_kDHE, ~SSL_aNULL, 0, 0, 0, 0, 0, 0, 0},
341     {0, SSL_TXT_DHE, 0, SSL_kDHE, ~SSL_aNULL, 0, 0, 0, 0, 0, 0, 0},
342     {0, SSL_TXT_EECDH, 0, SSL_kECDHE, ~SSL_aNULL, 0, 0, 0, 0, 0, 0, 0},
343     {0, SSL_TXT_ECDHE, 0, SSL_kECDHE, ~SSL_aNULL, 0, 0, 0, 0, 0, 0, 0},
344     {0, SSL_TXT_NULL, 0, 0, 0, SSL_eNULL, 0, 0, 0, 0, 0, 0},
345     {0, SSL_TXT_RSA, 0, SSL_kRSA, SSL_aRSA, 0, 0, 0, 0, 0, 0, 0},
346     {0, SSL_TXT_ADH, 0, SSL_kDHE, SSL_aNULL, 0, 0, 0, 0, 0, 0, 0},
347     {0, SSL_TXT_AECDH, 0, SSL_kECDHE, SSL_aNULL, 0, 0, 0, 0, 0, 0, 0},
348     {0, SSL_TXT_PSK, 0, SSL_PSK, 0, 0, 0, 0, 0, 0, 0, 0},
349     {0, SSL_TXT_SRP, 0, SSL_kSRP, 0, 0, 0, 0, 0, 0, 0, 0},
350
351     /* symmetric encryption aliases */
352     {0, SSL_TXT_DES, 0, 0, 0, SSL_DES, 0, 0, 0, 0, 0, 0},
353     {0, SSL_TXT_3DES, 0, 0, 0, SSL_3DES, 0, 0, 0, 0, 0, 0},
354     {0, SSL_TXT_RC4, 0, 0, 0, SSL_RC4, 0, 0, 0, 0, 0, 0},
355     {0, SSL_TXT_RC2, 0, 0, 0, SSL_RC2, 0, 0, 0, 0, 0, 0},
356     {0, SSL_TXT_IDEA, 0, 0, 0, SSL_IDEA, 0, 0, 0, 0, 0, 0},
357     {0, SSL_TXT_SEED, 0, 0, 0, SSL_SEED, 0, 0, 0, 0, 0, 0},
358     {0, SSL_TXT_eNULL, 0, 0, 0, SSL_eNULL, 0, 0, 0, 0, 0, 0},
359     {0, SSL_TXT_GOST, 0, 0, 0, SSL_eGOST2814789CNT | SSL_eGOST2814789CNT12, 0,
360      0, 0, 0, 0, 0},
361     {0, SSL_TXT_AES128, 0, 0, 0, SSL_AES128 | SSL_AES128GCM | SSL_AES128CCM | SSL_AES128CCM8, 0,
362      0, 0, 0, 0, 0},
363     {0, SSL_TXT_AES256, 0, 0, 0, SSL_AES256 | SSL_AES256GCM | SSL_AES256CCM | SSL_AES256CCM8, 0,
364      0, 0, 0, 0, 0},
365     {0, SSL_TXT_AES, 0, 0, 0, SSL_AES, 0, 0, 0, 0, 0, 0},
366     {0, SSL_TXT_AES_GCM, 0, 0, 0, SSL_AES128GCM | SSL_AES256GCM, 0, 0, 0, 0,
367      0, 0},
368     {0, SSL_TXT_AES_CCM, 0, 0, 0, SSL_AES128CCM | SSL_AES256CCM | SSL_AES128CCM8 | SSL_AES256CCM8, 0, 0, 0, 0,
369      0, 0},
370     {0, SSL_TXT_AES_CCM_8, 0, 0, 0, SSL_AES128CCM8 | SSL_AES256CCM8, 0, 0, 0, 0,
371      0, 0},
372     {0, SSL_TXT_CAMELLIA128, 0, 0, 0, SSL_CAMELLIA128, 0, 0, 0, 0, 0, 0},
373     {0, SSL_TXT_CAMELLIA256, 0, 0, 0, SSL_CAMELLIA256, 0, 0, 0, 0, 0, 0},
374     {0, SSL_TXT_CAMELLIA, 0, 0, 0, SSL_CAMELLIA, 0, 0, 0, 0, 0, 0},
375     {0, SSL_TXT_CHACHA20, 0, 0, 0, SSL_CHACHA20, 0, 0, 0, 0, 0, 0 },
376
377     /* MAC aliases */
378     {0, SSL_TXT_MD5, 0, 0, 0, 0, SSL_MD5, 0, 0, 0, 0, 0},
379     {0, SSL_TXT_SHA1, 0, 0, 0, 0, SSL_SHA1, 0, 0, 0, 0, 0},
380     {0, SSL_TXT_SHA, 0, 0, 0, 0, SSL_SHA1, 0, 0, 0, 0, 0},
381     {0, SSL_TXT_GOST94, 0, 0, 0, 0, SSL_GOST94, 0, 0, 0, 0, 0},
382     {0, SSL_TXT_GOST89MAC, 0, 0, 0, 0, SSL_GOST89MAC | SSL_GOST89MAC12, 0, 0,
383      0, 0, 0},
384     {0, SSL_TXT_SHA256, 0, 0, 0, 0, SSL_SHA256, 0, 0, 0, 0, 0},
385     {0, SSL_TXT_SHA384, 0, 0, 0, 0, SSL_SHA384, 0, 0, 0, 0, 0},
386     {0, SSL_TXT_GOST12, 0, 0, 0, 0, SSL_GOST12_256, 0, 0, 0, 0, 0},
387
388     /* protocol version aliases */
389     {0, SSL_TXT_SSLV3, 0, 0, 0, 0, 0, SSL_SSLV3, 0, 0, 0, 0},
390     {0, SSL_TXT_TLSV1, 0, 0, 0, 0, 0, SSL_SSLV3, 0, 0, 0, 0},
391     {0, "TLSv1.0", 0, 0, 0, 0, 0, SSL_TLSV1, 0, 0, 0, 0},
392     {0, SSL_TXT_TLSV1_2, 0, 0, 0, 0, 0, SSL_TLSV1_2, 0, 0, 0, 0},
393
394     /* strength classes */
395     {0, SSL_TXT_LOW, 0, 0, 0, 0, 0, 0, SSL_LOW, 0, 0, 0},
396     {0, SSL_TXT_MEDIUM, 0, 0, 0, 0, 0, 0, SSL_MEDIUM, 0, 0, 0},
397     {0, SSL_TXT_HIGH, 0, 0, 0, 0, 0, 0, SSL_HIGH, 0, 0, 0},
398     /* FIPS 140-2 approved ciphersuite */
399     {0, SSL_TXT_FIPS, 0, 0, 0, ~SSL_eNULL, 0, 0, SSL_FIPS, 0, 0, 0},
400
401     /* "EDH-" aliases to "DHE-" labels (for backward compatibility) */
402     {0, SSL3_TXT_EDH_DSS_DES_192_CBC3_SHA, 0,
403      SSL_kDHE, SSL_aDSS, SSL_3DES, SSL_SHA1, SSL_SSLV3,
404      SSL_HIGH | SSL_FIPS, 0, 0, 0,},
405     {0, SSL3_TXT_EDH_RSA_DES_192_CBC3_SHA, 0,
406      SSL_kDHE, SSL_aRSA, SSL_3DES, SSL_SHA1, SSL_SSLV3,
407      SSL_HIGH | SSL_FIPS, 0, 0, 0,},
408
409 };
410
411 /*
412  * Search for public key algorithm with given name and return its pkey_id if
413  * it is available. Otherwise return 0
414  */
415 #ifdef OPENSSL_NO_ENGINE
416
417 static int get_optional_pkey_id(const char *pkey_name)
418 {
419     const EVP_PKEY_ASN1_METHOD *ameth;
420     int pkey_id = 0;
421     ameth = EVP_PKEY_asn1_find_str(NULL, pkey_name, -1);
422     if (ameth && EVP_PKEY_asn1_get0_info(&pkey_id, NULL, NULL, NULL, NULL,
423                                          ameth) > 0) {
424         return pkey_id;
425     }
426     return 0;
427 }
428
429 #else
430
431 static int get_optional_pkey_id(const char *pkey_name)
432 {
433     const EVP_PKEY_ASN1_METHOD *ameth;
434     ENGINE *tmpeng = NULL;
435     int pkey_id = 0;
436     ameth = EVP_PKEY_asn1_find_str(&tmpeng, pkey_name, -1);
437     if (ameth) {
438         if (EVP_PKEY_asn1_get0_info(&pkey_id, NULL, NULL, NULL, NULL,
439                                     ameth) <= 0)
440             pkey_id = 0;
441     }
442     if (tmpeng)
443         ENGINE_finish(tmpeng);
444     return pkey_id;
445 }
446
447 #endif
448
449 /* masks of disabled algorithms */
450 static uint32_t disabled_enc_mask;
451 static uint32_t disabled_mac_mask;
452 static uint32_t disabled_mkey_mask;
453 static uint32_t disabled_auth_mask;
454
455 void ssl_load_ciphers(void)
456 {
457     size_t i;
458     const ssl_cipher_table *t;
459     disabled_enc_mask = 0;
460     for (i = 0, t = ssl_cipher_table_cipher; i < SSL_ENC_NUM_IDX; i++, t++) {
461         if (t->nid == NID_undef) {
462             ssl_cipher_methods[i] = NULL;
463         } else {
464             const EVP_CIPHER *cipher = EVP_get_cipherbynid(t->nid);
465             ssl_cipher_methods[i] = cipher;
466             if (cipher == NULL)
467                 disabled_enc_mask |= t->mask;
468         }
469     }
470 #ifdef SSL_FORBID_ENULL
471     disabled_enc_mask |= SSL_eNULL;
472 #endif
473     disabled_mac_mask = 0;
474     for (i = 0, t = ssl_cipher_table_mac; i < SSL_MD_NUM_IDX; i++, t++) {
475         const EVP_MD *md = EVP_get_digestbynid(t->nid);
476         ssl_digest_methods[i] = md;
477         if (md == NULL) {
478             disabled_mac_mask |= t->mask;
479         } else {
480             ssl_mac_secret_size[i] = EVP_MD_size(md);
481             OPENSSL_assert(ssl_mac_secret_size[i] >= 0);
482         }
483     }
484     /* Make sure we can access MD5 and SHA1 */
485     OPENSSL_assert(ssl_digest_methods[SSL_MD_MD5_IDX] != NULL);
486     OPENSSL_assert(ssl_digest_methods[SSL_MD_SHA1_IDX] != NULL);
