Indent ssl/
[openssl.git] / ssl / statem / statem_clnt.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50 #include <stdio.h>
51 #include "../ssl_locl.h"
52 #include "statem_locl.h"
53 #include <openssl/buffer.h>
54 #include <openssl/rand.h>
55 #include <openssl/objects.h>
56 #include <openssl/evp.h>
57 #include <openssl/md5.h>
58 #include <openssl/dh.h>
59 #include <openssl/bn.h>
60 #include <openssl/engine.h>
61
62 static ossl_inline int cert_req_allowed(SSL *s);
63 static int key_exchange_expected(SSL *s);
64 static int ca_dn_cmp(const X509_NAME *const *a, const X509_NAME *const *b);
65 static int ssl_cipher_list_to_bytes(SSL *s, STACK_OF(SSL_CIPHER) *sk,
66                                     unsigned char *p);
67
68 /*
69  * Is a CertificateRequest message allowed at the moment or not?
70  *
71  *  Return values are:
72  *  1: Yes
73  *  0: No
74  */
75 static ossl_inline int cert_req_allowed(SSL *s)
76 {
77     /* TLS does not like anon-DH with client cert */
78     if ((s->version > SSL3_VERSION
79          && (s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL))
80         || (s->s3->tmp.new_cipher->algorithm_auth & (SSL_aSRP | SSL_aPSK)))
81         return 0;
82
83     return 1;
84 }
85
86 /*
87  * Should we expect the ServerKeyExchange message or not?
88  *
89  *  Return values are:
90  *  1: Yes
91  *  0: No
92  */
93 static int key_exchange_expected(SSL *s)
94 {
95     long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
96
97     /*
98      * Can't skip server key exchange if this is an ephemeral
99      * ciphersuite or for SRP
100      */
101     if (alg_k & (SSL_kDHE | SSL_kECDHE | SSL_kDHEPSK | SSL_kECDHEPSK
102                  | SSL_kSRP)) {
103         return 1;
104     }
105
106     return 0;
107 }
108
109 /*
110  * ossl_statem_client_read_transition() encapsulates the logic for the allowed
111  * handshake state transitions when the client is reading messages from the
112  * server. The message type that the server has sent is provided in |mt|. The
113  * current state is in |s->statem.hand_state|.
114  *
115  *  Return values are:
116  *  1: Success (transition allowed)
117  *  0: Error (transition not allowed)
118  */
119 int ossl_statem_client_read_transition(SSL *s, int mt)
120 {
121     OSSL_STATEM *st = &s->statem;
122     int ske_expected;
123
124     switch (st->hand_state) {
125     case TLS_ST_CW_CLNT_HELLO:
126         if (mt == SSL3_MT_SERVER_HELLO) {
127             st->hand_state = TLS_ST_CR_SRVR_HELLO;
128             return 1;
129         }
130
131         if (SSL_IS_DTLS(s)) {
132             if (mt == DTLS1_MT_HELLO_VERIFY_REQUEST) {
133                 st->hand_state = DTLS_ST_CR_HELLO_VERIFY_REQUEST;
134                 return 1;
135             }
136         }
137         break;
138
139     case TLS_ST_CR_SRVR_HELLO:
140         if (s->hit) {
141             if (s->tlsext_ticket_expected) {
142                 if (mt == SSL3_MT_NEWSESSION_TICKET) {
143                     st->hand_state = TLS_ST_CR_SESSION_TICKET;
144                     return 1;
145                 }
146             } else if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
147                 st->hand_state = TLS_ST_CR_CHANGE;
148                 return 1;
149             }
150         } else {
151             if (SSL_IS_DTLS(s) && mt == DTLS1_MT_HELLO_VERIFY_REQUEST) {
152                 st->hand_state = DTLS_ST_CR_HELLO_VERIFY_REQUEST;
153                 return 1;
154             } else if (s->version >= TLS1_VERSION
155                        && s->tls_session_secret_cb != NULL
156                        && s->session->tlsext_tick != NULL
157                        && mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
158                 /*
159                  * Normally, we can tell if the server is resuming the session
160                  * from the session ID. EAP-FAST (RFC 4851), however, relies on
161                  * the next server message after the ServerHello to determine if
162                  * the server is resuming.
163                  */
164                 s->hit = 1;
165                 st->hand_state = TLS_ST_CR_CHANGE;
166                 return 1;
167             } else if (!(s->s3->tmp.new_cipher->algorithm_auth
168                          & (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
169                 if (mt == SSL3_MT_CERTIFICATE) {
170                     st->hand_state = TLS_ST_CR_CERT;
171                     return 1;
172                 }
173             } else {
174                 ske_expected = key_exchange_expected(s);
175                 /* SKE is optional for some PSK ciphersuites */
176                 if (ske_expected
177                     || ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)
178                         && mt == SSL3_MT_SERVER_KEY_EXCHANGE)) {
179                     if (mt == SSL3_MT_SERVER_KEY_EXCHANGE) {
180                         st->hand_state = TLS_ST_CR_KEY_EXCH;
181                         return 1;
182                     }
183                 } else if (mt == SSL3_MT_CERTIFICATE_REQUEST
184                            && cert_req_allowed(s)) {
185                     st->hand_state = TLS_ST_CR_CERT_REQ;
186                     return 1;
187                 } else if (mt == SSL3_MT_SERVER_DONE) {
188                     st->hand_state = TLS_ST_CR_SRVR_DONE;
189                     return 1;
190                 }
191             }
192         }
193         break;
194
195     case TLS_ST_CR_CERT:
196         /*
197          * The CertificateStatus message is optional even if
198          * |tlsext_status_expected| is set
199          */
200         if (s->tlsext_status_expected && mt == SSL3_MT_CERTIFICATE_STATUS) {
201             st->hand_state = TLS_ST_CR_CERT_STATUS;
202             return 1;
203         }
204         /* Fall through */
205
206     case TLS_ST_CR_CERT_STATUS:
207         ske_expected = key_exchange_expected(s);
208         /* SKE is optional for some PSK ciphersuites */
209         if (ske_expected || ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)
210                              && mt == SSL3_MT_SERVER_KEY_EXCHANGE)) {
211             if (mt == SSL3_MT_SERVER_KEY_EXCHANGE) {
212                 st->hand_state = TLS_ST_CR_KEY_EXCH;
213                 return 1;
214             }
215             goto err;
216         }
217         /* Fall through */
218
219     case TLS_ST_CR_KEY_EXCH:
220         if (mt == SSL3_MT_CERTIFICATE_REQUEST) {
221             if (cert_req_allowed(s)) {
222                 st->hand_state = TLS_ST_CR_CERT_REQ;
223                 return 1;
224             }
225             goto err;
226         }
227         /* Fall through */
228
229     case TLS_ST_CR_CERT_REQ:
230         if (mt == SSL3_MT_SERVER_DONE) {
231             st->hand_state = TLS_ST_CR_SRVR_DONE;
232             return 1;
233         }
234         break;
235
236     case TLS_ST_CW_FINISHED:
237         if (s->tlsext_ticket_expected) {
238             if (mt == SSL3_MT_NEWSESSION_TICKET) {
239                 st->hand_state = TLS_ST_CR_SESSION_TICKET;
240                 return 1;
241             }
242         } else if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
243             st->hand_state = TLS_ST_CR_CHANGE;
244             return 1;
245         }
246         break;
247
248     case TLS_ST_CR_SESSION_TICKET:
249         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
250             st->hand_state = TLS_ST_CR_CHANGE;
251             return 1;
252         }
253         break;
254
255     case TLS_ST_CR_CHANGE:
256         if (mt == SSL3_MT_FINISHED) {
257             st->hand_state = TLS_ST_CR_FINISHED;
258             return 1;
259         }
260         break;
261
262     default:
263         break;
264     }
265
266  err:
267     /* No valid transition found */
268     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
269     SSLerr(SSL_F_OSSL_STATEM_CLIENT_READ_TRANSITION, SSL_R_UNEXPECTED_MESSAGE);
270     return 0;
271 }
272
273 /*
274  * client_write_transition() works out what handshake state to move to next
275  * when the client is writing messages to be sent to the server.
