Fix access zero memory if SSL_DEBUG is enabled
[openssl.git] / ssl / statem / statem_clnt.c
1 /*
2  * Copyright 1995-2018 The OpenSSL Project Authors. All Rights Reserved.
3  * Copyright (c) 2002, Oracle and/or its affiliates. All rights reserved
4  * Copyright 2005 Nokia. All rights reserved.
5  *
6  * Licensed under the OpenSSL license (the "License").  You may not use
7  * this file except in compliance with the License.  You can obtain a copy
8  * in the file LICENSE in the source distribution or at
9  * https://www.openssl.org/source/license.html
10  */
11
12 #include <stdio.h>
13 #include <time.h>
14 #include <assert.h>
15 #include "../ssl_locl.h"
16 #include "statem_locl.h"
17 #include <openssl/buffer.h>
18 #include <openssl/rand.h>
19 #include <openssl/objects.h>
20 #include <openssl/evp.h>
21 #include <openssl/md5.h>
22 #include <openssl/dh.h>
23 #include <openssl/bn.h>
24 #include <openssl/engine.h>
25 #include <internal/cryptlib.h>
26
27 static MSG_PROCESS_RETURN tls_process_as_hello_retry_request(SSL *s, PACKET *pkt);
28 static MSG_PROCESS_RETURN tls_process_encrypted_extensions(SSL *s, PACKET *pkt);
29
30 static ossl_inline int cert_req_allowed(SSL *s);
31 static int key_exchange_expected(SSL *s);
32 static int ssl_cipher_list_to_bytes(SSL *s, STACK_OF(SSL_CIPHER) *sk,
33                                     WPACKET *pkt);
34
35 /*
36  * Is a CertificateRequest message allowed at the moment or not?
37  *
38  *  Return values are:
39  *  1: Yes
40  *  0: No
41  */
42 static ossl_inline int cert_req_allowed(SSL *s)
43 {
44     /* TLS does not like anon-DH with client cert */
45     if ((s->version > SSL3_VERSION
46          && (s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL))
47         || (s->s3->tmp.new_cipher->algorithm_auth & (SSL_aSRP | SSL_aPSK)))
48         return 0;
49
50     return 1;
51 }
52
53 /*
54  * Should we expect the ServerKeyExchange message or not?
55  *
56  *  Return values are:
57  *  1: Yes
58  *  0: No
59  */
60 static int key_exchange_expected(SSL *s)
61 {
62     long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
63
64     /*
65      * Can't skip server key exchange if this is an ephemeral
66      * ciphersuite or for SRP
67      */
68     if (alg_k & (SSL_kDHE | SSL_kECDHE | SSL_kDHEPSK | SSL_kECDHEPSK
69                  | SSL_kSRP)) {
70         return 1;
71     }
72
73     return 0;
74 }
75
76 /*
77  * ossl_statem_client_read_transition() encapsulates the logic for the allowed
78  * handshake state transitions when a TLS1.3 client is reading messages from the
79  * server. The message type that the server has sent is provided in |mt|. The
80  * current state is in |s->statem.hand_state|.
81  *
82  * Return values are 1 for success (transition allowed) and  0 on error
83  * (transition not allowed)
84  */
85 static int ossl_statem_client13_read_transition(SSL *s, int mt)
86 {
87     OSSL_STATEM *st = &s->statem;
88
89     /*
90      * Note: There is no case for TLS_ST_CW_CLNT_HELLO, because we haven't
91      * yet negotiated TLSv1.3 at that point so that is handled by
92      * ossl_statem_client_read_transition()
93      */
94
95     switch (st->hand_state) {
96     default:
97         break;
98
99     case TLS_ST_CW_CLNT_HELLO:
100         /*
101          * This must a ClientHello following a HelloRetryRequest, so the only
102          * thing we can get now is a ServerHello.
103          */
104         if (mt == SSL3_MT_SERVER_HELLO) {
105             st->hand_state = TLS_ST_CR_SRVR_HELLO;
106             return 1;
107         }
108         break;
109
110     case TLS_ST_CR_SRVR_HELLO:
111         if (mt == SSL3_MT_ENCRYPTED_EXTENSIONS) {
112             st->hand_state = TLS_ST_CR_ENCRYPTED_EXTENSIONS;
113             return 1;
114         }
115         break;
116
117     case TLS_ST_CR_ENCRYPTED_EXTENSIONS:
118         if (s->hit) {
119             if (mt == SSL3_MT_FINISHED) {
120                 st->hand_state = TLS_ST_CR_FINISHED;
121                 return 1;
122             }
123         } else {
124             if (mt == SSL3_MT_CERTIFICATE_REQUEST) {
125                 st->hand_state = TLS_ST_CR_CERT_REQ;
126                 return 1;
127             }
128             if (mt == SSL3_MT_CERTIFICATE) {
129                 st->hand_state = TLS_ST_CR_CERT;
130                 return 1;
131             }
132         }
133         break;
134
135     case TLS_ST_CR_CERT_REQ:
136         if (mt == SSL3_MT_CERTIFICATE) {
137             st->hand_state = TLS_ST_CR_CERT;
138             return 1;
139         }
140         break;
141
142     case TLS_ST_CR_CERT:
143         if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
144             st->hand_state = TLS_ST_CR_CERT_VRFY;
145             return 1;
146         }
147         break;
148
149     case TLS_ST_CR_CERT_VRFY:
150         if (mt == SSL3_MT_FINISHED) {
151             st->hand_state = TLS_ST_CR_FINISHED;
152             return 1;
153         }
154         break;
155
156     case TLS_ST_OK:
157         if (mt == SSL3_MT_NEWSESSION_TICKET) {
158             st->hand_state = TLS_ST_CR_SESSION_TICKET;
159             return 1;
160         }
161         if (mt == SSL3_MT_KEY_UPDATE) {
162             st->hand_state = TLS_ST_CR_KEY_UPDATE;
163             return 1;
164         }
165         if (mt == SSL3_MT_CERTIFICATE_REQUEST) {
166 #if DTLS_MAX_VERSION != DTLS1_2_VERSION
167 # error TODO(DTLS1.3): Restore digest for PHA before adding message.
168 #endif
169             if (!SSL_IS_DTLS(s) && s->post_handshake_auth == SSL_PHA_EXT_SENT) {
170                 s->post_handshake_auth = SSL_PHA_REQUESTED;
171                 /*
172                  * In TLS, this is called before the message is added to the
173                  * digest. In DTLS, this is expected to be called after adding
174                  * to the digest. Either move the digest restore, or add the
175                  * message here after the swap, or do it after the clientFinished?
176                  */
177                 if (!tls13_restore_handshake_digest_for_pha(s)) {
178                     /* SSLfatal() already called */
179                     return 0;
180                 }
181                 st->hand_state = TLS_ST_CR_CERT_REQ;
182                 return 1;
183             }
184         }
185         break;
186     }
187
188     /* No valid transition found */
189     return 0;
190 }
191
192 /*
193  * ossl_statem_client_read_transition() encapsulates the logic for the allowed
194  * handshake state transitions when the client is reading messages from the
195  * server. The message type that the server has sent is provided in |mt|. The
196  * current state is in |s->statem.hand_state|.
197  *
198  * Return values are 1 for success (transition allowed) and  0 on error
199  * (transition not allowed)
200  */
201 int ossl_statem_client_read_transition(SSL *s, int mt)
202 {
203     OSSL_STATEM *st = &s->statem;
204     int ske_expected;
205
206     /*
207      * Note that after writing the first ClientHello we don't know what version
208      * we are going to negotiate yet, so we don't take this branch until later.
209      */
210     if (SSL_IS_TLS13(s)) {
211         if (!ossl_statem_client13_read_transition(s, mt))
212             goto err;
213         return 1;
214     }
215
216     switch (st->hand_state) {
217     default:
218         break;
219
220     case TLS_ST_CW_CLNT_HELLO:
221         if (mt == SSL3_MT_SERVER_HELLO) {
222             st->hand_state = TLS_ST_CR_SRVR_HELLO;
223             return 1;
224         }
225
226         if (SSL_IS_DTLS(s)) {
227             if (mt == DTLS1_MT_HELLO_VERIFY_REQUEST) {
228                 st->hand_state = DTLS_ST_CR_HELLO_VERIFY_REQUEST;
229                 return 1;
230             }
231         }
232         break;
233
234     case TLS_ST_EARLY_DATA:
235         /*
236          * We've not actually selected TLSv1.3 yet, but we have sent early
237          * data. The only thing allowed now is a ServerHello or a
238          * HelloRetryRequest.
239          */
240         if (mt == SSL3_MT_SERVER_HELLO) {
241             st->hand_state = TLS_ST_CR_SRVR_HELLO;
242             return 1;
243         }
244         break;
245
246     case TLS_ST_CR_SRVR_HELLO:
247         if (s->hit) {
248             if (s->ext.ticket_expected) {
249                 if (mt == SSL3_MT_NEWSESSION_TICKET) {
250                     st->hand_state = TLS_ST_CR_SESSION_TICKET;
251                     return 1;
252                 }
253             } else if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
254                 st->hand_state = TLS_ST_CR_CHANGE;
255                 return 1;
256             }
257         } else {
258             if (SSL_IS_DTLS(s) && mt == DTLS1_MT_HELLO_VERIFY_REQUEST) {
259                 st->hand_state = DTLS_ST_CR_HELLO_VERIFY_REQUEST;
260                 return 1;
261             } else if (s->version >= TLS1_VERSION
262                        && s->ext.session_secret_cb != NULL
263                        && s->session->ext.tick != NULL
264                        && mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
265                 /*
266                  * Normally, we can tell if the server is resuming the session
267                  * from the session ID. EAP-FAST (RFC 4851), however, relies on
268                  * the next server message after the ServerHello to determine if
269                  * the server is resuming.
270                  */
271                 s->hit = 1;
272                 st->hand_state = TLS_ST_CR_CHANGE;
273                 return 1;
274             } else if (!(s->s3->tmp.new_cipher->algorithm_auth
275                          & (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
276                 if (mt == SSL3_MT_CERTIFICATE) {
277                     st->hand_state = TLS_ST_CR_CERT;
278                     return 1;
279                 }
280             } else {
281                 ske_expected = key_exchange_expected(s);
282                 /* SKE is optional for some PSK ciphersuites */
283                 if (ske_expected
284                     || ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)
285                         && mt == SSL3_MT_SERVER_KEY_EXCHANGE)) {
286                     if (mt == SSL3_MT_SERVER_KEY_EXCHANGE) {
287                         st->hand_state = TLS_ST_CR_KEY_EXCH;
288                         return 1;
289                     }
290                 } else if (mt == SSL3_MT_CERTIFICATE_REQUEST
291                            && cert_req_allowed(s)) {
292                     st->hand_state = TLS_ST_CR_CERT_REQ;
293                     return 1;
294                 } else if (mt == SSL3_MT_SERVER_DONE) {
295                     st->hand_state = TLS_ST_CR_SRVR_DONE;
296                     return 1;
297                 }
298             }
299         }
300         break;
301
302     case TLS_ST_CR_CERT:
303         /*
304          * The CertificateStatus message is optional even if
305          * |ext.status_expected| is set
306          */
307         if (s->ext.status_expected && mt == SSL3_MT_CERTIFICATE_STATUS) {
308             st->hand_state = TLS_ST_CR_CERT_STATUS;
309             return 1;
310         }
311         /* Fall through */
312
313     case TLS_ST_CR_CERT_STATUS:
314         ske_expected = key_exchange_expected(s);
315         /* SKE is optional for some PSK ciphersuites */
316         if (ske_expected || ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)
317                              && mt == SSL3_MT_SERVER_KEY_EXCHANGE)) {
318             if (mt == SSL3_MT_SERVER_KEY_EXCHANGE) {
319                 st->hand_state = TLS_ST_CR_KEY_EXCH;
320                 return 1;
321             }
322             goto err;
323         }
324         /* Fall through */
325
326     case TLS_ST_CR_KEY_EXCH:
327         if (mt == SSL3_MT_CERTIFICATE_REQUEST) {
328             if (cert_req_allowed(s)) {
329                 st->hand_state = TLS_ST_CR_CERT_REQ;
330                 return 1;
331             }
332             goto err;
333         }
334         /* Fall through */
335
336     case TLS_ST_CR_CERT_REQ:
337         if (mt == SSL3_MT_SERVER_DONE) {
338             st->hand_state = TLS_ST_CR_SRVR_DONE;
339             return 1;
340         }
341         break;
342
343     case TLS_ST_CW_FINISHED:
344         if (s->ext.ticket_expected) {
345             if (mt == SSL3_MT_NEWSESSION_TICKET) {
346                 st->hand_state = TLS_ST_CR_SESSION_TICKET;
347                 return 1;
348             }
349         } else if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
350             st->hand_state = TLS_ST_CR_CHANGE;
351             return 1;
352         }
353         break;
354
355     case TLS_ST_CR_SESSION_TICKET:
356         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
357             st->hand_state = TLS_ST_CR_CHANGE;
358             return 1;
359         }
360         break;
361
362     case TLS_ST_CR_CHANGE:
363         if (mt == SSL3_MT_FINISHED) {
364             st->hand_state = TLS_ST_CR_FINISHED;
365             return 1;
366         }
367         break;
368
369     case TLS_ST_OK:
370         if (mt == SSL3_MT_HELLO_REQUEST) {
371             st->hand_state = TLS_ST_CR_HELLO_REQ;
372             return 1;
373         }
374         break;
375     }
376
377  err:
378     /* No valid transition found */
379     if (SSL_IS_DTLS(s) && mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
380         BIO *rbio;
381
382         /*
383          * CCS messages don't have a message sequence number so this is probably
384          * because of an out-of-order CCS. We'll just drop it.
385          */
386         s->init_num = 0;
387         s->rwstate = SSL_READING;
388         rbio = SSL_get_rbio(s);
389         BIO_clear_retry_flags(rbio);
390         BIO_set_retry_read(rbio);
391         return 0;
392     }
393     SSLfatal(s, SSL3_AD_UNEXPECTED_MESSAGE,
394              SSL_F_OSSL_STATEM_CLIENT_READ_TRANSITION,
395              SSL_R_UNEXPECTED_MESSAGE);
396     return 0;
397 }
398
399 /*
400  * ossl_statem_client13_write_transition() works out what handshake state to
401  * move to next when the TLSv1.3 client is writing messages to be sent to the
402  * server.
403  */
404 static WRITE_TRAN ossl_statem_client13_write_transition(SSL *s)
405 {
406     OSSL_STATEM *st = &s->statem;
407
408     /*
409      * Note: There are no cases for TLS_ST_BEFORE because we haven't negotiated
410      * TLSv1.3 yet at that point. They are handled by
411      * ossl_statem_client_write_transition().
412      */
413     switch (st->hand_state) {
414     default:
415         /* Shouldn't happen */
416         SSLfatal(s, SSL_AD_INTERNAL_ERROR,
417                  SSL_F_OSSL_STATEM_CLIENT13_WRITE_TRANSITION,
418                  ERR_R_INTERNAL_ERROR);
419         return WRITE_TRAN_ERROR;
420
421     case TLS_ST_CR_CERT_REQ:
422         if (s->post_handshake_auth == SSL_PHA_REQUESTED) {
423             st->hand_state = TLS_ST_CW_CERT;
424             return WRITE_TRAN_CONTINUE;
425         }
426         /*
427          * We should only get here if we received a CertificateRequest after
428          * we already sent close_notify
429          */
430         if (!ossl_assert((s->shutdown & SSL_SENT_SHUTDOWN) != 0)) {
431             /* Shouldn't happen - same as default case */
432             SSLfatal(s, SSL_AD_INTERNAL_ERROR,
433                      SSL_F_OSSL_STATEM_CLIENT13_WRITE_TRANSITION,
434                      ERR_R_INTERNAL_ERROR);
435             return WRITE_TRAN_ERROR;
436         }
437         st->hand_state = TLS_ST_OK;
438         return WRITE_TRAN_CONTINUE;
439
440     case TLS_ST_CR_FINISHED:
441         if (s->early_data_state == SSL_EARLY_DATA_WRITE_RETRY
442                 || s->early_data_state == SSL_EARLY_DATA_FINISHED_WRITING)
443             st->hand_state = TLS_ST_PENDING_EARLY_DATA_END;
444         else if ((s->options & SSL_OP_ENABLE_MIDDLEBOX_COMPAT) != 0
445                  && s->hello_retry_request == SSL_HRR_NONE)
446             st->hand_state = TLS_ST_CW_CHANGE;
447         else
448             st->hand_state = (s->s3->tmp.cert_req != 0) ? TLS_ST_CW_CERT
449                                                         : TLS_ST_CW_FINISHED;
450         return WRITE_TRAN_CONTINUE;
451
452     case TLS_ST_PENDING_EARLY_DATA_END:
453         if (s->ext.early_data == SSL_EARLY_DATA_ACCEPTED) {
454             st->hand_state = TLS_ST_CW_END_OF_EARLY_DATA;
455             return WRITE_TRAN_CONTINUE;
456         }
457         /* Fall through */
458
459     case TLS_ST_CW_END_OF_EARLY_DATA:
460     case TLS_ST_CW_CHANGE:
461         st->hand_state = (s->s3->tmp.cert_req != 0) ? TLS_ST_CW_CERT
462                                                     : TLS_ST_CW_FINISHED;
463         return WRITE_TRAN_CONTINUE;
464
465     case TLS_ST_CW_CERT:
466         /* If a non-empty Certificate we also send CertificateVerify */
467         st->hand_state = (s->s3->tmp.cert_req == 1) ? TLS_ST_CW_CERT_VRFY
468                                                     : TLS_ST_CW_FINISHED;
469         return WRITE_TRAN_CONTINUE;
470
471     case TLS_ST_CW_CERT_VRFY:
472         st->hand_state = TLS_ST_CW_FINISHED;
473         return WRITE_TRAN_CONTINUE;
474
475     case TLS_ST_CR_KEY_UPDATE:
476         if (s->key_update != SSL_KEY_UPDATE_NONE) {
477             st->hand_state = TLS_ST_CW_KEY_UPDATE;
478             return WRITE_TRAN_CONTINUE;
479         }
480         /* Fall through */
481
482     case TLS_ST_CW_KEY_UPDATE:
483     case TLS_ST_CR_SESSION_TICKET:
484     case TLS_ST_CW_FINISHED:
485         st->hand_state = TLS_ST_OK;
486         return WRITE_TRAN_CONTINUE;
487
488     case TLS_ST_OK:
489         if (s->key_update != SSL_KEY_UPDATE_NONE) {
490             st->hand_state = TLS_ST_CW_KEY_UPDATE;
491             return WRITE_TRAN_CONTINUE;
492         }
493
494         /* Try to read from the server instead */
495         return WRITE_TRAN_FINISHED;
496     }
497 }
498
499 /*
500  * ossl_statem_client_write_transition() works out what handshake state to
501  * move to next when the client is writing messages to be sent to the server.