487
488     disabled_mkey_mask = 0;
489     disabled_auth_mask = 0;
490
491 #ifdef OPENSSL_NO_RSA
492     disabled_mkey_mask |= SSL_kRSA | SSL_kRSAPSK;
493     disabled_auth_mask |= SSL_aRSA;
494 #endif
495 #ifdef OPENSSL_NO_DSA
496     disabled_auth_mask |= SSL_aDSS;
497 #endif
498 #ifdef OPENSSL_NO_DH
499     disabled_mkey_mask |= SSL_kDHE | SSL_kDHEPSK;
500 #endif
501 #ifdef OPENSSL_NO_EC
502     disabled_mkey_mask |= SSL_kECDHEPSK;
503     disabled_auth_mask |= SSL_aECDSA;
504 #endif
505 #ifdef OPENSSL_NO_PSK
506     disabled_mkey_mask |= SSL_PSK;
507     disabled_auth_mask |= SSL_aPSK;
508 #endif
509 #ifdef OPENSSL_NO_SRP
510     disabled_mkey_mask |= SSL_kSRP;
511 #endif
512
513     /*
514      * Check for presence of GOST 34.10 algorithms, and if they are not
515      * present, disable appropriate auth and key exchange
516      */
517     ssl_mac_pkey_id[SSL_MD_GOST89MAC_IDX] = get_optional_pkey_id("gost-mac");
518     if (ssl_mac_pkey_id[SSL_MD_GOST89MAC_IDX]) {
519         ssl_mac_secret_size[SSL_MD_GOST89MAC_IDX] = 32;
520     } else {
521         disabled_mac_mask |= SSL_GOST89MAC;
522     }
523
524     ssl_mac_pkey_id[SSL_MD_GOST89MAC12_IDX] = get_optional_pkey_id("gost-mac-12");
525     if (ssl_mac_pkey_id[SSL_MD_GOST89MAC12_IDX]) {
526         ssl_mac_secret_size[SSL_MD_GOST89MAC12_IDX] = 32;
527     } else {
528         disabled_mac_mask |= SSL_GOST89MAC12;
529     }
530
531     if (!get_optional_pkey_id("gost2001"))
532         disabled_auth_mask |= SSL_aGOST01 | SSL_aGOST12;
533     if (!get_optional_pkey_id("gost2012_256"))
534         disabled_auth_mask |= SSL_aGOST12;
535     if (!get_optional_pkey_id("gost2012_512"))
536         disabled_auth_mask |= SSL_aGOST12;
537     /*
538      * Disable GOST key exchange if no GOST signature algs are available *
539      */
540     if ((disabled_auth_mask & (SSL_aGOST01 | SSL_aGOST12)) == (SSL_aGOST01 | SSL_aGOST12))
541         disabled_mkey_mask |= SSL_kGOST;
542 }
543
544 #ifndef OPENSSL_NO_COMP
545
546 static int sk_comp_cmp(const SSL_COMP *const *a, const SSL_COMP *const *b)
547 {
548     return ((*a)->id - (*b)->id);
549 }
550
551 static void load_builtin_compressions(void)
552 {
553     int got_write_lock = 0;
554
555     CRYPTO_r_lock(CRYPTO_LOCK_SSL);
556     if (ssl_comp_methods == NULL) {
557         CRYPTO_r_unlock(CRYPTO_LOCK_SSL);
558         CRYPTO_w_lock(CRYPTO_LOCK_SSL);
559         got_write_lock = 1;
560
561         if (ssl_comp_methods == NULL) {
562             SSL_COMP *comp = NULL;
563             COMP_METHOD *method = COMP_zlib();
564
565             CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_DISABLE);
566             ssl_comp_methods = sk_SSL_COMP_new(sk_comp_cmp);
567             if (COMP_get_type(method) != NID_undef
568                 && ssl_comp_methods != NULL) {
569                 comp = OPENSSL_malloc(sizeof(*comp));
570                 if (comp != NULL) {
571                     comp->method = method;
572                     comp->id = SSL_COMP_ZLIB_IDX;
573                     comp->name = COMP_get_name(method);
574                     sk_SSL_COMP_push(ssl_comp_methods, comp);
575                     sk_SSL_COMP_sort(ssl_comp_methods);
576                 }
577             }
578             CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE);
579         }
580     }
581
582     if (got_write_lock)
583         CRYPTO_w_unlock(CRYPTO_LOCK_SSL);
584     else
585         CRYPTO_r_unlock(CRYPTO_LOCK_SSL);
586 }
587 #endif
588
589 int ssl_cipher_get_evp(const SSL_SESSION *s, const EVP_CIPHER **enc,
590                        const EVP_MD **md, int *mac_pkey_type,
591                        int *mac_secret_size, SSL_COMP **comp, int use_etm)
592 {
593     int i;
594     const SSL_CIPHER *c;
595
596     c = s->cipher;
597     if (c == NULL)
598         return (0);
599     if (comp != NULL) {
600         SSL_COMP ctmp;
601 #ifndef OPENSSL_NO_COMP
602         load_builtin_compressions();
603 #endif
604
605         *comp = NULL;
606         ctmp.id = s->compress_meth;
607         if (ssl_comp_methods != NULL) {
608             i = sk_SSL_COMP_find(ssl_comp_methods, &ctmp);
609             if (i >= 0)
610                 *comp = sk_SSL_COMP_value(ssl_comp_methods, i);
611             else
612                 *comp = NULL;
613         }
614         /* If were only interested in comp then return success */
615         if ((enc == NULL) && (md == NULL))
616             return 1;
617     }
618
619     if ((enc == NULL) || (md == NULL))
620         return 0;
621
622     i = ssl_cipher_info_lookup(ssl_cipher_table_cipher, c->algorithm_enc);
623
624     if (i == -1)
625         *enc = NULL;
626     else {
627         if (i == SSL_ENC_NULL_IDX)
628             *enc = EVP_enc_null();
629         else
630             *enc = ssl_cipher_methods[i];
631     }
632
633     i = ssl_cipher_info_lookup(ssl_cipher_table_mac, c->algorithm_mac);
634     if (i == -1) {
635         *md = NULL;
636         if (mac_pkey_type != NULL)
637             *mac_pkey_type = NID_undef;
638         if (mac_secret_size != NULL)
639             *mac_secret_size = 0;
640         if (c->algorithm_mac == SSL_AEAD)
641             mac_pkey_type = NULL;
642     } else {
643         *md = ssl_digest_methods[i];
644         if (mac_pkey_type != NULL)
645             *mac_pkey_type = ssl_mac_pkey_id[i];
646         if (mac_secret_size != NULL)
647             *mac_secret_size = ssl_mac_secret_size[i];
648     }
649
650     if ((*enc != NULL) &&
651         (*md != NULL || (EVP_CIPHER_flags(*enc) & EVP_CIPH_FLAG_AEAD_CIPHER))
652         && (!mac_pkey_type || *mac_pkey_type != NID_undef)) {
653         const EVP_CIPHER *evp;
654
655         if (use_etm)
656             return 1;
657
658         if (s->ssl_version >> 8 != TLS1_VERSION_MAJOR ||
659             s->ssl_version < TLS1_VERSION)
660             return 1;
661
662         if (FIPS_mode())
663             return 1;
664
665         if (c->algorithm_enc == SSL_RC4 &&
666             c->algorithm_mac == SSL_MD5 &&
667             (evp = EVP_get_cipherbyname("RC4-HMAC-MD5")))
668             *enc = evp, *md = NULL;
669         else if (c->algorithm_enc == SSL_AES128 &&
670                  c->algorithm_mac == SSL_SHA1 &&
671                  (evp = EVP_get_cipherbyname("AES-128-CBC-HMAC-SHA1")))
672             *enc = evp, *md = NULL;
