Fix no-comp build
[openssl.git] / ssl / ssl_ciph.c
1 /* Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)
2  * All rights reserved.
3  *
4  * This package is an SSL implementation written
5  * by Eric Young (eay@cryptsoft.com).
6  * The implementation was written so as to conform with Netscapes SSL.
7  *
8  * This library is free for commercial and non-commercial use as long as
9  * the following conditions are aheared to.  The following conditions
10  * apply to all code found in this distribution, be it the RC4, RSA,
11  * lhash, DES, etc., code; not just the SSL code.  The SSL documentation
12  * included with this distribution is covered by the same copyright terms
13  * except that the holder is Tim Hudson (tjh@cryptsoft.com).
14  *
15  * Copyright remains Eric Young's, and as such any Copyright notices in
16  * the code are not to be removed.
17  * If this package is used in a product, Eric Young should be given attribution
18  * as the author of the parts of the library used.
19  * This can be in the form of a textual message at program startup or
20  * in documentation (online or textual) provided with the package.
21  *
22  * Redistribution and use in source and binary forms, with or without
23  * modification, are permitted provided that the following conditions
24  * are met:
25  * 1. Redistributions of source code must retain the copyright
26  *    notice, this list of conditions and the following disclaimer.
27  * 2. Redistributions in binary form must reproduce the above copyright
28  *    notice, this list of conditions and the following disclaimer in the
29  *    documentation and/or other materials provided with the distribution.
30  * 3. All advertising materials mentioning features or use of this software
31  *    must display the following acknowledgement:
32  *    "This product includes cryptographic software written by
33  *     Eric Young (eay@cryptsoft.com)"
34  *    The word 'cryptographic' can be left out if the rouines from the library
35  *    being used are not cryptographic related :-).
36  * 4. If you include any Windows specific code (or a derivative thereof) from
37  *    the apps directory (application code) you must include an acknowledgement:
38  *    "This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
39  *
40  * THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND
41  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
42  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
43  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
44  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
45  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
46  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
47  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
48  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
49  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
50  * SUCH DAMAGE.
51  *
52  * The licence and distribution terms for any publically available version or
53  * derivative of this code cannot be changed.  i.e. this code cannot simply be
54  * copied and put under another distribution licence
55  * [including the GNU Public Licence.]
56  */
57 /* ====================================================================
58  * Copyright (c) 1998-2007 The OpenSSL Project.  All rights reserved.
59  *
60  * Redistribution and use in source and binary forms, with or without
61  * modification, are permitted provided that the following conditions
62  * are met:
63  *
64  * 1. Redistributions of source code must retain the above copyright
65  *    notice, this list of conditions and the following disclaimer.
66  *
67  * 2. Redistributions in binary form must reproduce the above copyright
68  *    notice, this list of conditions and the following disclaimer in
69  *    the documentation and/or other materials provided with the
70  *    distribution.
71  *
72  * 3. All advertising materials mentioning features or use of this
73  *    software must display the following acknowledgment:
74  *    "This product includes software developed by the OpenSSL Project
75  *    for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
76  *
77  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
78  *    endorse or promote products derived from this software without
79  *    prior written permission. For written permission, please contact
80  *    openssl-core@openssl.org.
81  *
82  * 5. Products derived from this software may not be called "OpenSSL"
83  *    nor may "OpenSSL" appear in their names without prior written
84  *    permission of the OpenSSL Project.
85  *
86  * 6. Redistributions of any form whatsoever must retain the following
87  *    acknowledgment:
88  *    "This product includes software developed by the OpenSSL Project
89  *    for use in the OpenSSL Toolkit (http://www.openssl.org/)"
90  *
91  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
92  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
93  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
94  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
95  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
96  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
97  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
98  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
99  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
100  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
101  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
102  * OF THE POSSIBILITY OF SUCH DAMAGE.
103  * ====================================================================
104  *
105  * This product includes cryptographic software written by Eric Young
106  * (eay@cryptsoft.com).  This product includes software written by Tim
107  * Hudson (tjh@cryptsoft.com).
108  *
109  */
110 /* ====================================================================
111  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
112  * ECC cipher suite support in OpenSSL originally developed by
113  * SUN MICROSYSTEMS, INC., and contributed to the OpenSSL project.
114  */
115 /* ====================================================================
116  * Copyright 2005 Nokia. All rights reserved.
117  *
118  * The portions of the attached software ("Contribution") is developed by
119  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
120  * license.
121  *
122  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
123  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
124  * support (see RFC 4279) to OpenSSL.
125  *
126  * No patent licenses or other rights except those expressly stated in
127  * the OpenSSL open source license shall be deemed granted or received
128  * expressly, by implication, estoppel, or otherwise.
129  *
130  * No assurances are provided by Nokia that the Contribution does not
131  * infringe the patent or other intellectual property rights of any third
132  * party or that the license provides you with all the necessary rights
133  * to make use of the Contribution.
134  *
135  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
136  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
137  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
138  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
139  * OTHERWISE.
140  */
141
142 #include <stdio.h>
143 #include <openssl/objects.h>
144 #ifndef OPENSSL_NO_COMP
145 # include <openssl/comp.h>
146 #endif
147 #ifndef OPENSSL_NO_ENGINE
148 # include <openssl/engine.h>
149 #endif
150 #include "internal/threads.h"
151 #include "ssl_locl.h"
152
153 #define SSL_ENC_DES_IDX         0
154 #define SSL_ENC_3DES_IDX        1
155 #define SSL_ENC_RC4_IDX         2
156 #define SSL_ENC_RC2_IDX         3
157 #define SSL_ENC_IDEA_IDX        4
158 #define SSL_ENC_NULL_IDX        5
159 #define SSL_ENC_AES128_IDX      6
160 #define SSL_ENC_AES256_IDX      7
161 #define SSL_ENC_CAMELLIA128_IDX 8
162 #define SSL_ENC_CAMELLIA256_IDX 9
163 #define SSL_ENC_GOST89_IDX      10
164 #define SSL_ENC_SEED_IDX        11
165 #define SSL_ENC_AES128GCM_IDX   12
166 #define SSL_ENC_AES256GCM_IDX   13
167 #define SSL_ENC_AES128CCM_IDX   14
168 #define SSL_ENC_AES256CCM_IDX   15
169 #define SSL_ENC_AES128CCM8_IDX  16
170 #define SSL_ENC_AES256CCM8_IDX  17
171 #define SSL_ENC_GOST8912_IDX    18
172 #define SSL_ENC_CHACHA_IDX      19
173 #define SSL_ENC_NUM_IDX         20
174
175 /* NB: make sure indices in these tables match values above */
176
177 typedef struct {
178     uint32_t mask;
179     int nid;
180 } ssl_cipher_table;
181
182 /* Table of NIDs for each cipher */
183 static const ssl_cipher_table ssl_cipher_table_cipher[SSL_ENC_NUM_IDX] = {
184     {SSL_DES, NID_des_cbc},     /* SSL_ENC_DES_IDX 0 */
185     {SSL_3DES, NID_des_ede3_cbc}, /* SSL_ENC_3DES_IDX 1 */
186     {SSL_RC4, NID_rc4},         /* SSL_ENC_RC4_IDX 2 */
187     {SSL_RC2, NID_rc2_cbc},     /* SSL_ENC_RC2_IDX 3 */
188     {SSL_IDEA, NID_idea_cbc},   /* SSL_ENC_IDEA_IDX 4 */
189     {SSL_eNULL, NID_undef},     /* SSL_ENC_NULL_IDX 5 */
190     {SSL_AES128, NID_aes_128_cbc}, /* SSL_ENC_AES128_IDX 6 */
191     {SSL_AES256, NID_aes_256_cbc}, /* SSL_ENC_AES256_IDX 7 */
192     {SSL_CAMELLIA128, NID_camellia_128_cbc}, /* SSL_ENC_CAMELLIA128_IDX 8 */