276  */
277 WRITE_TRAN ossl_statem_client_write_transition(SSL *s)
278 {
279     OSSL_STATEM *st = &s->statem;
280
281     switch (st->hand_state) {
282     case TLS_ST_OK:
283         /* Renegotiation - fall through */
284     case TLS_ST_BEFORE:
285         st->hand_state = TLS_ST_CW_CLNT_HELLO;
286         return WRITE_TRAN_CONTINUE;
287
288     case TLS_ST_CW_CLNT_HELLO:
289         /*
290          * No transition at the end of writing because we don't know what
291          * we will be sent
292          */
293         return WRITE_TRAN_FINISHED;
294
295     case DTLS_ST_CR_HELLO_VERIFY_REQUEST:
296         st->hand_state = TLS_ST_CW_CLNT_HELLO;
297         return WRITE_TRAN_CONTINUE;
298
299     case TLS_ST_CR_SRVR_DONE:
300         if (s->s3->tmp.cert_req)
301             st->hand_state = TLS_ST_CW_CERT;
302         else
303             st->hand_state = TLS_ST_CW_KEY_EXCH;
304         return WRITE_TRAN_CONTINUE;
305
306     case TLS_ST_CW_CERT:
307         st->hand_state = TLS_ST_CW_KEY_EXCH;
308         return WRITE_TRAN_CONTINUE;
309
310     case TLS_ST_CW_KEY_EXCH:
311         /*
312          * For TLS, cert_req is set to 2, so a cert chain of nothing is
313          * sent, but no verify packet is sent
314          */
315         /*
316          * XXX: For now, we do not support client authentication in ECDH
317          * cipher suites with ECDH (rather than ECDSA) certificates. We
318          * need to skip the certificate verify message when client's
319          * ECDH public key is sent inside the client certificate.
320          */
321         if (s->s3->tmp.cert_req == 1) {
322             st->hand_state = TLS_ST_CW_CERT_VRFY;
323         } else {
324             st->hand_state = TLS_ST_CW_CHANGE;
325         }
326         if (s->s3->flags & TLS1_FLAGS_SKIP_CERT_VERIFY) {
327             st->hand_state = TLS_ST_CW_CHANGE;
328         }
329         return WRITE_TRAN_CONTINUE;
330
331     case TLS_ST_CW_CERT_VRFY:
332         st->hand_state = TLS_ST_CW_CHANGE;
333         return WRITE_TRAN_CONTINUE;
334
335     case TLS_ST_CW_CHANGE:
336 #if defined(OPENSSL_NO_NEXTPROTONEG)
337         st->hand_state = TLS_ST_CW_FINISHED;
338 #else
339         if (!SSL_IS_DTLS(s) && s->s3->next_proto_neg_seen)
340             st->hand_state = TLS_ST_CW_NEXT_PROTO;
341         else
342             st->hand_state = TLS_ST_CW_FINISHED;
343 #endif
344         return WRITE_TRAN_CONTINUE;
345
346 #if !defined(OPENSSL_NO_NEXTPROTONEG)
347     case TLS_ST_CW_NEXT_PROTO:
348         st->hand_state = TLS_ST_CW_FINISHED;
349         return WRITE_TRAN_CONTINUE;
350 #endif
351
352     case TLS_ST_CW_FINISHED:
353         if (s->hit) {
354             st->hand_state = TLS_ST_OK;
355             ossl_statem_set_in_init(s, 0);
356             return WRITE_TRAN_CONTINUE;
357         } else {
358             return WRITE_TRAN_FINISHED;
359         }
360
361     case TLS_ST_CR_FINISHED:
362         if (s->hit) {
363             st->hand_state = TLS_ST_CW_CHANGE;
364             return WRITE_TRAN_CONTINUE;
365         } else {
366             st->hand_state = TLS_ST_OK;
367             ossl_statem_set_in_init(s, 0);
368             return WRITE_TRAN_CONTINUE;
369         }
370
371     default:
372         /* Shouldn't happen */
373         return WRITE_TRAN_ERROR;
374     }
375 }
376
377 /*
378  * Perform any pre work that needs to be done prior to sending a message from
379  * the client to the server.
380  */
381 WORK_STATE ossl_statem_client_pre_work(SSL *s, WORK_STATE wst)
382 {
383     OSSL_STATEM *st = &s->statem;
384
385     switch (st->hand_state) {
386     case TLS_ST_CW_CLNT_HELLO:
387         s->shutdown = 0;
388         if (SSL_IS_DTLS(s)) {
389             /* every DTLS ClientHello resets Finished MAC */
390             if (!ssl3_init_finished_mac(s)) {
391                 ossl_statem_set_error(s);
392                 return WORK_ERROR;
393             }
394         }
395         break;
396
397     case TLS_ST_CW_CHANGE:
398         if (SSL_IS_DTLS(s)) {
399             if (s->hit) {
400                 /*
401                  * We're into the last flight so we don't retransmit these
402                  * messages unless we need to.
403                  */
404                 st->use_timer = 0;
405             }
406 #ifndef OPENSSL_NO_SCTP
407             if (BIO_dgram_is_sctp(SSL_get_wbio(s)))
408                 return dtls_wait_for_dry(s);
409 #endif
410         }
411         return WORK_FINISHED_CONTINUE;
412
413     case TLS_ST_OK:
414         return tls_finish_handshake(s, wst);
415
416     default:
417         /* No pre work to be done */
418         break;
419     }
420
421     return WORK_FINISHED_CONTINUE;
422 }
423
424 /*
425  * Perform any work that needs to be done after sending a message from the
426  * client to the server.
427  */
428 WORK_STATE ossl_statem_client_post_work(SSL *s, WORK_STATE wst)
429 {
430     OSSL_STATEM *st = &s->statem;
431
432     s->init_num = 0;
433
434     switch (st->hand_state) {
435     case TLS_ST_CW_CLNT_HELLO:
436         if (wst == WORK_MORE_A && statem_flush(s) != 1)
437             return WORK_MORE_A;
438
439         if (SSL_IS_DTLS(s)) {
440             /* Treat the next message as the first packet */
441             s->first_packet = 1;
442         }
443         break;
444
445     case TLS_ST_CW_KEY_EXCH:
446         if (tls_client_key_exchange_post_work(s) == 0)
447             return WORK_ERROR;
448         break;
449
450     case TLS_ST_CW_CHANGE:
451         s->session->cipher = s->s3->tmp.new_cipher;
452 #ifdef OPENSSL_NO_COMP
453         s->session->compress_meth = 0;
454 #else
455         if (s->s3->tmp.new_compression == NULL)
456             s->session->compress_meth = 0;
457         else
458             s->session->compress_meth = s->s3->tmp.new_compression->id;
459 #endif
460         if (!s->method->ssl3_enc->setup_key_block(s))
461             return WORK_ERROR;
462
463         if (!s->method->ssl3_enc->change_cipher_state(s,
464                                                       SSL3_CHANGE_CIPHER_CLIENT_WRITE))
465             return WORK_ERROR;
466
467         if (SSL_IS_DTLS(s)) {
468 #ifndef OPENSSL_NO_SCTP
469             if (s->hit) {
470                 /*
471                  * Change to new shared key of SCTP-Auth, will be ignored if
472                  * no SCTP used.