673         else if (c->algorithm_enc == SSL_AES256 &&
674                  c->algorithm_mac == SSL_SHA1 &&
675                  (evp = EVP_get_cipherbyname("AES-256-CBC-HMAC-SHA1")))
676             *enc = evp, *md = NULL;
677         else if (c->algorithm_enc == SSL_AES128 &&
678                  c->algorithm_mac == SSL_SHA256 &&
679                  (evp = EVP_get_cipherbyname("AES-128-CBC-HMAC-SHA256")))
680             *enc = evp, *md = NULL;
681         else if (c->algorithm_enc == SSL_AES256 &&
682                  c->algorithm_mac == SSL_SHA256 &&
683                  (evp = EVP_get_cipherbyname("AES-256-CBC-HMAC-SHA256")))
684             *enc = evp, *md = NULL;
685         return (1);
686     } else
687         return (0);
688 }
689
690 const EVP_MD *ssl_md(int idx)
691 {
692     idx &= SSL_HANDSHAKE_MAC_MASK;
693     if (idx < 0 || idx >= SSL_MD_NUM_IDX)
694         return NULL;
695     return ssl_digest_methods[idx];
696 }
697
698 const EVP_MD *ssl_handshake_md(SSL *s)
699 {
700     return ssl_md(ssl_get_algorithm2(s));
701 }
702
703 const EVP_MD *ssl_prf_md(SSL *s)
704 {
705     return ssl_md(ssl_get_algorithm2(s) >> TLS1_PRF_DGST_SHIFT);
706 }
707
708 #define ITEM_SEP(a) \
709         (((a) == ':') || ((a) == ' ') || ((a) == ';') || ((a) == ','))
710
711 static void ll_append_tail(CIPHER_ORDER **head, CIPHER_ORDER *curr,
712                            CIPHER_ORDER **tail)
713 {
714     if (curr == *tail)
715         return;
716     if (curr == *head)
717         *head = curr->next;
718     if (curr->prev != NULL)
719         curr->prev->next = curr->next;
720     if (curr->next != NULL)
721         curr->next->prev = curr->prev;
722     (*tail)->next = curr;
723     curr->prev = *tail;
724     curr->next = NULL;
725     *tail = curr;
726 }
727
728 static void ll_append_head(CIPHER_ORDER **head, CIPHER_ORDER *curr,
729                            CIPHER_ORDER **tail)
730 {
731     if (curr == *head)
732         return;
733     if (curr == *tail)
734         *tail = curr->prev;
735     if (curr->next != NULL)
736         curr->next->prev = curr->prev;
737     if (curr->prev != NULL)
738         curr->prev->next = curr->next;
739     (*head)->prev = curr;
740     curr->next = *head;
741     curr->prev = NULL;
742     *head = curr;
743 }
744
745 static void ssl_cipher_collect_ciphers(const SSL_METHOD *ssl_method,
746                                        int num_of_ciphers,
747                                        uint32_t disabled_mkey,
748                                        uint32_t disabled_auth,
749                                        uint32_t disabled_enc,
750                                        uint32_t disabled_mac,
751                                        uint32_t disabled_ssl,
752                                        CIPHER_ORDER *co_list,
753                                        CIPHER_ORDER **head_p,
754                                        CIPHER_ORDER **tail_p)
755 {
756     int i, co_list_num;
757     const SSL_CIPHER *c;
758
759     /*
760      * We have num_of_ciphers descriptions compiled in, depending on the
761      * method selected (SSLv3, TLSv1 etc).
762      * These will later be sorted in a linked list with at most num
763      * entries.
764      */
765
766     /* Get the initial list of ciphers */
767     co_list_num = 0;            /* actual count of ciphers */
768     for (i = 0; i < num_of_ciphers; i++) {
769         c = ssl_method->get_cipher(i);
770         /* drop those that use any of that is not available */
771         if ((c != NULL) && c->valid &&
772             (!FIPS_mode() || (c->algo_strength & SSL_FIPS)) &&
773             !(c->algorithm_mkey & disabled_mkey) &&
774             !(c->algorithm_auth & disabled_auth) &&
775             !(c->algorithm_enc & disabled_enc) &&
776             !(c->algorithm_mac & disabled_mac) &&
777             !(c->algorithm_ssl & disabled_ssl)) {
778             co_list[co_list_num].cipher = c;
779             co_list[co_list_num].next = NULL;
780             co_list[co_list_num].prev = NULL;
781             co_list[co_list_num].active = 0;
782             co_list_num++;
783             /*
784              * if (!sk_push(ca_list,(char *)c)) goto err;
785              */
786         }
787     }
788
789     /*
790      * Prepare linked list from list entries
791      */
792     if (co_list_num > 0) {
793         co_list[0].prev = NULL;
794
795         if (co_list_num > 1) {
796             co_list[0].next = &co_list[1];
797
798             for (i = 1; i < co_list_num - 1; i++) {
799                 co_list[i].prev = &co_list[i - 1];
800                 co_list[i].next = &co_list[i + 1];
801             }
802
803             co_list[co_list_num - 1].prev = &co_list[co_list_num - 2];
804         }
805
806         co_list[co_list_num - 1].next = NULL;
807
808         *head_p = &co_list[0];
809         *tail_p = &co_list[co_list_num - 1];
810     }
811 }
812
813 static void ssl_cipher_collect_aliases(const SSL_CIPHER **ca_list,
814                                        int num_of_group_aliases,
815                                        uint32_t disabled_mkey,
816                                        uint32_t disabled_auth,
817                                        uint32_t disabled_enc,
818                                        uint32_t disabled_mac,
819                                        uint32_t disabled_ssl,
820                                        CIPHER_ORDER *head)
821 {
822     CIPHER_ORDER *ciph_curr;
823     const SSL_CIPHER **ca_curr;
824     int i;
825     uint32_t mask_mkey = ~disabled_mkey;
826     uint32_t mask_auth = ~disabled_auth;
827     uint32_t mask_enc = ~disabled_enc;
828     uint32_t mask_mac = ~disabled_mac;
829     uint32_t mask_ssl = ~disabled_ssl;
830
831     /*
832      * First, add the real ciphers as already collected
833      */
834     ciph_curr = head;
835     ca_curr = ca_list;
836     while (ciph_curr != NULL) {
837         *ca_curr = ciph_curr->cipher;
838         ca_curr++;
839         ciph_curr = ciph_curr->next;
840     }
841
842     /*
843      * Now we add the available ones from the cipher_aliases[] table.
844      * They represent either one or more algorithms, some of which
845      * in any affected category must be supported (set in enabled_mask),
846      * or represent a cipher strength value (will be added in any case because algorithms=0).