502  */
503 WRITE_TRAN ossl_statem_client_write_transition(SSL *s)
504 {
505     OSSL_STATEM *st = &s->statem;
506
507     /*
508      * Note that immediately before/after a ClientHello we don't know what
509      * version we are going to negotiate yet, so we don't take this branch until
510      * later
511      */
512     if (SSL_IS_TLS13(s))
513         return ossl_statem_client13_write_transition(s);
514
515     switch (st->hand_state) {
516     default:
517         /* Shouldn't happen */
518         SSLfatal(s, SSL_AD_INTERNAL_ERROR,
519                  SSL_F_OSSL_STATEM_CLIENT_WRITE_TRANSITION,
520                  ERR_R_INTERNAL_ERROR);
521         return WRITE_TRAN_ERROR;
522
523     case TLS_ST_OK:
524         if (!s->renegotiate) {
525             /*
526              * We haven't requested a renegotiation ourselves so we must have
527              * received a message from the server. Better read it.
528              */
529             return WRITE_TRAN_FINISHED;
530         }
531         /* Renegotiation */
532         /* fall thru */
533     case TLS_ST_BEFORE:
534         st->hand_state = TLS_ST_CW_CLNT_HELLO;
535         return WRITE_TRAN_CONTINUE;
536
537     case TLS_ST_CW_CLNT_HELLO:
538         if (s->early_data_state == SSL_EARLY_DATA_CONNECTING) {
539             /*
540              * We are assuming this is a TLSv1.3 connection, although we haven't
541              * actually selected a version yet.
542              */
543             if ((s->options & SSL_OP_ENABLE_MIDDLEBOX_COMPAT) != 0)
544                 st->hand_state = TLS_ST_CW_CHANGE;
545             else
546                 st->hand_state = TLS_ST_EARLY_DATA;
547             return WRITE_TRAN_CONTINUE;
548         }
549         /*
550          * No transition at the end of writing because we don't know what
551          * we will be sent
552          */
553         return WRITE_TRAN_FINISHED;
554
555     case TLS_ST_CR_SRVR_HELLO:
556         /*
557          * We only get here in TLSv1.3. We just received an HRR, so issue a
558          * CCS unless middlebox compat mode is off, or we already issued one
559          * because we did early data.
560          */
561         if ((s->options & SSL_OP_ENABLE_MIDDLEBOX_COMPAT) != 0
562                 && s->early_data_state != SSL_EARLY_DATA_FINISHED_WRITING)
563             st->hand_state = TLS_ST_CW_CHANGE;
564         else
565             st->hand_state = TLS_ST_CW_CLNT_HELLO;
566         return WRITE_TRAN_CONTINUE;
567
568     case TLS_ST_EARLY_DATA:
569         return WRITE_TRAN_FINISHED;
570
571     case DTLS_ST_CR_HELLO_VERIFY_REQUEST:
572         st->hand_state = TLS_ST_CW_CLNT_HELLO;
573         return WRITE_TRAN_CONTINUE;
574
575     case TLS_ST_CR_SRVR_DONE:
576         if (s->s3->tmp.cert_req)
577             st->hand_state = TLS_ST_CW_CERT;
578         else
579             st->hand_state = TLS_ST_CW_KEY_EXCH;
580         return WRITE_TRAN_CONTINUE;
581
582     case TLS_ST_CW_CERT:
583         st->hand_state = TLS_ST_CW_KEY_EXCH;
584         return WRITE_TRAN_CONTINUE;
585
586     case TLS_ST_CW_KEY_EXCH:
587         /*
588          * For TLS, cert_req is set to 2, so a cert chain of nothing is
589          * sent, but no verify packet is sent
590          */
591         /*
592          * XXX: For now, we do not support client authentication in ECDH
593          * cipher suites with ECDH (rather than ECDSA) certificates. We
594          * need to skip the certificate verify message when client's
595          * ECDH public key is sent inside the client certificate.
596          */
597         if (s->s3->tmp.cert_req == 1) {
598             st->hand_state = TLS_ST_CW_CERT_VRFY;
599         } else {
600             st->hand_state = TLS_ST_CW_CHANGE;
601         }
602         if (s->s3->flags & TLS1_FLAGS_SKIP_CERT_VERIFY) {
603             st->hand_state = TLS_ST_CW_CHANGE;
604         }
605         return WRITE_TRAN_CONTINUE;
606
607     case TLS_ST_CW_CERT_VRFY:
608         st->hand_state = TLS_ST_CW_CHANGE;
609         return WRITE_TRAN_CONTINUE;
610
611     case TLS_ST_CW_CHANGE:
612         if (s->hello_retry_request == SSL_HRR_PENDING) {
613             st->hand_state = TLS_ST_CW_CLNT_HELLO;
614         } else if (s->early_data_state == SSL_EARLY_DATA_CONNECTING) {
615             st->hand_state = TLS_ST_EARLY_DATA;
616         } else {
617 #if defined(OPENSSL_NO_NEXTPROTONEG)
618             st->hand_state = TLS_ST_CW_FINISHED;
619 #else
620             if (!SSL_IS_DTLS(s) && s->s3->npn_seen)
621                 st->hand_state = TLS_ST_CW_NEXT_PROTO;
622             else
623                 st->hand_state = TLS_ST_CW_FINISHED;
624 #endif
625         }
626         return WRITE_TRAN_CONTINUE;
627
628 #if !defined(OPENSSL_NO_NEXTPROTONEG)
629     case TLS_ST_CW_NEXT_PROTO:
630         st->hand_state = TLS_ST_CW_FINISHED;
631         return WRITE_TRAN_CONTINUE;
632 #endif
633
634     case TLS_ST_CW_FINISHED:
635         if (s->hit) {
636             st->hand_state = TLS_ST_OK;
637             return WRITE_TRAN_CONTINUE;
638         } else {
639             return WRITE_TRAN_FINISHED;
640         }
641
642     case TLS_ST_CR_FINISHED:
643         if (s->hit) {
644             st->hand_state = TLS_ST_CW_CHANGE;
645             return WRITE_TRAN_CONTINUE;
646         } else {
647             st->hand_state = TLS_ST_OK;
648             return WRITE_TRAN_CONTINUE;
649         }
650
651     case TLS_ST_CR_HELLO_REQ:
652         /*
653          * If we can renegotiate now then do so, otherwise wait for a more
654          * convenient time.
655          */
656         if (ssl3_renegotiate_check(s, 1)) {
657             if (!tls_setup_handshake(s)) {
658                 /* SSLfatal() already called */
659                 return WRITE_TRAN_ERROR;
660             }
661             st->hand_state = TLS_ST_CW_CLNT_HELLO;
662             return WRITE_TRAN_CONTINUE;
663         }
664         st->hand_state = TLS_ST_OK;
665         return WRITE_TRAN_CONTINUE;
666     }
667 }
668
669 /*
670  * Perform any pre work that needs to be done prior to sending a message from
671  * the client to the server.
672  */
673 WORK_STATE ossl_statem_client_pre_work(SSL *s, WORK_STATE wst)
674 {
675     OSSL_STATEM *st = &s->statem;
676
677     switch (st->hand_state) {
678     default:
679         /* No pre work to be done */
680         break;
681
682     case TLS_ST_CW_CLNT_HELLO:
683         s->shutdown = 0;
684         if (SSL_IS_DTLS(s)) {
685             /* every DTLS ClientHello resets Finished MAC */
686             if (!ssl3_init_finished_mac(s)) {
687                 /* SSLfatal() already called */
688                 return WORK_ERROR;
689             }
690         }
691         break;
692
693     case TLS_ST_CW_CHANGE:
694         if (SSL_IS_DTLS(s)) {
695             if (s->hit) {
696                 /*
697                  * We're into the last flight so we don't retransmit these
698                  * messages unless we need to.
699                  */
700                 st->use_timer = 0;
701             }
702 #ifndef OPENSSL_NO_SCTP
703             if (BIO_dgram_is_sctp(SSL_get_wbio(s))) {
704                 /* Calls SSLfatal() as required */
705                 return dtls_wait_for_dry(s);
706             }
707 #endif
708         }
709         break;
710
711     case TLS_ST_PENDING_EARLY_DATA_END:
712         /*
713          * If we've been called by SSL_do_handshake()/SSL_write(), or we did not
714          * attempt to write early data before calling SSL_read() then we press
715          * on with the handshake. Otherwise we pause here.
716          */
717         if (s->early_data_state == SSL_EARLY_DATA_FINISHED_WRITING
718                 || s->early_data_state == SSL_EARLY_DATA_NONE)
719             return WORK_FINISHED_CONTINUE;
720         /* Fall through */
721
722     case TLS_ST_EARLY_DATA:
723         return tls_finish_handshake(s, wst, 0, 1);
724
725     case TLS_ST_OK:
726         /* Calls SSLfatal() as required */
727         return tls_finish_handshake(s, wst, 1, 1);
728     }
729
730     return WORK_FINISHED_CONTINUE;
731 }
732
733 /*
734  * Perform any work that needs to be done after sending a message from the
735  * client to the server.
736  */
737 WORK_STATE ossl_statem_client_post_work(SSL *s, WORK_STATE wst)
738 {
739     OSSL_STATEM *st = &s->statem;
740
741     s->init_num = 0;
742
743     switch (st->hand_state) {
744     default:
745         /* No post work to be done */
746         break;
747
748     case TLS_ST_CW_CLNT_HELLO:
749         if (s->early_data_state == SSL_EARLY_DATA_CONNECTING
750                 && s->max_early_data > 0) {
751             /*
752              * We haven't selected TLSv1.3 yet so we don't call the change
753              * cipher state function associated with the SSL_METHOD. Instead
754              * we call tls13_change_cipher_state() directly.
755              */
756             if ((s->options & SSL_OP_ENABLE_MIDDLEBOX_COMPAT) == 0) {
757                 if (!tls13_change_cipher_state(s,
758                             SSL3_CC_EARLY | SSL3_CHANGE_CIPHER_CLIENT_WRITE)) {
759                     /* SSLfatal() already called */
760                     return WORK_ERROR;
761                 }
762             }
763             /* else we're in compat mode so we delay flushing until after CCS */
764         } else if (!statem_flush(s)) {
765             return WORK_MORE_A;
766         }
767
768         if (SSL_IS_DTLS(s)) {
769             /* Treat the next message as the first packet */
770             s->first_packet = 1;
771         }
772         break;
773
774     case TLS_ST_CW_END_OF_EARLY_DATA:
775         /*
776          * We set the enc_write_ctx back to NULL because we may end up writing
777          * in cleartext again if we get a HelloRetryRequest from the server.
778          */
779         EVP_CIPHER_CTX_free(s->enc_write_ctx);
780         s->enc_write_ctx = NULL;
781         break;
782
783     case TLS_ST_CW_KEY_EXCH:
784         if (tls_client_key_exchange_post_work(s) == 0) {
785             /* SSLfatal() already called */
786             return WORK_ERROR;
787         }
788         break;
789
790     case TLS_ST_CW_CHANGE:
791         if (SSL_IS_TLS13(s) || s->hello_retry_request == SSL_HRR_PENDING)
792             break;
793         if (s->early_data_state == SSL_EARLY_DATA_CONNECTING
794                     && s->max_early_data > 0) {
795             /*
796              * We haven't selected TLSv1.3 yet so we don't call the change
797              * cipher state function associated with the SSL_METHOD. Instead
798              * we call tls13_change_cipher_state() directly.
799              */
800             if (!tls13_change_cipher_state(s,
801                         SSL3_CC_EARLY | SSL3_CHANGE_CIPHER_CLIENT_WRITE))
802                 return WORK_ERROR;
803             break;
804         }
805         s->session->cipher = s->s3->tmp.new_cipher;
806 #ifdef OPENSSL_NO_COMP
807         s->session->compress_meth = 0;
808 #else
809         if (s->s3->tmp.new_compression == NULL)
810             s->session->compress_meth = 0;
811         else
812             s->session->compress_meth = s->s3->tmp.new_compression->id;
813 #endif
814         if (!s->method->ssl3_enc->setup_key_block(s)) {
815             /* SSLfatal() already called */
816             return WORK_ERROR;
817         }
818
819         if (!s->method->ssl3_enc->change_cipher_state(s,
820                                           SSL3_CHANGE_CIPHER_CLIENT_WRITE)) {
821             /* SSLfatal() already called */
822             return WORK_ERROR;
823         }
824
825         if (SSL_IS_DTLS(s)) {
826 #ifndef OPENSSL_NO_SCTP
827             if (s->hit) {
828                 /*
829                  * Change to new shared key of SCTP-Auth, will be ignored if
830                  * no SCTP used.
831                  */
832                 BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
833                          0, NULL);
834             }
835 #endif
836
837             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
838         }
839         break;
840
841     case TLS_ST_CW_FINISHED:
842 #ifndef OPENSSL_NO_SCTP
843         if (wst == WORK_MORE_A && SSL_IS_DTLS(s) && s->hit == 0) {
844             /*
845              * Change to new shared key of SCTP-Auth, will be ignored if
846              * no SCTP used.
847              */
848             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
849                      0, NULL);
850         }
851 #endif
852         if (statem_flush(s) != 1)
853             return WORK_MORE_B;
854
855         if (SSL_IS_TLS13(s)) {
856             if (!tls13_save_handshake_digest_for_pha(s)) {
857                 /* SSLfatal() already called */
858                 return WORK_ERROR;
859             }
860             if (s->post_handshake_auth != SSL_PHA_REQUESTED) {
861                 if (!s->method->ssl3_enc->change_cipher_state(s,
862                         SSL3_CC_APPLICATION | SSL3_CHANGE_CIPHER_CLIENT_WRITE)) {
863                     /* SSLfatal() already called */
864                     return WORK_ERROR;
865                 }
866             }
867         }
868         break;
869
870     case TLS_ST_CW_KEY_UPDATE:
871         if (statem_flush(s) != 1)
872             return WORK_MORE_A;
873         if (!tls13_update_key(s, 1)) {
874             /* SSLfatal() already called */
875             return WORK_ERROR;
876         }
877         break;
878     }
879
880     return WORK_FINISHED_CONTINUE;
881 }
882
883 /*
884  * Get the message construction function and message type for sending from the
885  * client
886  *
887  * Valid return values are:
888  *   1: Success
889  *   0: Error
890  */
891 int ossl_statem_client_construct_message(SSL *s, WPACKET *pkt,
892                                          confunc_f *confunc, int *mt)
893 {
894     OSSL_STATEM *st = &s->statem;
895
896     switch (st->hand_state) {
897     default:
898         /* Shouldn't happen */
899         SSLfatal(s, SSL_AD_INTERNAL_ERROR,
900                  SSL_F_OSSL_STATEM_CLIENT_CONSTRUCT_MESSAGE,
901                  SSL_R_BAD_HANDSHAKE_STATE);
902         return 0;
903
904     case TLS_ST_CW_CHANGE:
905         if (SSL_IS_DTLS(s))
906             *confunc = dtls_construct_change_cipher_spec;
907         else
908             *confunc = tls_construct_change_cipher_spec;
909         *mt = SSL3_MT_CHANGE_CIPHER_SPEC;
910         break;
911
912     case TLS_ST_CW_CLNT_HELLO:
913         *confunc = tls_construct_client_hello;
914         *mt = SSL3_MT_CLIENT_HELLO;
915         break;
916
917     case TLS_ST_CW_END_OF_EARLY_DATA:
918         *confunc = tls_construct_end_of_early_data;
919         *mt = SSL3_MT_END_OF_EARLY_DATA;
920         break;
921
922     case TLS_ST_PENDING_EARLY_DATA_END:
923         *confunc = NULL;
924         *mt = SSL3_MT_DUMMY;
925         break;
926
927     case TLS_ST_CW_CERT:
928         *confunc = tls_construct_client_certificate;
929         *mt = SSL3_MT_CERTIFICATE;
930         break;
931
932     case TLS_ST_CW_KEY_EXCH:
933         *confunc = tls_construct_client_key_exchange;
934         *mt = SSL3_MT_CLIENT_KEY_EXCHANGE;
935         break;
936
937     case TLS_ST_CW_CERT_VRFY:
938         *confunc = tls_construct_cert_verify;
939         *mt = SSL3_MT_CERTIFICATE_VERIFY;
940         break;
941
942 #if !defined(OPENSSL_NO_NEXTPROTONEG)
943     case TLS_ST_CW_NEXT_PROTO:
944         *confunc = tls_construct_next_proto;
945         *mt = SSL3_MT_NEXT_PROTO;
946         break;
947 #endif
948     case TLS_ST_CW_FINISHED:
949         *confunc = tls_construct_finished;
950         *mt = SSL3_MT_FINISHED;
951         break;
952
953     case TLS_ST_CW_KEY_UPDATE:
954         *confunc = tls_construct_key_update;
955         *mt = SSL3_MT_KEY_UPDATE;
956         break;
957     }
958
959     return 1;
960 }
961
962 /*
963  * Returns the maximum allowed length for the current message that we are
964  * reading. Excludes the message header.