193     {SSL_CAMELLIA256, NID_camellia_256_cbc}, /* SSL_ENC_CAMELLIA256_IDX 9 */
194     {SSL_eGOST2814789CNT, NID_gost89_cnt}, /* SSL_ENC_GOST89_IDX 10 */
195     {SSL_SEED, NID_seed_cbc},   /* SSL_ENC_SEED_IDX 11 */
196     {SSL_AES128GCM, NID_aes_128_gcm}, /* SSL_ENC_AES128GCM_IDX 12 */
197     {SSL_AES256GCM, NID_aes_256_gcm}, /* SSL_ENC_AES256GCM_IDX 13 */
198     {SSL_AES128CCM, NID_aes_128_ccm}, /* SSL_ENC_AES128CCM_IDX 14 */
199     {SSL_AES256CCM, NID_aes_256_ccm}, /* SSL_ENC_AES256CCM_IDX 15 */
200     {SSL_AES128CCM8, NID_aes_128_ccm}, /* SSL_ENC_AES128CCM8_IDX 16 */
201     {SSL_AES256CCM8, NID_aes_256_ccm}, /* SSL_ENC_AES256CCM8_IDX 17 */
202     {SSL_eGOST2814789CNT12, NID_gost89_cnt_12}, /* SSL_ENC_GOST8912_IDX */
203     {SSL_CHACHA20POLY1305, NID_chacha20_poly1305},
204 };
205
206 static const EVP_CIPHER *ssl_cipher_methods[SSL_ENC_NUM_IDX] = {
207     NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL,
208     NULL, NULL
209 };
210
211 #define SSL_COMP_NULL_IDX       0
212 #define SSL_COMP_ZLIB_IDX       1
213 #define SSL_COMP_NUM_IDX        2
214
215 static STACK_OF(SSL_COMP) *ssl_comp_methods = NULL;
216
217 #ifndef OPENSSL_NO_COMP
218 static CRYPTO_ONCE ssl_load_builtin_comp_once = CRYPTO_ONCE_STATIC_INIT;
219 #endif
220
221 /*
222  * Constant SSL_MAX_DIGEST equal to size of digests array should be defined
223  * in the ssl_locl.h
224  */
225
226 #define SSL_MD_NUM_IDX  SSL_MAX_DIGEST
227
228 /* NB: make sure indices in this table matches values above */
229 static const ssl_cipher_table ssl_cipher_table_mac[SSL_MD_NUM_IDX] = {
230     {SSL_MD5, NID_md5},         /* SSL_MD_MD5_IDX 0 */
231     {SSL_SHA1, NID_sha1},       /* SSL_MD_SHA1_IDX 1 */
232     {SSL_GOST94, NID_id_GostR3411_94}, /* SSL_MD_GOST94_IDX 2 */
233     {SSL_GOST89MAC, NID_id_Gost28147_89_MAC}, /* SSL_MD_GOST89MAC_IDX 3 */
234     {SSL_SHA256, NID_sha256},   /* SSL_MD_SHA256_IDX 4 */
235     {SSL_SHA384, NID_sha384},   /* SSL_MD_SHA384_IDX 5 */
236     {SSL_GOST12_256, NID_id_GostR3411_2012_256},  /* SSL_MD_GOST12_256_IDX 6 */
237     {SSL_GOST89MAC12, NID_gost_mac_12},           /* SSL_MD_GOST89MAC12_IDX 7 */
238     {SSL_GOST12_512, NID_id_GostR3411_2012_512},  /* SSL_MD_GOST12_512_IDX 8 */
239     {0, NID_md5_sha1},          /* SSL_MD_MD5_SHA1_IDX 9 */
240     {0, NID_sha224},            /* SSL_MD_SHA224_IDX 10 */
241     {0, NID_sha512}             /* SSL_MD_SHA512_IDX 11 */
242 };
243
244 static const EVP_MD *ssl_digest_methods[SSL_MD_NUM_IDX] = {
245     NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL
246 };
247
248 static const ssl_cipher_table ssl_cipher_table_kx[] = {
249     { SSL_kRSA,      NID_kx_rsa },
250     { SSL_kECDHE,    NID_kx_ecdhe },
251     { SSL_kDHE,      NID_kx_dhe },
252     { SSL_kECDHEPSK, NID_kx_ecdhe_psk },
253     { SSL_kDHEPSK,   NID_kx_dhe_psk },
254     { SSL_kRSAPSK,   NID_kx_rsa_psk },
255     { SSL_kPSK,      NID_kx_psk },
256     { SSL_kSRP,      NID_kx_srp },
257     { SSL_kGOST,     NID_kx_gost }
258 };
259
260 static const ssl_cipher_table ssl_cipher_table_auth[] = {
261     { SSL_aRSA,    NID_auth_rsa },
262     { SSL_aECDSA,  NID_auth_ecdsa },
263     { SSL_aPSK,    NID_auth_psk },
264     { SSL_aDSS,    NID_auth_dss },
265     { SSL_aGOST01, NID_auth_gost01 },
266     { SSL_aGOST12, NID_auth_gost12 },
267     { SSL_aSRP,    NID_auth_srp },
268     { SSL_aNULL,   NID_auth_null }
269 };
270
271 /* Utility function for table lookup */
272 static int ssl_cipher_info_find(const ssl_cipher_table * table,
273                                 size_t table_cnt, uint32_t mask)
274 {
275     size_t i;
276     for (i = 0; i < table_cnt; i++, table++) {
277         if (table->mask == mask)
278             return i;
279     }
280     return -1;
281 }
282
283 #define ssl_cipher_info_lookup(table, x) \
284     ssl_cipher_info_find(table, OSSL_NELEM(table), x)
285
286 /*
287  * PKEY_TYPE for GOST89MAC is known in advance, but, because implementation
288  * is engine-provided, we'll fill it only if corresponding EVP_PKEY_METHOD is
289  * found
290  */
291 static int ssl_mac_pkey_id[SSL_MD_NUM_IDX] = {
292     /* MD5, SHA, GOST94, MAC89 */
293     EVP_PKEY_HMAC, EVP_PKEY_HMAC, EVP_PKEY_HMAC, NID_undef,
294     /* SHA256, SHA384, GOST2012_256, MAC89-12 */
295     EVP_PKEY_HMAC, EVP_PKEY_HMAC, EVP_PKEY_HMAC, NID_undef,
296     /* GOST2012_512 */
297     EVP_PKEY_HMAC,
298 };
299
300 static int ssl_mac_secret_size[SSL_MD_NUM_IDX] = {
301     0, 0, 0, 0, 0, 0, 0, 0, 0, 0
302 };
303
304 #define CIPHER_ADD      1
305 #define CIPHER_KILL     2
306 #define CIPHER_DEL      3
307 #define CIPHER_ORD      4
308 #define CIPHER_SPECIAL  5
309 /*
310  * Bump the ciphers to the top of the list.
311  * This rule isn't currently supported by the public cipherstring API.
312  */
313 #define CIPHER_BUMP     6
314
315 typedef struct cipher_order_st {
316     const SSL_CIPHER *cipher;
317     int active;
318     int dead;
319     struct cipher_order_st *next, *prev;
320 } CIPHER_ORDER;
321
322 static const SSL_CIPHER cipher_aliases[] = {
323     /* "ALL" doesn't include eNULL (must be specifically enabled) */
324     {0, SSL_TXT_ALL, 0, 0, 0, ~SSL_eNULL, 0, 0, 0, 0, 0, 0, 0, 0, 0},
325     /* "COMPLEMENTOFALL" */
326     {0, SSL_TXT_CMPALL, 0, 0, 0, SSL_eNULL, 0, 0, 0, 0, 0, 0, 0, 0, 0},
327
328     /*
329      * "COMPLEMENTOFDEFAULT" (does *not* include ciphersuites not found in
330      * ALL!)
331      */
332     {0, SSL_TXT_CMPDEF, 0, 0, 0, 0, 0, 0, 0, 0, 0, SSL_NOT_DEFAULT, 0, 0, 0},
333
334     /*
335      * key exchange aliases (some of those using only a single bit here
336      * combine multiple key exchange algs according to the RFCs, e.g. kDHE
337      * combines DHE_DSS and DHE_RSA)
338      */
339     {0, SSL_TXT_kRSA, 0, SSL_kRSA, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
340
341     {0, SSL_TXT_kEDH, 0, SSL_kDHE, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
342     {0, SSL_TXT_kDHE, 0, SSL_kDHE, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
343     {0, SSL_TXT_DH, 0, SSL_kDHE, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
344
345     {0, SSL_TXT_kEECDH, 0, SSL_kECDHE, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
346     {0, SSL_TXT_kECDHE, 0, SSL_kECDHE, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
347     {0, SSL_TXT_ECDH, 0, SSL_kECDHE, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
348
349     {0, SSL_TXT_kPSK, 0, SSL_kPSK, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
350     {0, SSL_TXT_kRSAPSK, 0, SSL_kRSAPSK, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
351     {0, SSL_TXT_kECDHEPSK, 0, SSL_kECDHEPSK, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
352     {0, SSL_TXT_kDHEPSK, 0, SSL_kDHEPSK, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
353     {0, SSL_TXT_kSRP, 0, SSL_kSRP, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
354     {0, SSL_TXT_kGOST, 0, SSL_kGOST, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
355
356     /* server authentication aliases */
357     {0, SSL_TXT_aRSA, 0, 0, SSL_aRSA, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
358     {0, SSL_TXT_aDSS, 0, 0, SSL_aDSS, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
359     {0, SSL_TXT_DSS, 0, 0, SSL_aDSS, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
360     {0, SSL_TXT_aNULL, 0, 0, SSL_aNULL, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
361     {0, SSL_TXT_aECDSA, 0, 0, SSL_aECDSA, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
362     {0, SSL_TXT_ECDSA, 0, 0, SSL_aECDSA, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
363     {0, SSL_TXT_aPSK, 0, 0, SSL_aPSK, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
364     {0, SSL_TXT_aGOST01, 0, 0, SSL_aGOST01, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
365     {0, SSL_TXT_aGOST12, 0, 0, SSL_aGOST12, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
366     {0, SSL_TXT_aGOST, 0, 0, SSL_aGOST01 | SSL_aGOST12, 0, 0, 0, 0, 0, 0,
367      0, 0, 0, 0},
368     {0, SSL_TXT_aSRP, 0, 0, SSL_aSRP, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
369
370     /* aliases combining key exchange and server authentication */
371     {0, SSL_TXT_EDH, 0, SSL_kDHE, ~SSL_aNULL, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
372     {0, SSL_TXT_DHE, 0, SSL_kDHE, ~SSL_aNULL, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
373     {0, SSL_TXT_EECDH, 0, SSL_kECDHE, ~SSL_aNULL, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
374     {0, SSL_TXT_ECDHE, 0, SSL_kECDHE, ~SSL_aNULL, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
375     {0, SSL_TXT_NULL, 0, 0, 0, SSL_eNULL, 0, 0, 0, 0, 0, 0, 0, 0, 0},
376     {0, SSL_TXT_RSA, 0, SSL_kRSA, SSL_aRSA, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
377     {0, SSL_TXT_ADH, 0, SSL_kDHE, SSL_aNULL, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
378     {0, SSL_TXT_AECDH, 0, SSL_kECDHE, SSL_aNULL, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
379     {0, SSL_TXT_PSK, 0, SSL_PSK, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
380     {0, SSL_TXT_SRP, 0, SSL_kSRP, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0},
381
382     /* symmetric encryption aliases */