847      */
848     for (i = 0; i < num_of_group_aliases; i++) {
849         uint32_t algorithm_mkey = cipher_aliases[i].algorithm_mkey;
850         uint32_t algorithm_auth = cipher_aliases[i].algorithm_auth;
851         uint32_t algorithm_enc = cipher_aliases[i].algorithm_enc;
852         uint32_t algorithm_mac = cipher_aliases[i].algorithm_mac;
853         uint32_t algorithm_ssl = cipher_aliases[i].algorithm_ssl;
854
855         if (algorithm_mkey)
856             if ((algorithm_mkey & mask_mkey) == 0)
857                 continue;
858
859         if (algorithm_auth)
860             if ((algorithm_auth & mask_auth) == 0)
861                 continue;
862
863         if (algorithm_enc)
864             if ((algorithm_enc & mask_enc) == 0)
865                 continue;
866
867         if (algorithm_mac)
868             if ((algorithm_mac & mask_mac) == 0)
869                 continue;
870
871         if (algorithm_ssl)
872             if ((algorithm_ssl & mask_ssl) == 0)
873                 continue;
874
875         *ca_curr = (SSL_CIPHER *)(cipher_aliases + i);
876         ca_curr++;
877     }
878
879     *ca_curr = NULL;            /* end of list */
880 }
881
882 static void ssl_cipher_apply_rule(uint32_t cipher_id, uint32_t alg_mkey,
883                                   uint32_t alg_auth, uint32_t alg_enc,
884                                   uint32_t alg_mac, uint32_t alg_ssl,
885                                   uint32_t algo_strength, int rule,
886                                   int32_t strength_bits, CIPHER_ORDER **head_p,
887                                   CIPHER_ORDER **tail_p)
888 {
889     CIPHER_ORDER *head, *tail, *curr, *next, *last;
890     const SSL_CIPHER *cp;
891     int reverse = 0;
892
893 #ifdef CIPHER_DEBUG
894     fprintf(stderr,
895             "Applying rule %d with %08lx/%08lx/%08lx/%08lx/%08lx %08lx (%d)\n",
896             rule, alg_mkey, alg_auth, alg_enc, alg_mac, alg_ssl,
897             algo_strength, strength_bits);
898 #endif
899
900     if (rule == CIPHER_DEL)
901         reverse = 1;            /* needed to maintain sorting between
902                                  * currently deleted ciphers */
903
904     head = *head_p;
905     tail = *tail_p;
906
907     if (reverse) {
908         next = tail;
909         last = head;
910     } else {
911         next = head;
912         last = tail;
913     }
914
915     curr = NULL;
916     for (;;) {
917         if (curr == last)
918             break;
919
920         curr = next;
921
922         if (curr == NULL)
923             break;
924
925         next = reverse ? curr->prev : curr->next;
926
927         cp = curr->cipher;
928
929         /*
930          * Selection criteria is either the value of strength_bits
931          * or the algorithms used.
932          */
933         if (strength_bits >= 0) {
934             if (strength_bits != cp->strength_bits)
935                 continue;
936         } else {
937 #ifdef CIPHER_DEBUG
938             fprintf(stderr,
939                     "\nName: %s:\nAlgo = %08lx/%08lx/%08lx/%08lx/%08lx Algo_strength = %08lx\n",
940                     cp->name, cp->algorithm_mkey, cp->algorithm_auth,
941                     cp->algorithm_enc, cp->algorithm_mac, cp->algorithm_ssl,
942                     cp->algo_strength);
943 #endif
944             if (alg_mkey && !(alg_mkey & cp->algorithm_mkey))
945                 continue;
946             if (alg_auth && !(alg_auth & cp->algorithm_auth))
947                 continue;
948             if (alg_enc && !(alg_enc & cp->algorithm_enc))
949                 continue;
950             if (alg_mac && !(alg_mac & cp->algorithm_mac))
951                 continue;
952             if (alg_ssl && !(alg_ssl & cp->algorithm_ssl))
953                 continue;
954             if (algo_strength && !(algo_strength & cp->algo_strength))
955                 continue;
956             if ((algo_strength & SSL_DEFAULT_MASK)
957                 && !(algo_strength & SSL_DEFAULT_MASK & cp->algo_strength))
958                 continue;
959         }
960
961 #ifdef CIPHER_DEBUG
962         fprintf(stderr, "Action = %d\n", rule);
963 #endif
964
965         /* add the cipher if it has not been added yet. */
966         if (rule == CIPHER_ADD) {
967             /* reverse == 0 */
968             if (!curr->active) {
969                 ll_append_tail(&head, curr, &tail);
970                 curr->active = 1;
971             }
972         }
973         /* Move the added cipher to this location */
974         else if (rule == CIPHER_ORD) {
975             /* reverse == 0 */
976             if (curr->active) {
977                 ll_append_tail(&head, curr, &tail);
978             }
979         } else if (rule == CIPHER_DEL) {
980             /* reverse == 1 */
981             if (curr->active) {
982                 /*
983                  * most recently deleted ciphersuites get best positions for
984                  * any future CIPHER_ADD (note that the CIPHER_DEL loop works
985                  * in reverse to maintain the order)
986                  */
987                 ll_append_head(&head, curr, &tail);
988                 curr->active = 0;
989             }
990         } else if (rule == CIPHER_KILL) {
991             /* reverse == 0 */
992             if (head == curr)
993                 head = curr->next;
994             else
995                 curr->prev->next = curr->next;
996             if (tail == curr)
997                 tail = curr->prev;
998             curr->active = 0;
999             if (curr->next != NULL)
1000                 curr->next->prev = curr->prev;
1001             if (curr->prev != NULL)
1002                 curr->prev->next = curr->next;
1003             curr->next = NULL;
1004             curr->prev = NULL;
1005         }
1006     }
1007
1008     *head_p = head;
1009     *tail_p = tail;
1010 }
1011
1012 static int ssl_cipher_strength_sort(CIPHER_ORDER **head_p,
1013                                     CIPHER_ORDER **tail_p)
1014 {
1015     int32_t max_strength_bits;
1016     int i, *number_uses;
1017     CIPHER_ORDER *curr;
1018
1019     /*
1020      * This routine sorts the ciphers with descending strength. The sorting
1021      * must keep the pre-sorted sequence, so we apply the normal sorting
1022      * routine as '+' movement to the end of the list.
1023      */
1024     max_strength_bits = 0;
1025     curr = *head_p;
1026     while (curr != NULL) {
1027         if (curr->active && (curr->cipher->strength_bits > max_strength_bits))
1028             max_strength_bits = curr->cipher->strength_bits;
1029         curr = curr->next;
1030     }
1031
1032     number_uses = OPENSSL_zalloc(sizeof(int) * (max_strength_bits + 1));
1033     if (number_uses == NULL) {
1034         SSLerr(SSL_F_SSL_CIPHER_STRENGTH_SORT, ERR_R_MALLOC_FAILURE);
1035         return (0);
1036     }
1037
1038     /*
1039      * Now find the strength_bits values actually used
1040      */
1041     curr = *head_p;
1042     while (curr != NULL) {
1043         if (curr->active)
1044             number_uses[curr->cipher->strength_bits]++;
1045         curr = curr->next;
1046     }
1047     /*
1048      * Go through the list of used strength_bits values in descending
1049      * order.
1050      */
1051     for (i = max_strength_bits; i >= 0; i--)
1052         if (number_uses[i] > 0)
1053             ssl_cipher_apply_rule(0, 0, 0, 0, 0, 0, 0, CIPHER_ORD, i, head_p,
1054                                   tail_p);
1055
1056     OPENSSL_free(number_uses);
1057     return (1);
1058 }
1059
1060 static int ssl_cipher_process_rulestr(const char *rule_str,
1061                                       CIPHER_ORDER **head_p,
1062                                       CIPHER_ORDER **tail_p,
1063                                       const SSL_CIPHER **ca_list, CERT *c)
1064 {
1065     uint32_t alg_mkey, alg_auth, alg_enc, alg_mac, alg_ssl, algo_strength;
1066     const char *l, *buf;
1067     int j, multi, found, rule, retval, ok, buflen;
1068     uint32_t cipher_id = 0;
1069     char ch;
1070
1071     retval = 1;
1072     l = rule_str;
1073     for (;;) {
1074         ch = *l;
1075
1076         if (ch == '\0')
1077             break;              /* done */
1078         if (ch == '-') {
1079             rule = CIPHER_DEL;
1080             l++;
1081         } else if (ch == '+') {
1082             rule = CIPHER_ORD;
1083             l++;
1084         } else if (ch == '!') {
1085             rule = CIPHER_KILL;
1086             l++;
1087         } else if (ch == '@') {
1088             rule = CIPHER_SPECIAL;
1089             l++;
1090         } else {
1091             rule = CIPHER_ADD;
1092         }
1093
1094         if (ITEM_SEP(ch)) {
1095             l++;
1096             continue;
1097         }
1098
1099         alg_mkey = 0;
1100         alg_auth = 0;
1101         alg_enc = 0;
1102         alg_mac = 0;
1103         alg_ssl = 0;
1104         algo_strength = 0;
1105
1106         for (;;) {
1107             ch = *l;
1108             buf = l;
1109             buflen = 0;
1110 #ifndef CHARSET_EBCDIC
1111             while (((ch >= 'A') && (ch <= 'Z')) ||
1112                    ((ch >= '0') && (ch <= '9')) ||
1113                    ((ch >= 'a') && (ch <= 'z')) ||
1114                    (ch == '-') || (ch == '.') || (ch == '='))
1115 #else
1116             while (isalnum(ch) || (ch == '-') || (ch == '.') || (ch == '='))
1117 #endif
1118             {
1119                 ch = *(++l);
1120                 buflen++;
1121             }
1122
1123             if (buflen == 0) {
1124                 /*
1125                  * We hit something we cannot deal with,
1126                  * it is no command or separator nor
1127                  * alphanumeric, so we call this an error.