965  */
966 size_t ossl_statem_client_max_message_size(SSL *s)
967 {
968     OSSL_STATEM *st = &s->statem;
969
970     switch (st->hand_state) {
971     default:
972         /* Shouldn't happen */
973         return 0;
974
975     case TLS_ST_CR_SRVR_HELLO:
976         return SERVER_HELLO_MAX_LENGTH;
977
978     case DTLS_ST_CR_HELLO_VERIFY_REQUEST:
979         return HELLO_VERIFY_REQUEST_MAX_LENGTH;
980
981     case TLS_ST_CR_CERT:
982         return s->max_cert_list;
983
984     case TLS_ST_CR_CERT_VRFY:
985         return SSL3_RT_MAX_PLAIN_LENGTH;
986
987     case TLS_ST_CR_CERT_STATUS:
988         return SSL3_RT_MAX_PLAIN_LENGTH;
989
990     case TLS_ST_CR_KEY_EXCH:
991         return SERVER_KEY_EXCH_MAX_LENGTH;
992
993     case TLS_ST_CR_CERT_REQ:
994         /*
995          * Set to s->max_cert_list for compatibility with previous releases. In
996          * practice these messages can get quite long if servers are configured
997          * to provide a long list of acceptable CAs
998          */
999         return s->max_cert_list;
1000
1001     case TLS_ST_CR_SRVR_DONE:
1002         return SERVER_HELLO_DONE_MAX_LENGTH;
1003
1004     case TLS_ST_CR_CHANGE:
1005         if (s->version == DTLS1_BAD_VER)
1006             return 3;
1007         return CCS_MAX_LENGTH;
1008
1009     case TLS_ST_CR_SESSION_TICKET:
1010         return SSL3_RT_MAX_PLAIN_LENGTH;
1011
1012     case TLS_ST_CR_FINISHED:
1013         return FINISHED_MAX_LENGTH;
1014
1015     case TLS_ST_CR_ENCRYPTED_EXTENSIONS:
1016         return ENCRYPTED_EXTENSIONS_MAX_LENGTH;
1017
1018     case TLS_ST_CR_KEY_UPDATE:
1019         return KEY_UPDATE_MAX_LENGTH;
1020     }
1021 }
1022
1023 /*
1024  * Process a message that the client has been received from the server.
1025  */
1026 MSG_PROCESS_RETURN ossl_statem_client_process_message(SSL *s, PACKET *pkt)
1027 {
1028     OSSL_STATEM *st = &s->statem;
1029
1030     switch (st->hand_state) {
1031     default:
1032         /* Shouldn't happen */
1033         SSLfatal(s, SSL_AD_INTERNAL_ERROR,
1034                  SSL_F_OSSL_STATEM_CLIENT_PROCESS_MESSAGE,
1035                  ERR_R_INTERNAL_ERROR);
1036         return MSG_PROCESS_ERROR;
1037
1038     case TLS_ST_CR_SRVR_HELLO:
1039         return tls_process_server_hello(s, pkt);
1040
1041     case DTLS_ST_CR_HELLO_VERIFY_REQUEST:
1042         return dtls_process_hello_verify(s, pkt);
1043
1044     case TLS_ST_CR_CERT:
1045         return tls_process_server_certificate(s, pkt);
1046
1047     case TLS_ST_CR_CERT_VRFY:
1048         return tls_process_cert_verify(s, pkt);
1049
1050     case TLS_ST_CR_CERT_STATUS:
1051         return tls_process_cert_status(s, pkt);
1052
1053     case TLS_ST_CR_KEY_EXCH:
1054         return tls_process_key_exchange(s, pkt);
1055
1056     case TLS_ST_CR_CERT_REQ:
1057         return tls_process_certificate_request(s, pkt);
1058
1059     case TLS_ST_CR_SRVR_DONE:
1060         return tls_process_server_done(s, pkt);
1061
1062     case TLS_ST_CR_CHANGE:
1063         return tls_process_change_cipher_spec(s, pkt);
1064
1065     case TLS_ST_CR_SESSION_TICKET:
1066         return tls_process_new_session_ticket(s, pkt);
1067
1068     case TLS_ST_CR_FINISHED:
1069         return tls_process_finished(s, pkt);
1070
1071     case TLS_ST_CR_HELLO_REQ:
1072         return tls_process_hello_req(s, pkt);
1073
1074     case TLS_ST_CR_ENCRYPTED_EXTENSIONS:
1075         return tls_process_encrypted_extensions(s, pkt);
1076
1077     case TLS_ST_CR_KEY_UPDATE:
1078         return tls_process_key_update(s, pkt);
1079     }
1080 }
1081
1082 /*
1083  * Perform any further processing required following the receipt of a message
1084  * from the server
1085  */
1086 WORK_STATE ossl_statem_client_post_process_message(SSL *s, WORK_STATE wst)
1087 {
1088     OSSL_STATEM *st = &s->statem;
1089
1090     switch (st->hand_state) {
1091     default:
1092         /* Shouldn't happen */
1093         SSLfatal(s, SSL_AD_INTERNAL_ERROR,
1094                  SSL_F_OSSL_STATEM_CLIENT_POST_PROCESS_MESSAGE,
1095                  ERR_R_INTERNAL_ERROR);
1096         return WORK_ERROR;
1097
1098     case TLS_ST_CR_CERT_VRFY:
1099     case TLS_ST_CR_CERT_REQ:
1100         return tls_prepare_client_certificate(s, wst);
1101     }
1102 }
1103
1104 int tls_construct_client_hello(SSL *s, WPACKET *pkt)
1105 {
1106     unsigned char *p;
1107     size_t sess_id_len;
1108     int i, protverr;
1109 #ifndef OPENSSL_NO_COMP
1110     SSL_COMP *comp;
1111 #endif
1112     SSL_SESSION *sess = s->session;
1113     unsigned char *session_id;
1114
1115     if (!WPACKET_set_max_size(pkt, SSL3_RT_MAX_PLAIN_LENGTH)) {
1116         /* Should not happen */
1117         SSLfatal(s, SSL_AD_INTERNAL_ERROR,
1118                  SSL_F_TLS_CONSTRUCT_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1119         return 0;
1120     }
1121
1122     /* Work out what SSL/TLS/DTLS version to use */
1123     protverr = ssl_set_client_hello_version(s);
1124     if (protverr != 0) {
1125         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CLIENT_HELLO,
1126                  protverr);
1127         return 0;
1128     }
1129
1130     if (sess == NULL
1131             || !ssl_version_supported(s, sess->ssl_version, NULL)
1132             || !SSL_SESSION_is_resumable(sess)) {
1133         if (s->hello_retry_request == SSL_HRR_NONE
1134                 && !ssl_get_new_session(s, 0)) {
1135             /* SSLfatal() already called */
1136             return 0;
1137         }
1138     }
1139     /* else use the pre-loaded session */
1140
1141     p = s->s3->client_random;
1142
1143     /*
1144      * for DTLS if client_random is initialized, reuse it, we are
1145      * required to use same upon reply to HelloVerify
1146      */
1147     if (SSL_IS_DTLS(s)) {
1148         size_t idx;
1149         i = 1;
1150         for (idx = 0; idx < sizeof(s->s3->client_random); idx++) {
1151             if (p[idx]) {
1152                 i = 0;
1153                 break;
1154             }
1155         }
1156     } else {
1157         i = (s->hello_retry_request == SSL_HRR_NONE);
1158     }
1159
1160     if (i && ssl_fill_hello_random(s, 0, p, sizeof(s->s3->client_random),
1161                                    DOWNGRADE_NONE) <= 0) {
1162         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CLIENT_HELLO,
1163                  ERR_R_INTERNAL_ERROR);
1164         return 0;
1165     }
1166
1167     /*-
1168      * version indicates the negotiated version: for example from
1169      * an SSLv2/v3 compatible client hello). The client_version
1170      * field is the maximum version we permit and it is also
1171      * used in RSA encrypted premaster secrets. Some servers can
1172      * choke if we initially report a higher version then
1173      * renegotiate to a lower one in the premaster secret. This
1174      * didn't happen with TLS 1.0 as most servers supported it
1175      * but it can with TLS 1.1 or later if the server only supports
1176      * 1.0.
1177      *
1178      * Possible scenario with previous logic:
1179      *      1. Client hello indicates TLS 1.2
1180      *      2. Server hello says TLS 1.0
1181      *      3. RSA encrypted premaster secret uses 1.2.
1182      *      4. Handshake proceeds using TLS 1.0.
1183      *      5. Server sends hello request to renegotiate.
1184      *      6. Client hello indicates TLS v1.0 as we now
1185      *         know that is maximum server supports.
1186      *      7. Server chokes on RSA encrypted premaster secret
1187      *         containing version 1.0.
1188      *
1189      * For interoperability it should be OK to always use the
1190      * maximum version we support in client hello and then rely
1191      * on the checking of version to ensure the servers isn't
1192      * being inconsistent: for example initially negotiating with
1193      * TLS 1.0 and renegotiating with TLS 1.2. We do this by using
1194      * client_version in client hello and not resetting it to
1195      * the negotiated version.
1196      *
1197      * For TLS 1.3 we always set the ClientHello version to 1.2 and rely on the
1198      * supported_versions extension for the real supported versions.
1199      */
1200     if (!WPACKET_put_bytes_u16(pkt, s->client_version)
1201             || !WPACKET_memcpy(pkt, s->s3->client_random, SSL3_RANDOM_SIZE)) {
1202         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CLIENT_HELLO,
1203                  ERR_R_INTERNAL_ERROR);
1204         return 0;
1205     }
1206
1207     /* Session ID */
1208     session_id = s->session->session_id;
1209     if (s->new_session || s->session->ssl_version == TLS1_3_VERSION) {
1210         if (s->version == TLS1_3_VERSION
1211                 && (s->options & SSL_OP_ENABLE_MIDDLEBOX_COMPAT) != 0) {
1212             sess_id_len = sizeof(s->tmp_session_id);
1213             s->tmp_session_id_len = sess_id_len;
1214             session_id = s->tmp_session_id;
1215             if (s->hello_retry_request == SSL_HRR_NONE
1216                     && RAND_bytes(s->tmp_session_id, sess_id_len) <= 0) {
1217                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
1218                          SSL_F_TLS_CONSTRUCT_CLIENT_HELLO,
1219                          ERR_R_INTERNAL_ERROR);
1220                 return 0;
1221             }
1222         } else {
1223             sess_id_len = 0;
1224         }
1225     } else {
1226         assert(s->session->session_id_length <= sizeof(s->session->session_id));
1227         sess_id_len = s->session->session_id_length;
1228         if (s->version == TLS1_3_VERSION) {
1229             s->tmp_session_id_len = sess_id_len;
1230             memcpy(s->tmp_session_id, s->session->session_id, sess_id_len);
1231         }
1232     }
1233     if (!WPACKET_start_sub_packet_u8(pkt)
1234             || (sess_id_len != 0 && !WPACKET_memcpy(pkt, session_id,
1235                                                     sess_id_len))
1236             || !WPACKET_close(pkt)) {
1237         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CLIENT_HELLO,
1238                  ERR_R_INTERNAL_ERROR);
1239         return 0;
1240     }
1241
1242     /* cookie stuff for DTLS */
1243     if (SSL_IS_DTLS(s)) {
1244         if (s->d1->cookie_len > sizeof(s->d1->cookie)
1245                 || !WPACKET_sub_memcpy_u8(pkt, s->d1->cookie,
1246                                           s->d1->cookie_len)) {
1247             SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CLIENT_HELLO,
1248                      ERR_R_INTERNAL_ERROR);
1249             return 0;
1250         }
1251     }
1252
1253     /* Ciphers supported */
1254     if (!WPACKET_start_sub_packet_u16(pkt)) {
1255         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CLIENT_HELLO,
1256                  ERR_R_INTERNAL_ERROR);
1257         return 0;
1258     }
1259
1260     if (!ssl_cipher_list_to_bytes(s, SSL_get_ciphers(s), pkt)) {
1261         /* SSLfatal() already called */
1262         return 0;
1263     }
1264     if (!WPACKET_close(pkt)) {
1265         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CLIENT_HELLO,
1266                  ERR_R_INTERNAL_ERROR);
1267         return 0;
1268     }
1269
1270     /* COMPRESSION */
1271     if (!WPACKET_start_sub_packet_u8(pkt)) {
1272         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CLIENT_HELLO,
1273                  ERR_R_INTERNAL_ERROR);
1274         return 0;
1275     }
1276 #ifndef OPENSSL_NO_COMP
1277     if (ssl_allow_compression(s)
1278             && s->ctx->comp_methods
1279             && (SSL_IS_DTLS(s) || s->s3->tmp.max_ver < TLS1_3_VERSION)) {
1280         int compnum = sk_SSL_COMP_num(s->ctx->comp_methods);
1281         for (i = 0; i < compnum; i++) {
1282             comp = sk_SSL_COMP_value(s->ctx->comp_methods, i);
1283             if (!WPACKET_put_bytes_u8(pkt, comp->id)) {
1284                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
1285                          SSL_F_TLS_CONSTRUCT_CLIENT_HELLO,
1286                          ERR_R_INTERNAL_ERROR);
1287                 return 0;
1288             }
1289         }
1290     }
1291 #endif
1292     /* Add the NULL method */
1293     if (!WPACKET_put_bytes_u8(pkt, 0) || !WPACKET_close(pkt)) {
1294         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CLIENT_HELLO,
1295                  ERR_R_INTERNAL_ERROR);
1296         return 0;
1297     }
1298
1299     /* TLS extensions */
1300     if (!tls_construct_extensions(s, pkt, SSL_EXT_CLIENT_HELLO, NULL, 0)) {
1301         /* SSLfatal() already called */
1302         return 0;
1303     }
1304
1305     return 1;
1306 }
1307
1308 MSG_PROCESS_RETURN dtls_process_hello_verify(SSL *s, PACKET *pkt)
1309 {
1310     size_t cookie_len;
1311     PACKET cookiepkt;
1312
1313     if (!PACKET_forward(pkt, 2)
1314         || !PACKET_get_length_prefixed_1(pkt, &cookiepkt)) {
1315         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_DTLS_PROCESS_HELLO_VERIFY,
1316                  SSL_R_LENGTH_MISMATCH);
1317         return MSG_PROCESS_ERROR;
1318     }
1319
1320     cookie_len = PACKET_remaining(&cookiepkt);
1321     if (cookie_len > sizeof(s->d1->cookie)) {
1322         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_DTLS_PROCESS_HELLO_VERIFY,
1323                  SSL_R_LENGTH_TOO_LONG);
1324         return MSG_PROCESS_ERROR;
1325     }
1326
1327     if (!PACKET_copy_bytes(&cookiepkt, s->d1->cookie, cookie_len)) {
1328         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_DTLS_PROCESS_HELLO_VERIFY,
1329                  SSL_R_LENGTH_MISMATCH);
1330         return MSG_PROCESS_ERROR;
1331     }
1332     s->d1->cookie_len = cookie_len;
1333
1334     return MSG_PROCESS_FINISHED_READING;
1335 }
1336
1337 static int set_client_ciphersuite(SSL *s, const unsigned char *cipherchars)
1338 {
1339     STACK_OF(SSL_CIPHER) *sk;
1340     const SSL_CIPHER *c;
1341     int i;
1342
1343     c = ssl_get_cipher_by_char(s, cipherchars, 0);
1344     if (c == NULL) {
1345         /* unknown cipher */
1346         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_SET_CLIENT_CIPHERSUITE,
1347                  SSL_R_UNKNOWN_CIPHER_RETURNED);
1348         return 0;
1349     }
1350     /*
1351      * If it is a disabled cipher we either didn't send it in client hello,
1352      * or it's not allowed for the selected protocol. So we return an error.