473                  */
474                 BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
475                          0, NULL);
476             }
477 #endif
478
479             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
480         }
481         break;
482
483     case TLS_ST_CW_FINISHED:
484 #ifndef OPENSSL_NO_SCTP
485         if (wst == WORK_MORE_A && SSL_IS_DTLS(s) && s->hit == 0) {
486             /*
487              * Change to new shared key of SCTP-Auth, will be ignored if
488              * no SCTP used.
489              */
490             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
491                      0, NULL);
492         }
493 #endif
494         if (statem_flush(s) != 1)
495             return WORK_MORE_B;
496         break;
497
498     default:
499         /* No post work to be done */
500         break;
501     }
502
503     return WORK_FINISHED_CONTINUE;
504 }
505
506 /*
507  * Construct a message to be sent from the client to the server.
508  *
509  * Valid return values are:
510  *   1: Success
511  *   0: Error
512  */
513 int ossl_statem_client_construct_message(SSL *s)
514 {
515     OSSL_STATEM *st = &s->statem;
516
517     switch (st->hand_state) {
518     case TLS_ST_CW_CLNT_HELLO:
519         return tls_construct_client_hello(s);
520
521     case TLS_ST_CW_CERT:
522         return tls_construct_client_certificate(s);
523
524     case TLS_ST_CW_KEY_EXCH:
525         return tls_construct_client_key_exchange(s);
526
527     case TLS_ST_CW_CERT_VRFY:
528         return tls_construct_client_verify(s);
529
530     case TLS_ST_CW_CHANGE:
531         if (SSL_IS_DTLS(s))
532             return dtls_construct_change_cipher_spec(s);
533         else
534             return tls_construct_change_cipher_spec(s);
535
536 #if !defined(OPENSSL_NO_NEXTPROTONEG)
537     case TLS_ST_CW_NEXT_PROTO:
538         return tls_construct_next_proto(s);
539 #endif
540     case TLS_ST_CW_FINISHED:
541         return tls_construct_finished(s,
542                                       s->method->
543                                       ssl3_enc->client_finished_label,
544                                       s->method->
545                                       ssl3_enc->client_finished_label_len);
546
547     default:
548         /* Shouldn't happen */
549         break;
550     }
551
552     return 0;
553 }
554
555 /*
556  * Returns the maximum allowed length for the current message that we are
557  * reading. Excludes the message header.
558  */
559 unsigned long ossl_statem_client_max_message_size(SSL *s)
560 {
561     OSSL_STATEM *st = &s->statem;
562
563     switch (st->hand_state) {
564     case TLS_ST_CR_SRVR_HELLO:
565         return SERVER_HELLO_MAX_LENGTH;
566
567     case DTLS_ST_CR_HELLO_VERIFY_REQUEST:
568         return HELLO_VERIFY_REQUEST_MAX_LENGTH;
569
570     case TLS_ST_CR_CERT:
571         return s->max_cert_list;
572
573     case TLS_ST_CR_CERT_STATUS:
574         return SSL3_RT_MAX_PLAIN_LENGTH;
575
576     case TLS_ST_CR_KEY_EXCH:
577         return SERVER_KEY_EXCH_MAX_LENGTH;
578
579     case TLS_ST_CR_CERT_REQ:
580         /*
581          * Set to s->max_cert_list for compatibility with previous releases. In
582          * practice these messages can get quite long if servers are configured
583          * to provide a long list of acceptable CAs
584          */
585         return s->max_cert_list;
586
587     case TLS_ST_CR_SRVR_DONE:
588         return SERVER_HELLO_DONE_MAX_LENGTH;
589
590     case TLS_ST_CR_CHANGE:
591         if (s->version == DTLS1_BAD_VER)
592             return 3;
593         return CCS_MAX_LENGTH;
594
595     case TLS_ST_CR_SESSION_TICKET:
596         return SSL3_RT_MAX_PLAIN_LENGTH;
597
598     case TLS_ST_CR_FINISHED:
599         return FINISHED_MAX_LENGTH;
600
601     default:
602         /* Shouldn't happen */
603         break;
604     }
605
606     return 0;
607 }
608
609 /*
610  * Process a message that the client has been received from the server.
611  */
612 MSG_PROCESS_RETURN ossl_statem_client_process_message(SSL *s, PACKET *pkt)
613 {
614     OSSL_STATEM *st = &s->statem;
615
616     switch (st->hand_state) {
617     case TLS_ST_CR_SRVR_HELLO:
618         return tls_process_server_hello(s, pkt);
619
620     case DTLS_ST_CR_HELLO_VERIFY_REQUEST:
621         return dtls_process_hello_verify(s, pkt);
622
623     case TLS_ST_CR_CERT:
624         return tls_process_server_certificate(s, pkt);
625
626     case TLS_ST_CR_CERT_STATUS:
627         return tls_process_cert_status(s, pkt);
628
629     case TLS_ST_CR_KEY_EXCH:
630         return tls_process_key_exchange(s, pkt);
631
632     case TLS_ST_CR_CERT_REQ:
633         return tls_process_certificate_request(s, pkt);
634
635     case TLS_ST_CR_SRVR_DONE:
636         return tls_process_server_done(s, pkt);
637
638     case TLS_ST_CR_CHANGE:
639         return tls_process_change_cipher_spec(s, pkt);
640
641     case TLS_ST_CR_SESSION_TICKET:
642         return tls_process_new_session_ticket(s, pkt);
643
644     case TLS_ST_CR_FINISHED:
645         return tls_process_finished(s, pkt);
646
647     default:
648         /* Shouldn't happen */
649         break;
650     }
651
652     return MSG_PROCESS_ERROR;
653 }
654
655 /*
656  * Perform any further processing required following the receipt of a message
657  * from the server
658  */
659 WORK_STATE ossl_statem_client_post_process_message(SSL *s, WORK_STATE wst)
660 {
661     OSSL_STATEM *st = &s->statem;
662
663     switch (st->hand_state) {
664     case TLS_ST_CR_CERT_REQ:
665         return tls_prepare_client_certificate(s, wst);
666
667 #ifndef OPENSSL_NO_SCTP
668     case TLS_ST_CR_SRVR_DONE:
669         /* We only get here if we are using SCTP and we are renegotiating */
670         if (BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
671             s->s3->in_read_app_data = 2;
672             s->rwstate = SSL_READING;
673             BIO_clear_retry_flags(SSL_get_rbio(s));
674             BIO_set_retry_read(SSL_get_rbio(s));
675             ossl_statem_set_sctp_read_sock(s, 1);
676             return WORK_MORE_A;
677         }
678         ossl_statem_set_sctp_read_sock(s, 0);
679         return WORK_FINISHED_STOP;
680 #endif
681
682     default:
683         break;
684     }
685
686     /* Shouldn't happen */
687     return WORK_ERROR;
688 }
689
690 int tls_construct_client_hello(SSL *s)
691 {
692     unsigned char *buf;
693     unsigned char *p, *d;
694     int i;
695     int protverr;
696     unsigned long l;
697     int al = 0;
698 #ifndef OPENSSL_NO_COMP
699     int j;
700     SSL_COMP *comp;
701 #endif
702     SSL_SESSION *sess = s->session;
703
704     buf = (unsigned char *)s->init_buf->data;
705
706     /* Work out what SSL/TLS/DTLS version to use */
707     protverr = ssl_set_client_hello_version(s);
708     if (protverr != 0) {
709         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_HELLO, protverr);
710         goto err;
711     }
712
713     if ((sess == NULL) || !ssl_version_supported(s, sess->ssl_version) ||
714         /*
715          * In the case of EAP-FAST, we can have a pre-shared
716          * "ticket" without a session ID.