1128                  */
1129                 SSLerr(SSL_F_SSL_CIPHER_PROCESS_RULESTR,
1130                        SSL_R_INVALID_COMMAND);
1131                 retval = found = 0;
1132                 l++;
1133                 break;
1134             }
1135
1136             if (rule == CIPHER_SPECIAL) {
1137                 found = 0;      /* unused -- avoid compiler warning */
1138                 break;          /* special treatment */
1139             }
1140
1141             /* check for multi-part specification */
1142             if (ch == '+') {
1143                 multi = 1;
1144                 l++;
1145             } else
1146                 multi = 0;
1147
1148             /*
1149              * Now search for the cipher alias in the ca_list. Be careful
1150              * with the strncmp, because the "buflen" limitation
1151              * will make the rule "ADH:SOME" and the cipher
1152              * "ADH-MY-CIPHER" look like a match for buflen=3.
1153              * So additionally check whether the cipher name found
1154              * has the correct length. We can save a strlen() call:
1155              * just checking for the '\0' at the right place is
1156              * sufficient, we have to strncmp() anyway. (We cannot
1157              * use strcmp(), because buf is not '\0' terminated.)
1158              */
1159             j = found = 0;
1160             cipher_id = 0;
1161             while (ca_list[j]) {
1162                 if (strncmp(buf, ca_list[j]->name, buflen) == 0
1163                     && (ca_list[j]->name[buflen] == '\0')) {
1164                     found = 1;
1165                     break;
1166                 } else
1167                     j++;
1168             }
1169
1170             if (!found)
1171                 break;          /* ignore this entry */
1172
1173             if (ca_list[j]->algorithm_mkey) {
1174                 if (alg_mkey) {
1175                     alg_mkey &= ca_list[j]->algorithm_mkey;
1176                     if (!alg_mkey) {
1177                         found = 0;
1178                         break;
1179                     }
1180                 } else
1181                     alg_mkey = ca_list[j]->algorithm_mkey;
1182             }
1183
1184             if (ca_list[j]->algorithm_auth) {
1185                 if (alg_auth) {
1186                     alg_auth &= ca_list[j]->algorithm_auth;
1187                     if (!alg_auth) {
1188                         found = 0;
1189                         break;
1190                     }
1191                 } else
1192                     alg_auth = ca_list[j]->algorithm_auth;
1193             }
1194
1195             if (ca_list[j]->algorithm_enc) {
1196                 if (alg_enc) {
1197                     alg_enc &= ca_list[j]->algorithm_enc;
1198                     if (!alg_enc) {
1199                         found = 0;
1200                         break;
1201                     }
1202                 } else
1203                     alg_enc = ca_list[j]->algorithm_enc;
1204             }
1205
1206             if (ca_list[j]->algorithm_mac) {
1207                 if (alg_mac) {
1208                     alg_mac &= ca_list[j]->algorithm_mac;
1209                     if (!alg_mac) {
1210                         found = 0;
1211                         break;
1212                     }
1213                 } else
1214                     alg_mac = ca_list[j]->algorithm_mac;
1215             }
1216
1217             if (ca_list[j]->algo_strength) {
1218                 if (algo_strength) {
1219                     algo_strength &= ca_list[j]->algo_strength;
1220                     if (!algo_strength) {
1221                         found = 0;
1222                         break;
1223                     }
1224                 } else
1225                     algo_strength = ca_list[j]->algo_strength;
1226             }
1227
1228             if (ca_list[j]->algo_strength & SSL_DEFAULT_MASK) {
1229                 if (algo_strength & SSL_DEFAULT_MASK) {
1230                     algo_strength &=
1231                         (ca_list[j]->algo_strength & SSL_DEFAULT_MASK) |
1232                         ~SSL_DEFAULT_MASK;
1233                     if (!(algo_strength & SSL_DEFAULT_MASK)) {
1234                         found = 0;
1235                         break;
1236                     }
1237                 } else
1238                     algo_strength |=
1239                         ca_list[j]->algo_strength & SSL_DEFAULT_MASK;
1240             }
1241
1242             if (ca_list[j]->valid) {
1243                 /*
1244                  * explicit ciphersuite found; its protocol version does not
1245                  * become part of the search pattern!
1246                  */
1247
1248                 cipher_id = ca_list[j]->id;
1249             } else {
1250                 /*
1251                  * not an explicit ciphersuite; only in this case, the
1252                  * protocol version is considered part of the search pattern
1253                  */
1254
1255                 if (ca_list[j]->algorithm_ssl) {
1256                     if (alg_ssl) {
1257                         alg_ssl &= ca_list[j]->algorithm_ssl;
1258                         if (!alg_ssl) {
1259                             found = 0;
1260                             break;
1261                         }
1262                     } else
1263                         alg_ssl = ca_list[j]->algorithm_ssl;
1264                 }
1265             }
1266
1267             if (!multi)
1268                 break;
1269         }
1270
1271         /*
1272          * Ok, we have the rule, now apply it
1273          */
1274         if (rule == CIPHER_SPECIAL) { /* special command */
1275             ok = 0;
1276             if ((buflen == 8) && strncmp(buf, "STRENGTH", 8) == 0)
1277                 ok = ssl_cipher_strength_sort(head_p, tail_p);
1278             else if (buflen == 10 && strncmp(buf, "SECLEVEL=", 9) == 0) {
1279                 int level = buf[9] - '0';
1280                 if (level < 0 || level > 5) {
1281                     SSLerr(SSL_F_SSL_CIPHER_PROCESS_RULESTR,
1282                            SSL_R_INVALID_COMMAND);
1283                 } else {
1284                     c->sec_level = level;
1285                     ok = 1;
1286                 }
1287             } else
1288                 SSLerr(SSL_F_SSL_CIPHER_PROCESS_RULESTR,
1289                        SSL_R_INVALID_COMMAND);
1290             if (ok == 0)
1291                 retval = 0;
1292             /*
1293              * We do not support any "multi" options
1294              * together with "@", so throw away the
1295              * rest of the command, if any left, until
1296              * end or ':' is found.