1353      */
1354     if (ssl_cipher_disabled(s, c, SSL_SECOP_CIPHER_CHECK, 1)) {
1355         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_SET_CLIENT_CIPHERSUITE,
1356                  SSL_R_WRONG_CIPHER_RETURNED);
1357         return 0;
1358     }
1359
1360     sk = ssl_get_ciphers_by_id(s);
1361     i = sk_SSL_CIPHER_find(sk, c);
1362     if (i < 0) {
1363         /* we did not say we would use this cipher */
1364         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_SET_CLIENT_CIPHERSUITE,
1365                  SSL_R_WRONG_CIPHER_RETURNED);
1366         return 0;
1367     }
1368
1369     if (SSL_IS_TLS13(s) && s->s3->tmp.new_cipher != NULL
1370             && s->s3->tmp.new_cipher->id != c->id) {
1371         /* ServerHello selected a different ciphersuite to that in the HRR */
1372         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_SET_CLIENT_CIPHERSUITE,
1373                  SSL_R_WRONG_CIPHER_RETURNED);
1374         return 0;
1375     }
1376
1377     /*
1378      * Depending on the session caching (internal/external), the cipher
1379      * and/or cipher_id values may not be set. Make sure that cipher_id is
1380      * set and use it for comparison.
1381      */
1382     if (s->session->cipher != NULL)
1383         s->session->cipher_id = s->session->cipher->id;
1384     if (s->hit && (s->session->cipher_id != c->id)) {
1385         if (SSL_IS_TLS13(s)) {
1386             /*
1387              * In TLSv1.3 it is valid for the server to select a different
1388              * ciphersuite as long as the hash is the same.
1389              */
1390             if (ssl_md(c->algorithm2)
1391                     != ssl_md(s->session->cipher->algorithm2)) {
1392                 SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER,
1393                          SSL_F_SET_CLIENT_CIPHERSUITE,
1394                          SSL_R_CIPHERSUITE_DIGEST_HAS_CHANGED);
1395                 return 0;
1396             }
1397         } else {
1398             /*
1399              * Prior to TLSv1.3 resuming a session always meant using the same
1400              * ciphersuite.
1401              */
1402             SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_SET_CLIENT_CIPHERSUITE,
1403                      SSL_R_OLD_SESSION_CIPHER_NOT_RETURNED);
1404             return 0;
1405         }
1406     }
1407     s->s3->tmp.new_cipher = c;
1408
1409     return 1;
1410 }
1411
1412 MSG_PROCESS_RETURN tls_process_server_hello(SSL *s, PACKET *pkt)
1413 {
1414     PACKET session_id, extpkt;
1415     size_t session_id_len;
1416     const unsigned char *cipherchars;
1417     int hrr = 0;
1418     unsigned int compression;
1419     unsigned int sversion;
1420     unsigned int context;
1421     RAW_EXTENSION *extensions = NULL;
1422 #ifndef OPENSSL_NO_COMP
1423     SSL_COMP *comp;
1424 #endif
1425
1426     if (!PACKET_get_net_2(pkt, &sversion)) {
1427         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SERVER_HELLO,
1428                  SSL_R_LENGTH_MISMATCH);
1429         goto err;
1430     }
1431
1432     /* load the server random */
1433     if (s->version == TLS1_3_VERSION
1434             && sversion == TLS1_2_VERSION
1435             && PACKET_remaining(pkt) >= SSL3_RANDOM_SIZE
1436             && memcmp(hrrrandom, PACKET_data(pkt), SSL3_RANDOM_SIZE) == 0) {
1437         s->hello_retry_request = SSL_HRR_PENDING;
1438         hrr = 1;
1439         if (!PACKET_forward(pkt, SSL3_RANDOM_SIZE)) {
1440             SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SERVER_HELLO,
1441                      SSL_R_LENGTH_MISMATCH);
1442             goto err;
1443         }
1444     } else {
1445         if (!PACKET_copy_bytes(pkt, s->s3->server_random, SSL3_RANDOM_SIZE)) {
1446             SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SERVER_HELLO,
1447                      SSL_R_LENGTH_MISMATCH);
1448             goto err;
1449         }
1450     }
1451
1452     /* Get the session-id. */
1453     if (!PACKET_get_length_prefixed_1(pkt, &session_id)) {
1454         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SERVER_HELLO,
1455                  SSL_R_LENGTH_MISMATCH);
1456         goto err;
1457     }
1458     session_id_len = PACKET_remaining(&session_id);
1459     if (session_id_len > sizeof(s->session->session_id)
1460         || session_id_len > SSL3_SESSION_ID_SIZE) {
1461         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_TLS_PROCESS_SERVER_HELLO,
1462                  SSL_R_SSL3_SESSION_ID_TOO_LONG);
1463         goto err;
1464     }
1465
1466     if (!PACKET_get_bytes(pkt, &cipherchars, TLS_CIPHER_LEN)) {
1467         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SERVER_HELLO,
1468                  SSL_R_LENGTH_MISMATCH);
1469         goto err;
1470     }
1471
1472     if (!PACKET_get_1(pkt, &compression)) {
1473         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SERVER_HELLO,
1474                  SSL_R_LENGTH_MISMATCH);
1475         goto err;
1476     }
1477
1478     /* TLS extensions */
1479     if (PACKET_remaining(pkt) == 0 && !hrr) {
1480         PACKET_null_init(&extpkt);
1481     } else if (!PACKET_as_length_prefixed_2(pkt, &extpkt)
1482                || PACKET_remaining(pkt) != 0) {
1483         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SERVER_HELLO,
1484                  SSL_R_BAD_LENGTH);
1485         goto err;
1486     }
1487
1488     if (!hrr) {
1489         if (!tls_collect_extensions(s, &extpkt,
1490                                     SSL_EXT_TLS1_2_SERVER_HELLO
1491                                     | SSL_EXT_TLS1_3_SERVER_HELLO,
1492                                     &extensions, NULL, 1)) {
1493             /* SSLfatal() already called */
1494             goto err;
1495         }
1496
1497         if (!ssl_choose_client_version(s, sversion, extensions)) {
1498             /* SSLfatal() already called */
1499             goto err;
1500         }
1501     }
1502
1503     if (SSL_IS_TLS13(s) || hrr) {
1504         if (compression != 0) {
1505             SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER,
1506                      SSL_F_TLS_PROCESS_SERVER_HELLO,
1507                      SSL_R_INVALID_COMPRESSION_ALGORITHM);
1508             goto err;
1509         }
1510
1511         if (session_id_len != s->tmp_session_id_len
1512                 || memcmp(PACKET_data(&session_id), s->tmp_session_id,
1513                           session_id_len) != 0) {
1514             SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER,
1515                      SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_INVALID_SESSION_ID);
1516             goto err;
1517         }
1518     }
1519
1520     if (hrr) {
1521         if (!set_client_ciphersuite(s, cipherchars)) {
1522             /* SSLfatal() already called */
1523             goto err;
1524         }
1525
1526         return tls_process_as_hello_retry_request(s, &extpkt);
1527     }
1528
1529     /*
1530      * Now we have chosen the version we need to check again that the extensions
1531      * are appropriate for this version.
1532      */
1533     context = SSL_IS_TLS13(s) ? SSL_EXT_TLS1_3_SERVER_HELLO
1534                               : SSL_EXT_TLS1_2_SERVER_HELLO;
1535     if (!tls_validate_all_contexts(s, context, extensions)) {
1536         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_TLS_PROCESS_SERVER_HELLO,
1537                  SSL_R_BAD_EXTENSION);
1538         goto err;
1539     }
1540
1541     s->hit = 0;
1542
1543     if (SSL_IS_TLS13(s)) {
1544         /*
1545          * In TLSv1.3 a ServerHello message signals a key change so the end of
1546          * the message must be on a record boundary.
1547          */
1548         if (RECORD_LAYER_processed_read_pending(&s->rlayer)) {
1549             SSLfatal(s, SSL_AD_UNEXPECTED_MESSAGE,
1550                      SSL_F_TLS_PROCESS_SERVER_HELLO,
1551                      SSL_R_NOT_ON_RECORD_BOUNDARY);
1552             goto err;
1553         }
1554
1555         /* This will set s->hit if we are resuming */
1556         if (!tls_parse_extension(s, TLSEXT_IDX_psk,
1557                                  SSL_EXT_TLS1_3_SERVER_HELLO,
1558                                  extensions, NULL, 0)) {
1559             /* SSLfatal() already called */
1560             goto err;
1561         }
1562     } else {
1563         /*
1564          * Check if we can resume the session based on external pre-shared
1565          * secret. EAP-FAST (RFC 4851) supports two types of session resumption.
1566          * Resumption based on server-side state works with session IDs.
1567          * Resumption based on pre-shared Protected Access Credentials (PACs)
1568          * works by overriding the SessionTicket extension at the application
1569          * layer, and does not send a session ID. (We do not know whether
1570          * EAP-FAST servers would honour the session ID.) Therefore, the session
1571          * ID alone is not a reliable indicator of session resumption, so we
1572          * first check if we can resume, and later peek at the next handshake
1573          * message to see if the server wants to resume.
1574          */
1575         if (s->version >= TLS1_VERSION
1576                 && s->ext.session_secret_cb != NULL && s->session->ext.tick) {
1577             const SSL_CIPHER *pref_cipher = NULL;
1578             /*
1579              * s->session->master_key_length is a size_t, but this is an int for
1580              * backwards compat reasons
1581              */
1582             int master_key_length;
1583             master_key_length = sizeof(s->session->master_key);
1584             if (s->ext.session_secret_cb(s, s->session->master_key,
1585                                          &master_key_length,
1586                                          NULL, &pref_cipher,
1587                                          s->ext.session_secret_cb_arg)
1588                      && master_key_length > 0) {
1589                 s->session->master_key_length = master_key_length;
1590                 s->session->cipher = pref_cipher ?
1591                     pref_cipher : ssl_get_cipher_by_char(s, cipherchars, 0);
1592             } else {
1593                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
1594                          SSL_F_TLS_PROCESS_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1595                 goto err;
1596             }
1597         }
1598
1599         if (session_id_len != 0
1600                 && session_id_len == s->session->session_id_length
1601                 && memcmp(PACKET_data(&session_id), s->session->session_id,
1602                           session_id_len) == 0)
1603             s->hit = 1;
1604     }
1605
1606     if (s->hit) {
1607         if (s->sid_ctx_length != s->session->sid_ctx_length
1608                 || memcmp(s->session->sid_ctx, s->sid_ctx, s->sid_ctx_length)) {
1609             /* actually a client application bug */
1610             SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER,
1611                      SSL_F_TLS_PROCESS_SERVER_HELLO,
1612                      SSL_R_ATTEMPT_TO_REUSE_SESSION_IN_DIFFERENT_CONTEXT);
1613             goto err;
1614         }
1615     } else {
1616         /*
1617          * If we were trying for session-id reuse but the server
1618          * didn't resume, make a new SSL_SESSION.
1619          * In the case of EAP-FAST and PAC, we do not send a session ID,
1620          * so the PAC-based session secret is always preserved. It'll be
1621          * overwritten if the server refuses resumption.
1622          */
1623         if (s->session->session_id_length > 0
1624                 || (SSL_IS_TLS13(s)
1625                     && s->session->ext.tick_identity
1626                        != TLSEXT_PSK_BAD_IDENTITY)) {
1627             tsan_counter(&s->session_ctx->stats.sess_miss);
1628             if (!ssl_get_new_session(s, 0)) {
1629                 /* SSLfatal() already called */
1630                 goto err;
1631             }
1632         }
1633
1634         s->session->ssl_version = s->version;
1635         /*
1636          * In TLSv1.2 and below we save the session id we were sent so we can
1637          * resume it later. In TLSv1.3 the session id we were sent is just an
1638          * echo of what we originally sent in the ClientHello and should not be
1639          * used for resumption.
1640          */
1641         if (!SSL_IS_TLS13(s)) {
1642             s->session->session_id_length = session_id_len;
1643             /* session_id_len could be 0 */
1644             if (session_id_len > 0)
1645                 memcpy(s->session->session_id, PACKET_data(&session_id),
1646                        session_id_len);
1647         }
1648     }
1649
1650     /* Session version and negotiated protocol version should match */
1651     if (s->version != s->session->ssl_version) {
1652         SSLfatal(s, SSL_AD_PROTOCOL_VERSION, SSL_F_TLS_PROCESS_SERVER_HELLO,
1653                  SSL_R_SSL_SESSION_VERSION_MISMATCH);
1654         goto err;
1655     }
1656     /*
1657      * Now that we know the version, update the check to see if it's an allowed
1658      * version.
1659      */
1660     s->s3->tmp.min_ver = s->version;
1661     s->s3->tmp.max_ver = s->version;
1662
1663     if (!set_client_ciphersuite(s, cipherchars)) {
1664         /* SSLfatal() already called */
1665         goto err;
1666     }
1667
1668 #ifdef OPENSSL_NO_COMP
1669     if (compression != 0) {
1670         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_TLS_PROCESS_SERVER_HELLO,
1671                  SSL_R_UNSUPPORTED_COMPRESSION_ALGORITHM);
1672         goto err;
1673     }
1674     /*
1675      * If compression is disabled we'd better not try to resume a session
1676      * using compression.
1677      */
1678     if (s->session->compress_meth != 0) {
1679         SSLfatal(s, SSL_AD_HANDSHAKE_FAILURE, SSL_F_TLS_PROCESS_SERVER_HELLO,
1680                  SSL_R_INCONSISTENT_COMPRESSION);
1681         goto err;
1682     }
1683 #else
1684     if (s->hit && compression != s->session->compress_meth) {
1685         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_TLS_PROCESS_SERVER_HELLO,
1686                  SSL_R_OLD_SESSION_COMPRESSION_ALGORITHM_NOT_RETURNED);
1687         goto err;
1688     }
1689     if (compression == 0)
1690         comp = NULL;
1691     else if (!ssl_allow_compression(s)) {
1692         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_TLS_PROCESS_SERVER_HELLO,
1693                  SSL_R_COMPRESSION_DISABLED);
1694         goto err;
1695     } else {
1696         comp = ssl3_comp_find(s->ctx->comp_methods, compression);
1697     }
1698
1699     if (compression != 0 && comp == NULL) {
1700         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_TLS_PROCESS_SERVER_HELLO,
1701                  SSL_R_UNSUPPORTED_COMPRESSION_ALGORITHM);
1702         goto err;
1703     } else {
1704         s->s3->tmp.new_compression = comp;
1705     }
1706 #endif
1707
1708     if (!tls_parse_all_extensions(s, context, extensions, NULL, 0, 1)) {
1709         /* SSLfatal() already called */
1710         goto err;
1711     }
1712
1713 #ifndef OPENSSL_NO_SCTP
1714     if (SSL_IS_DTLS(s) && s->hit) {
1715         unsigned char sctpauthkey[64];
1716         char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
1717
1718         /*
1719          * Add new shared key for SCTP-Auth, will be ignored if
1720          * no SCTP used.
1721          */
1722         memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
1723                sizeof(DTLS1_SCTP_AUTH_LABEL));
1724
1725         if (SSL_export_keying_material(s, sctpauthkey,
1726                                        sizeof(sctpauthkey),
1727                                        labelbuffer,
1728                                        sizeof(labelbuffer), NULL, 0, 0) <= 0) {
1729             SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SERVER_HELLO,
1730                      ERR_R_INTERNAL_ERROR);
1731             goto err;
1732         }
1733
1734         BIO_ctrl(SSL_get_wbio(s),
1735                  BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
1736                  sizeof(sctpauthkey), sctpauthkey);
1737     }
1738 #endif
1739
1740     /*
1741      * In TLSv1.3 we have some post-processing to change cipher state, otherwise
1742      * we're done with this message
1743      */
1744     if (SSL_IS_TLS13(s)
1745             && (!s->method->ssl3_enc->setup_key_block(s)
1746                 || !s->method->ssl3_enc->change_cipher_state(s,
1747                     SSL3_CC_HANDSHAKE | SSL3_CHANGE_CIPHER_CLIENT_READ))) {
1748         /* SSLfatal() already called */
1749         goto err;
1750     }
1751
1752     OPENSSL_free(extensions);
1753     return MSG_PROCESS_CONTINUE_READING;
1754  err:
1755     OPENSSL_free(extensions);
1756     return MSG_PROCESS_ERROR;
1757 }
1758
1759 static MSG_PROCESS_RETURN tls_process_as_hello_retry_request(SSL *s,
1760                                                              PACKET *extpkt)
1761 {
1762     RAW_EXTENSION *extensions = NULL;
1763
1764     /*
1765      * If we were sending early_data then the enc_write_ctx is now invalid and
1766      * should not be used.