717          */
718         (!sess->session_id_length && !sess->tlsext_tick) ||
719         (sess->not_resumable)) {
720         if (!ssl_get_new_session(s, 0))
721             goto err;
722     }
723     /* else use the pre-loaded session */
724
725     p = s->s3->client_random;
726
727     /*
728      * for DTLS if client_random is initialized, reuse it, we are
729      * required to use same upon reply to HelloVerify
730      */
731     if (SSL_IS_DTLS(s)) {
732         size_t idx;
733         i = 1;
734         for (idx = 0; idx < sizeof(s->s3->client_random); idx++) {
735             if (p[idx]) {
736                 i = 0;
737                 break;
738             }
739         }
740     } else
741         i = 1;
742
743     if (i && ssl_fill_hello_random(s, 0, p, sizeof(s->s3->client_random)) <= 0)
744         goto err;
745
746     /* Do the message type and length last */
747     d = p = ssl_handshake_start(s);
748
749     /*-
750      * version indicates the negotiated version: for example from
751      * an SSLv2/v3 compatible client hello). The client_version
752      * field is the maximum version we permit and it is also
753      * used in RSA encrypted premaster secrets. Some servers can
754      * choke if we initially report a higher version then
755      * renegotiate to a lower one in the premaster secret. This
756      * didn't happen with TLS 1.0 as most servers supported it
757      * but it can with TLS 1.1 or later if the server only supports
758      * 1.0.
759      *
760      * Possible scenario with previous logic:
761      *      1. Client hello indicates TLS 1.2
762      *      2. Server hello says TLS 1.0
763      *      3. RSA encrypted premaster secret uses 1.2.
764      *      4. Handshake proceeds using TLS 1.0.
765      *      5. Server sends hello request to renegotiate.
766      *      6. Client hello indicates TLS v1.0 as we now
767      *         know that is maximum server supports.
768      *      7. Server chokes on RSA encrypted premaster secret
769      *         containing version 1.0.
770      *
771      * For interoperability it should be OK to always use the
772      * maximum version we support in client hello and then rely
773      * on the checking of version to ensure the servers isn't
774      * being inconsistent: for example initially negotiating with
775      * TLS 1.0 and renegotiating with TLS 1.2. We do this by using
776      * client_version in client hello and not resetting it to
777      * the negotiated version.
778      */
779     *(p++) = s->client_version >> 8;
780     *(p++) = s->client_version & 0xff;
781
782     /* Random stuff */
783     memcpy(p, s->s3->client_random, SSL3_RANDOM_SIZE);
784     p += SSL3_RANDOM_SIZE;
785
786     /* Session ID */
787     if (s->new_session)
788         i = 0;
789     else
790         i = s->session->session_id_length;
791     *(p++) = i;
792     if (i != 0) {
793         if (i > (int)sizeof(s->session->session_id)) {
794             SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
795             goto err;
796         }
797         memcpy(p, s->session->session_id, i);
798         p += i;
799     }
800
801     /* cookie stuff for DTLS */
802     if (SSL_IS_DTLS(s)) {
803         if (s->d1->cookie_len > sizeof(s->d1->cookie)) {
804             SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
805             goto err;
806         }
807         *(p++) = s->d1->cookie_len;
808         memcpy(p, s->d1->cookie, s->d1->cookie_len);
809         p += s->d1->cookie_len;
810     }
811
812     /* Ciphers supported */
813     i = ssl_cipher_list_to_bytes(s, SSL_get_ciphers(s), &(p[2]));
814     if (i == 0) {
815         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_HELLO, SSL_R_NO_CIPHERS_AVAILABLE);
816         goto err;
817     }
818 #ifdef OPENSSL_MAX_TLS1_2_CIPHER_LENGTH
819     /*
820      * Some servers hang if client hello > 256 bytes as hack workaround
821      * chop number of supported ciphers to keep it well below this if we
822      * use TLS v1.2
823      */
824     if (TLS1_get_version(s) >= TLS1_2_VERSION
825         && i > OPENSSL_MAX_TLS1_2_CIPHER_LENGTH)
826         i = OPENSSL_MAX_TLS1_2_CIPHER_LENGTH & ~1;
827 #endif
828     s2n(i, p);
829     p += i;
830
831     /* COMPRESSION */
832 #ifdef OPENSSL_NO_COMP
833     *(p++) = 1;
834 #else
835
836     if (!ssl_allow_compression(s) || !s->ctx->comp_methods)
837         j = 0;
838     else
839         j = sk_SSL_COMP_num(s->ctx->comp_methods);
840     *(p++) = 1 + j;
841     for (i = 0; i < j; i++) {
842         comp = sk_SSL_COMP_value(s->ctx->comp_methods, i);
843         *(p++) = comp->id;
844     }
845 #endif
846     *(p++) = 0;                 /* Add the NULL method */
847
848     /* TLS extensions */
849     if (ssl_prepare_clienthello_tlsext(s) <= 0) {
850         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
851         goto err;
852     }
853     if ((p =
854          ssl_add_clienthello_tlsext(s, p, buf + SSL3_RT_MAX_PLAIN_LENGTH,
855                                     &al)) == NULL) {
856         ssl3_send_alert(s, SSL3_AL_FATAL, al);
857         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
858         goto err;
859     }
860
861     l = p - d;
862     if (!ssl_set_handshake_header(s, SSL3_MT_CLIENT_HELLO, l)) {
863         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_HANDSHAKE_FAILURE);
864         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
865         goto err;
866     }
867
868     return 1;
869  err:
870     ossl_statem_set_error(s);
871     return 0;
872 }
873
874 MSG_PROCESS_RETURN dtls_process_hello_verify(SSL *s, PACKET *pkt)
875 {
876     int al;
877     unsigned int cookie_len;
878     PACKET cookiepkt;
879
880     if (!PACKET_forward(pkt, 2)
881         || !PACKET_get_length_prefixed_1(pkt, &cookiepkt)) {
882         al = SSL_AD_DECODE_ERROR;
883         SSLerr(SSL_F_DTLS_PROCESS_HELLO_VERIFY, SSL_R_LENGTH_MISMATCH);
884         goto f_err;
885     }
886
887     cookie_len = PACKET_remaining(&cookiepkt);
888     if (cookie_len > sizeof(s->d1->cookie)) {
889         al = SSL_AD_ILLEGAL_PARAMETER;
890         SSLerr(SSL_F_DTLS_PROCESS_HELLO_VERIFY, SSL_R_LENGTH_TOO_LONG);
891         goto f_err;
892     }
893
894     if (!PACKET_copy_bytes(&cookiepkt, s->d1->cookie, cookie_len)) {
895         al = SSL_AD_DECODE_ERROR;
896         SSLerr(SSL_F_DTLS_PROCESS_HELLO_VERIFY, SSL_R_LENGTH_MISMATCH);
897         goto f_err;
898     }
899     s->d1->cookie_len = cookie_len;
900
901     return MSG_PROCESS_FINISHED_READING;
902  f_err:
903     ssl3_send_alert(s, SSL3_AL_FATAL, al);
904     ossl_statem_set_error(s);
905     return MSG_PROCESS_ERROR;
906 }
907
908 MSG_PROCESS_RETURN tls_process_server_hello(SSL *s, PACKET *pkt)
909 {
910     STACK_OF(SSL_CIPHER) *sk;
911     const SSL_CIPHER *c;
912     PACKET session_id;
913     size_t session_id_len;
914     const unsigned char *cipherchars;
915     int i, al = SSL_AD_INTERNAL_ERROR;
916     unsigned int compression;
917     unsigned int sversion;
918     int protverr;
919 #ifndef OPENSSL_NO_COMP
920     SSL_COMP *comp;
921 #endif
922
923     if (!PACKET_get_net_2(pkt, &sversion)) {
924         al = SSL_AD_DECODE_ERROR;
925         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_LENGTH_MISMATCH);
926         goto f_err;
927     }
928
929     protverr = ssl_choose_client_version(s, sversion);
930     if (protverr != 0) {
931         al = SSL_AD_PROTOCOL_VERSION;
932         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, protverr);
933         goto f_err;
934     }
935
936     /* load the server hello data */
937     /* load the server random */
938     if (!PACKET_copy_bytes(pkt, s->s3->server_random, SSL3_RANDOM_SIZE)) {
939         al = SSL_AD_DECODE_ERROR;
940         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_LENGTH_MISMATCH);
941         goto f_err;
942     }
943
944     s->hit = 0;
945
946     /* Get the session-id. */
947     if (!PACKET_get_length_prefixed_1(pkt, &session_id)) {
948         al = SSL_AD_DECODE_ERROR;
949         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_LENGTH_MISMATCH);
950         goto f_err;
951     }
952     session_id_len = PACKET_remaining(&session_id);
953     if (session_id_len > sizeof s->session->session_id
954         || session_id_len > SSL3_SESSION_ID_SIZE) {
955         al = SSL_AD_ILLEGAL_PARAMETER;
956         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_SSL3_SESSION_ID_TOO_LONG);
957         goto f_err;
958     }
959
960     if (!PACKET_get_bytes(pkt, &cipherchars, TLS_CIPHER_LEN)) {
961         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_LENGTH_MISMATCH);
962         al = SSL_AD_DECODE_ERROR;
963         goto f_err;
964     }
965
966     /*
967      * Check if we can resume the session based on external pre-shared secret.