1297              */
1298             while ((*l != '\0') && !ITEM_SEP(*l))
1299                 l++;
1300         } else if (found) {
1301             ssl_cipher_apply_rule(cipher_id,
1302                                   alg_mkey, alg_auth, alg_enc, alg_mac,
1303                                   alg_ssl, algo_strength, rule, -1, head_p,
1304                                   tail_p);
1305         } else {
1306             while ((*l != '\0') && !ITEM_SEP(*l))
1307                 l++;
1308         }
1309         if (*l == '\0')
1310             break;              /* done */
1311     }
1312
1313     return (retval);
1314 }
1315
1316 #ifndef OPENSSL_NO_EC
1317 static int check_suiteb_cipher_list(const SSL_METHOD *meth, CERT *c,
1318                                     const char **prule_str)
1319 {
1320     unsigned int suiteb_flags = 0, suiteb_comb2 = 0;
1321     if (strncmp(*prule_str, "SUITEB128ONLY", 13) == 0) {
1322         suiteb_flags = SSL_CERT_FLAG_SUITEB_128_LOS_ONLY;
1323     } else if (strncmp(*prule_str, "SUITEB128C2", 11) == 0) {
1324         suiteb_comb2 = 1;
1325         suiteb_flags = SSL_CERT_FLAG_SUITEB_128_LOS;
1326     } else if (strncmp(*prule_str, "SUITEB128", 9) == 0) {
1327         suiteb_flags = SSL_CERT_FLAG_SUITEB_128_LOS;
1328     } else if (strncmp(*prule_str, "SUITEB192", 9) == 0) {
1329         suiteb_flags = SSL_CERT_FLAG_SUITEB_192_LOS;
1330     }
1331
1332     if (suiteb_flags) {
1333         c->cert_flags &= ~SSL_CERT_FLAG_SUITEB_128_LOS;
1334         c->cert_flags |= suiteb_flags;
1335     } else
1336         suiteb_flags = c->cert_flags & SSL_CERT_FLAG_SUITEB_128_LOS;
1337
1338     if (!suiteb_flags)
1339         return 1;
1340     /* Check version: if TLS 1.2 ciphers allowed we can use Suite B */
1341
1342     if (!(meth->ssl3_enc->enc_flags & SSL_ENC_FLAG_TLS1_2_CIPHERS)) {
1343         SSLerr(SSL_F_CHECK_SUITEB_CIPHER_LIST,
1344                SSL_R_AT_LEAST_TLS_1_2_NEEDED_IN_SUITEB_MODE);
1345         return 0;
1346     }
1347 # ifndef OPENSSL_NO_EC
1348     switch (suiteb_flags) {
1349     case SSL_CERT_FLAG_SUITEB_128_LOS:
1350         if (suiteb_comb2)
1351             *prule_str = "ECDHE-ECDSA-AES256-GCM-SHA384";
1352         else
1353             *prule_str =
1354                 "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384";
1355         break;
1356     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
1357         *prule_str = "ECDHE-ECDSA-AES128-GCM-SHA256";
1358         break;
1359     case SSL_CERT_FLAG_SUITEB_192_LOS:
1360         *prule_str = "ECDHE-ECDSA-AES256-GCM-SHA384";
1361         break;
1362     }
1363     return 1;
1364 # else
1365     SSLerr(SSL_F_CHECK_SUITEB_CIPHER_LIST,
1366            SSL_R_ECDH_REQUIRED_FOR_SUITEB_MODE);
1367     return 0;
1368 # endif
1369 }
1370 #endif
1371
1372 STACK_OF(SSL_CIPHER) *ssl_create_cipher_list(const SSL_METHOD *ssl_method, STACK_OF(SSL_CIPHER)
1373                                              **cipher_list, STACK_OF(SSL_CIPHER)
1374                                              **cipher_list_by_id,
1375                                              const char *rule_str, CERT *c)
1376 {
1377     int ok, num_of_ciphers, num_of_alias_max, num_of_group_aliases;
1378     uint32_t disabled_mkey, disabled_auth, disabled_enc, disabled_mac,
1379         disabled_ssl;
1380     STACK_OF(SSL_CIPHER) *cipherstack, *tmp_cipher_list;
1381     const char *rule_p;
1382     CIPHER_ORDER *co_list = NULL, *head = NULL, *tail = NULL, *curr;
1383     const SSL_CIPHER **ca_list = NULL;
1384
1385     /*
1386      * Return with error if nothing to do.
1387      */
1388     if (rule_str == NULL || cipher_list == NULL || cipher_list_by_id == NULL)
1389         return NULL;
1390 #ifndef OPENSSL_NO_EC
1391     if (!check_suiteb_cipher_list(ssl_method, c, &rule_str))
1392         return NULL;
1393 #endif
1394
1395     /*
1396      * To reduce the work to do we only want to process the compiled
1397      * in algorithms, so we first get the mask of disabled ciphers.
1398      */
1399
1400     disabled_mkey = disabled_mkey_mask;
1401     disabled_auth = disabled_auth_mask;
1402     disabled_enc = disabled_enc_mask;
1403     disabled_mac = disabled_mac_mask;
1404     disabled_ssl = 0;
1405
1406     /*
1407      * Now we have to collect the available ciphers from the compiled
1408      * in ciphers. We cannot get more than the number compiled in, so
1409      * it is used for allocation.
1410      */
1411     num_of_ciphers = ssl_method->num_ciphers();
1412
1413     co_list = OPENSSL_malloc(sizeof(*co_list) * num_of_ciphers);
1414     if (co_list == NULL) {
1415         SSLerr(SSL_F_SSL_CREATE_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
1416         return (NULL);          /* Failure */
1417     }
1418
1419     ssl_cipher_collect_ciphers(ssl_method, num_of_ciphers,
1420                                disabled_mkey, disabled_auth, disabled_enc,
1421                                disabled_mac, disabled_ssl, co_list, &head,
1422                                &tail);
1423
1424     /* Now arrange all ciphers by preference: */
1425
1426     /*
1427      * Everything else being equal, prefer ephemeral ECDH over other key
1428      * exchange mechanisms
1429      */
1430     ssl_cipher_apply_rule(0, SSL_kECDHE, 0, 0, 0, 0, 0, CIPHER_ADD, -1, &head,
1431                           &tail);
1432     ssl_cipher_apply_rule(0, SSL_kECDHE, 0, 0, 0, 0, 0, CIPHER_DEL, -1, &head,
1433                           &tail);
1434
1435     /* AES is our preferred symmetric cipher */
1436     ssl_cipher_apply_rule(0, 0, 0, SSL_AES, 0, 0, 0, CIPHER_ADD, -1, &head,
1437                           &tail);
1438
1439     /* Temporarily enable everything else for sorting */
1440     ssl_cipher_apply_rule(0, 0, 0, 0, 0, 0, 0, CIPHER_ADD, -1, &head, &tail);
1441
1442     /* Low priority for MD5 */
1443     ssl_cipher_apply_rule(0, 0, 0, 0, SSL_MD5, 0, 0, CIPHER_ORD, -1, &head,
1444                           &tail);
1445
1446     /*
1447      * Move anonymous ciphers to the end.  Usually, these will remain
1448      * disabled. (For applications that allow them, they aren't too bad, but
1449      * we prefer authenticated ciphers.)
1450      */
1451     ssl_cipher_apply_rule(0, 0, SSL_aNULL, 0, 0, 0, 0, CIPHER_ORD, -1, &head,
1452                           &tail);
1453
1454     /*
1455      * ssl_cipher_apply_rule(0, 0, SSL_aDH, 0, 0, 0, 0, CIPHER_ORD, -1,
1456      * &head, &tail);
1457      */
1458     ssl_cipher_apply_rule(0, SSL_kRSA, 0, 0, 0, 0, 0, CIPHER_ORD, -1, &head,
1459                           &tail);
1460     ssl_cipher_apply_rule(0, SSL_kPSK, 0, 0, 0, 0, 0, CIPHER_ORD, -1, &head,
1461                           &tail);
1462
1463     /* RC4 is sort-of broken -- move the the end */
1464     ssl_cipher_apply_rule(0, 0, 0, SSL_RC4, 0, 0, 0, CIPHER_ORD, -1, &head,
1465                           &tail);
1466
1467     /*
1468      * Now sort by symmetric encryption strength.  The above ordering remains
1469      * in force within each class
1470      */
1471     if (!ssl_cipher_strength_sort(&head, &tail)) {
1472         OPENSSL_free(co_list);
1473         return NULL;
1474     }
1475
1476     /* Now disable everything (maintaining the ordering!) */
1477     ssl_cipher_apply_rule(0, 0, 0, 0, 0, 0, 0, CIPHER_DEL, -1, &head, &tail);
1478
1479     /*
1480      * We also need cipher aliases for selecting based on the rule_str.
1481      * There might be two types of entries in the rule_str: 1) names
1482      * of ciphers themselves 2) aliases for groups of ciphers.
1483      * For 1) we need the available ciphers and for 2) the cipher
1484      * groups of cipher_aliases added together in one list (otherwise
1485      * we would be happy with just the cipher_aliases table).
1486      */
1487     num_of_group_aliases = OSSL_NELEM(cipher_aliases);
1488     num_of_alias_max = num_of_ciphers + num_of_group_aliases + 1;
1489     ca_list = OPENSSL_malloc(sizeof(*ca_list) * num_of_alias_max);
1490     if (ca_list == NULL) {
1491         OPENSSL_free(co_list);
1492         SSLerr(SSL_F_SSL_CREATE_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
1493         return (NULL);          /* Failure */
1494     }
1495     ssl_cipher_collect_aliases(ca_list, num_of_group_aliases,
1496                                disabled_mkey, disabled_auth, disabled_enc,
1497                                disabled_mac, disabled_ssl, head);
1498
1499     /*
1500      * If the rule_string begins with DEFAULT, apply the default rule
1501      * before using the (possibly available) additional rules.