1767      */
1768     EVP_CIPHER_CTX_free(s->enc_write_ctx);
1769     s->enc_write_ctx = NULL;
1770
1771     if (!tls_collect_extensions(s, extpkt, SSL_EXT_TLS1_3_HELLO_RETRY_REQUEST,
1772                                 &extensions, NULL, 1)
1773             || !tls_parse_all_extensions(s, SSL_EXT_TLS1_3_HELLO_RETRY_REQUEST,
1774                                          extensions, NULL, 0, 1)) {
1775         /* SSLfatal() already called */
1776         goto err;
1777     }
1778
1779     OPENSSL_free(extensions);
1780     extensions = NULL;
1781
1782     if (s->ext.tls13_cookie_len == 0
1783 #if !defined(OPENSSL_NO_EC) || !defined(OPENSSL_NO_DH)
1784         && s->s3->tmp.pkey != NULL
1785 #endif
1786         ) {
1787         /*
1788          * We didn't receive a cookie or a new key_share so the next
1789          * ClientHello will not change
1790          */
1791         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER,
1792                  SSL_F_TLS_PROCESS_AS_HELLO_RETRY_REQUEST,
1793                  SSL_R_NO_CHANGE_FOLLOWING_HRR);
1794         goto err;
1795     }
1796
1797     /*
1798      * Re-initialise the Transcript Hash. We're going to prepopulate it with
1799      * a synthetic message_hash in place of ClientHello1.
1800      */
1801     if (!create_synthetic_message_hash(s, NULL, 0, NULL, 0)) {
1802         /* SSLfatal() already called */
1803         goto err;
1804     }
1805
1806     /*
1807      * Add this message to the Transcript Hash. Normally this is done
1808      * automatically prior to the message processing stage. However due to the
1809      * need to create the synthetic message hash, we defer that step until now
1810      * for HRR messages.
1811      */
1812     if (!ssl3_finish_mac(s, (unsigned char *)s->init_buf->data,
1813                                 s->init_num + SSL3_HM_HEADER_LENGTH)) {
1814         /* SSLfatal() already called */
1815         goto err;
1816     }
1817
1818     return MSG_PROCESS_FINISHED_READING;
1819  err:
1820     OPENSSL_free(extensions);
1821     return MSG_PROCESS_ERROR;
1822 }
1823
1824 MSG_PROCESS_RETURN tls_process_server_certificate(SSL *s, PACKET *pkt)
1825 {
1826     int i;
1827     MSG_PROCESS_RETURN ret = MSG_PROCESS_ERROR;
1828     unsigned long cert_list_len, cert_len;
1829     X509 *x = NULL;
1830     const unsigned char *certstart, *certbytes;
1831     STACK_OF(X509) *sk = NULL;
1832     EVP_PKEY *pkey = NULL;
1833     size_t chainidx, certidx;
1834     unsigned int context = 0;
1835     const SSL_CERT_LOOKUP *clu;
1836
1837     if ((sk = sk_X509_new_null()) == NULL) {
1838         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1839                  ERR_R_MALLOC_FAILURE);
1840         goto err;
1841     }
1842
1843     if ((SSL_IS_TLS13(s) && !PACKET_get_1(pkt, &context))
1844             || context != 0
1845             || !PACKET_get_net_3(pkt, &cert_list_len)
1846             || PACKET_remaining(pkt) != cert_list_len
1847             || PACKET_remaining(pkt) == 0) {
1848         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1849                  SSL_R_LENGTH_MISMATCH);
1850         goto err;
1851     }
1852     for (chainidx = 0; PACKET_remaining(pkt); chainidx++) {
1853         if (!PACKET_get_net_3(pkt, &cert_len)
1854             || !PACKET_get_bytes(pkt, &certbytes, cert_len)) {
1855             SSLfatal(s, SSL_AD_DECODE_ERROR,
1856                      SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1857                      SSL_R_CERT_LENGTH_MISMATCH);
1858             goto err;
1859         }
1860
1861         certstart = certbytes;
1862         x = d2i_X509(NULL, (const unsigned char **)&certbytes, cert_len);
1863         if (x == NULL) {
1864             SSLfatal(s, SSL_AD_BAD_CERTIFICATE,
1865                      SSL_F_TLS_PROCESS_SERVER_CERTIFICATE, ERR_R_ASN1_LIB);
1866             goto err;
1867         }
1868         if (certbytes != (certstart + cert_len)) {
1869             SSLfatal(s, SSL_AD_DECODE_ERROR,
1870                      SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1871                      SSL_R_CERT_LENGTH_MISMATCH);
1872             goto err;
1873         }
1874
1875         if (SSL_IS_TLS13(s)) {
1876             RAW_EXTENSION *rawexts = NULL;
1877             PACKET extensions;
1878
1879             if (!PACKET_get_length_prefixed_2(pkt, &extensions)) {
1880                 SSLfatal(s, SSL_AD_DECODE_ERROR,
1881                          SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1882                          SSL_R_BAD_LENGTH);
1883                 goto err;
1884             }
1885             if (!tls_collect_extensions(s, &extensions,
1886                                         SSL_EXT_TLS1_3_CERTIFICATE, &rawexts,
1887                                         NULL, chainidx == 0)
1888                 || !tls_parse_all_extensions(s, SSL_EXT_TLS1_3_CERTIFICATE,
1889                                              rawexts, x, chainidx,
1890                                              PACKET_remaining(pkt) == 0)) {
1891                 OPENSSL_free(rawexts);
1892                 /* SSLfatal already called */
1893                 goto err;
1894             }
1895             OPENSSL_free(rawexts);
1896         }
1897
1898         if (!sk_X509_push(sk, x)) {
1899             SSLfatal(s, SSL_AD_INTERNAL_ERROR,
1900                      SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1901                      ERR_R_MALLOC_FAILURE);
1902             goto err;
1903         }
1904         x = NULL;
1905     }
1906
1907     i = ssl_verify_cert_chain(s, sk);
1908     /*
1909      * The documented interface is that SSL_VERIFY_PEER should be set in order
1910      * for client side verification of the server certificate to take place.
1911      * However, historically the code has only checked that *any* flag is set
1912      * to cause server verification to take place. Use of the other flags makes
1913      * no sense in client mode. An attempt to clean up the semantics was
1914      * reverted because at least one application *only* set
1915      * SSL_VERIFY_FAIL_IF_NO_PEER_CERT. Prior to the clean up this still caused
1916      * server verification to take place, after the clean up it silently did
1917      * nothing. SSL_CTX_set_verify()/SSL_set_verify() cannot validate the flags
1918      * sent to them because they are void functions. Therefore, we now use the
1919      * (less clean) historic behaviour of performing validation if any flag is
1920      * set. The *documented* interface remains the same.
1921      */
1922     if (s->verify_mode != SSL_VERIFY_NONE && i <= 0) {
1923         SSLfatal(s, ssl_x509err2alert(s->verify_result),
1924                  SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1925                  SSL_R_CERTIFICATE_VERIFY_FAILED);
1926         goto err;
1927     }
1928     ERR_clear_error();          /* but we keep s->verify_result */
1929     if (i > 1) {
1930         SSLfatal(s, SSL_AD_HANDSHAKE_FAILURE,
1931                  SSL_F_TLS_PROCESS_SERVER_CERTIFICATE, i);
1932         goto err;
1933     }
1934
1935     s->session->peer_chain = sk;
1936     /*
1937      * Inconsistency alert: cert_chain does include the peer's certificate,
1938      * which we don't include in statem_srvr.c
1939      */
1940     x = sk_X509_value(sk, 0);
1941     sk = NULL;
1942
1943     pkey = X509_get0_pubkey(x);
1944
1945     if (pkey == NULL || EVP_PKEY_missing_parameters(pkey)) {
1946         x = NULL;
1947         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1948                  SSL_R_UNABLE_TO_FIND_PUBLIC_KEY_PARAMETERS);
1949         goto err;
1950     }
1951
1952     if ((clu = ssl_cert_lookup_by_pkey(pkey, &certidx)) == NULL) {
1953         x = NULL;
1954         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER,
1955                  SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1956                  SSL_R_UNKNOWN_CERTIFICATE_TYPE);
1957         goto err;
1958     }
1959     /*
1960      * Check certificate type is consistent with ciphersuite. For TLS 1.3
1961      * skip check since TLS 1.3 ciphersuites can be used with any certificate
1962      * type.
1963      */
1964     if (!SSL_IS_TLS13(s)) {
1965         if ((clu->amask & s->s3->tmp.new_cipher->algorithm_auth) == 0) {
1966             x = NULL;
1967             SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER,
1968                      SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1969                      SSL_R_WRONG_CERTIFICATE_TYPE);
1970             goto err;
1971         }
1972     }
1973     s->session->peer_type = certidx;
1974
1975     X509_free(s->session->peer);
1976     X509_up_ref(x);
1977     s->session->peer = x;
1978     s->session->verify_result = s->verify_result;
1979     x = NULL;
1980
1981     /* Save the current hash state for when we receive the CertificateVerify */
1982     if (SSL_IS_TLS13(s)
1983             && !ssl_handshake_hash(s, s->cert_verify_hash,
1984                                    sizeof(s->cert_verify_hash),
1985                                    &s->cert_verify_hash_len)) {
1986         /* SSLfatal() already called */;
1987         goto err;
1988     }
1989
1990     ret = MSG_PROCESS_CONTINUE_READING;
1991
1992  err:
1993     X509_free(x);
1994     sk_X509_pop_free(sk, X509_free);
1995     return ret;
1996 }
1997
1998 static int tls_process_ske_psk_preamble(SSL *s, PACKET *pkt)
1999 {
2000 #ifndef OPENSSL_NO_PSK
2001     PACKET psk_identity_hint;
2002
2003     /* PSK ciphersuites are preceded by an identity hint */
2004
2005     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity_hint)) {
2006         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SKE_PSK_PREAMBLE,
2007                  SSL_R_LENGTH_MISMATCH);
2008         return 0;
2009     }
2010
2011     /*
2012      * Store PSK identity hint for later use, hint is used in
2013      * tls_construct_client_key_exchange.  Assume that the maximum length of
2014      * a PSK identity hint can be as long as the maximum length of a PSK
2015      * identity.
2016      */
2017     if (PACKET_remaining(&psk_identity_hint) > PSK_MAX_IDENTITY_LEN) {
2018         SSLfatal(s, SSL_AD_HANDSHAKE_FAILURE,
2019                  SSL_F_TLS_PROCESS_SKE_PSK_PREAMBLE,
2020                  SSL_R_DATA_LENGTH_TOO_LONG);
2021         return 0;
2022     }
2023
2024     if (PACKET_remaining(&psk_identity_hint) == 0) {
2025         OPENSSL_free(s->session->psk_identity_hint);
2026         s->session->psk_identity_hint = NULL;
2027     } else if (!PACKET_strndup(&psk_identity_hint,
2028                                &s->session->psk_identity_hint)) {
2029         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_PSK_PREAMBLE,
2030                  ERR_R_INTERNAL_ERROR);
2031         return 0;
2032     }
2033
2034     return 1;
2035 #else
2036     SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_PSK_PREAMBLE,
2037              ERR_R_INTERNAL_ERROR);
2038     return 0;
2039 #endif
2040 }
2041
2042 static int tls_process_ske_srp(SSL *s, PACKET *pkt, EVP_PKEY **pkey)
2043 {
2044 #ifndef OPENSSL_NO_SRP
2045     PACKET prime, generator, salt, server_pub;
2046
2047     if (!PACKET_get_length_prefixed_2(pkt, &prime)
2048         || !PACKET_get_length_prefixed_2(pkt, &generator)
2049         || !PACKET_get_length_prefixed_1(pkt, &salt)
2050         || !PACKET_get_length_prefixed_2(pkt, &server_pub)) {
2051         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SKE_SRP,
2052                  SSL_R_LENGTH_MISMATCH);
2053         return 0;
2054     }
2055
2056     /* TODO(size_t): Convert BN_bin2bn() calls */
2057     if ((s->srp_ctx.N =
2058          BN_bin2bn(PACKET_data(&prime),
2059                    (int)PACKET_remaining(&prime), NULL)) == NULL
2060         || (s->srp_ctx.g =
2061             BN_bin2bn(PACKET_data(&generator),
2062                       (int)PACKET_remaining(&generator), NULL)) == NULL
2063         || (s->srp_ctx.s =
2064             BN_bin2bn(PACKET_data(&salt),
2065                       (int)PACKET_remaining(&salt), NULL)) == NULL
2066         || (s->srp_ctx.B =
2067             BN_bin2bn(PACKET_data(&server_pub),
2068                       (int)PACKET_remaining(&server_pub), NULL)) == NULL) {
2069         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_SRP,
2070                  ERR_R_BN_LIB);
2071         return 0;
2072     }
2073
2074     if (!srp_verify_server_param(s)) {
2075         /* SSLfatal() already called */
2076         return 0;
2077     }
2078
2079     /* We must check if there is a certificate */
2080     if (s->s3->tmp.new_cipher->algorithm_auth & (SSL_aRSA | SSL_aDSS))
2081         *pkey = X509_get0_pubkey(s->session->peer);
2082
2083     return 1;
2084 #else
2085     SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_SRP,
2086              ERR_R_INTERNAL_ERROR);
2087     return 0;
2088 #endif
2089 }
2090
2091 static int tls_process_ske_dhe(SSL *s, PACKET *pkt, EVP_PKEY **pkey)
2092 {
2093 #ifndef OPENSSL_NO_DH
2094     PACKET prime, generator, pub_key;
2095     EVP_PKEY *peer_tmp = NULL;
2096
2097     DH *dh = NULL;
2098     BIGNUM *p = NULL, *g = NULL, *bnpub_key = NULL;
2099
2100     int check_bits = 0;
2101
2102     if (!PACKET_get_length_prefixed_2(pkt, &prime)
2103         || !PACKET_get_length_prefixed_2(pkt, &generator)
2104         || !PACKET_get_length_prefixed_2(pkt, &pub_key)) {
2105         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SKE_DHE,
2106                  SSL_R_LENGTH_MISMATCH);
2107         return 0;
2108     }
2109
2110     peer_tmp = EVP_PKEY_new();
2111     dh = DH_new();
2112
2113     if (peer_tmp == NULL || dh == NULL) {
2114         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_DHE,
2115                  ERR_R_MALLOC_FAILURE);
2116         goto err;
2117     }
2118
2119     /* TODO(size_t): Convert these calls */
2120     p = BN_bin2bn(PACKET_data(&prime), (int)PACKET_remaining(&prime), NULL);
2121     g = BN_bin2bn(PACKET_data(&generator), (int)PACKET_remaining(&generator),
2122                   NULL);
2123     bnpub_key = BN_bin2bn(PACKET_data(&pub_key),
2124                           (int)PACKET_remaining(&pub_key), NULL);
2125     if (p == NULL || g == NULL || bnpub_key == NULL) {
2126         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_DHE,
2127                  ERR_R_BN_LIB);
2128         goto err;
2129     }
2130
2131     /* test non-zero pubkey */
2132     if (BN_is_zero(bnpub_key)) {
2133         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_TLS_PROCESS_SKE_DHE,
2134                  SSL_R_BAD_DH_VALUE);
2135         goto err;
2136     }
2137
2138     if (!DH_set0_pqg(dh, p, NULL, g)) {
2139         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_DHE,
2140                  ERR_R_BN_LIB);
2141         goto err;
2142     }
2143     p = g = NULL;
2144
2145     if (DH_check_params(dh, &check_bits) == 0 || check_bits != 0) {
2146         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_TLS_PROCESS_SKE_DHE,
2147                  SSL_R_BAD_DH_VALUE);
2148         goto err;
2149     }
2150
2151     if (!DH_set0_key(dh, bnpub_key, NULL)) {
2152         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_DHE,
2153                  ERR_R_BN_LIB);
2154         goto err;
2155     }
2156     bnpub_key = NULL;
2157
2158     if (!ssl_security(s, SSL_SECOP_TMP_DH, DH_security_bits(dh), 0, dh)) {
2159         SSLfatal(s, SSL_AD_HANDSHAKE_FAILURE, SSL_F_TLS_PROCESS_SKE_DHE,
2160                  SSL_R_DH_KEY_TOO_SMALL);
2161         goto err;
2162     }
2163
2164     if (EVP_PKEY_assign_DH(peer_tmp, dh) == 0) {
2165         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_DHE,
2166                  ERR_R_EVP_LIB);
2167         goto err;
2168     }
2169
2170     s->s3->peer_tmp = peer_tmp;
2171
2172     /*
2173      * FIXME: This makes assumptions about which ciphersuites come with
2174      * public keys. We should have a less ad-hoc way of doing this
2175      */
2176     if (s->s3->tmp.new_cipher->algorithm_auth & (SSL_aRSA | SSL_aDSS))
2177         *pkey = X509_get0_pubkey(s->session->peer);
2178     /* else anonymous DH, so no certificate or pkey. */
2179
2180     return 1;
2181
2182  err:
2183     BN_free(p);
2184     BN_free(g);
2185     BN_free(bnpub_key);
2186     DH_free(dh);
2187     EVP_PKEY_free(peer_tmp);
2188
2189     return 0;
2190 #else
2191     SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_DHE,
2192              ERR_R_INTERNAL_ERROR);
2193     return 0;
2194 #endif
2195 }
2196
2197 static int tls_process_ske_ecdhe(SSL *s, PACKET *pkt, EVP_PKEY **pkey)
2198 {
2199 #ifndef OPENSSL_NO_EC
2200     PACKET encoded_pt;
2201     unsigned int curve_type, curve_id;
2202
2203     /*
2204      * Extract elliptic curve parameters and the server's ephemeral ECDH
2205      * public key. We only support named (not generic) curves and
2206      * ECParameters in this case is just three bytes.