968      * EAP-FAST (RFC 4851) supports two types of session resumption.
969      * Resumption based on server-side state works with session IDs.
970      * Resumption based on pre-shared Protected Access Credentials (PACs)
971      * works by overriding the SessionTicket extension at the application
972      * layer, and does not send a session ID. (We do not know whether EAP-FAST
973      * servers would honour the session ID.) Therefore, the session ID alone
974      * is not a reliable indicator of session resumption, so we first check if
975      * we can resume, and later peek at the next handshake message to see if the
976      * server wants to resume.
977      */
978     if (s->version >= TLS1_VERSION && s->tls_session_secret_cb &&
979         s->session->tlsext_tick) {
980         const SSL_CIPHER *pref_cipher = NULL;
981         s->session->master_key_length = sizeof(s->session->master_key);
982         if (s->tls_session_secret_cb(s, s->session->master_key,
983                                      &s->session->master_key_length,
984                                      NULL, &pref_cipher,
985                                      s->tls_session_secret_cb_arg)) {
986             s->session->cipher = pref_cipher ?
987                 pref_cipher : ssl_get_cipher_by_char(s, cipherchars);
988         } else {
989             SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
990             al = SSL_AD_INTERNAL_ERROR;
991             goto f_err;
992         }
993     }
994
995     if (session_id_len != 0 && session_id_len == s->session->session_id_length
996         && memcmp(PACKET_data(&session_id), s->session->session_id,
997                   session_id_len) == 0) {
998         if (s->sid_ctx_length != s->session->sid_ctx_length
999             || memcmp(s->session->sid_ctx, s->sid_ctx, s->sid_ctx_length)) {
1000             /* actually a client application bug */
1001             al = SSL_AD_ILLEGAL_PARAMETER;
1002             SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO,
1003                    SSL_R_ATTEMPT_TO_REUSE_SESSION_IN_DIFFERENT_CONTEXT);
1004             goto f_err;
1005         }
1006         s->hit = 1;
1007     } else {
1008         /*
1009          * If we were trying for session-id reuse but the server
1010          * didn't echo the ID, make a new SSL_SESSION.
1011          * In the case of EAP-FAST and PAC, we do not send a session ID,
1012          * so the PAC-based session secret is always preserved. It'll be
1013          * overwritten if the server refuses resumption.
1014          */
1015         if (s->session->session_id_length > 0) {
1016             s->ctx->stats.sess_miss++;
1017             if (!ssl_get_new_session(s, 0)) {
1018                 goto f_err;
1019             }
1020         }
1021
1022         s->session->ssl_version = s->version;
1023         s->session->session_id_length = session_id_len;
1024         /* session_id_len could be 0 */
1025         memcpy(s->session->session_id, PACKET_data(&session_id),
1026                session_id_len);
1027     }
1028
1029     /* Session version and negotiated protocol version should match */
1030     if (s->version != s->session->ssl_version) {
1031         al = SSL_AD_PROTOCOL_VERSION;
1032
1033         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO,
1034                SSL_R_SSL_SESSION_VERSION_MISMATCH);
1035         goto f_err;
1036     }
1037
1038     c = ssl_get_cipher_by_char(s, cipherchars);
1039     if (c == NULL) {
1040         /* unknown cipher */
1041         al = SSL_AD_ILLEGAL_PARAMETER;
1042         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_UNKNOWN_CIPHER_RETURNED);
1043         goto f_err;
1044     }
1045     /*
1046      * Now that we know the version, update the check to see if it's an allowed
1047      * version.
1048      */
1049     s->s3->tmp.min_ver = s->version;
1050     s->s3->tmp.max_ver = s->version;
1051     /*
1052      * If it is a disabled cipher we either didn't send it in client hello,
1053      * or it's not allowed for the selected protocol. So we return an error.
1054      */
1055     if (ssl_cipher_disabled(s, c, SSL_SECOP_CIPHER_CHECK)) {
1056         al = SSL_AD_ILLEGAL_PARAMETER;
1057         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_WRONG_CIPHER_RETURNED);
1058         goto f_err;
1059     }
1060
1061     sk = ssl_get_ciphers_by_id(s);
1062     i = sk_SSL_CIPHER_find(sk, c);
1063     if (i < 0) {
1064         /* we did not say we would use this cipher */
1065         al = SSL_AD_ILLEGAL_PARAMETER;
1066         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_WRONG_CIPHER_RETURNED);
1067         goto f_err;
1068     }
1069
1070     /*
1071      * Depending on the session caching (internal/external), the cipher
1072      * and/or cipher_id values may not be set. Make sure that cipher_id is
1073      * set and use it for comparison.
1074      */
1075     if (s->session->cipher)
1076         s->session->cipher_id = s->session->cipher->id;
1077     if (s->hit && (s->session->cipher_id != c->id)) {
1078         al = SSL_AD_ILLEGAL_PARAMETER;
1079         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO,
1080                SSL_R_OLD_SESSION_CIPHER_NOT_RETURNED);
1081         goto f_err;
1082     }
1083     s->s3->tmp.new_cipher = c;
1084     /* lets get the compression algorithm */
1085     /* COMPRESSION */
1086     if (!PACKET_get_1(pkt, &compression)) {
1087         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_LENGTH_MISMATCH);
1088         al = SSL_AD_DECODE_ERROR;
1089         goto f_err;
1090     }
1091 #ifdef OPENSSL_NO_COMP
1092     if (compression != 0) {
1093         al = SSL_AD_ILLEGAL_PARAMETER;
1094         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO,
1095                SSL_R_UNSUPPORTED_COMPRESSION_ALGORITHM);
1096         goto f_err;
1097     }
1098     /*
1099      * If compression is disabled we'd better not try to resume a session
1100      * using compression.