383     {0, SSL_TXT_3DES, 0, 0, 0, SSL_3DES, 0, 0, 0, 0, 0, 0, 0, 0, 0},
384     {0, SSL_TXT_RC4, 0, 0, 0, SSL_RC4, 0, 0, 0, 0, 0, 0, 0, 0, 0},
385     {0, SSL_TXT_RC2, 0, 0, 0, SSL_RC2, 0, 0, 0, 0, 0, 0, 0, 0, 0},
386     {0, SSL_TXT_IDEA, 0, 0, 0, SSL_IDEA, 0, 0, 0, 0, 0, 0, 0, 0, 0},
387     {0, SSL_TXT_SEED, 0, 0, 0, SSL_SEED, 0, 0, 0, 0, 0, 0, 0, 0, 0},
388     {0, SSL_TXT_eNULL, 0, 0, 0, SSL_eNULL, 0, 0, 0, 0, 0, 0, 0, 0, 0},
389     {0, SSL_TXT_GOST, 0, 0, 0, SSL_eGOST2814789CNT | SSL_eGOST2814789CNT12, 0,
390      0, 0, 0, 0, 0, 0, 0, 0},
391     {0, SSL_TXT_AES128, 0, 0, 0, SSL_AES128 | SSL_AES128GCM | SSL_AES128CCM | SSL_AES128CCM8, 0,
392      0, 0, 0, 0, 0, 0, 0, 0},
393     {0, SSL_TXT_AES256, 0, 0, 0, SSL_AES256 | SSL_AES256GCM | SSL_AES256CCM | SSL_AES256CCM8, 0,
394      0, 0, 0, 0, 0, 0, 0, 0},
395     {0, SSL_TXT_AES, 0, 0, 0, SSL_AES, 0, 0, 0, 0, 0, 0, 0, 0, 0},
396     {0, SSL_TXT_AES_GCM, 0, 0, 0, SSL_AES128GCM | SSL_AES256GCM, 0, 0, 0, 0,
397      0, 0, 0, 0, 0},
398     {0, SSL_TXT_AES_CCM, 0, 0, 0,
399      SSL_AES128CCM | SSL_AES256CCM | SSL_AES128CCM8 | SSL_AES256CCM8, 0, 0, 0,
400      0, 0, 0, 0, 0, 0},
401     {0, SSL_TXT_AES_CCM_8, 0, 0, 0, SSL_AES128CCM8 | SSL_AES256CCM8, 0, 0, 0, 0,
402      0, 0},
403     {0, SSL_TXT_CAMELLIA128, 0, 0, 0, SSL_CAMELLIA128, 0, 0, 0, 0, 0, 0, 0, 0,
404      0},
405     {0, SSL_TXT_CAMELLIA256, 0, 0, 0, SSL_CAMELLIA256, 0, 0, 0, 0, 0, 0, 0, 0,
406      0},
407     {0, SSL_TXT_CAMELLIA, 0, 0, 0, SSL_CAMELLIA, 0, 0, 0, 0, 0, 0, 0, 0, 0},
408     {0, SSL_TXT_CHACHA20, 0, 0, 0, SSL_CHACHA20, 0, 0, 0, 0, 0, 0, 0, 0, 0 },
409
410     /* MAC aliases */
411     {0, SSL_TXT_MD5, 0, 0, 0, 0, SSL_MD5, 0, 0, 0, 0, 0, 0, 0, 0},
412     {0, SSL_TXT_SHA1, 0, 0, 0, 0, SSL_SHA1, 0, 0, 0, 0, 0, 0, 0, 0},
413     {0, SSL_TXT_SHA, 0, 0, 0, 0, SSL_SHA1, 0, 0, 0, 0, 0, 0, 0, 0},
414     {0, SSL_TXT_GOST94, 0, 0, 0, 0, SSL_GOST94, 0, 0, 0, 0, 0, 0, 0, 0},
415     {0, SSL_TXT_GOST89MAC, 0, 0, 0, 0, SSL_GOST89MAC | SSL_GOST89MAC12, 0, 0,
416      0, 0, 0, 0, 0, 0},
417     {0, SSL_TXT_SHA256, 0, 0, 0, 0, SSL_SHA256, 0, 0, 0, 0, 0, 0, 0, 0},
418     {0, SSL_TXT_SHA384, 0, 0, 0, 0, SSL_SHA384, 0, 0, 0, 0, 0, 0, 0, 0},
419     {0, SSL_TXT_GOST12, 0, 0, 0, 0, SSL_GOST12_256, 0, 0, 0, 0, 0, 0, 0, 0},
420
421     /* protocol version aliases */
422     {0, SSL_TXT_SSLV3, 0, 0, 0, 0, 0, SSL3_VERSION, 0, 0, 0, 0, 0, 0, 0},
423     {0, SSL_TXT_TLSV1, 0, 0, 0, 0, 0, TLS1_VERSION, 0, 0, 0, 0, 0, 0, 0},
424     {0, "TLSv1.0", 0, 0, 0, 0, 0, TLS1_VERSION, 0, 0, 0, 0, 0, 0, 0},
425     {0, SSL_TXT_TLSV1_2, 0, 0, 0, 0, 0, TLS1_2_VERSION, 0, 0, 0, 0, 0, 0, 0},
426
427     /* strength classes */
428     {0, SSL_TXT_LOW, 0, 0, 0, 0, 0, 0, 0, 0, 0, SSL_LOW, 0, 0, 0},
429     {0, SSL_TXT_MEDIUM, 0, 0, 0, 0, 0, 0, 0, 0, 0, SSL_MEDIUM, 0, 0, 0},
430     {0, SSL_TXT_HIGH, 0, 0, 0, 0, 0, 0, 0, 0, 0, SSL_HIGH, 0, 0, 0},
431     /* FIPS 140-2 approved ciphersuite */
432     {0, SSL_TXT_FIPS, 0, 0, 0, ~SSL_eNULL, 0, 0, 0, 0, 0, SSL_FIPS, 0, 0, 0},
433
434     /* "EDH-" aliases to "DHE-" labels (for backward compatibility) */
435     {0, SSL3_TXT_EDH_DSS_DES_192_CBC3_SHA, 0,
436      SSL_kDHE, SSL_aDSS, SSL_3DES, SSL_SHA1, 0, 0, 0, 0,
437      SSL_HIGH | SSL_FIPS, 0, 0, 0,},
438     {0, SSL3_TXT_EDH_RSA_DES_192_CBC3_SHA, 0,
439      SSL_kDHE, SSL_aRSA, SSL_3DES, SSL_SHA1, 0, 0, 0, 0,
440      SSL_HIGH | SSL_FIPS, 0, 0, 0,},
441
442 };
443
444 /*
445  * Search for public key algorithm with given name and return its pkey_id if
446  * it is available. Otherwise return 0
447  */
448 #ifdef OPENSSL_NO_ENGINE
449
450 static int get_optional_pkey_id(const char *pkey_name)
451 {
452     const EVP_PKEY_ASN1_METHOD *ameth;
453     int pkey_id = 0;
454     ameth = EVP_PKEY_asn1_find_str(NULL, pkey_name, -1);
455     if (ameth && EVP_PKEY_asn1_get0_info(&pkey_id, NULL, NULL, NULL, NULL,
456                                          ameth) > 0) {
457         return pkey_id;
458     }
459     return 0;
460 }
461
462 #else
463
464 static int get_optional_pkey_id(const char *pkey_name)
465 {
466     const EVP_PKEY_ASN1_METHOD *ameth;
467     ENGINE *tmpeng = NULL;
468     int pkey_id = 0;
469     ameth = EVP_PKEY_asn1_find_str(&tmpeng, pkey_name, -1);
470     if (ameth) {
471         if (EVP_PKEY_asn1_get0_info(&pkey_id, NULL, NULL, NULL, NULL,
472                                     ameth) <= 0)
473             pkey_id = 0;
474     }
475     ENGINE_finish(tmpeng);
476     return pkey_id;
477 }
478
479 #endif
480
481 /* masks of disabled algorithms */
482 static uint32_t disabled_enc_mask;
483 static uint32_t disabled_mac_mask;
484 static uint32_t disabled_mkey_mask;
485 static uint32_t disabled_auth_mask;
486
487 void ssl_load_ciphers(void)
488 {
489     size_t i;
490     const ssl_cipher_table *t;
491     disabled_enc_mask = 0;
492     for (i = 0, t = ssl_cipher_table_cipher; i < SSL_ENC_NUM_IDX; i++, t++) {
493         if (t->nid == NID_undef) {
494             ssl_cipher_methods[i] = NULL;
495         } else {
496             const EVP_CIPHER *cipher = EVP_get_cipherbynid(t->nid);
497             ssl_cipher_methods[i] = cipher;
498             if (cipher == NULL)
499                 disabled_enc_mask |= t->mask;
500         }
501     }
502 #ifdef SSL_FORBID_ENULL
503     disabled_enc_mask |= SSL_eNULL;
504 #endif
505     disabled_mac_mask = 0;
506     for (i = 0, t = ssl_cipher_table_mac; i < SSL_MD_NUM_IDX; i++, t++) {
507         const EVP_MD *md = EVP_get_digestbynid(t->nid);
508         ssl_digest_methods[i] = md;
509         if (md == NULL) {
510             disabled_mac_mask |= t->mask;
511         } else {
512             ssl_mac_secret_size[i] = EVP_MD_size(md);
513             OPENSSL_assert(ssl_mac_secret_size[i] >= 0);
514         }
515     }
516     /* Make sure we can access MD5 and SHA1 */
517     OPENSSL_assert(ssl_digest_methods[SSL_MD_MD5_IDX] != NULL);
518     OPENSSL_assert(ssl_digest_methods[SSL_MD_SHA1_IDX] != NULL);
519
520     disabled_mkey_mask = 0;
521     disabled_auth_mask = 0;
522
523 #ifdef OPENSSL_NO_RSA
524     disabled_mkey_mask |= SSL_kRSA | SSL_kRSAPSK;
525     disabled_auth_mask |= SSL_aRSA;
526 #endif
527 #ifdef OPENSSL_NO_DSA
528     disabled_auth_mask |= SSL_aDSS;
529 #endif
530 #ifdef OPENSSL_NO_DH
531     disabled_mkey_mask |= SSL_kDHE | SSL_kDHEPSK;
532 #endif
533 #ifdef OPENSSL_NO_EC
534     disabled_mkey_mask |= SSL_kECDHEPSK;
535     disabled_auth_mask |= SSL_aECDSA;
536 #endif
537 #ifdef OPENSSL_NO_PSK
538     disabled_mkey_mask |= SSL_PSK;
539     disabled_auth_mask |= SSL_aPSK;
540 #endif
541 #ifdef OPENSSL_NO_SRP
542     disabled_mkey_mask |= SSL_kSRP;
543 #endif
544
545     /*
546      * Check for presence of GOST 34.10 algorithms, and if they are not
547      * present, disable appropriate auth and key exchange
548      */
549     ssl_mac_pkey_id[SSL_MD_GOST89MAC_IDX] = get_optional_pkey_id("gost-mac");
550     if (ssl_mac_pkey_id[SSL_MD_GOST89MAC_IDX]) {
551         ssl_mac_secret_size[SSL_MD_GOST89MAC_IDX] = 32;
552     } else {
553         disabled_mac_mask |= SSL_GOST89MAC;
554     }
555
556     ssl_mac_pkey_id[SSL_MD_GOST89MAC12_IDX] = get_optional_pkey_id("gost-mac-12");
557     if (ssl_mac_pkey_id[SSL_MD_GOST89MAC12_IDX]) {
558         ssl_mac_secret_size[SSL_MD_GOST89MAC12_IDX] = 32;
559     } else {
560         disabled_mac_mask |= SSL_GOST89MAC12;
561     }
562
563     if (!get_optional_pkey_id("gost2001"))
564         disabled_auth_mask |= SSL_aGOST01 | SSL_aGOST12;
565     if (!get_optional_pkey_id("gost2012_256"))
566         disabled_auth_mask |= SSL_aGOST12;
567     if (!get_optional_pkey_id("gost2012_512"))
568         disabled_auth_mask |= SSL_aGOST12;
569     /*
570      * Disable GOST key exchange if no GOST signature algs are available *
571      */
572     if ((disabled_auth_mask & (SSL_aGOST01 | SSL_aGOST12)) == (SSL_aGOST01 | SSL_aGOST12))
573         disabled_mkey_mask |= SSL_kGOST;
574 }
575
576 #ifndef OPENSSL_NO_COMP
577
578 static int sk_comp_cmp(const SSL_COMP *const *a, const SSL_COMP *const *b)
579 {
580     return ((*a)->id - (*b)->id);
581 }
582
583 static void do_load_builtin_compressions(void)
584 {
585     SSL_COMP *comp = NULL;
586     COMP_METHOD *method = COMP_zlib();
587
588     CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_DISABLE);
589     ssl_comp_methods = sk_SSL_COMP_new(sk_comp_cmp);
590
591     if (COMP_get_type(method) != NID_undef && ssl_comp_methods != NULL) {
592         comp = OPENSSL_malloc(sizeof(*comp));
593         if (comp != NULL) {
594             comp->method = method;
595             comp->id = SSL_COMP_ZLIB_IDX;
596             comp->name = COMP_get_name(method);
597             sk_SSL_COMP_push(ssl_comp_methods, comp);
598             sk_SSL_COMP_sort(ssl_comp_methods);
599         }
600     }
601     CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE);
602 }
603
604 static void load_builtin_compressions(void)
605 {
606     CRYPTO_THREAD_run_once(&ssl_load_builtin_comp_once,
607                            do_load_builtin_compressions);
608 }
609 #endif
610
611 int ssl_cipher_get_evp(const SSL_SESSION *s, const EVP_CIPHER **enc,
612                        const EVP_MD **md, int *mac_pkey_type,