1502      */
1503     ok = 1;
1504     rule_p = rule_str;
1505     if (strncmp(rule_str, "DEFAULT", 7) == 0) {
1506         ok = ssl_cipher_process_rulestr(SSL_DEFAULT_CIPHER_LIST,
1507                                         &head, &tail, ca_list, c);
1508         rule_p += 7;
1509         if (*rule_p == ':')
1510             rule_p++;
1511     }
1512
1513     if (ok && (strlen(rule_p) > 0))
1514         ok = ssl_cipher_process_rulestr(rule_p, &head, &tail, ca_list, c);
1515
1516     OPENSSL_free(ca_list); /* Not needed anymore */
1517
1518     if (!ok) {                  /* Rule processing failure */
1519         OPENSSL_free(co_list);
1520         return (NULL);
1521     }
1522
1523     /*
1524      * Allocate new "cipherstack" for the result, return with error
1525      * if we cannot get one.
1526      */
1527     if ((cipherstack = sk_SSL_CIPHER_new_null()) == NULL) {
1528         OPENSSL_free(co_list);
1529         return (NULL);
1530     }
1531
1532     /*
1533      * The cipher selection for the list is done. The ciphers are added
1534      * to the resulting precedence to the STACK_OF(SSL_CIPHER).
1535      */
1536     for (curr = head; curr != NULL; curr = curr->next) {
1537         if (curr->active
1538             && (!FIPS_mode() || curr->cipher->algo_strength & SSL_FIPS)) {
1539             if (!sk_SSL_CIPHER_push(cipherstack, curr->cipher)) {
1540                 OPENSSL_free(co_list);
1541                 sk_SSL_CIPHER_free(cipherstack);
1542                 return NULL;
1543             }
1544 #ifdef CIPHER_DEBUG
1545             fprintf(stderr, "<%s>\n", curr->cipher->name);
1546 #endif
1547         }
1548     }
1549     OPENSSL_free(co_list);      /* Not needed any longer */
1550
1551     tmp_cipher_list = sk_SSL_CIPHER_dup(cipherstack);
1552     if (tmp_cipher_list == NULL) {
1553         sk_SSL_CIPHER_free(cipherstack);
1554         return NULL;
1555     }
1556     sk_SSL_CIPHER_free(*cipher_list);
1557     *cipher_list = cipherstack;
1558     if (*cipher_list_by_id != NULL)
1559         sk_SSL_CIPHER_free(*cipher_list_by_id);
1560     *cipher_list_by_id = tmp_cipher_list;
1561     (void)sk_SSL_CIPHER_set_cmp_func(*cipher_list_by_id,
1562                                      ssl_cipher_ptr_id_cmp);
1563
1564     sk_SSL_CIPHER_sort(*cipher_list_by_id);
1565     return (cipherstack);
1566 }
1567
1568 char *SSL_CIPHER_description(const SSL_CIPHER *cipher, char *buf, int len)
1569 {
1570     const char *ver;
1571     const char *kx, *au, *enc, *mac;
1572     uint32_t alg_mkey, alg_auth, alg_enc, alg_mac;
1573     static const char *format =
1574         "%-23s %s Kx=%-8s Au=%-4s Enc=%-9s Mac=%-4s\n";
1575
1576     if (buf == NULL) {
1577         len = 128;
1578         buf = OPENSSL_malloc(len);
1579         if (buf == NULL)
1580             return NULL;
1581     } else if (len < 128)
1582         return NULL;
1583
1584     alg_mkey = cipher->algorithm_mkey;
1585     alg_auth = cipher->algorithm_auth;
1586     alg_enc = cipher->algorithm_enc;
1587     alg_mac = cipher->algorithm_mac;
1588
1589     ver = SSL_CIPHER_get_version(cipher);
1590
1591     switch (alg_mkey) {
1592     case SSL_kRSA:
1593         kx = "RSA";
1594         break;
1595     case SSL_kDHE:
1596         kx = "DH";
1597         break;
1598     case SSL_kECDHE:
1599         kx = "ECDH";
1600         break;
1601     case SSL_kPSK:
1602         kx = "PSK";
1603         break;
1604     case SSL_kRSAPSK:
1605         kx = "RSAPSK";
1606         break;
1607     case SSL_kECDHEPSK:
1608         kx = "ECDHEPSK";
1609         break;
1610     case SSL_kDHEPSK:
1611         kx = "DHEPSK";
1612         break;
1613     case SSL_kSRP:
1614         kx = "SRP";
1615         break;
1616     case SSL_kGOST:
1617         kx = "GOST";
1618         break;
1619     default:
1620         kx = "unknown";
1621     }
1622
1623     switch (alg_auth) {
1624     case SSL_aRSA:
1625         au = "RSA";
1626         break;
1627     case SSL_aDSS:
1628         au = "DSS";
1629         break;
1630     case SSL_aNULL:
1631         au = "None";
1632         break;
1633     case SSL_aECDSA:
1634         au = "ECDSA";
1635         break;
1636     case SSL_aPSK:
1637         au = "PSK";
1638         break;
1639     case SSL_aSRP:
1640         au = "SRP";
1641         break;
1642     case SSL_aGOST01:
1643         au = "GOST01";
1644         break;
1645         /* New GOST ciphersuites have both SSL_aGOST12 and SSL_aGOST01 bits */
1646     case (SSL_aGOST12 | SSL_aGOST01):
1647         au = "GOST12";
1648         break;
1649     default:
1650         au = "unknown";
1651         break;
1652     }
1653
1654     switch (alg_enc) {
1655     case SSL_DES:
1656         enc = "DES(56)";
1657         break;
1658     case SSL_3DES:
1659         enc = "3DES(168)";
1660         break;
1661     case SSL_RC4:
1662         enc = "RC4(128)";
1663         break;
1664     case SSL_RC2:
1665         enc = "RC2(128)";
1666         break;
1667     case SSL_IDEA:
1668         enc = "IDEA(128)";
1669         break;
1670     case SSL_eNULL:
1671         enc = "None";
1672         break;
1673     case SSL_AES128:
1674         enc = "AES(128)";
1675         break;
1676     case SSL_AES256:
1677         enc = "AES(256)";
1678         break;
1679     case SSL_AES128GCM:
1680         enc = "AESGCM(128)";
1681         break;
1682     case SSL_AES256GCM:
1683         enc = "AESGCM(256)";
1684         break;
1685     case SSL_AES128CCM:
1686         enc = "AESCCM(128)";
1687         break;
1688     case SSL_AES256CCM:
1689         enc = "AESCCM(256)";
1690         break;
1691     case SSL_AES128CCM8:
1692         enc = "AESCCM8(128)";
1693         break;
1694     case SSL_AES256CCM8:
1695         enc = "AESCCM8(256)";
1696         break;
1697     case SSL_CAMELLIA128:
1698         enc = "Camellia(128)";
1699         break;
1700     case SSL_CAMELLIA256:
1701         enc = "Camellia(256)";
1702         break;
1703     case SSL_SEED:
1704         enc = "SEED(128)";
1705         break;
1706     case SSL_eGOST2814789CNT:
1707     case SSL_eGOST2814789CNT12:
1708         enc = "GOST89(256)";
1709         break;
1710     case SSL_CHACHA20POLY1305:
1711         enc = "CHACHA20/POLY1305(256)";
1712         break;
1713     default:
1714         enc = "unknown";
1715         break;
1716     }
1717
1718     switch (alg_mac) {
1719     case SSL_MD5:
1720         mac = "MD5";
1721         break;
1722     case SSL_SHA1:
1723         mac = "SHA1";
1724         break;
1725     case SSL_SHA256:
1726         mac = "SHA256";
1727         break;
1728     case SSL_SHA384:
1729         mac = "SHA384";
1730         break;
1731     case SSL_AEAD:
1732         mac = "AEAD";
1733         break;
1734     case SSL_GOST89MAC:
1735     case SSL_GOST89MAC12:
1736         mac = "GOST89";
1737         break;
1738     case SSL_GOST94:
1739         mac = "GOST94";
1740         break;
1741     case SSL_GOST12_256:
1742     case SSL_GOST12_512:
1743         mac = "GOST2012";
1744         break;
1745     default:
1746         mac = "unknown";
1747         break;
1748     }
1749
1750     BIO_snprintf(buf, len, format, cipher->name, ver, kx, au, enc, mac);
1751
1752     return (buf);
1753 }
1754
1755 char *SSL_CIPHER_get_version(const SSL_CIPHER *c)
1756 {
1757     uint32_t alg_ssl;
1758
1759     if (c == NULL)
1760         return "(NONE)";
1761     alg_ssl = c->algorithm_ssl;
1762
1763     if (alg_ssl & SSL_SSLV3)
1764         return "SSLv3";
1765     if (alg_ssl & SSL_TLSV1)
1766         return "TLSv1.0";
1767     if (alg_ssl & SSL_TLSV1_2)
1768         return "TLSv1.2";
1769     return "unknown";
1770 }
1771
1772 /* return the actual cipher being used */
1773 const char *SSL_CIPHER_get_name(const SSL_CIPHER *c)
1774 {
1775     if (c != NULL)
1776         return (c->name);
1777     return ("(NONE)");
1778 }
1779
1780 /* number of bits for symmetric cipher */
1781 int SSL_CIPHER_get_bits(const SSL_CIPHER *c, int *alg_bits)
1782 {
1783     int ret = 0;
1784
1785     if (c != NULL) {
1786         if (alg_bits != NULL)
1787             *alg_bits = (int) c->alg_bits;
1788         ret = (int) c->strength_bits;
1789     }
1790     return ret;
1791 }
1792
1793 uint32_t SSL_CIPHER_get_id(const SSL_CIPHER *c)
1794 {
1795     return c->id;
1796 }
1797
1798 SSL_COMP *ssl3_comp_find(STACK_OF(SSL_COMP) *sk, int n)
1799 {
1800     SSL_COMP *ctmp;
1801     int i, nn;
1802
1803     if ((n == 0) || (sk == NULL))
1804         return (NULL);
1805     nn = sk_SSL_COMP_num(sk);
1806     for (i = 0; i < nn; i++) {
1807         ctmp = sk_SSL_COMP_value(sk, i);
1808         if (ctmp->id == n)
1809             return (ctmp);
1810     }
1811     return (NULL);
1812 }
1813
1814 #ifdef OPENSSL_NO_COMP
1815 STACK_OF(SSL_COMP) *SSL_COMP_get_compression_methods(void)
1816 {
1817     return NULL;
1818 }
1819 STACK_OF(SSL_COMP) *SSL_COMP_set0_compression_methods(STACK_OF(SSL_COMP)
1820                                                       *meths)
1821 {
1822     return meths;
1823 }
1824 void SSL_COMP_free_compression_methods(void)
1825 {
1826 }
1827 int SSL_COMP_add_compression_method(int id, COMP_METHOD *cm)
1828 {
1829     return 1;
1830 }
1831
1832 #else
1833 STACK_OF(SSL_COMP) *SSL_COMP_get_compression_methods(void)
1834 {
1835     load_builtin_compressions();
1836     return (ssl_comp_methods);
1837 }
1838
1839 STACK_OF(SSL_COMP) *SSL_COMP_set0_compression_methods(STACK_OF(SSL_COMP)
1840                                                       *meths)
1841 {
1842     STACK_OF(SSL_COMP) *old_meths = ssl_comp_methods;
1843     ssl_comp_methods = meths;
1844     return old_meths;
1845 }
1846
1847 static void cmeth_free(SSL_COMP *cm)
1848 {
1849     OPENSSL_free(cm);
1850 }
1851
1852 void SSL_COMP_free_compression_methods(void)
1853 {
1854     STACK_OF(SSL_COMP) *old_meths = ssl_comp_methods;
1855     ssl_comp_methods = NULL;
1856     sk_SSL_COMP_pop_free(old_meths, cmeth_free);
1857 }
1858
1859 int SSL_COMP_add_compression_method(int id, COMP_METHOD *cm)
1860 {
1861     SSL_COMP *comp;
1862
1863     if (cm == NULL || COMP_get_type(cm) == NID_undef)
1864         return 1;
1865
1866     /*-
1867      * According to draft-ietf-tls-compression-04.txt, the
1868      * compression number ranges should be the following:
1869      *
1870      *   0 to  63:  methods defined by the IETF
1871      *  64 to 192:  external party methods assigned by IANA
1872      * 193 to 255:  reserved for private use
1873      */
1874     if (id < 193 || id > 255) {
1875         SSLerr(SSL_F_SSL_COMP_ADD_COMPRESSION_METHOD,
1876                SSL_R_COMPRESSION_ID_NOT_WITHIN_PRIVATE_RANGE);
1877         return 0;
1878     }
1879
1880     CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_DISABLE);
1881     comp = OPENSSL_malloc(sizeof(*comp));
1882     if (comp == NULL) {
1883         CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE);
1884         SSLerr(SSL_F_SSL_COMP_ADD_COMPRESSION_METHOD, ERR_R_MALLOC_FAILURE);
1885         return (1);
1886     }
1887
1888     comp->id = id;
1889     comp->method = cm;
1890     load_builtin_compressions();
1891     if (ssl_comp_methods && sk_SSL_COMP_find(ssl_comp_methods, comp) >= 0) {
1892         OPENSSL_free(comp);
1893         CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE);
1894         SSLerr(SSL_F_SSL_COMP_ADD_COMPRESSION_METHOD,
1895                SSL_R_DUPLICATE_COMPRESSION_ID);
1896         return (1);
1897     }
1898     if ((ssl_comp_methods == NULL)
1899                || !sk_SSL_COMP_push(ssl_comp_methods, comp)) {
1900         OPENSSL_free(comp);
1901         CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE);
1902         SSLerr(SSL_F_SSL_COMP_ADD_COMPRESSION_METHOD, ERR_R_MALLOC_FAILURE);
1903         return (1);
1904     }
1905     CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE);
1906     return (0);
1907 }
1908 #endif
1909
1910 const char *SSL_COMP_get_name(const COMP_METHOD *comp)
1911 {
1912 #ifndef OPENSSL_NO_COMP
1913     return comp ? COMP_get_name(comp) : NULL;
1914 #else
1915     return NULL;
1916 #endif
1917 }
1918
1919 /* For a cipher return the index corresponding to the certificate type */
1920 int ssl_cipher_get_cert_index(const SSL_CIPHER *c)
1921 {
1922     uint32_t alg_a;
1923
1924     alg_a = c->algorithm_auth;
1925
1926     if (alg_a & SSL_aECDSA)
1927         return SSL_PKEY_ECC;
1928     else if (alg_a & SSL_aDSS)
1929         return SSL_PKEY_DSA_SIGN;
1930     else if (alg_a & SSL_aRSA)
1931         return SSL_PKEY_RSA_ENC;
1932     else if (alg_a & SSL_aGOST12)
1933         return SSL_PKEY_GOST_EC;
1934     else if (alg_a & SSL_aGOST01)
1935         return SSL_PKEY_GOST01;
1936
1937     return -1;
1938 }
1939
1940 const SSL_CIPHER *ssl_get_cipher_by_char(SSL *ssl, const unsigned char *ptr)
1941 {
1942     const SSL_CIPHER *c;
1943     c = ssl->method->get_cipher_by_char(ptr);
1944     if (c == NULL || c->valid == 0)
1945         return NULL;
1946     return c;
1947 }
1948
1949 const SSL_CIPHER *SSL_CIPHER_find(SSL *ssl, const unsigned char *ptr)
1950 {
1951     return ssl->method->get_cipher_by_char(ptr);
1952 }
1953
1954 int SSL_CIPHER_get_cipher_nid(const SSL_CIPHER *c)
1955 {
1956     int i;
1957     if (c == NULL)
1958         return -1;
1959     i = ssl_cipher_info_lookup(ssl_cipher_table_cipher, c->algorithm_enc);
1960     if (i == -1)
1961         return -1;
1962     return ssl_cipher_table_cipher[i].nid;
1963 }
1964
1965 int SSL_CIPHER_get_digest_nid(const SSL_CIPHER *c)
1966 {
1967     int i;
1968     if (c == NULL)
1969         return -1;
1970     i = ssl_cipher_info_lookup(ssl_cipher_table_mac, c->algorithm_mac);
1971     if (i == -1)
1972         return -1;
1973     return ssl_cipher_table_mac[i].nid;
1974 }