1101      */
1102     if (s->session->compress_meth != 0) {
1103         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1104         goto f_err;
1105     }
1106 #else
1107     if (s->hit && compression != s->session->compress_meth) {
1108         al = SSL_AD_ILLEGAL_PARAMETER;
1109         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO,
1110                SSL_R_OLD_SESSION_COMPRESSION_ALGORITHM_NOT_RETURNED);
1111         goto f_err;
1112     }
1113     if (compression == 0)
1114         comp = NULL;
1115     else if (!ssl_allow_compression(s)) {
1116         al = SSL_AD_ILLEGAL_PARAMETER;
1117         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_COMPRESSION_DISABLED);
1118         goto f_err;
1119     } else {
1120         comp = ssl3_comp_find(s->ctx->comp_methods, compression);
1121     }
1122
1123     if (compression != 0 && comp == NULL) {
1124         al = SSL_AD_ILLEGAL_PARAMETER;
1125         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO,
1126                SSL_R_UNSUPPORTED_COMPRESSION_ALGORITHM);
1127         goto f_err;
1128     } else {
1129         s->s3->tmp.new_compression = comp;
1130     }
1131 #endif
1132
1133     /* TLS extensions */
1134     if (!ssl_parse_serverhello_tlsext(s, pkt)) {
1135         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_PARSE_TLSEXT);
1136         goto err;
1137     }
1138
1139     if (PACKET_remaining(pkt) != 0) {
1140         /* wrong packet length */
1141         al = SSL_AD_DECODE_ERROR;
1142         SSLerr(SSL_F_TLS_PROCESS_SERVER_HELLO, SSL_R_BAD_PACKET_LENGTH);
1143         goto f_err;
1144     }
1145 #ifndef OPENSSL_NO_SCTP
1146     if (SSL_IS_DTLS(s) && s->hit) {
1147         unsigned char sctpauthkey[64];
1148         char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
1149
1150         /*
1151          * Add new shared key for SCTP-Auth, will be ignored if
1152          * no SCTP used.
1153          */
1154         memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
1155                sizeof(DTLS1_SCTP_AUTH_LABEL));
1156
1157         if (SSL_export_keying_material(s, sctpauthkey,
1158                                        sizeof(sctpauthkey),
1159                                        labelbuffer,
1160                                        sizeof(labelbuffer), NULL, 0, 0) <= 0)
1161             goto err;
1162
1163         BIO_ctrl(SSL_get_wbio(s),
1164                  BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
1165                  sizeof(sctpauthkey), sctpauthkey);
1166     }
1167 #endif
1168
1169     return MSG_PROCESS_CONTINUE_READING;
1170  f_err:
1171     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1172  err:
1173     ossl_statem_set_error(s);
1174     return MSG_PROCESS_ERROR;
1175 }
1176
1177 MSG_PROCESS_RETURN tls_process_server_certificate(SSL *s, PACKET *pkt)
1178 {
1179     int al, i, ret = MSG_PROCESS_ERROR, exp_idx;
1180     unsigned long cert_list_len, cert_len;
1181     X509 *x = NULL;
1182     const unsigned char *certstart, *certbytes;
1183     STACK_OF(X509) *sk = NULL;
1184     EVP_PKEY *pkey = NULL;
1185
1186     if ((sk = sk_X509_new_null()) == NULL) {
1187         SSLerr(SSL_F_TLS_PROCESS_SERVER_CERTIFICATE, ERR_R_MALLOC_FAILURE);
1188         goto err;
1189     }
1190
1191     if (!PACKET_get_net_3(pkt, &cert_list_len)
1192         || PACKET_remaining(pkt) != cert_list_len) {
1193         al = SSL_AD_DECODE_ERROR;
1194         SSLerr(SSL_F_TLS_PROCESS_SERVER_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
1195         goto f_err;
1196     }
1197     while (PACKET_remaining(pkt)) {
1198         if (!PACKET_get_net_3(pkt, &cert_len)
1199             || !PACKET_get_bytes(pkt, &certbytes, cert_len)) {
1200             al = SSL_AD_DECODE_ERROR;
1201             SSLerr(SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1202                    SSL_R_CERT_LENGTH_MISMATCH);
1203             goto f_err;
1204         }
1205
1206         certstart = certbytes;
1207         x = d2i_X509(NULL, (const unsigned char **)&certbytes, cert_len);
1208         if (x == NULL) {
1209             al = SSL_AD_BAD_CERTIFICATE;
1210             SSLerr(SSL_F_TLS_PROCESS_SERVER_CERTIFICATE, ERR_R_ASN1_LIB);
1211             goto f_err;
1212         }
1213         if (certbytes != (certstart + cert_len)) {
1214             al = SSL_AD_DECODE_ERROR;
1215             SSLerr(SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1216                    SSL_R_CERT_LENGTH_MISMATCH);
1217             goto f_err;
1218         }
1219         if (!sk_X509_push(sk, x)) {
1220             SSLerr(SSL_F_TLS_PROCESS_SERVER_CERTIFICATE, ERR_R_MALLOC_FAILURE);
1221             goto err;
1222         }
1223         x = NULL;
1224     }
1225
1226     i = ssl_verify_cert_chain(s, sk);
1227     if ((s->verify_mode & SSL_VERIFY_PEER) && i <= 0) {
1228         al = ssl_verify_alarm_type(s->verify_result);
1229         SSLerr(SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1230                SSL_R_CERTIFICATE_VERIFY_FAILED);
1231         goto f_err;
1232     }
1233     ERR_clear_error();          /* but we keep s->verify_result */
1234     if (i > 1) {
1235         SSLerr(SSL_F_TLS_PROCESS_SERVER_CERTIFICATE, i);
1236         al = SSL_AD_HANDSHAKE_FAILURE;
1237         goto f_err;
1238     }
1239
1240     s->session->peer_chain = sk;
1241     /*
1242      * Inconsistency alert: cert_chain does include the peer's certificate,
1243      * which we don't include in statem_srvr.c
1244      */
1245     x = sk_X509_value(sk, 0);
1246     sk = NULL;
1247     /*
1248      * VRS 19990621: possible memory leak; sk=null ==> !sk_pop_free() @end
1249      */
1250
1251     pkey = X509_get0_pubkey(x);
1252
1253     if (pkey == NULL || EVP_PKEY_missing_parameters(pkey)) {
1254         x = NULL;
1255         al = SSL3_AL_FATAL;
1256         SSLerr(SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1257                SSL_R_UNABLE_TO_FIND_PUBLIC_KEY_PARAMETERS);
1258         goto f_err;
1259     }
1260
1261     i = ssl_cert_type(x, pkey);
1262     if (i < 0) {
1263         x = NULL;
1264         al = SSL3_AL_FATAL;
1265         SSLerr(SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1266                SSL_R_UNKNOWN_CERTIFICATE_TYPE);
1267         goto f_err;
1268     }
1269
1270     exp_idx = ssl_cipher_get_cert_index(s->s3->tmp.new_cipher);
1271     if (exp_idx >= 0 && i != exp_idx
1272         && (exp_idx != SSL_PKEY_GOST_EC ||
1273             (i != SSL_PKEY_GOST12_512 && i != SSL_PKEY_GOST12_256
1274              && i != SSL_PKEY_GOST01))) {
1275         x = NULL;
1276         al = SSL_AD_ILLEGAL_PARAMETER;
1277         SSLerr(SSL_F_TLS_PROCESS_SERVER_CERTIFICATE,
1278                SSL_R_WRONG_CERTIFICATE_TYPE);
1279         goto f_err;
1280     }
1281     s->session->peer_type = i;
1282
1283     X509_free(s->session->peer);
1284     X509_up_ref(x);
1285     s->session->peer = x;
1286     s->session->verify_result = s->verify_result;
1287
1288     x = NULL;
1289     ret = MSG_PROCESS_CONTINUE_READING;
1290     goto done;
1291
1292  f_err:
1293     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1294  err:
1295     ossl_statem_set_error(s);
1296  done:
1297     X509_free(x);
1298     sk_X509_pop_free(sk, X509_free);
1299     return ret;
1300 }
1301
1302 static int tls_process_ske_psk_preamble(SSL *s, PACKET *pkt, int *al)
1303 {
1304 #ifndef OPENSSL_NO_PSK
1305     PACKET psk_identity_hint;
1306
1307     /* PSK ciphersuites are preceded by an identity hint */
1308
1309     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity_hint)) {
1310         *al = SSL_AD_DECODE_ERROR;
1311         SSLerr(SSL_F_TLS_PROCESS_SKE_PSK_PREAMBLE, SSL_R_LENGTH_MISMATCH);
1312         return 0;
1313     }
1314
1315     /*
1316      * Store PSK identity hint for later use, hint is used in
1317      * tls_construct_client_key_exchange.  Assume that the maximum length of
1318      * a PSK identity hint can be as long as the maximum length of a PSK
1319      * identity.