613                        int *mac_secret_size, SSL_COMP **comp, int use_etm)
614 {
615     int i;
616     const SSL_CIPHER *c;
617
618     c = s->cipher;
619     if (c == NULL)
620         return (0);
621     if (comp != NULL) {
622         SSL_COMP ctmp;
623 #ifndef OPENSSL_NO_COMP
624         load_builtin_compressions();
625 #endif
626         *comp = NULL;
627         ctmp.id = s->compress_meth;
628         if (ssl_comp_methods != NULL) {
629             i = sk_SSL_COMP_find(ssl_comp_methods, &ctmp);
630             if (i >= 0)
631                 *comp = sk_SSL_COMP_value(ssl_comp_methods, i);
632             else
633                 *comp = NULL;
634         }
635         /* If were only interested in comp then return success */
636         if ((enc == NULL) && (md == NULL))
637             return 1;
638     }
639
640     if ((enc == NULL) || (md == NULL))
641         return 0;
642
643     i = ssl_cipher_info_lookup(ssl_cipher_table_cipher, c->algorithm_enc);
644
645     if (i == -1)
646         *enc = NULL;
647     else {
648         if (i == SSL_ENC_NULL_IDX)
649             *enc = EVP_enc_null();
650         else
651             *enc = ssl_cipher_methods[i];
652     }
653
654     i = ssl_cipher_info_lookup(ssl_cipher_table_mac, c->algorithm_mac);
655     if (i == -1) {
656         *md = NULL;
657         if (mac_pkey_type != NULL)
658             *mac_pkey_type = NID_undef;
659         if (mac_secret_size != NULL)
660             *mac_secret_size = 0;
661         if (c->algorithm_mac == SSL_AEAD)
662             mac_pkey_type = NULL;
663     } else {
664         *md = ssl_digest_methods[i];
665         if (mac_pkey_type != NULL)
666             *mac_pkey_type = ssl_mac_pkey_id[i];
667         if (mac_secret_size != NULL)
668             *mac_secret_size = ssl_mac_secret_size[i];
669     }
670
671     if ((*enc != NULL) &&
672         (*md != NULL || (EVP_CIPHER_flags(*enc) & EVP_CIPH_FLAG_AEAD_CIPHER))
673         && (!mac_pkey_type || *mac_pkey_type != NID_undef)) {
674         const EVP_CIPHER *evp;
675
676         if (use_etm)
677             return 1;
678
679         if (s->ssl_version >> 8 != TLS1_VERSION_MAJOR ||
680             s->ssl_version < TLS1_VERSION)
681             return 1;
682
683         if (FIPS_mode())
684             return 1;
685
686         if (c->algorithm_enc == SSL_RC4 &&
687             c->algorithm_mac == SSL_MD5 &&
688             (evp = EVP_get_cipherbyname("RC4-HMAC-MD5")))
689             *enc = evp, *md = NULL;
690         else if (c->algorithm_enc == SSL_AES128 &&
691                  c->algorithm_mac == SSL_SHA1 &&
692                  (evp = EVP_get_cipherbyname("AES-128-CBC-HMAC-SHA1")))
693             *enc = evp, *md = NULL;
694         else if (c->algorithm_enc == SSL_AES256 &&
695                  c->algorithm_mac == SSL_SHA1 &&
696                  (evp = EVP_get_cipherbyname("AES-256-CBC-HMAC-SHA1")))
697             *enc = evp, *md = NULL;
698         else if (c->algorithm_enc == SSL_AES128 &&
699                  c->algorithm_mac == SSL_SHA256 &&
700                  (evp = EVP_get_cipherbyname("AES-128-CBC-HMAC-SHA256")))
701             *enc = evp, *md = NULL;
702         else if (c->algorithm_enc == SSL_AES256 &&
703                  c->algorithm_mac == SSL_SHA256 &&
704                  (evp = EVP_get_cipherbyname("AES-256-CBC-HMAC-SHA256")))
705             *enc = evp, *md = NULL;
706         return (1);
707     } else
708         return (0);
709 }
710
711 const EVP_MD *ssl_md(int idx)
712 {
713     idx &= SSL_HANDSHAKE_MAC_MASK;
714     if (idx < 0 || idx >= SSL_MD_NUM_IDX)
715         return NULL;
716     return ssl_digest_methods[idx];
717 }
718
719 const EVP_MD *ssl_handshake_md(SSL *s)
720 {
721     return ssl_md(ssl_get_algorithm2(s));
722 }
723
724 const EVP_MD *ssl_prf_md(SSL *s)
725 {
726     return ssl_md(ssl_get_algorithm2(s) >> TLS1_PRF_DGST_SHIFT);
727 }
728
729 #define ITEM_SEP(a) \
730         (((a) == ':') || ((a) == ' ') || ((a) == ';') || ((a) == ','))
731
732 static void ll_append_tail(CIPHER_ORDER **head, CIPHER_ORDER *curr,
733                            CIPHER_ORDER **tail)
734 {
735     if (curr == *tail)
736         return;
737     if (curr == *head)
738         *head = curr->next;
739     if (curr->prev != NULL)
740         curr->prev->next = curr->next;
741     if (curr->next != NULL)
742         curr->next->prev = curr->prev;
743     (*tail)->next = curr;
744     curr->prev = *tail;
745     curr->next = NULL;
746     *tail = curr;
747 }
748
749 static void ll_append_head(CIPHER_ORDER **head, CIPHER_ORDER *curr,
750                            CIPHER_ORDER **tail)
751 {
752     if (curr == *head)
753         return;
754     if (curr == *tail)
755         *tail = curr->prev;
756     if (curr->next != NULL)
757         curr->next->prev = curr->prev;
758     if (curr->prev != NULL)
759         curr->prev->next = curr->next;
760     (*head)->prev = curr;
761     curr->next = *head;
762     curr->prev = NULL;
763     *head = curr;
764 }
765
766 static void ssl_cipher_collect_ciphers(const SSL_METHOD *ssl_method,
767                                        int num_of_ciphers,
768                                        uint32_t disabled_mkey,
769                                        uint32_t disabled_auth,
770                                        uint32_t disabled_enc,
771                                        uint32_t disabled_mac,
772                                        CIPHER_ORDER *co_list,
773                                        CIPHER_ORDER **head_p,
774                                        CIPHER_ORDER **tail_p)
775 {
776     int i, co_list_num;
777     const SSL_CIPHER *c;
778
779     /*
780      * We have num_of_ciphers descriptions compiled in, depending on the
781      * method selected (SSLv3, TLSv1 etc).
782      * These will later be sorted in a linked list with at most num
783      * entries.
784      */
785
786     /* Get the initial list of ciphers */
787     co_list_num = 0;            /* actual count of ciphers */
788     for (i = 0; i < num_of_ciphers; i++) {
789         c = ssl_method->get_cipher(i);
790         /* drop those that use any of that is not available */
791         if (c == NULL || !c->valid)
792             continue;
793         if (FIPS_mode() && (c->algo_strength & SSL_FIPS))
794             continue;
795         if ((c->algorithm_mkey & disabled_mkey) ||
796             (c->algorithm_auth & disabled_auth) ||
797             (c->algorithm_enc & disabled_enc) ||
798             (c->algorithm_mac & disabled_mac))
799             continue;
800         if (((ssl_method->ssl3_enc->enc_flags & SSL_ENC_FLAG_DTLS) == 0) &&
801             c->min_tls == 0)
802             continue;
803         if (((ssl_method->ssl3_enc->enc_flags & SSL_ENC_FLAG_DTLS) != 0) &&
804             c->min_dtls == 0)
805             continue;
806
807         co_list[co_list_num].cipher = c;
808         co_list[co_list_num].next = NULL;
809         co_list[co_list_num].prev = NULL;
810         co_list[co_list_num].active = 0;
811         co_list_num++;
812         /*
813          * if (!sk_push(ca_list,(char *)c)) goto err;
814          */
815     }
816
817     /*
818      * Prepare linked list from list entries
819      */
820     if (co_list_num > 0) {
821         co_list[0].prev = NULL;
822
823         if (co_list_num > 1) {
824             co_list[0].next = &co_list[1];
825
826             for (i = 1; i < co_list_num - 1; i++) {
827                 co_list[i].prev = &co_list[i - 1];
828                 co_list[i].next = &co_list[i + 1];
829             }
830
831             co_list[co_list_num - 1].prev = &co_list[co_list_num - 2];
832         }
833
834         co_list[co_list_num - 1].next = NULL;
835
836         *head_p = &co_list[0];
837         *tail_p = &co_list[co_list_num - 1];
838     }
839 }
840
841 static void ssl_cipher_collect_aliases(const SSL_CIPHER **ca_list,
842                                        int num_of_group_aliases,
843                                        uint32_t disabled_mkey,
844                                        uint32_t disabled_auth,
845                                        uint32_t disabled_enc,
846                                        uint32_t disabled_mac,
847                                        CIPHER_ORDER *head)
848 {
849     CIPHER_ORDER *ciph_curr;
850     const SSL_CIPHER **ca_curr;
851     int i;
852     uint32_t mask_mkey = ~disabled_mkey;
853     uint32_t mask_auth = ~disabled_auth;
854     uint32_t mask_enc = ~disabled_enc;
855     uint32_t mask_mac = ~disabled_mac;
856
857     /*
858      * First, add the real ciphers as already collected
859      */
860     ciph_curr = head;
861     ca_curr = ca_list;
862     while (ciph_curr != NULL) {
863         *ca_curr = ciph_curr->cipher;
864         ca_curr++;
865         ciph_curr = ciph_curr->next;
866     }
867
868     /*
869      * Now we add the available ones from the cipher_aliases[] table.
870      * They represent either one or more algorithms, some of which
871      * in any affected category must be supported (set in enabled_mask),
872      * or represent a cipher strength value (will be added in any case because algorithms=0).