2207      */
2208     if (!PACKET_get_1(pkt, &curve_type) || !PACKET_get_net_2(pkt, &curve_id)) {
2209         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SKE_ECDHE,
2210                  SSL_R_LENGTH_TOO_SHORT);
2211         return 0;
2212     }
2213     /*
2214      * Check curve is named curve type and one of our preferences, if not
2215      * server has sent an invalid curve.
2216      */
2217     if (curve_type != NAMED_CURVE_TYPE
2218             || !tls1_check_group_id(s, curve_id, 1)) {
2219         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_TLS_PROCESS_SKE_ECDHE,
2220                  SSL_R_WRONG_CURVE);
2221         return 0;
2222     }
2223
2224     if ((s->s3->peer_tmp = ssl_generate_param_group(curve_id)) == NULL) {
2225         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_ECDHE,
2226                  SSL_R_UNABLE_TO_FIND_ECDH_PARAMETERS);
2227         return 0;
2228     }
2229
2230     if (!PACKET_get_length_prefixed_1(pkt, &encoded_pt)) {
2231         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SKE_ECDHE,
2232                  SSL_R_LENGTH_MISMATCH);
2233         return 0;
2234     }
2235
2236     if (!EVP_PKEY_set1_tls_encodedpoint(s->s3->peer_tmp,
2237                                         PACKET_data(&encoded_pt),
2238                                         PACKET_remaining(&encoded_pt))) {
2239         SSLfatal(s, SSL_AD_ILLEGAL_PARAMETER, SSL_F_TLS_PROCESS_SKE_ECDHE,
2240                  SSL_R_BAD_ECPOINT);
2241         return 0;
2242     }
2243
2244     /*
2245      * The ECC/TLS specification does not mention the use of DSA to sign
2246      * ECParameters in the server key exchange message. We do support RSA
2247      * and ECDSA.
2248      */
2249     if (s->s3->tmp.new_cipher->algorithm_auth & SSL_aECDSA)
2250         *pkey = X509_get0_pubkey(s->session->peer);
2251     else if (s->s3->tmp.new_cipher->algorithm_auth & SSL_aRSA)
2252         *pkey = X509_get0_pubkey(s->session->peer);
2253     /* else anonymous ECDH, so no certificate or pkey. */
2254
2255     return 1;
2256 #else
2257     SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SKE_ECDHE,
2258              ERR_R_INTERNAL_ERROR);
2259     return 0;
2260 #endif
2261 }
2262
2263 MSG_PROCESS_RETURN tls_process_key_exchange(SSL *s, PACKET *pkt)
2264 {
2265     long alg_k;
2266     EVP_PKEY *pkey = NULL;
2267     EVP_MD_CTX *md_ctx = NULL;
2268     EVP_PKEY_CTX *pctx = NULL;
2269     PACKET save_param_start, signature;
2270
2271     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2272
2273     save_param_start = *pkt;
2274
2275 #if !defined(OPENSSL_NO_EC) || !defined(OPENSSL_NO_DH)
2276     EVP_PKEY_free(s->s3->peer_tmp);
2277     s->s3->peer_tmp = NULL;
2278 #endif
2279
2280     if (alg_k & SSL_PSK) {
2281         if (!tls_process_ske_psk_preamble(s, pkt)) {
2282             /* SSLfatal() already called */
2283             goto err;
2284         }
2285     }
2286
2287     /* Nothing else to do for plain PSK or RSAPSK */
2288     if (alg_k & (SSL_kPSK | SSL_kRSAPSK)) {
2289     } else if (alg_k & SSL_kSRP) {
2290         if (!tls_process_ske_srp(s, pkt, &pkey)) {
2291             /* SSLfatal() already called */
2292             goto err;
2293         }
2294     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2295         if (!tls_process_ske_dhe(s, pkt, &pkey)) {
2296             /* SSLfatal() already called */
2297             goto err;
2298         }
2299     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2300         if (!tls_process_ske_ecdhe(s, pkt, &pkey)) {
2301             /* SSLfatal() already called */
2302             goto err;
2303         }
2304     } else if (alg_k) {
2305         SSLfatal(s, SSL_AD_UNEXPECTED_MESSAGE, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2306                  SSL_R_UNEXPECTED_MESSAGE);
2307         goto err;
2308     }
2309
2310     /* if it was signed, check the signature */
2311     if (pkey != NULL) {
2312         PACKET params;
2313         int maxsig;
2314         const EVP_MD *md = NULL;
2315         unsigned char *tbs;
2316         size_t tbslen;
2317         int rv;
2318
2319         /*
2320          * |pkt| now points to the beginning of the signature, so the difference
2321          * equals the length of the parameters.
2322          */
2323         if (!PACKET_get_sub_packet(&save_param_start, &params,
2324                                    PACKET_remaining(&save_param_start) -
2325                                    PACKET_remaining(pkt))) {
2326             SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2327                      ERR_R_INTERNAL_ERROR);
2328             goto err;
2329         }
2330
2331         if (SSL_USE_SIGALGS(s)) {
2332             unsigned int sigalg;
2333
2334             if (!PACKET_get_net_2(pkt, &sigalg)) {
2335                 SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2336                          SSL_R_LENGTH_TOO_SHORT);
2337                 goto err;
2338             }
2339             if (tls12_check_peer_sigalg(s, sigalg, pkey) <=0) {
2340                 /* SSLfatal() already called */
2341                 goto err;
2342             }
2343         } else if (!tls1_set_peer_legacy_sigalg(s, pkey)) {
2344             SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2345                      ERR_R_INTERNAL_ERROR);
2346             goto err;
2347         }
2348
2349         if (!tls1_lookup_md(s->s3->tmp.peer_sigalg, &md)) {
2350             SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2351                      ERR_R_INTERNAL_ERROR);
2352             goto err;
2353         }
2354 #ifdef SSL_DEBUG
2355         if (SSL_USE_SIGALGS(s))
2356             fprintf(stderr, "USING TLSv1.2 HASH %s\n",
2357                     md == NULL ? "n/a" : EVP_MD_name(md));
2358 #endif
2359
2360         if (!PACKET_get_length_prefixed_2(pkt, &signature)
2361             || PACKET_remaining(pkt) != 0) {
2362             SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2363                      SSL_R_LENGTH_MISMATCH);
2364             goto err;
2365         }
2366         maxsig = EVP_PKEY_size(pkey);
2367         if (maxsig < 0) {
2368             SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2369                      ERR_R_INTERNAL_ERROR);
2370             goto err;
2371         }
2372
2373         /*
2374          * Check signature length
2375          */
2376         if (PACKET_remaining(&signature) > (size_t)maxsig) {
2377             /* wrong packet length */
2378             SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2379                    SSL_R_WRONG_SIGNATURE_LENGTH);
2380             goto err;
2381         }
2382
2383         md_ctx = EVP_MD_CTX_new();
2384         if (md_ctx == NULL) {
2385             SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2386                      ERR_R_MALLOC_FAILURE);
2387             goto err;
2388         }
2389
2390         if (EVP_DigestVerifyInit(md_ctx, &pctx, md, NULL, pkey) <= 0) {
2391             SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2392                      ERR_R_EVP_LIB);
2393             goto err;
2394         }
2395         if (SSL_USE_PSS(s)) {
2396             if (EVP_PKEY_CTX_set_rsa_padding(pctx, RSA_PKCS1_PSS_PADDING) <= 0
2397                 || EVP_PKEY_CTX_set_rsa_pss_saltlen(pctx,
2398                                                 RSA_PSS_SALTLEN_DIGEST) <= 0) {
2399                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
2400                          SSL_F_TLS_PROCESS_KEY_EXCHANGE, ERR_R_EVP_LIB);
2401                 goto err;
2402             }
2403         }
2404         tbslen = construct_key_exchange_tbs(s, &tbs, PACKET_data(&params),
2405                                             PACKET_remaining(&params));
2406         if (tbslen == 0) {
2407             /* SSLfatal() already called */
2408             goto err;
2409         }
2410
2411         rv = EVP_DigestVerify(md_ctx, PACKET_data(&signature),
2412                               PACKET_remaining(&signature), tbs, tbslen);
2413         OPENSSL_free(tbs);
2414         if (rv <= 0) {
2415             SSLfatal(s, SSL_AD_DECRYPT_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2416                      SSL_R_BAD_SIGNATURE);
2417             goto err;
2418         }
2419         EVP_MD_CTX_free(md_ctx);
2420         md_ctx = NULL;
2421     } else {
2422         /* aNULL, aSRP or PSK do not need public keys */
2423         if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aSRP))
2424             && !(alg_k & SSL_PSK)) {
2425             /* Might be wrong key type, check it */
2426             if (ssl3_check_cert_and_algorithm(s)) {
2427                 SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2428                          SSL_R_BAD_DATA);
2429             }
2430             /* else this shouldn't happen, SSLfatal() already called */
2431             goto err;
2432         }
2433         /* still data left over */
2434         if (PACKET_remaining(pkt) != 0) {
2435             SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_KEY_EXCHANGE,
2436                      SSL_R_EXTRA_DATA_IN_MESSAGE);
2437             goto err;
2438         }
2439     }
2440
2441     return MSG_PROCESS_CONTINUE_READING;
2442  err:
2443     EVP_MD_CTX_free(md_ctx);
2444     return MSG_PROCESS_ERROR;
2445 }
2446
2447 MSG_PROCESS_RETURN tls_process_certificate_request(SSL *s, PACKET *pkt)
2448 {
2449     size_t i;
2450
2451     /* Clear certificate validity flags */
2452     for (i = 0; i < SSL_PKEY_NUM; i++)
2453         s->s3->tmp.valid_flags[i] = 0;
2454
2455     if (SSL_IS_TLS13(s)) {
2456         PACKET reqctx, extensions;
2457         RAW_EXTENSION *rawexts = NULL;
2458
2459         if ((s->shutdown & SSL_SENT_SHUTDOWN) != 0) {
2460             /*
2461              * We already sent close_notify. This can only happen in TLSv1.3
2462              * post-handshake messages. We can't reasonably respond to this, so
2463              * we just ignore it
2464              */
2465             return MSG_PROCESS_FINISHED_READING;
2466         }
2467
2468         /* Free and zero certificate types: it is not present in TLS 1.3 */
2469         OPENSSL_free(s->s3->tmp.ctype);
2470         s->s3->tmp.ctype = NULL;
2471         s->s3->tmp.ctype_len = 0;
2472         OPENSSL_free(s->pha_context);
2473         s->pha_context = NULL;
2474
2475         if (!PACKET_get_length_prefixed_1(pkt, &reqctx) ||
2476             !PACKET_memdup(&reqctx, &s->pha_context, &s->pha_context_len)) {
2477             SSLfatal(s, SSL_AD_DECODE_ERROR,
2478                      SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
2479                      SSL_R_LENGTH_MISMATCH);
2480             return MSG_PROCESS_ERROR;
2481         }
2482
2483         if (!PACKET_get_length_prefixed_2(pkt, &extensions)) {
2484             SSLfatal(s, SSL_AD_DECODE_ERROR,
2485                      SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
2486                      SSL_R_BAD_LENGTH);
2487             return MSG_PROCESS_ERROR;
2488         }
2489         if (!tls_collect_extensions(s, &extensions,
2490                                     SSL_EXT_TLS1_3_CERTIFICATE_REQUEST,
2491                                     &rawexts, NULL, 1)
2492             || !tls_parse_all_extensions(s, SSL_EXT_TLS1_3_CERTIFICATE_REQUEST,
2493                                          rawexts, NULL, 0, 1)) {
2494             /* SSLfatal() already called */
2495             OPENSSL_free(rawexts);
2496             return MSG_PROCESS_ERROR;
2497         }
2498         OPENSSL_free(rawexts);
2499         if (!tls1_process_sigalgs(s)) {
2500             SSLfatal(s, SSL_AD_INTERNAL_ERROR,
2501                      SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
2502                      SSL_R_BAD_LENGTH);
2503             return MSG_PROCESS_ERROR;
2504         }
2505     } else {
2506         PACKET ctypes;
2507
2508         /* get the certificate types */
2509         if (!PACKET_get_length_prefixed_1(pkt, &ctypes)) {
2510             SSLfatal(s, SSL_AD_DECODE_ERROR,
2511                      SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
2512                      SSL_R_LENGTH_MISMATCH);
2513             return MSG_PROCESS_ERROR;
2514         }
2515
2516         if (!PACKET_memdup(&ctypes, &s->s3->tmp.ctype, &s->s3->tmp.ctype_len)) {
2517             SSLfatal(s, SSL_AD_INTERNAL_ERROR,
2518                      SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
2519                      ERR_R_INTERNAL_ERROR);
2520             return MSG_PROCESS_ERROR;
2521         }
2522
2523         if (SSL_USE_SIGALGS(s)) {
2524             PACKET sigalgs;
2525
2526             if (!PACKET_get_length_prefixed_2(pkt, &sigalgs)) {
2527                 SSLfatal(s, SSL_AD_DECODE_ERROR,
2528                          SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
2529                          SSL_R_LENGTH_MISMATCH);
2530                 return MSG_PROCESS_ERROR;
2531             }
2532
2533             /*
2534              * Despite this being for certificates, preserve compatibility
2535              * with pre-TLS 1.3 and use the regular sigalgs field.
2536              */
2537             if (!tls1_save_sigalgs(s, &sigalgs, 0)) {
2538                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
2539                          SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
2540                          SSL_R_SIGNATURE_ALGORITHMS_ERROR);
2541                 return MSG_PROCESS_ERROR;
2542             }
2543             if (!tls1_process_sigalgs(s)) {
2544                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
2545                          SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
2546                          ERR_R_MALLOC_FAILURE);
2547                 return MSG_PROCESS_ERROR;
2548             }
2549         }
2550
2551         /* get the CA RDNs */
2552         if (!parse_ca_names(s, pkt)) {
2553             /* SSLfatal() already called */
2554             return MSG_PROCESS_ERROR;
2555         }
2556     }
2557
2558     if (PACKET_remaining(pkt) != 0) {
2559         SSLfatal(s, SSL_AD_DECODE_ERROR,
2560                  SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
2561                  SSL_R_LENGTH_MISMATCH);
2562         return MSG_PROCESS_ERROR;
2563     }
2564
2565     /* we should setup a certificate to return.... */
2566     s->s3->tmp.cert_req = 1;
2567
2568     /*
2569      * In TLSv1.3 we don't prepare the client certificate yet. We wait until
2570      * after the CertificateVerify message has been received. This is because
2571      * in TLSv1.3 the CertificateRequest arrives before the Certificate message
2572      * but in TLSv1.2 it is the other way around. We want to make sure that
2573      * SSL_get_peer_certificate() returns something sensible in
2574      * client_cert_cb.
2575      */
2576     if (SSL_IS_TLS13(s) && s->post_handshake_auth != SSL_PHA_REQUESTED)
2577         return MSG_PROCESS_CONTINUE_READING;
2578
2579     return MSG_PROCESS_CONTINUE_PROCESSING;
2580 }
2581
2582 MSG_PROCESS_RETURN tls_process_new_session_ticket(SSL *s, PACKET *pkt)
2583 {
2584     unsigned int ticklen;
2585     unsigned long ticket_lifetime_hint, age_add = 0;
2586     unsigned int sess_len;
2587     RAW_EXTENSION *exts = NULL;
2588     PACKET nonce;
2589
2590     PACKET_null_init(&nonce);
2591
2592     if (!PACKET_get_net_4(pkt, &ticket_lifetime_hint)
2593         || (SSL_IS_TLS13(s)
2594             && (!PACKET_get_net_4(pkt, &age_add)
2595                 || !PACKET_get_length_prefixed_1(pkt, &nonce)))
2596         || !PACKET_get_net_2(pkt, &ticklen)
2597         || (SSL_IS_TLS13(s) ? (ticklen == 0 || PACKET_remaining(pkt) < ticklen)
2598                             : PACKET_remaining(pkt) != ticklen)) {
2599         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_NEW_SESSION_TICKET,
2600                  SSL_R_LENGTH_MISMATCH);
2601         goto err;
2602     }
2603
2604     /*
2605      * Server is allowed to change its mind (in <=TLSv1.2) and send an empty
2606      * ticket. We already checked this TLSv1.3 case above, so it should never
2607      * be 0 here in that instance
2608      */
2609     if (ticklen == 0)
2610         return MSG_PROCESS_CONTINUE_READING;
2611
2612     /*
2613      * Sessions must be immutable once they go into the session cache. Otherwise
2614      * we can get multi-thread problems. Therefore we don't "update" sessions,
2615      * we replace them with a duplicate. In TLSv1.3 we need to do this every
2616      * time a NewSessionTicket arrives because those messages arrive
2617      * post-handshake and the session may have already gone into the session
2618      * cache.