1320      */
1321     if (PACKET_remaining(&psk_identity_hint) > PSK_MAX_IDENTITY_LEN) {
1322         *al = SSL_AD_HANDSHAKE_FAILURE;
1323         SSLerr(SSL_F_TLS_PROCESS_SKE_PSK_PREAMBLE, SSL_R_DATA_LENGTH_TOO_LONG);
1324         return 0;
1325     }
1326
1327     if (PACKET_remaining(&psk_identity_hint) == 0) {
1328         OPENSSL_free(s->session->psk_identity_hint);
1329         s->session->psk_identity_hint = NULL;
1330     } else if (!PACKET_strndup(&psk_identity_hint,
1331                                &s->session->psk_identity_hint)) {
1332         *al = SSL_AD_INTERNAL_ERROR;
1333         return 0;
1334     }
1335
1336     return 1;
1337 #else
1338     SSLerr(SSL_F_TLS_PROCESS_SKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
1339     *al = SSL_AD_INTERNAL_ERROR;
1340     return 0;
1341 #endif
1342 }
1343
1344 static int tls_process_ske_srp(SSL *s, PACKET *pkt, EVP_PKEY **pkey, int *al)
1345 {
1346 #ifndef OPENSSL_NO_SRP
1347     PACKET prime, generator, salt, server_pub;
1348
1349     if (!PACKET_get_length_prefixed_2(pkt, &prime)
1350         || !PACKET_get_length_prefixed_2(pkt, &generator)
1351         || !PACKET_get_length_prefixed_1(pkt, &salt)
1352         || !PACKET_get_length_prefixed_2(pkt, &server_pub)) {
1353         *al = SSL_AD_DECODE_ERROR;
1354         SSLerr(SSL_F_TLS_PROCESS_SKE_SRP, SSL_R_LENGTH_MISMATCH);
1355         return 0;
1356     }
1357
1358     if ((s->srp_ctx.N =
1359          BN_bin2bn(PACKET_data(&prime),
1360                    PACKET_remaining(&prime), NULL)) == NULL
1361         || (s->srp_ctx.g =
1362             BN_bin2bn(PACKET_data(&generator),
1363                       PACKET_remaining(&generator), NULL)) == NULL
1364         || (s->srp_ctx.s =
1365             BN_bin2bn(PACKET_data(&salt),
1366                       PACKET_remaining(&salt), NULL)) == NULL
1367         || (s->srp_ctx.B =
1368             BN_bin2bn(PACKET_data(&server_pub),
1369                       PACKET_remaining(&server_pub), NULL)) == NULL) {
1370         *al = SSL_AD_INTERNAL_ERROR;
1371         SSLerr(SSL_F_TLS_PROCESS_SKE_SRP, ERR_R_BN_LIB);
1372         return 0;
1373     }
1374
1375     if (!srp_verify_server_param(s, al)) {
1376         *al = SSL_AD_DECODE_ERROR;
1377         SSLerr(SSL_F_TLS_PROCESS_SKE_SRP, SSL_R_BAD_SRP_PARAMETERS);
1378         return 0;
1379     }
1380
1381     /* We must check if there is a certificate */
1382     if (s->s3->tmp.new_cipher->algorithm_auth & (SSL_aRSA | SSL_aDSS))
1383         *pkey = X509_get0_pubkey(s->session->peer);
1384
1385     return 1;
1386 #else
1387     SSLerr(SSL_F_TLS_PROCESS_SKE_SRP, ERR_R_INTERNAL_ERROR);
1388     *al = SSL_AD_INTERNAL_ERROR;
1389     return 0;
1390 #endif
1391 }
1392
1393 static int tls_process_ske_dhe(SSL *s, PACKET *pkt, EVP_PKEY **pkey, int *al)
1394 {
1395 #ifndef OPENSSL_NO_DH
1396     PACKET prime, generator, pub_key;
1397     EVP_PKEY *peer_tmp = NULL;
1398
1399     DH *dh = NULL;
1400     BIGNUM *p = NULL, *g = NULL, *bnpub_key = NULL;
1401
1402     if (!PACKET_get_length_prefixed_2(pkt, &prime)
1403         || !PACKET_get_length_prefixed_2(pkt, &generator)
1404         || !PACKET_get_length_prefixed_2(pkt, &pub_key)) {
1405         *al = SSL_AD_DECODE_ERROR;
1406         SSLerr(SSL_F_TLS_PROCESS_SKE_DHE, SSL_R_LENGTH_MISMATCH);
1407         return 0;
1408     }
1409
1410     peer_tmp = EVP_PKEY_new();
1411     dh = DH_new();
1412
1413     if (peer_tmp == NULL || dh == NULL) {
1414         *al = SSL_AD_INTERNAL_ERROR;
1415         SSLerr(SSL_F_TLS_PROCESS_SKE_DHE, ERR_R_MALLOC_FAILURE);
1416         goto err;
1417     }
1418
1419     p = BN_bin2bn(PACKET_data(&prime), PACKET_remaining(&prime), NULL);
1420     g = BN_bin2bn(PACKET_data(&generator), PACKET_remaining(&generator), NULL);
1421     bnpub_key = BN_bin2bn(PACKET_data(&pub_key), PACKET_remaining(&pub_key),
1422                           NULL);
1423     if (p == NULL || g == NULL || bnpub_key == NULL) {
1424         *al = SSL_AD_INTERNAL_ERROR;
1425         SSLerr(SSL_F_TLS_PROCESS_SKE_DHE, ERR_R_BN_LIB);
1426         goto err;
1427     }
1428
1429     if (BN_is_zero(p) || BN_is_zero(g) || BN_is_zero(bnpub_key)) {
1430         *al = SSL_AD_DECODE_ERROR;
1431         SSLerr(SSL_F_TLS_PROCESS_SKE_DHE, SSL_R_BAD_DH_VALUE);
1432         goto err;
1433     }
1434
1435     if (!DH_set0_pqg(dh, p, NULL, g)) {
1436         *al = SSL_AD_INTERNAL_ERROR;
1437         SSLerr(SSL_F_TLS_PROCESS_SKE_DHE, ERR_R_BN_LIB);
1438         goto err;
1439     }
1440     p = g = NULL;
1441
1442     if (!DH_set0_key(dh, bnpub_key, NULL)) {
1443         *al = SSL_AD_INTERNAL_ERROR;
1444         SSLerr(SSL_F_TLS_PROCESS_SKE_DHE, ERR_R_BN_LIB);
1445         goto err;
1446     }
1447     bnpub_key = NULL;
1448
1449     if (!ssl_security(s, SSL_SECOP_TMP_DH, DH_security_bits(dh), 0, dh)) {
1450         *al = SSL_AD_HANDSHAKE_FAILURE;
1451         SSLerr(SSL_F_TLS_PROCESS_SKE_DHE, SSL_R_DH_KEY_TOO_SMALL);
1452         goto err;
1453     }
1454
1455     if (EVP_PKEY_assign_DH(peer_tmp, dh) == 0) {
1456         *al = SSL_AD_INTERNAL_ERROR;
1457         SSLerr(SSL_F_TLS_PROCESS_SKE_DHE, ERR_R_EVP_LIB);
1458         goto err;
1459     }
1460
1461     s->s3->peer_tmp = peer_tmp;
1462
1463     /*
1464      * FIXME: This makes assumptions about which ciphersuites come with
1465      * public keys. We should have a less ad-hoc way of doing this
1466      */
1467     if (s->s3->tmp.new_cipher->algorithm_auth & (SSL_aRSA | SSL_aDSS))
1468         *pkey = X509_get0_pubkey(s->session->peer);
1469     /* else anonymous DH, so no certificate or pkey. */
1470
1471     return 1;
1472
1473  err:
1474     BN_free(p);
1475     BN_free(g);
1476     BN_free(bnpub_key);
1477     DH_free(dh);
1478     EVP_PKEY_free(peer_tmp);
1479
1480     return 0;
1481 #else
1482     SSLerr(SSL_F_TLS_PROCESS_SKE_DHE, ERR_R_INTERNAL_ERROR);
1483     *al = SSL_AD_INTERNAL_ERROR;
1484     return 0;
1485 #endif
1486 }
1487
1488 static int tls_process_ske_ecdhe(SSL *s, PACKET *pkt, EVP_PKEY **pkey, int *al)
1489 {
1490 #ifndef OPENSSL_NO_EC
1491     PACKET encoded_pt;
1492     const unsigned char *ecparams;
1493     int curve_nid;
1494     unsigned int curve_flags;
1495     EVP_PKEY_CTX *pctx = NULL;
1496
1497     /*
1498      * Extract elliptic curve parameters and the server's ephemeral ECDH
1499      * public key. For now we only support named (not generic) curves and
1500      * ECParameters in this case is just three bytes.