873      */
874     for (i = 0; i < num_of_group_aliases; i++) {
875         uint32_t algorithm_mkey = cipher_aliases[i].algorithm_mkey;
876         uint32_t algorithm_auth = cipher_aliases[i].algorithm_auth;
877         uint32_t algorithm_enc = cipher_aliases[i].algorithm_enc;
878         uint32_t algorithm_mac = cipher_aliases[i].algorithm_mac;
879
880         if (algorithm_mkey)
881             if ((algorithm_mkey & mask_mkey) == 0)
882                 continue;
883
884         if (algorithm_auth)
885             if ((algorithm_auth & mask_auth) == 0)
886                 continue;
887
888         if (algorithm_enc)
889             if ((algorithm_enc & mask_enc) == 0)
890                 continue;
891
892         if (algorithm_mac)
893             if ((algorithm_mac & mask_mac) == 0)
894                 continue;
895
896         *ca_curr = (SSL_CIPHER *)(cipher_aliases + i);
897         ca_curr++;
898     }
899
900     *ca_curr = NULL;            /* end of list */
901 }
902
903 static void ssl_cipher_apply_rule(uint32_t cipher_id, uint32_t alg_mkey,
904                                   uint32_t alg_auth, uint32_t alg_enc,
905                                   uint32_t alg_mac, int min_tls,
906                                   uint32_t algo_strength, int rule,
907                                   int32_t strength_bits, CIPHER_ORDER **head_p,
908                                   CIPHER_ORDER **tail_p)
909 {
910     CIPHER_ORDER *head, *tail, *curr, *next, *last;
911     const SSL_CIPHER *cp;
912     int reverse = 0;
913
914 #ifdef CIPHER_DEBUG
915     fprintf(stderr,
916             "Applying rule %d with %08x/%08x/%08x/%08x/%08x %08x (%d)\n",
917             rule, alg_mkey, alg_auth, alg_enc, alg_mac, min_tls,
918             algo_strength, strength_bits);
919 #endif
920
921     if (rule == CIPHER_DEL || rule == CIPHER_BUMP)
922         reverse = 1;            /* needed to maintain sorting between
923                                  * currently deleted ciphers */
924
925     head = *head_p;
926     tail = *tail_p;
927
928     if (reverse) {
929         next = tail;
930         last = head;
931     } else {
932         next = head;
933         last = tail;
934     }
935
936     curr = NULL;
937     for (;;) {
938         if (curr == last)
939             break;
940
941         curr = next;
942
943         if (curr == NULL)
944             break;
945
946         next = reverse ? curr->prev : curr->next;
947
948         cp = curr->cipher;
949
950         /*
951          * Selection criteria is either the value of strength_bits
952          * or the algorithms used.
953          */
954         if (strength_bits >= 0) {
955             if (strength_bits != cp->strength_bits)
956                 continue;
957         } else {
958 #ifdef CIPHER_DEBUG
959             fprintf(stderr,
960                     "\nName: %s:\nAlgo = %08x/%08x/%08x/%08x/%08x Algo_strength = %08x\n",
961                     cp->name, cp->algorithm_mkey, cp->algorithm_auth,
962                     cp->algorithm_enc, cp->algorithm_mac, cp->algorithm_ssl,
963                     cp->algo_strength);
964 #endif
965             if (alg_mkey && !(alg_mkey & cp->algorithm_mkey))
966                 continue;
967             if (alg_auth && !(alg_auth & cp->algorithm_auth))
968                 continue;
969             if (alg_enc && !(alg_enc & cp->algorithm_enc))
970                 continue;
971             if (alg_mac && !(alg_mac & cp->algorithm_mac))
972                 continue;
973             if (min_tls && (min_tls != cp->min_tls))
974                 continue;
975             if (algo_strength && !(algo_strength & cp->algo_strength))
976                 continue;
977             if ((algo_strength & SSL_DEFAULT_MASK)
978                 && !(algo_strength & SSL_DEFAULT_MASK & cp->algo_strength))
979                 continue;
980         }
981
982 #ifdef CIPHER_DEBUG
983         fprintf(stderr, "Action = %d\n", rule);
984 #endif
985
986         /* add the cipher if it has not been added yet. */
987         if (rule == CIPHER_ADD) {
988             /* reverse == 0 */
989             if (!curr->active) {
990                 ll_append_tail(&head, curr, &tail);
991                 curr->active = 1;
992             }
993         }
994         /* Move the added cipher to this location */
995         else if (rule == CIPHER_ORD) {
996             /* reverse == 0 */
997             if (curr->active) {
998                 ll_append_tail(&head, curr, &tail);
999             }
1000         } else if (rule == CIPHER_DEL) {
1001             /* reverse == 1 */
1002             if (curr->active) {
1003                 /*
1004                  * most recently deleted ciphersuites get best positions for
1005                  * any future CIPHER_ADD (note that the CIPHER_DEL loop works
1006                  * in reverse to maintain the order)
1007                  */
1008                 ll_append_head(&head, curr, &tail);
1009                 curr->active = 0;
1010             }
1011         } else if (rule == CIPHER_BUMP) {
1012             if (curr->active)
1013                 ll_append_head(&head, curr, &tail);
1014         } else if (rule == CIPHER_KILL) {
1015             /* reverse == 0 */
1016             if (head == curr)
1017                 head = curr->next;
1018             else
1019                 curr->prev->next = curr->next;
1020             if (tail == curr)
1021                 tail = curr->prev;
1022             curr->active = 0;
1023             if (curr->next != NULL)
1024                 curr->next->prev = curr->prev;
1025             if (curr->prev != NULL)
1026                 curr->prev->next = curr->next;
1027             curr->next = NULL;
1028             curr->prev = NULL;
1029         }
1030     }
1031
1032     *head_p = head;
1033     *tail_p = tail;
1034 }
1035
1036 static int ssl_cipher_strength_sort(CIPHER_ORDER **head_p,
1037                                     CIPHER_ORDER **tail_p)
1038 {
1039     int32_t max_strength_bits;
1040     int i, *number_uses;
1041     CIPHER_ORDER *curr;
1042
1043     /*
1044      * This routine sorts the ciphers with descending strength. The sorting
1045      * must keep the pre-sorted sequence, so we apply the normal sorting
1046      * routine as '+' movement to the end of the list.
1047      */
1048     max_strength_bits = 0;
1049     curr = *head_p;
1050     while (curr != NULL) {
1051         if (curr->active && (curr->cipher->strength_bits > max_strength_bits))
1052             max_strength_bits = curr->cipher->strength_bits;
1053         curr = curr->next;
1054     }
1055
1056     number_uses = OPENSSL_zalloc(sizeof(int) * (max_strength_bits + 1));
1057     if (number_uses == NULL) {
1058         SSLerr(SSL_F_SSL_CIPHER_STRENGTH_SORT, ERR_R_MALLOC_FAILURE);
1059         return (0);
1060     }
1061
1062     /*
1063      * Now find the strength_bits values actually used
1064      */
1065     curr = *head_p;
1066     while (curr != NULL) {
1067         if (curr->active)
1068             number_uses[curr->cipher->strength_bits]++;
1069         curr = curr->next;
1070     }
1071     /*
1072      * Go through the list of used strength_bits values in descending
1073      * order.
1074      */
1075     for (i = max_strength_bits; i >= 0; i--)
1076         if (number_uses[i] > 0)
1077             ssl_cipher_apply_rule(0, 0, 0, 0, 0, 0, 0, CIPHER_ORD, i, head_p,
1078                                   tail_p);
1079
1080     OPENSSL_free(number_uses);
1081     return (1);
1082 }
1083
1084 static int ssl_cipher_process_rulestr(const char *rule_str,
1085                                       CIPHER_ORDER **head_p,
1086                                       CIPHER_ORDER **tail_p,
1087                                       const SSL_CIPHER **ca_list, CERT *c)
1088 {
1089     uint32_t alg_mkey, alg_auth, alg_enc, alg_mac, algo_strength;
1090     int min_tls;
1091     const char *l, *buf;
1092     int j, multi, found, rule, retval, ok, buflen;
1093     uint32_t cipher_id = 0;
1094     char ch;
1095
1096     retval = 1;
1097     l = rule_str;
1098     for (;;) {
1099         ch = *l;
1100
1101         if (ch == '\0')
1102             break;              /* done */
1103         if (ch == '-') {
1104             rule = CIPHER_DEL;
1105             l++;
1106         } else if (ch == '+') {
1107             rule = CIPHER_ORD;
1108             l++;
1109         } else if (ch == '!') {
1110             rule = CIPHER_KILL;
1111             l++;
1112         } else if (ch == '@') {
1113             rule = CIPHER_SPECIAL;
1114             l++;
1115         } else {
1116             rule = CIPHER_ADD;
1117         }
1118
1119         if (ITEM_SEP(ch)) {
1120             l++;
1121             continue;
1122         }
1123
1124         alg_mkey = 0;
1125         alg_auth = 0;
1126         alg_enc = 0;
1127         alg_mac = 0;
1128         min_tls = 0;
1129         algo_strength = 0;
1130
1131         for (;;) {
1132             ch = *l;
1133             buf = l;
1134             buflen = 0;
1135 #ifndef CHARSET_EBCDIC
1136             while (((ch >= 'A') && (ch <= 'Z')) ||
1137                    ((ch >= '0') && (ch <= '9')) ||
1138                    ((ch >= 'a') && (ch <= 'z')) ||
1139                    (ch == '-') || (ch == '.') || (ch == '='))
1140 #else
1141             while (isalnum(ch) || (ch == '-') || (ch == '.') || (ch == '='))
1142 #endif
1143             {
1144                 ch = *(++l);
1145                 buflen++;
1146             }
1147
1148             if (buflen == 0) {
1149                 /*
1150                  * We hit something we cannot deal with,
1151                  * it is no command or separator nor
1152                  * alphanumeric, so we call this an error.
1153                  */
1154                 SSLerr(SSL_F_SSL_CIPHER_PROCESS_RULESTR,
1155                        SSL_R_INVALID_COMMAND);
1156                 retval = found = 0;
1157                 l++;
1158                 break;
1159             }
1160
1161             if (rule == CIPHER_SPECIAL) {
1162                 found = 0;      /* unused -- avoid compiler warning */
1163                 break;          /* special treatment */
1164             }
1165
1166             /* check for multi-part specification */
1167             if (ch == '+') {
1168                 multi = 1;
1169                 l++;
1170             } else
1171                 multi = 0;
1172
1173             /*
1174              * Now search for the cipher alias in the ca_list. Be careful
1175              * with the strncmp, because the "buflen" limitation
1176              * will make the rule "ADH:SOME" and the cipher
1177              * "ADH-MY-CIPHER" look like a match for buflen=3.
1178              * So additionally check whether the cipher name found
1179              * has the correct length. We can save a strlen() call:
1180              * just checking for the '\0' at the right place is
1181              * sufficient, we have to strncmp() anyway. (We cannot
1182              * use strcmp(), because buf is not '\0' terminated.)