2619      */
2620     if (SSL_IS_TLS13(s) || s->session->session_id_length > 0) {
2621         SSL_SESSION *new_sess;
2622
2623         /*
2624          * We reused an existing session, so we need to replace it with a new
2625          * one
2626          */
2627         if ((new_sess = ssl_session_dup(s->session, 0)) == 0) {
2628             SSLfatal(s, SSL_AD_INTERNAL_ERROR,
2629                      SSL_F_TLS_PROCESS_NEW_SESSION_TICKET,
2630                      ERR_R_MALLOC_FAILURE);
2631             goto err;
2632         }
2633
2634         if ((s->session_ctx->session_cache_mode & SSL_SESS_CACHE_CLIENT) != 0
2635                 && !SSL_IS_TLS13(s)) {
2636             /*
2637              * In TLSv1.2 and below the arrival of a new tickets signals that
2638              * any old ticket we were using is now out of date, so we remove the
2639              * old session from the cache. We carry on if this fails
2640              */
2641             SSL_CTX_remove_session(s->session_ctx, s->session);
2642         }
2643
2644         SSL_SESSION_free(s->session);
2645         s->session = new_sess;
2646     }
2647
2648     /*
2649      * Technically the cast to long here is not guaranteed by the C standard -
2650      * but we use it elsewhere, so this should be ok.
2651      */
2652     s->session->time = (long)time(NULL);
2653
2654     OPENSSL_free(s->session->ext.tick);
2655     s->session->ext.tick = NULL;
2656     s->session->ext.ticklen = 0;
2657
2658     s->session->ext.tick = OPENSSL_malloc(ticklen);
2659     if (s->session->ext.tick == NULL) {
2660         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_NEW_SESSION_TICKET,
2661                  ERR_R_MALLOC_FAILURE);
2662         goto err;
2663     }
2664     if (!PACKET_copy_bytes(pkt, s->session->ext.tick, ticklen)) {
2665         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_NEW_SESSION_TICKET,
2666                  SSL_R_LENGTH_MISMATCH);
2667         goto err;
2668     }
2669
2670     s->session->ext.tick_lifetime_hint = ticket_lifetime_hint;
2671     s->session->ext.tick_age_add = age_add;
2672     s->session->ext.ticklen = ticklen;
2673
2674     if (SSL_IS_TLS13(s)) {
2675         PACKET extpkt;
2676
2677         if (!PACKET_as_length_prefixed_2(pkt, &extpkt)
2678                 || PACKET_remaining(pkt) != 0) {
2679             SSLfatal(s, SSL_AD_DECODE_ERROR,
2680                      SSL_F_TLS_PROCESS_NEW_SESSION_TICKET,
2681                      SSL_R_LENGTH_MISMATCH);
2682             goto err;
2683         }
2684
2685         if (!tls_collect_extensions(s, &extpkt,
2686                                     SSL_EXT_TLS1_3_NEW_SESSION_TICKET, &exts,
2687                                     NULL, 1)
2688                 || !tls_parse_all_extensions(s,
2689                                              SSL_EXT_TLS1_3_NEW_SESSION_TICKET,
2690                                              exts, NULL, 0, 1)) {
2691             /* SSLfatal() already called */
2692             goto err;
2693         }
2694     }
2695
2696     /*
2697      * There are two ways to detect a resumed ticket session. One is to set
2698      * an appropriate session ID and then the server must return a match in
2699      * ServerHello. This allows the normal client session ID matching to work
2700      * and we know much earlier that the ticket has been accepted. The
2701      * other way is to set zero length session ID when the ticket is
2702      * presented and rely on the handshake to determine session resumption.
2703      * We choose the former approach because this fits in with assumptions
2704      * elsewhere in OpenSSL. The session ID is set to the SHA256 (or SHA1 is
2705      * SHA256 is disabled) hash of the ticket.
2706      */
2707     /*
2708      * TODO(size_t): we use sess_len here because EVP_Digest expects an int
2709      * but s->session->session_id_length is a size_t
2710      */
2711     if (!EVP_Digest(s->session->ext.tick, ticklen,
2712                     s->session->session_id, &sess_len,
2713                     EVP_sha256(), NULL)) {
2714         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_NEW_SESSION_TICKET,
2715                  ERR_R_EVP_LIB);
2716         goto err;
2717     }
2718     s->session->session_id_length = sess_len;
2719     s->session->not_resumable = 0;
2720
2721     /* This is a standalone message in TLSv1.3, so there is no more to read */
2722     if (SSL_IS_TLS13(s)) {
2723         const EVP_MD *md = ssl_handshake_md(s);
2724         int hashleni = EVP_MD_size(md);
2725         size_t hashlen;
2726         static const unsigned char nonce_label[] = "resumption";
2727
2728         /* Ensure cast to size_t is safe */
2729         if (!ossl_assert(hashleni >= 0)) {
2730             SSLfatal(s, SSL_AD_INTERNAL_ERROR,
2731                      SSL_F_TLS_PROCESS_NEW_SESSION_TICKET,
2732                      ERR_R_INTERNAL_ERROR);
2733             goto err;
2734         }
2735         hashlen = (size_t)hashleni;
2736
2737         if (!tls13_hkdf_expand(s, md, s->resumption_master_secret,
2738                                nonce_label,
2739                                sizeof(nonce_label) - 1,
2740                                PACKET_data(&nonce),
2741                                PACKET_remaining(&nonce),
2742                                s->session->master_key,
2743                                hashlen)) {
2744             /* SSLfatal() already called */
2745             goto err;
2746         }
2747         s->session->master_key_length = hashlen;
2748
2749         OPENSSL_free(exts);
2750         ssl_update_cache(s, SSL_SESS_CACHE_CLIENT);
2751         return MSG_PROCESS_FINISHED_READING;
2752     }
2753
2754     return MSG_PROCESS_CONTINUE_READING;
2755  err:
2756     OPENSSL_free(exts);
2757     return MSG_PROCESS_ERROR;
2758 }
2759
2760 /*
2761  * In TLSv1.3 this is called from the extensions code, otherwise it is used to
2762  * parse a separate message. Returns 1 on success or 0 on failure
2763  */
2764 int tls_process_cert_status_body(SSL *s, PACKET *pkt)
2765 {
2766     size_t resplen;
2767     unsigned int type;
2768
2769     if (!PACKET_get_1(pkt, &type)
2770         || type != TLSEXT_STATUSTYPE_ocsp) {
2771         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_CERT_STATUS_BODY,
2772                  SSL_R_UNSUPPORTED_STATUS_TYPE);
2773         return 0;
2774     }
2775     if (!PACKET_get_net_3_len(pkt, &resplen)
2776         || PACKET_remaining(pkt) != resplen) {
2777         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_CERT_STATUS_BODY,
2778                  SSL_R_LENGTH_MISMATCH);
2779         return 0;
2780     }
2781     s->ext.ocsp.resp = OPENSSL_malloc(resplen);
2782     if (s->ext.ocsp.resp == NULL) {
2783         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_CERT_STATUS_BODY,
2784                  ERR_R_MALLOC_FAILURE);
2785         return 0;
2786     }
2787     if (!PACKET_copy_bytes(pkt, s->ext.ocsp.resp, resplen)) {
2788         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_CERT_STATUS_BODY,
2789                  SSL_R_LENGTH_MISMATCH);
2790         return 0;
2791     }
2792     s->ext.ocsp.resp_len = resplen;
2793
2794     return 1;
2795 }
2796
2797
2798 MSG_PROCESS_RETURN tls_process_cert_status(SSL *s, PACKET *pkt)
2799 {
2800     if (!tls_process_cert_status_body(s, pkt)) {
2801         /* SSLfatal() already called */
2802         return MSG_PROCESS_ERROR;
2803     }
2804
2805     return MSG_PROCESS_CONTINUE_READING;
2806 }
2807
2808 /*
2809  * Perform miscellaneous checks and processing after we have received the
2810  * server's initial flight. In TLS1.3 this is after the Server Finished message.
2811  * In <=TLS1.2 this is after the ServerDone message. Returns 1 on success or 0
2812  * on failure.
2813  */
2814 int tls_process_initial_server_flight(SSL *s)
2815 {
2816     /*
2817      * at this point we check that we have the required stuff from
2818      * the server
2819      */
2820     if (!ssl3_check_cert_and_algorithm(s)) {
2821         /* SSLfatal() already called */
2822         return 0;
2823     }
2824
2825     /*
2826      * Call the ocsp status callback if needed. The |ext.ocsp.resp| and
2827      * |ext.ocsp.resp_len| values will be set if we actually received a status
2828      * message, or NULL and -1 otherwise
2829      */
2830     if (s->ext.status_type != TLSEXT_STATUSTYPE_nothing
2831             && s->ctx->ext.status_cb != NULL) {
2832         int ret = s->ctx->ext.status_cb(s, s->ctx->ext.status_arg);
2833
2834         if (ret == 0) {
2835             SSLfatal(s, SSL_AD_BAD_CERTIFICATE_STATUS_RESPONSE,
2836                      SSL_F_TLS_PROCESS_INITIAL_SERVER_FLIGHT,
2837                      SSL_R_INVALID_STATUS_RESPONSE);
2838             return 0;
2839         }
2840         if (ret < 0) {
2841             SSLfatal(s, SSL_AD_INTERNAL_ERROR,
2842                      SSL_F_TLS_PROCESS_INITIAL_SERVER_FLIGHT,
2843                      ERR_R_MALLOC_FAILURE);
2844             return 0;
2845         }
2846     }
2847 #ifndef OPENSSL_NO_CT
2848     if (s->ct_validation_callback != NULL) {
2849         /* Note we validate the SCTs whether or not we abort on error */
2850         if (!ssl_validate_ct(s) && (s->verify_mode & SSL_VERIFY_PEER)) {
2851             /* SSLfatal() already called */
2852             return 0;
2853         }
2854     }
2855 #endif
2856
2857     return 1;
2858 }
2859
2860 MSG_PROCESS_RETURN tls_process_server_done(SSL *s, PACKET *pkt)
2861 {
2862     if (PACKET_remaining(pkt) > 0) {
2863         /* should contain no data */
2864         SSLfatal(s, SSL_AD_DECODE_ERROR, SSL_F_TLS_PROCESS_SERVER_DONE,
2865                  SSL_R_LENGTH_MISMATCH);
2866         return MSG_PROCESS_ERROR;
2867     }
2868 #ifndef OPENSSL_NO_SRP
2869     if (s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) {
2870         if (SRP_Calc_A_param(s) <= 0) {
2871             SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_PROCESS_SERVER_DONE,
2872                      SSL_R_SRP_A_CALC);
2873             return MSG_PROCESS_ERROR;
2874         }
2875     }
2876 #endif
2877
2878     if (!tls_process_initial_server_flight(s)) {
2879         /* SSLfatal() already called */
2880         return MSG_PROCESS_ERROR;
2881     }
2882
2883     return MSG_PROCESS_FINISHED_READING;
2884 }
2885
2886 static int tls_construct_cke_psk_preamble(SSL *s, WPACKET *pkt)
2887 {
2888 #ifndef OPENSSL_NO_PSK
2889     int ret = 0;
2890     /*
2891      * The callback needs PSK_MAX_IDENTITY_LEN + 1 bytes to return a
2892      * \0-terminated identity. The last byte is for us for simulating
2893      * strnlen.
2894      */
2895     char identity[PSK_MAX_IDENTITY_LEN + 1];
2896     size_t identitylen = 0;
2897     unsigned char psk[PSK_MAX_PSK_LEN];
2898     unsigned char *tmppsk = NULL;
2899     char *tmpidentity = NULL;
2900     size_t psklen = 0;
2901
2902     if (s->psk_client_callback == NULL) {
2903         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE,
2904                  SSL_R_PSK_NO_CLIENT_CB);
2905         goto err;
2906     }
2907
2908     memset(identity, 0, sizeof(identity));
2909
2910     psklen = s->psk_client_callback(s, s->session->psk_identity_hint,
2911                                     identity, sizeof(identity) - 1,
2912                                     psk, sizeof(psk));
2913
2914     if (psklen > PSK_MAX_PSK_LEN) {
2915         SSLfatal(s, SSL_AD_HANDSHAKE_FAILURE,
2916                  SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2917         goto err;
2918     } else if (psklen == 0) {
2919         SSLfatal(s, SSL_AD_HANDSHAKE_FAILURE,
2920                  SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE,
2921                  SSL_R_PSK_IDENTITY_NOT_FOUND);
2922         goto err;
2923     }
2924
2925     identitylen = strlen(identity);
2926     if (identitylen > PSK_MAX_IDENTITY_LEN) {
2927         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE,
2928                  ERR_R_INTERNAL_ERROR);
2929         goto err;
2930     }
2931
2932     tmppsk = OPENSSL_memdup(psk, psklen);
2933     tmpidentity = OPENSSL_strdup(identity);
2934     if (tmppsk == NULL || tmpidentity == NULL) {
2935         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE,
2936                  ERR_R_MALLOC_FAILURE);
2937         goto err;
2938     }
2939
2940     OPENSSL_free(s->s3->tmp.psk);
2941     s->s3->tmp.psk = tmppsk;
2942     s->s3->tmp.psklen = psklen;
2943     tmppsk = NULL;
2944     OPENSSL_free(s->session->psk_identity);
2945     s->session->psk_identity = tmpidentity;
2946     tmpidentity = NULL;
2947
2948     if (!WPACKET_sub_memcpy_u16(pkt, identity, identitylen))  {
2949         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE,
2950                  ERR_R_INTERNAL_ERROR);
2951         goto err;
2952     }
2953
2954     ret = 1;
2955
2956  err:
2957     OPENSSL_cleanse(psk, psklen);
2958     OPENSSL_cleanse(identity, sizeof(identity));
2959     OPENSSL_clear_free(tmppsk, psklen);
2960     OPENSSL_clear_free(tmpidentity, identitylen);
2961
2962     return ret;
2963 #else
2964     SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE,
2965              ERR_R_INTERNAL_ERROR);
2966     return 0;
2967 #endif
2968 }
2969
2970 static int tls_construct_cke_rsa(SSL *s, WPACKET *pkt)
2971 {
2972 #ifndef OPENSSL_NO_RSA
2973     unsigned char *encdata = NULL;
2974     EVP_PKEY *pkey = NULL;
2975     EVP_PKEY_CTX *pctx = NULL;
2976     size_t enclen;
2977     unsigned char *pms = NULL;
2978     size_t pmslen = 0;
2979
2980     if (s->session->peer == NULL) {
2981         /*
2982          * We should always have a server certificate with SSL_kRSA.