1183              */
1184             j = found = 0;
1185             cipher_id = 0;
1186             while (ca_list[j]) {
1187                 if (strncmp(buf, ca_list[j]->name, buflen) == 0
1188                     && (ca_list[j]->name[buflen] == '\0')) {
1189                     found = 1;
1190                     break;
1191                 } else
1192                     j++;
1193             }
1194
1195             if (!found)
1196                 break;          /* ignore this entry */
1197
1198             if (ca_list[j]->algorithm_mkey) {
1199                 if (alg_mkey) {
1200                     alg_mkey &= ca_list[j]->algorithm_mkey;
1201                     if (!alg_mkey) {
1202                         found = 0;
1203                         break;
1204                     }
1205                 } else
1206                     alg_mkey = ca_list[j]->algorithm_mkey;
1207             }
1208
1209             if (ca_list[j]->algorithm_auth) {
1210                 if (alg_auth) {
1211                     alg_auth &= ca_list[j]->algorithm_auth;
1212                     if (!alg_auth) {
1213                         found = 0;
1214                         break;
1215                     }
1216                 } else
1217                     alg_auth = ca_list[j]->algorithm_auth;
1218             }
1219
1220             if (ca_list[j]->algorithm_enc) {
1221                 if (alg_enc) {
1222                     alg_enc &= ca_list[j]->algorithm_enc;
1223                     if (!alg_enc) {
1224                         found = 0;
1225                         break;
1226                     }
1227                 } else
1228                     alg_enc = ca_list[j]->algorithm_enc;
1229             }
1230
1231             if (ca_list[j]->algorithm_mac) {
1232                 if (alg_mac) {
1233                     alg_mac &= ca_list[j]->algorithm_mac;
1234                     if (!alg_mac) {
1235                         found = 0;
1236                         break;
1237                     }
1238                 } else
1239                     alg_mac = ca_list[j]->algorithm_mac;
1240             }
1241
1242             if (ca_list[j]->algo_strength) {
1243                 if (algo_strength) {
1244                     algo_strength &= ca_list[j]->algo_strength;
1245                     if (!algo_strength) {
1246                         found = 0;
1247                         break;
1248                     }
1249                 } else
1250                     algo_strength = ca_list[j]->algo_strength;
1251             }
1252
1253             if (ca_list[j]->algo_strength & SSL_DEFAULT_MASK) {
1254                 if (algo_strength & SSL_DEFAULT_MASK) {
1255                     algo_strength &=
1256                         (ca_list[j]->algo_strength & SSL_DEFAULT_MASK) |
1257                         ~SSL_DEFAULT_MASK;
1258                     if (!(algo_strength & SSL_DEFAULT_MASK)) {
1259                         found = 0;
1260                         break;
1261                     }
1262                 } else
1263                     algo_strength |=
1264                         ca_list[j]->algo_strength & SSL_DEFAULT_MASK;
1265             }
1266
1267             if (ca_list[j]->valid) {
1268                 /*
1269                  * explicit ciphersuite found; its protocol version does not
1270                  * become part of the search pattern!
1271                  */
1272
1273                 cipher_id = ca_list[j]->id;
1274             } else {
1275                 /*
1276                  * not an explicit ciphersuite; only in this case, the
1277                  * protocol version is considered part of the search pattern
1278                  */
1279
1280                 if (ca_list[j]->min_tls) {
1281                     if (min_tls != 0 && min_tls != ca_list[j]->min_tls) {
1282                         found = 0;
1283                         break;
1284                     } else {
1285                         min_tls = ca_list[j]->min_tls;
1286                     }
1287                 }
1288             }
1289
1290             if (!multi)
1291                 break;
1292         }
1293
1294         /*
1295          * Ok, we have the rule, now apply it
1296          */
1297         if (rule == CIPHER_SPECIAL) { /* special command */
1298             ok = 0;
1299             if ((buflen == 8) && strncmp(buf, "STRENGTH", 8) == 0)
1300                 ok = ssl_cipher_strength_sort(head_p, tail_p);
1301             else if (buflen == 10 && strncmp(buf, "SECLEVEL=", 9) == 0) {
1302                 int level = buf[9] - '0';
1303                 if (level < 0 || level > 5) {
1304                     SSLerr(SSL_F_SSL_CIPHER_PROCESS_RULESTR,
1305                            SSL_R_INVALID_COMMAND);
1306                 } else {
1307                     c->sec_level = level;
1308                     ok = 1;
1309                 }
1310             } else
1311                 SSLerr(SSL_F_SSL_CIPHER_PROCESS_RULESTR,
1312                        SSL_R_INVALID_COMMAND);
1313             if (ok == 0)
1314                 retval = 0;
1315             /*
1316              * We do not support any "multi" options
1317              * together with "@", so throw away the
1318              * rest of the command, if any left, until
1319              * end or ':' is found.
1320              */
1321             while ((*l != '\0') && !ITEM_SEP(*l))
1322                 l++;
1323         } else if (found) {
1324             ssl_cipher_apply_rule(cipher_id,
1325                                   alg_mkey, alg_auth, alg_enc, alg_mac,
1326                                   min_tls, algo_strength, rule, -1, head_p,
1327                                   tail_p);
1328         } else {
1329             while ((*l != '\0') && !ITEM_SEP(*l))
1330                 l++;
1331         }
1332         if (*l == '\0')
1333             break;              /* done */
1334     }
1335
1336     return (retval);
1337 }
1338
1339 #ifndef OPENSSL_NO_EC
1340 static int check_suiteb_cipher_list(const SSL_METHOD *meth, CERT *c,
1341                                     const char **prule_str)
1342 {
1343     unsigned int suiteb_flags = 0, suiteb_comb2 = 0;
1344     if (strncmp(*prule_str, "SUITEB128ONLY", 13) == 0) {
1345         suiteb_flags = SSL_CERT_FLAG_SUITEB_128_LOS_ONLY;
1346     } else if (strncmp(*prule_str, "SUITEB128C2", 11) == 0) {
1347         suiteb_comb2 = 1;
1348         suiteb_flags = SSL_CERT_FLAG_SUITEB_128_LOS;
1349     } else if (strncmp(*prule_str, "SUITEB128", 9) == 0) {
1350         suiteb_flags = SSL_CERT_FLAG_SUITEB_128_LOS;
1351     } else if (strncmp(*prule_str, "SUITEB192", 9) == 0) {
1352         suiteb_flags = SSL_CERT_FLAG_SUITEB_192_LOS;
1353     }
1354
1355     if (suiteb_flags) {
1356         c->cert_flags &= ~SSL_CERT_FLAG_SUITEB_128_LOS;
1357         c->cert_flags |= suiteb_flags;
1358     } else
1359         suiteb_flags = c->cert_flags & SSL_CERT_FLAG_SUITEB_128_LOS;
1360
1361     if (!suiteb_flags)
1362         return 1;
1363     /* Check version: if TLS 1.2 ciphers allowed we can use Suite B */
1364
1365     if (!(meth->ssl3_enc->enc_flags & SSL_ENC_FLAG_TLS1_2_CIPHERS)) {
1366         SSLerr(SSL_F_CHECK_SUITEB_CIPHER_LIST,
1367                SSL_R_AT_LEAST_TLS_1_2_NEEDED_IN_SUITEB_MODE);
1368         return 0;
1369     }
1370 # ifndef OPENSSL_NO_EC
1371     switch (suiteb_flags) {
1372     case SSL_CERT_FLAG_SUITEB_128_LOS:
1373         if (suiteb_comb2)
1374             *prule_str = "ECDHE-ECDSA-AES256-GCM-SHA384";
1375         else
1376             *prule_str =
1377                 "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384";
1378         break;
1379     case SSL_CERT_FLAG_SUITEB_128_LOS_ONLY:
1380         *prule_str = "ECDHE-ECDSA-AES128-GCM-SHA256";
1381         break;
1382     case SSL_CERT_FLAG_SUITEB_192_LOS:
1383         *prule_str = "ECDHE-ECDSA-AES256-GCM-SHA384";
1384         break;
1385     }
1386     return 1;
1387 # else
1388     SSLerr(SSL_F_CHECK_SUITEB_CIPHER_LIST,
1389            SSL_R_ECDH_REQUIRED_FOR_SUITEB_MODE);
1390     return 0;
1391 # endif
1392 }
1393 #endif
1394
1395 STACK_OF(SSL_CIPHER) *ssl_create_cipher_list(const SSL_METHOD *ssl_method, STACK_OF(SSL_CIPHER)
1396                                              **cipher_list, STACK_OF(SSL_CIPHER)
1397                                              **cipher_list_by_id,
1398                                              const char *rule_str, CERT *c)
1399 {
1400     int ok, num_of_ciphers, num_of_alias_max, num_of_group_aliases;
1401     uint32_t disabled_mkey, disabled_auth, disabled_enc, disabled_mac;
1402     STACK_OF(SSL_CIPHER) *cipherstack, *tmp_cipher_list;
1403     const char *rule_p;
1404     CIPHER_ORDER *co_list = NULL, *head = NULL, *tail = NULL, *curr;
1405     const SSL_CIPHER **ca_list = NULL;
1406
1407     /*
1408      * Return with error if nothing to do.
1409      */
1410     if (rule_str == NULL || cipher_list == NULL || cipher_list_by_id == NULL)
1411         return NULL;
1412 #ifndef OPENSSL_NO_EC
1413     if (!check_suiteb_cipher_list(ssl_method, c, &rule_str))
1414         return NULL;
1415 #endif
1416
1417     /*
1418      * To reduce the work to do we only want to process the compiled
1419      * in algorithms, so we first get the mask of disabled ciphers.
1420      */
1421
1422     disabled_mkey = disabled_mkey_mask;
1423     disabled_auth = disabled_auth_mask;
1424     disabled_enc = disabled_enc_mask;
1425     disabled_mac = disabled_mac_mask;
1426
1427     /*
1428      * Now we have to collect the available ciphers from the compiled
1429      * in ciphers. We cannot get more than the number compiled in, so
1430      * it is used for allocation.
1431      */
1432     num_of_ciphers = ssl_method->num_ciphers();
1433
1434     co_list = OPENSSL_malloc(sizeof(*co_list) * num_of_ciphers);
1435     if (co_list == NULL) {
1436         SSLerr(SSL_F_SSL_CREATE_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
1437         return (NULL);          /* Failure */
1438     }
1439
1440     ssl_cipher_collect_ciphers(ssl_method, num_of_ciphers,
1441                                disabled_mkey, disabled_auth, disabled_enc,
1442                                disabled_mac, co_list, &head,
1443                                &tail);
1444
1445     /* Now arrange all ciphers by preference. */
1446
1447     /*
1448      * Everything else being equal, prefer ephemeral ECDH over other key
1449      * exchange mechanisms.
1450      * For consistency, prefer ECDSA over RSA (though this only matters if the
1451      * server has both certificates, and is using the DEFAULT, or a client
1452      * preference).
1453      */
1454     ssl_cipher_apply_rule(0, SSL_kECDHE, SSL_aECDSA, 0, 0, 0, 0, CIPHER_ADD,
1455                           -1, &head, &tail);
1456     ssl_cipher_apply_rule(0, SSL_kECDHE, 0, 0, 0, 0, 0, CIPHER_ADD, -1, &head,
1457                           &tail);
1458     ssl_cipher_apply_rule(0, SSL_kECDHE, 0, 0, 0, 0, 0, CIPHER_DEL, -1, &head,
1459                           &tail);
1460
1461
1462     /* Within each strength group, we prefer GCM over CHACHA... */
1463     ssl_cipher_apply_rule(0, 0, 0, SSL_AESGCM, 0, 0, 0, CIPHER_ADD, -1,
1464                           &head, &tail);
1465     ssl_cipher_apply_rule(0, 0, 0, SSL_CHACHA20, 0, 0, 0, CIPHER_ADD, -1,
1466                           &head, &tail);
1467
1468      /*
1469       * ...and generally, our preferred cipher is AES.
1470       * Note that AEADs will be bumped to take preference after sorting by
1471       * strength.
1472       */
1473     ssl_cipher_apply_rule(0, 0, 0, SSL_AES ^ SSL_AESGCM, 0, 0, 0, CIPHER_ADD,
1474                           -1, &head, &tail);
1475
1476     /* Temporarily enable everything else for sorting */
1477     ssl_cipher_apply_rule(0, 0, 0, 0, 0, 0, 0, CIPHER_ADD, -1, &head, &tail);
1478
1479     /* Low priority for MD5 */
1480     ssl_cipher_apply_rule(0, 0, 0, 0, SSL_MD5, 0, 0, CIPHER_ORD, -1, &head,
1481                           &tail);
1482
1483     /*
1484      * Move anonymous ciphers to the end.  Usually, these will remain
1485      * disabled. (For applications that allow them, they aren't too bad, but
1486      * we prefer authenticated ciphers.)
1487      */
1488     ssl_cipher_apply_rule(0, 0, SSL_aNULL, 0, 0, 0, 0, CIPHER_ORD, -1, &head,
1489                           &tail);
1490
1491     /*
1492      * ssl_cipher_apply_rule(0, 0, SSL_aDH, 0, 0, 0, 0, CIPHER_ORD, -1,
1493      * &head, &tail);
1494      */
1495     ssl_cipher_apply_rule(0, SSL_kRSA, 0, 0, 0, 0, 0, CIPHER_ORD, -1, &head,
1496                           &tail);
1497     ssl_cipher_apply_rule(0, SSL_kPSK, 0, 0, 0, 0, 0, CIPHER_ORD, -1, &head,
1498                           &tail);
1499
1500     /* RC4 is sort-of broken -- move the the end */
1501     ssl_cipher_apply_rule(0, 0, 0, SSL_RC4, 0, 0, 0, CIPHER_ORD, -1, &head,
1502                           &tail);
1503
1504     /*
1505      * Now sort by symmetric encryption strength.  The above ordering remains
1506      * in force within each class
1507      */
1508     if (!ssl_cipher_strength_sort(&head, &tail)) {
1509         OPENSSL_free(co_list);
1510         return NULL;
1511     }
1512
1513     /*
1514      * Partially overrule strength sort to prefer TLS 1.2 ciphers/PRFs.
1515      * TODO(openssl-team): is there an easier way to accomplish all this?
1516      */
1517     ssl_cipher_apply_rule(0, 0, 0, 0, 0, TLS1_2_VERSION, 0, CIPHER_BUMP, -1,
1518                           &head, &tail);
1519
1520     /*
1521      * Irrespective of strength, enforce the following order:
1522      * (EC)DHE + AEAD > (EC)DHE > rest of AEAD > rest.
1523      * Within each group, ciphers remain sorted by strength and previous
1524      * preference, i.e.,
1525      * 1) ECDHE > DHE
1526      * 2) GCM > CHACHA
1527      * 3) AES > rest
1528      * 4) TLS 1.2 > legacy
1529      *
1530      * Because we now bump ciphers to the top of the list, we proceed in
1531      * reverse order of preference.
1532      */
1533     ssl_cipher_apply_rule(0, 0, 0, 0, SSL_AEAD, 0, 0, CIPHER_BUMP, -1,
1534                           &head, &tail);
1535     ssl_cipher_apply_rule(0, SSL_kDHE | SSL_kECDHE, 0, 0, 0, 0, 0,
1536                           CIPHER_BUMP, -1,  &head, &tail);
1537     ssl_cipher_apply_rule(0, SSL_kDHE | SSL_kECDHE, 0, 0, SSL_AEAD, 0, 0,
1538                           CIPHER_BUMP, -1,  &head, &tail);
1539
1540     /* Now disable everything (maintaining the ordering!) */
1541     ssl_cipher_apply_rule(0, 0, 0, 0, 0, 0, 0, CIPHER_DEL, -1, &head, &tail);
1542
1543     /*
1544      * We also need cipher aliases for selecting based on the rule_str.
1545      * There might be two types of entries in the rule_str: 1) names
1546      * of ciphers themselves 2) aliases for groups of ciphers.
1547      * For 1) we need the available ciphers and for 2) the cipher
1548      * groups of cipher_aliases added together in one list (otherwise
1549      * we would be happy with just the cipher_aliases table).
1550      */
1551     num_of_group_aliases = OSSL_NELEM(cipher_aliases);
1552     num_of_alias_max = num_of_ciphers + num_of_group_aliases + 1;
1553     ca_list = OPENSSL_malloc(sizeof(*ca_list) * num_of_alias_max);
1554     if (ca_list == NULL) {
1555         OPENSSL_free(co_list);
1556         SSLerr(SSL_F_SSL_CREATE_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
1557         return (NULL);          /* Failure */
1558     }
1559     ssl_cipher_collect_aliases(ca_list, num_of_group_aliases,
1560                                disabled_mkey, disabled_auth, disabled_enc,
1561                                disabled_mac, head);
1562
1563     /*
1564      * If the rule_string begins with DEFAULT, apply the default rule
1565      * before using the (possibly available) additional rules.
1566      */
1567     ok = 1;
1568     rule_p = rule_str;
1569     if (strncmp(rule_str, "DEFAULT", 7) == 0) {
1570         ok = ssl_cipher_process_rulestr(SSL_DEFAULT_CIPHER_LIST,
1571                                         &head, &tail, ca_list, c);
1572         rule_p += 7;
1573         if (*rule_p == ':')
1574             rule_p++;
1575     }
1576
1577     if (ok && (strlen(rule_p) > 0))
1578         ok = ssl_cipher_process_rulestr(rule_p, &head, &tail, ca_list, c);
1579
1580     OPENSSL_free(ca_list); /* Not needed anymore */
1581
1582     if (!ok) {                  /* Rule processing failure */
1583         OPENSSL_free(co_list);
1584         return (NULL);
1585     }
1586
1587     /*
1588      * Allocate new "cipherstack" for the result, return with error
1589      * if we cannot get one.
1590      */
1591     if ((cipherstack = sk_SSL_CIPHER_new_null()) == NULL) {
1592         OPENSSL_free(co_list);
1593         return (NULL);
1594     }
1595
1596     /*
1597      * The cipher selection for the list is done. The ciphers are added
1598      * to the resulting precedence to the STACK_OF(SSL_CIPHER).
1599      */
1600     for (curr = head; curr != NULL; curr = curr->next) {
1601         if (curr->active
1602             && (!FIPS_mode() || curr->cipher->algo_strength & SSL_FIPS)) {
1603             if (!sk_SSL_CIPHER_push(cipherstack, curr->cipher)) {
1604                 OPENSSL_free(co_list);
1605                 sk_SSL_CIPHER_free(cipherstack);
1606                 return NULL;
1607             }
1608 #ifdef CIPHER_DEBUG
1609             fprintf(stderr, "<%s>\n", curr->cipher->name);
1610 #endif
1611         }
1612     }
1613     OPENSSL_free(co_list);      /* Not needed any longer */
1614
1615     tmp_cipher_list = sk_SSL_CIPHER_dup(cipherstack);
1616     if (tmp_cipher_list == NULL) {
1617         sk_SSL_CIPHER_free(cipherstack);
1618         return NULL;
1619     }
1620     sk_SSL_CIPHER_free(*cipher_list);
1621     *cipher_list = cipherstack;
1622     if (*cipher_list_by_id != NULL)
1623         sk_SSL_CIPHER_free(*cipher_list_by_id);
1624     *cipher_list_by_id = tmp_cipher_list;
1625     (void)sk_SSL_CIPHER_set_cmp_func(*cipher_list_by_id,
1626                                      ssl_cipher_ptr_id_cmp);
1627
1628     sk_SSL_CIPHER_sort(*cipher_list_by_id);
1629     return (cipherstack);
1630 }
1631
1632 char *SSL_CIPHER_description(const SSL_CIPHER *cipher, char *buf, int len)
1633 {
1634     const char *ver;
1635     const char *kx, *au, *enc, *mac;
1636     uint32_t alg_mkey, alg_auth, alg_enc, alg_mac;
1637     static const char *format =
1638         "%-23s %s Kx=%-8s Au=%-4s Enc=%-9s Mac=%-4s\n";
1639
1640     if (buf == NULL) {
1641         len = 128;
1642         buf = OPENSSL_malloc(len);
1643         if (buf == NULL)
1644             return NULL;
1645     } else if (len < 128)
1646         return NULL;
1647
1648     alg_mkey = cipher->algorithm_mkey;
1649     alg_auth = cipher->algorithm_auth;
1650     alg_enc = cipher->algorithm_enc;
1651     alg_mac = cipher->algorithm_mac;
1652
1653     ver = ssl_protocol_to_string(cipher->min_tls);
1654
1655     switch (alg_mkey) {
1656     case SSL_kRSA:
1657         kx = "RSA";
1658         break;
1659     case SSL_kDHE:
1660         kx = "DH";
1661         break;
1662     case SSL_kECDHE:
1663         kx = "ECDH";
1664         break;
1665     case SSL_kPSK:
1666         kx = "PSK";
1667         break;
1668     case SSL_kRSAPSK:
1669         kx = "RSAPSK";
1670         break;
1671     case SSL_kECDHEPSK:
1672         kx = "ECDHEPSK";
1673         break;
1674     case SSL_kDHEPSK:
1675         kx = "DHEPSK";
1676         break;
1677     case SSL_kSRP:
1678         kx = "SRP";
1679         break;
1680     case SSL_kGOST:
1681         kx = "GOST";
1682         break;
1683     default:
1684         kx = "unknown";
1685     }
1686
1687     switch (alg_auth) {
1688     case SSL_aRSA:
1689         au = "RSA";
1690         break;
1691     case SSL_aDSS:
1692         au = "DSS";
1693         break;
1694     case SSL_aNULL:
1695         au = "None";
1696         break;
1697     case SSL_aECDSA:
1698         au = "ECDSA";
1699         break;
1700     case SSL_aPSK:
1701         au = "PSK";
1702         break;
1703     case SSL_aSRP:
1704         au = "SRP";
1705         break;
1706     case SSL_aGOST01:
1707         au = "GOST01";
1708         break;
1709         /* New GOST ciphersuites have both SSL_aGOST12 and SSL_aGOST01 bits */
1710     case (SSL_aGOST12 | SSL_aGOST01):
1711         au = "GOST12";
1712         break;
1713     default:
1714         au = "unknown";
1715         break;
1716     }
1717
1718     switch (alg_enc) {
1719     case SSL_DES:
1720         enc = "DES(56)";
1721         break;
1722     case SSL_3DES:
1723         enc = "3DES(168)";
1724         break;
1725     case SSL_RC4:
1726         enc = "RC4(128)";
1727         break;