2983          */
2984         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_RSA,
2985                  ERR_R_INTERNAL_ERROR);
2986         return 0;
2987     }
2988
2989     pkey = X509_get0_pubkey(s->session->peer);
2990     if (EVP_PKEY_get0_RSA(pkey) == NULL) {
2991         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_RSA,
2992                  ERR_R_INTERNAL_ERROR);
2993         return 0;
2994     }
2995
2996     pmslen = SSL_MAX_MASTER_KEY_LENGTH;
2997     pms = OPENSSL_malloc(pmslen);
2998     if (pms == NULL) {
2999         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_RSA,
3000                  ERR_R_MALLOC_FAILURE);
3001         return 0;
3002     }
3003
3004     pms[0] = s->client_version >> 8;
3005     pms[1] = s->client_version & 0xff;
3006     /* TODO(size_t): Convert this function */
3007     if (RAND_bytes(pms + 2, (int)(pmslen - 2)) <= 0) {
3008         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_RSA,
3009                  ERR_R_MALLOC_FAILURE);
3010         goto err;
3011     }
3012
3013     /* Fix buf for TLS and beyond */
3014     if (s->version > SSL3_VERSION && !WPACKET_start_sub_packet_u16(pkt)) {
3015         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_RSA,
3016                  ERR_R_INTERNAL_ERROR);
3017         goto err;
3018     }
3019     pctx = EVP_PKEY_CTX_new(pkey, NULL);
3020     if (pctx == NULL || EVP_PKEY_encrypt_init(pctx) <= 0
3021         || EVP_PKEY_encrypt(pctx, NULL, &enclen, pms, pmslen) <= 0) {
3022         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_RSA,
3023                  ERR_R_EVP_LIB);
3024         goto err;
3025     }
3026     if (!WPACKET_allocate_bytes(pkt, enclen, &encdata)
3027             || EVP_PKEY_encrypt(pctx, encdata, &enclen, pms, pmslen) <= 0) {
3028         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_RSA,
3029                  SSL_R_BAD_RSA_ENCRYPT);
3030         goto err;
3031     }
3032     EVP_PKEY_CTX_free(pctx);
3033     pctx = NULL;
3034
3035     /* Fix buf for TLS and beyond */
3036     if (s->version > SSL3_VERSION && !WPACKET_close(pkt)) {
3037         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_RSA,
3038                  ERR_R_INTERNAL_ERROR);
3039         goto err;
3040     }
3041
3042     /* Log the premaster secret, if logging is enabled. */
3043     if (!ssl_log_rsa_client_key_exchange(s, encdata, enclen, pms, pmslen)) {
3044         /* SSLfatal() already called */
3045         goto err;
3046     }
3047
3048     s->s3->tmp.pms = pms;
3049     s->s3->tmp.pmslen = pmslen;
3050
3051     return 1;
3052  err:
3053     OPENSSL_clear_free(pms, pmslen);
3054     EVP_PKEY_CTX_free(pctx);
3055
3056     return 0;
3057 #else
3058     SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_RSA,
3059              ERR_R_INTERNAL_ERROR);
3060     return 0;
3061 #endif
3062 }
3063
3064 static int tls_construct_cke_dhe(SSL *s, WPACKET *pkt)
3065 {
3066 #ifndef OPENSSL_NO_DH
3067     DH *dh_clnt = NULL;
3068     const BIGNUM *pub_key;
3069     EVP_PKEY *ckey = NULL, *skey = NULL;
3070     unsigned char *keybytes = NULL;
3071
3072     skey = s->s3->peer_tmp;
3073     if (skey == NULL) {
3074         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_DHE,
3075                  ERR_R_INTERNAL_ERROR);
3076         goto err;
3077     }
3078
3079     ckey = ssl_generate_pkey(skey);
3080     if (ckey == NULL) {
3081         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_DHE,
3082                  ERR_R_INTERNAL_ERROR);
3083         goto err;
3084     }
3085
3086     dh_clnt = EVP_PKEY_get0_DH(ckey);
3087
3088     if (dh_clnt == NULL) {
3089         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_DHE,
3090                  ERR_R_INTERNAL_ERROR);
3091         goto err;
3092     }
3093
3094     if (ssl_derive(s, ckey, skey, 0) == 0) {
3095         /* SSLfatal() already called */
3096         goto err;
3097     }
3098
3099     /* send off the data */
3100     DH_get0_key(dh_clnt, &pub_key, NULL);
3101     if (!WPACKET_sub_allocate_bytes_u16(pkt, BN_num_bytes(pub_key),
3102                                         &keybytes)) {
3103         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_DHE,
3104                  ERR_R_INTERNAL_ERROR);
3105         goto err;
3106     }
3107
3108     BN_bn2bin(pub_key, keybytes);
3109     EVP_PKEY_free(ckey);
3110
3111     return 1;
3112  err:
3113     EVP_PKEY_free(ckey);
3114     return 0;
3115 #else
3116     SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_DHE,
3117              ERR_R_INTERNAL_ERROR);
3118     return 0;
3119 #endif
3120 }
3121
3122 static int tls_construct_cke_ecdhe(SSL *s, WPACKET *pkt)
3123 {
3124 #ifndef OPENSSL_NO_EC
3125     unsigned char *encodedPoint = NULL;
3126     size_t encoded_pt_len = 0;
3127     EVP_PKEY *ckey = NULL, *skey = NULL;
3128     int ret = 0;
3129
3130     skey = s->s3->peer_tmp;
3131     if (skey == NULL) {
3132         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_ECDHE,
3133                  ERR_R_INTERNAL_ERROR);
3134         return 0;
3135     }
3136
3137     ckey = ssl_generate_pkey(skey);
3138     if (ckey == NULL) {
3139         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_ECDHE,
3140                  ERR_R_MALLOC_FAILURE);
3141         goto err;
3142     }
3143
3144     if (ssl_derive(s, ckey, skey, 0) == 0) {
3145         /* SSLfatal() already called */
3146         goto err;
3147     }
3148
3149     /* Generate encoding of client key */
3150     encoded_pt_len = EVP_PKEY_get1_tls_encodedpoint(ckey, &encodedPoint);
3151
3152     if (encoded_pt_len == 0) {
3153         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_ECDHE,
3154                  ERR_R_EC_LIB);
3155         goto err;
3156     }
3157
3158     if (!WPACKET_sub_memcpy_u8(pkt, encodedPoint, encoded_pt_len)) {
3159         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_ECDHE,
3160                  ERR_R_INTERNAL_ERROR);
3161         goto err;
3162     }
3163
3164     ret = 1;
3165  err:
3166     OPENSSL_free(encodedPoint);
3167     EVP_PKEY_free(ckey);
3168     return ret;
3169 #else
3170     SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_ECDHE,
3171              ERR_R_INTERNAL_ERROR);
3172     return 0;
3173 #endif
3174 }
3175
3176 static int tls_construct_cke_gost(SSL *s, WPACKET *pkt)
3177 {
3178 #ifndef OPENSSL_NO_GOST
3179     /* GOST key exchange message creation */
3180     EVP_PKEY_CTX *pkey_ctx = NULL;
3181     X509 *peer_cert;
3182     size_t msglen;
3183     unsigned int md_len;
3184     unsigned char shared_ukm[32], tmp[256];
3185     EVP_MD_CTX *ukm_hash = NULL;
3186     int dgst_nid = NID_id_GostR3411_94;
3187     unsigned char *pms = NULL;
3188     size_t pmslen = 0;
3189
3190     if ((s->s3->tmp.new_cipher->algorithm_auth & SSL_aGOST12) != 0)
3191         dgst_nid = NID_id_GostR3411_2012_256;
3192
3193     /*
3194      * Get server certificate PKEY and create ctx from it
3195      */
3196     peer_cert = s->session->peer;
3197     if (!peer_cert) {
3198         SSLfatal(s, SSL_AD_HANDSHAKE_FAILURE, SSL_F_TLS_CONSTRUCT_CKE_GOST,
3199                SSL_R_NO_GOST_CERTIFICATE_SENT_BY_PEER);
3200         return 0;
3201     }
3202
3203     pkey_ctx = EVP_PKEY_CTX_new(X509_get0_pubkey(peer_cert), NULL);
3204     if (pkey_ctx == NULL) {
3205         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_GOST,
3206                  ERR_R_MALLOC_FAILURE);
3207         return 0;
3208     }
3209     /*
3210      * If we have send a certificate, and certificate key
3211      * parameters match those of server certificate, use
3212      * certificate key for key exchange
3213      */
3214
3215     /* Otherwise, generate ephemeral key pair */
3216     pmslen = 32;
3217     pms = OPENSSL_malloc(pmslen);
3218     if (pms == NULL) {
3219         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_GOST,
3220                  ERR_R_MALLOC_FAILURE);
3221         goto err;
3222     }
3223
3224     if (EVP_PKEY_encrypt_init(pkey_ctx) <= 0
3225         /* Generate session key
3226          * TODO(size_t): Convert this function
3227          */
3228         || RAND_bytes(pms, (int)pmslen) <= 0) {
3229         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_GOST,
3230                  ERR_R_INTERNAL_ERROR);
3231         goto err;
3232     };
3233     /*
3234      * Compute shared IV and store it in algorithm-specific context
3235      * data
3236      */
3237     ukm_hash = EVP_MD_CTX_new();
3238     if (ukm_hash == NULL
3239         || EVP_DigestInit(ukm_hash, EVP_get_digestbynid(dgst_nid)) <= 0
3240         || EVP_DigestUpdate(ukm_hash, s->s3->client_random,
3241                             SSL3_RANDOM_SIZE) <= 0
3242         || EVP_DigestUpdate(ukm_hash, s->s3->server_random,
3243                             SSL3_RANDOM_SIZE) <= 0
3244         || EVP_DigestFinal_ex(ukm_hash, shared_ukm, &md_len) <= 0) {
3245         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_GOST,
3246                  ERR_R_INTERNAL_ERROR);
3247         goto err;
3248     }
3249     EVP_MD_CTX_free(ukm_hash);
3250     ukm_hash = NULL;
3251     if (EVP_PKEY_CTX_ctrl(pkey_ctx, -1, EVP_PKEY_OP_ENCRYPT,
3252                           EVP_PKEY_CTRL_SET_IV, 8, shared_ukm) < 0) {
3253         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_GOST,
3254                  SSL_R_LIBRARY_BUG);
3255         goto err;
3256     }
3257     /* Make GOST keytransport blob message */
3258     /*
3259      * Encapsulate it into sequence
3260      */
3261     msglen = 255;
3262     if (EVP_PKEY_encrypt(pkey_ctx, tmp, &msglen, pms, pmslen) <= 0) {
3263         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_GOST,
3264                  SSL_R_LIBRARY_BUG);
3265         goto err;
3266     }
3267
3268     if (!WPACKET_put_bytes_u8(pkt, V_ASN1_SEQUENCE | V_ASN1_CONSTRUCTED)
3269             || (msglen >= 0x80 && !WPACKET_put_bytes_u8(pkt, 0x81))
3270             || !WPACKET_sub_memcpy_u8(pkt, tmp, msglen)) {
3271         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_GOST,
3272                  ERR_R_INTERNAL_ERROR);
3273         goto err;
3274     }
3275
3276     EVP_PKEY_CTX_free(pkey_ctx);
3277     s->s3->tmp.pms = pms;
3278     s->s3->tmp.pmslen = pmslen;
3279
3280     return 1;
3281  err:
3282     EVP_PKEY_CTX_free(pkey_ctx);
3283     OPENSSL_clear_free(pms, pmslen);
3284     EVP_MD_CTX_free(ukm_hash);
3285     return 0;
3286 #else
3287     SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_GOST,
3288              ERR_R_INTERNAL_ERROR);
3289     return 0;
3290 #endif
3291 }
3292
3293 static int tls_construct_cke_srp(SSL *s, WPACKET *pkt)
3294 {
3295 #ifndef OPENSSL_NO_SRP
3296     unsigned char *abytes = NULL;
3297
3298     if (s->srp_ctx.A == NULL
3299             || !WPACKET_sub_allocate_bytes_u16(pkt, BN_num_bytes(s->srp_ctx.A),
3300                                                &abytes)) {
3301         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_SRP,
3302                  ERR_R_INTERNAL_ERROR);
3303         return 0;
3304     }
3305     BN_bn2bin(s->srp_ctx.A, abytes);
3306
3307     OPENSSL_free(s->session->srp_username);
3308     s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
3309     if (s->session->srp_username == NULL) {
3310         SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_SRP,
3311                  ERR_R_MALLOC_FAILURE);
3312         return 0;
3313     }
3314
3315     return 1;
3316 #else
3317     SSLfatal(s, SSL_AD_INTERNAL_ERROR, SSL_F_TLS_CONSTRUCT_CKE_SRP,
3318              ERR_R_INTERNAL_ERROR);
3319     return 0;
3320 #endif
3321 }
3322
3323 int tls_construct_client_key_exchange(SSL *s, WPACKET *pkt)
3324 {
3325     unsigned long alg_k;
3326
3327     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
3328
3329     /*
3330      * All of the construct functions below call SSLfatal() if necessary so
3331      * no need to do so here.
3332      */
3333     if ((alg_k & SSL_PSK)
3334         && !tls_construct_cke_psk_preamble(s, pkt))
3335         goto err;
3336
3337     if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
3338         if (!tls_construct_cke_rsa(s, pkt))
3339             goto err;
3340     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
3341         if (!tls_construct_cke_dhe(s, pkt))
3342             goto err;
3343     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
3344         if (!tls_construct_cke_ecdhe(s, pkt))
3345             goto err;
3346     } else if (alg_k & SSL_kGOST) {
3347         if (!tls_construct_cke_gost(s, pkt))
3348             goto err;
3349     } else if (alg_k & SSL_kSRP) {
3350         if (!tls_construct_cke_srp(s, pkt))
3351             goto err;
3352     } else if (!(alg_k & SSL_kPSK)) {
3353         SSLfatal(s, SSL_AD_INTERNAL_ERROR,
3354                  SSL_F_TLS_CONSTRUCT_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
3355         goto err;
3356     }
3357
3358     return 1;
3359  err:
3360     OPENSSL_clear_free(s->s3->tmp.pms, s->s3->tmp.pmslen);
3361     s->s3->tmp.pms = NULL;
3362 #ifndef OPENSSL_NO_PSK
3363     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
3364     s->s3->tmp.psk = NULL;
3365 #endif
3366     return 0;
3367 }
3368
3369 int tls_client_key_exchange_post_work(SSL *s)
3370 {
3371     unsigned char *pms = NULL;
3372     size_t pmslen = 0;
3373
3374     pms = s->s3->tmp.pms;
3375     pmslen = s->s3->tmp.pmslen;
3376
3377 #ifndef OPENSSL_NO_SRP
3378     /* Check for SRP */
3379     if (s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) {
3380         if (!srp_generate_client_master_secret(s)) {
3381             /* SSLfatal() already called */
3382             goto err;
3383         }
3384         return 1;
3385     }
3386 #endif
3387
3388     if (pms == NULL && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_kPSK)) {
3389         SSLfatal(s, SSL_AD_INTERNAL_ERROR,
3390                  SSL_F_TLS_CLIENT_KEY_EXCHANGE_POST_WORK, ERR_R_MALLOC_FAILURE);
3391         goto err;
3392     }
3393     if (!ssl_generate_master_secret(s, pms, pmslen, 1)) {
3394         /* SSLfatal() already called */
3395         /* ssl_generate_master_secret frees the pms even on error */
3396         pms = NULL;
3397         pmslen = 0;
3398         goto err;
3399     }
3400     pms = NULL;
3401     pmslen = 0;
3402
3403 #ifndef OPENSSL_NO_SCTP
3404     if (SSL_IS_DTLS(s)) {
3405         unsigned char sctpauthkey[64];
3406         char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
3407
3408         /*
3409          * Add new shared key for SCTP-Auth, will be ignored if no SCTP
3410          * used.
3411          */
3412         memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
3413                sizeof(DTLS1_SCTP_AUTH_LABEL));
3414
3415         if (SSL_export_keying_material(s, sctpauthkey,
3416                                        sizeof(sctpauthkey), labelbuffer,
3417                                        sizeof(labelbuffer), NULL, 0, 0) <= 0) {
3418             SSLfatal(s, SSL_AD_INTERNAL_ERROR,
3419                      SSL_F_TLS_CLIENT_KEY_EXCHANGE_POST_WORK,
3420                      ERR_R_INTERNAL_ERROR);
3421             goto err;
3422         }
3423
3424         BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
3425                  sizeof(sctpauthkey), sctpauthkey);
3426     }
3427 #endif
3428
3429     return 1;
3430  err:
3431     OPENSSL_clear_free(pms, pmslen);
3432     s->s3->tmp.pms = NULL;
3433     return 0;
3434 }
3435
3436 /*
3437  * Check a certificate can be used for client authentication. Currently check
3438  * cert exists, if we have a suitable digest for TLS 1.2 if static DH client
3439  * certificates can be used and optionally checks suitability for Suite B.
3440  */
3441 static int ssl3_check_client_certificate(SSL *s)
3442 {
3443     /* If no suitable signature algorithm can't use certificate */
3444     if (!tls_choose_sigalg(s, 0) || s->s3->tmp.sigalg == NULL)
3445         return 0;
3446     /*
3447      * If strict mode check suitability of chain before using it. This also
3448      * adjusts suite B digest if necessary.
3449      */
3450     if (s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT &&
3451         !tls1_check_chain(s, NULL, NULL, NULL, -2))
3452         return 0;
3453     return 1;
3454 }
3455
3456 WORK_STATE tls_prepare_client_certificate(SSL *s, WORK_STATE wst)
3457 {
3458     X509 *x509 = NULL;
3459     EVP_PKEY *pkey = NULL;
3460     int i;
3461
3462     if (wst == WORK_MORE_A) {
3463         /* Let cert callback update client certificates if required */
3464         if (s->cert->cert_cb) {
3465             i = s->cert->cert_cb(s, s->cert->cert_cb_arg);
3466             if (i < 0) {
3467                 s->rwstate = SSL_X509_LOOKUP;
3468                 return WORK_MORE_A;
3469             }
3470             if (i == 0) {
3471                 SSLfatal(s, SSL_AD_INTERNAL_ERROR,
3472                          SSL_F_TLS_PREPARE_CLIENT_CERTIFICATE,
3473                          SSL_R_CALLBACK_FAILED);
3474                 return WORK_ERROR;
3475             }
3476             s->rwstate = SSL_NOTHING;
3477         }
3478         if (ssl3_check_client_certificate(s)) {
3479             if (s->post_handshake_auth == SSL_PHA_REQUESTED) {
3480                 return WORK_FINISHED_STOP;
3481             }
3482             return WORK_FINISHED_CONTINUE;
3483         }
3484
3485         /* Fall through to WORK_MORE_B */
3486         wst = WORK_MORE_B;
3487     }
3488
3489     /* We need to get a client cert */
3490     if (wst == WORK_MORE_B) {
3491         /*
3492          * If we get an error, we need to ssl->rwstate=SSL_X509_LOOKUP;
3493          * return(-1); We then get retied later