1728     case SSL_RC2:
1729         enc = "RC2(128)";
1730         break;
1731     case SSL_IDEA:
1732         enc = "IDEA(128)";
1733         break;
1734     case SSL_eNULL:
1735         enc = "None";
1736         break;
1737     case SSL_AES128:
1738         enc = "AES(128)";
1739         break;
1740     case SSL_AES256:
1741         enc = "AES(256)";
1742         break;
1743     case SSL_AES128GCM:
1744         enc = "AESGCM(128)";
1745         break;
1746     case SSL_AES256GCM:
1747         enc = "AESGCM(256)";
1748         break;
1749     case SSL_AES128CCM:
1750         enc = "AESCCM(128)";
1751         break;
1752     case SSL_AES256CCM:
1753         enc = "AESCCM(256)";
1754         break;
1755     case SSL_AES128CCM8:
1756         enc = "AESCCM8(128)";
1757         break;
1758     case SSL_AES256CCM8:
1759         enc = "AESCCM8(256)";
1760         break;
1761     case SSL_CAMELLIA128:
1762         enc = "Camellia(128)";
1763         break;
1764     case SSL_CAMELLIA256:
1765         enc = "Camellia(256)";
1766         break;
1767     case SSL_SEED:
1768         enc = "SEED(128)";
1769         break;
1770     case SSL_eGOST2814789CNT:
1771     case SSL_eGOST2814789CNT12:
1772         enc = "GOST89(256)";
1773         break;
1774     case SSL_CHACHA20POLY1305:
1775         enc = "CHACHA20/POLY1305(256)";
1776         break;
1777     default:
1778         enc = "unknown";
1779         break;
1780     }
1781
1782     switch (alg_mac) {
1783     case SSL_MD5:
1784         mac = "MD5";
1785         break;
1786     case SSL_SHA1:
1787         mac = "SHA1";
1788         break;
1789     case SSL_SHA256:
1790         mac = "SHA256";
1791         break;
1792     case SSL_SHA384:
1793         mac = "SHA384";
1794         break;
1795     case SSL_AEAD:
1796         mac = "AEAD";
1797         break;
1798     case SSL_GOST89MAC:
1799     case SSL_GOST89MAC12:
1800         mac = "GOST89";
1801         break;
1802     case SSL_GOST94:
1803         mac = "GOST94";
1804         break;
1805     case SSL_GOST12_256:
1806     case SSL_GOST12_512:
1807         mac = "GOST2012";
1808         break;
1809     default:
1810         mac = "unknown";
1811         break;
1812     }
1813
1814     BIO_snprintf(buf, len, format, cipher->name, ver, kx, au, enc, mac);
1815
1816     return (buf);
1817 }
1818
1819 const char *SSL_CIPHER_get_version(const SSL_CIPHER *c)
1820 {
1821     if (c == NULL)
1822         return "(NONE)";
1823     return ssl_protocol_to_string(c->min_tls);
1824 }
1825
1826 /* return the actual cipher being used */
1827 const char *SSL_CIPHER_get_name(const SSL_CIPHER *c)
1828 {
1829     if (c != NULL)
1830         return (c->name);
1831     return ("(NONE)");
1832 }
1833
1834 /* number of bits for symmetric cipher */
1835 int SSL_CIPHER_get_bits(const SSL_CIPHER *c, int *alg_bits)
1836 {
1837     int ret = 0;
1838
1839     if (c != NULL) {
1840         if (alg_bits != NULL)
1841             *alg_bits = (int) c->alg_bits;
1842         ret = (int) c->strength_bits;
1843     }
1844     return ret;
1845 }
1846
1847 uint32_t SSL_CIPHER_get_id(const SSL_CIPHER *c)
1848 {
1849     return c->id;
1850 }
1851
1852 SSL_COMP *ssl3_comp_find(STACK_OF(SSL_COMP) *sk, int n)
1853 {
1854     SSL_COMP *ctmp;
1855     int i, nn;
1856
1857     if ((n == 0) || (sk == NULL))
1858         return (NULL);
1859     nn = sk_SSL_COMP_num(sk);
1860     for (i = 0; i < nn; i++) {
1861         ctmp = sk_SSL_COMP_value(sk, i);
1862         if (ctmp->id == n)
1863             return (ctmp);
1864     }
1865     return (NULL);
1866 }
1867
1868 #ifdef OPENSSL_NO_COMP
1869 STACK_OF(SSL_COMP) *SSL_COMP_get_compression_methods(void)
1870 {
1871     return NULL;
1872 }
1873 STACK_OF(SSL_COMP) *SSL_COMP_set0_compression_methods(STACK_OF(SSL_COMP)
1874                                                       *meths)
1875 {
1876     return meths;
1877 }
1878 void SSL_COMP_free_compression_methods(void)
1879 {
1880 }
1881 int SSL_COMP_add_compression_method(int id, COMP_METHOD *cm)
1882 {
1883     return 1;
1884 }
1885
1886 #else
1887 STACK_OF(SSL_COMP) *SSL_COMP_get_compression_methods(void)
1888 {
1889     load_builtin_compressions();
1890     return (ssl_comp_methods);
1891 }
1892
1893 STACK_OF(SSL_COMP) *SSL_COMP_set0_compression_methods(STACK_OF(SSL_COMP)
1894                                                       *meths)
1895 {
1896     STACK_OF(SSL_COMP) *old_meths = ssl_comp_methods;
1897     ssl_comp_methods = meths;
1898     return old_meths;
1899 }
1900
1901 static void cmeth_free(SSL_COMP *cm)
1902 {
1903     OPENSSL_free(cm);
1904 }
1905
1906 void SSL_COMP_free_compression_methods(void)
1907 {
1908     STACK_OF(SSL_COMP) *old_meths = ssl_comp_methods;
1909     ssl_comp_methods = NULL;
1910     sk_SSL_COMP_pop_free(old_meths, cmeth_free);
1911 }
1912
1913 int SSL_COMP_add_compression_method(int id, COMP_METHOD *cm)
1914 {
1915     SSL_COMP *comp;
1916
1917     if (cm == NULL || COMP_get_type(cm) == NID_undef)
1918         return 1;
1919
1920     /*-
1921      * According to draft-ietf-tls-compression-04.txt, the
1922      * compression number ranges should be the following:
1923      *
1924      *   0 to  63:  methods defined by the IETF
1925      *  64 to 192:  external party methods assigned by IANA
1926      * 193 to 255:  reserved for private use
1927      */
1928     if (id < 193 || id > 255) {
1929         SSLerr(SSL_F_SSL_COMP_ADD_COMPRESSION_METHOD,
1930                SSL_R_COMPRESSION_ID_NOT_WITHIN_PRIVATE_RANGE);
1931         return 0;
1932     }
1933
1934     CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_DISABLE);
1935     comp = OPENSSL_malloc(sizeof(*comp));
1936     if (comp == NULL) {
1937         CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE);
1938         SSLerr(SSL_F_SSL_COMP_ADD_COMPRESSION_METHOD, ERR_R_MALLOC_FAILURE);
1939         return (1);
1940     }
1941
1942     comp->id = id;
1943     comp->method = cm;
1944     load_builtin_compressions();
1945     if (ssl_comp_methods && sk_SSL_COMP_find(ssl_comp_methods, comp) >= 0) {
1946         OPENSSL_free(comp);
1947         CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE);
1948         SSLerr(SSL_F_SSL_COMP_ADD_COMPRESSION_METHOD,
1949                SSL_R_DUPLICATE_COMPRESSION_ID);
1950         return (1);
1951     }
1952     if ((ssl_comp_methods == NULL)
1953                || !sk_SSL_COMP_push(ssl_comp_methods, comp)) {
1954         OPENSSL_free(comp);
1955         CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE);
1956         SSLerr(SSL_F_SSL_COMP_ADD_COMPRESSION_METHOD, ERR_R_MALLOC_FAILURE);
1957         return (1);
1958     }
1959     CRYPTO_mem_ctrl(CRYPTO_MEM_CHECK_ENABLE);
1960     return (0);
1961 }
1962 #endif
1963
1964 const char *SSL_COMP_get_name(const COMP_METHOD *comp)
1965 {
1966 #ifndef OPENSSL_NO_COMP
1967     return comp ? COMP_get_name(comp) : NULL;
1968 #else
1969     return NULL;
1970 #endif
1971 }
1972
1973 /* For a cipher return the index corresponding to the certificate type */
1974 int ssl_cipher_get_cert_index(const SSL_CIPHER *c)
1975 {
1976     uint32_t alg_a;
1977
1978     alg_a = c->algorithm_auth;
1979
1980     if (alg_a & SSL_aECDSA)
1981         return SSL_PKEY_ECC;
1982     else if (alg_a & SSL_aDSS)
1983         return SSL_PKEY_DSA_SIGN;
1984     else if (alg_a & SSL_aRSA)
1985         return SSL_PKEY_RSA_ENC;
1986     else if (alg_a & SSL_aGOST12)
1987         return SSL_PKEY_GOST_EC;
1988     else if (alg_a & SSL_aGOST01)
1989         return SSL_PKEY_GOST01;
1990
1991     return -1;
1992 }
1993
1994 const SSL_CIPHER *ssl_get_cipher_by_char(SSL *ssl, const unsigned char *ptr)
1995 {
1996     const SSL_CIPHER *c = ssl->method->get_cipher_by_char(ptr);
1997
1998     if (c == NULL || c->valid == 0)
1999         return NULL;
2000     return c;
2001 }
2002
2003 const SSL_CIPHER *SSL_CIPHER_find(SSL *ssl, const unsigned char *ptr)
2004 {
2005     return ssl->method->get_cipher_by_char(ptr);
2006 }
2007
2008 int SSL_CIPHER_get_cipher_nid(const SSL_CIPHER *c)
2009 {
2010     int i;
2011     if (c == NULL)
2012         return NID_undef;
2013     i = ssl_cipher_info_lookup(ssl_cipher_table_cipher, c->algorithm_enc);
2014     if (i == -1)
2015         return NID_undef;
2016     return ssl_cipher_table_cipher[i].nid;
2017 }
2018
2019 int SSL_CIPHER_get_digest_nid(const SSL_CIPHER *c)
2020 {
2021     int i = ssl_cipher_info_lookup(ssl_cipher_table_mac, c->algorithm_mac);
2022
2023     if (i == -1)
2024         return NID_undef;
2025     return ssl_cipher_table_mac[i].nid;
2026 }
2027
2028 int SSL_CIPHER_get_kx_nid(const SSL_CIPHER *c)
2029 {
2030     int i = ssl_cipher_info_lookup(ssl_cipher_table_kx, c->algorithm_mkey);
2031
2032     if (i == -1)
2033         return NID_undef;
2034     return ssl_cipher_table_kx[i].nid;
2035 }
2036
2037 int SSL_CIPHER_get_auth_nid(const SSL_CIPHER *c)
2038 {
2039     int i = ssl_cipher_info_lookup(ssl_cipher_table_auth, c->algorithm_auth);
2040
2041     if (i == -1)
2042         return NID_undef;
2043     return ssl_cipher_table_auth[i].nid;
2044 }
2045
2046 int SSL_CIPHER_is_aead(const SSL_CIPHER *c)
2047 {
2048     return (c->algorithm_mac & SSL_AEAD) ? 1 : 0;
2049 }