1501      */
1502     if (!PACKET_get_bytes(pkt, &ecparams, 3)) {
1503         *al = SSL_AD_DECODE_ERROR;
1504         SSLerr(SSL_F_TLS_PROCESS_SKE_ECDHE, SSL_R_LENGTH_TOO_SHORT);
1505         return 0;
1506     }
1507     /*
1508      * Check curve is one of our preferences, if not server has sent an
1509      * invalid curve. ECParameters is 3 bytes.
1510      */
1511     if (!tls1_check_curve(s, ecparams, 3)) {
1512         *al = SSL_AD_DECODE_ERROR;
1513         SSLerr(SSL_F_TLS_PROCESS_SKE_ECDHE, SSL_R_WRONG_CURVE);
1514         return 0;
1515     }
1516
1517     curve_nid = tls1_ec_curve_id2nid(*(ecparams + 2), &curve_flags);
1518
1519     if (curve_nid == 0) {
1520         *al = SSL_AD_INTERNAL_ERROR;
1521         SSLerr(SSL_F_TLS_PROCESS_SKE_ECDHE,
1522                SSL_R_UNABLE_TO_FIND_ECDH_PARAMETERS);
1523         return 0;
1524     }
1525
1526     if ((curve_flags & TLS_CURVE_TYPE) == TLS_CURVE_CUSTOM) {
1527         EVP_PKEY *key = EVP_PKEY_new();
1528
1529         if (key == NULL || !EVP_PKEY_set_type(key, curve_nid)) {
1530             *al = SSL_AD_INTERNAL_ERROR;
1531             SSLerr(SSL_F_TLS_PROCESS_SKE_ECDHE, ERR_R_EVP_LIB);
1532             EVP_PKEY_free(key);
1533             return 0;
1534         }
1535         s->s3->peer_tmp = key;
1536     } else {
1537         /* Set up EVP_PKEY with named curve as parameters */
1538         pctx = EVP_PKEY_CTX_new_id(EVP_PKEY_EC, NULL);
1539         if (pctx == NULL
1540             || EVP_PKEY_paramgen_init(pctx) <= 0
1541             || EVP_PKEY_CTX_set_ec_paramgen_curve_nid(pctx, curve_nid) <= 0
1542             || EVP_PKEY_paramgen(pctx, &s->s3->peer_tmp) <= 0) {
1543             *al = SSL_AD_INTERNAL_ERROR;
1544             SSLerr(SSL_F_TLS_PROCESS_SKE_ECDHE, ERR_R_EVP_LIB);
1545             EVP_PKEY_CTX_free(pctx);
1546             return 0;
1547         }
1548         EVP_PKEY_CTX_free(pctx);
1549         pctx = NULL;
1550     }
1551
1552     if (!PACKET_get_length_prefixed_1(pkt, &encoded_pt)) {
1553         *al = SSL_AD_DECODE_ERROR;
1554         SSLerr(SSL_F_TLS_PROCESS_SKE_ECDHE, SSL_R_LENGTH_MISMATCH);
1555         return 0;
1556     }
1557
1558     if (!EVP_PKEY_set1_tls_encodedpoint(s->s3->peer_tmp,
1559                                         PACKET_data(&encoded_pt),
1560                                         PACKET_remaining(&encoded_pt))) {
1561         *al = SSL_AD_DECODE_ERROR;
1562         SSLerr(SSL_F_TLS_PROCESS_SKE_ECDHE, SSL_R_BAD_ECPOINT);
1563         return 0;
1564     }
1565
1566     /*
1567      * The ECC/TLS specification does not mention the use of DSA to sign
1568      * ECParameters in the server key exchange message. We do support RSA
1569      * and ECDSA.
1570      */
1571     if (s->s3->tmp.new_cipher->algorithm_auth & SSL_aECDSA)
1572         *pkey = X509_get0_pubkey(s->session->peer);
1573     else if (s->s3->tmp.new_cipher->algorithm_auth & SSL_aRSA)
1574         *pkey = X509_get0_pubkey(s->session->peer);
1575     /* else anonymous ECDH, so no certificate or pkey. */
1576
1577     return 1;
1578 #else
1579     SSLerr(SSL_F_TLS_PROCESS_SKE_ECDHE, ERR_R_INTERNAL_ERROR);
1580     *al = SSL_AD_INTERNAL_ERROR;
1581     return 0;
1582 #endif
1583 }
1584
1585 MSG_PROCESS_RETURN tls_process_key_exchange(SSL *s, PACKET *pkt)
1586 {
1587     int al = -1;
1588     long alg_k;
1589     EVP_PKEY *pkey = NULL;
1590     PACKET save_param_start, signature;
1591
1592     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
1593
1594     save_param_start = *pkt;
1595
1596 #if !defined(OPENSSL_NO_EC) || !defined(OPENSSL_NO_DH)
1597     EVP_PKEY_free(s->s3->peer_tmp);
1598     s->s3->peer_tmp = NULL;
1599 #endif
1600
1601     if (alg_k & SSL_PSK) {
1602         if (!tls_process_ske_psk_preamble(s, pkt, &al))
1603             goto err;
1604     }
1605
1606     /* Nothing else to do for plain PSK or RSAPSK */
1607     if (alg_k & (SSL_kPSK | SSL_kRSAPSK)) {
1608     } else if (alg_k & SSL_kSRP) {
1609         if (!tls_process_ske_srp(s, pkt, &pkey, &al))
1610             goto err;
1611     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
1612         if (!tls_process_ske_dhe(s, pkt, &pkey, &al))
1613             goto err;
1614     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
1615         if (!tls_process_ske_ecdhe(s, pkt, &pkey, &al))
1616             goto err;
1617     } else if (alg_k) {
1618         al = SSL_AD_UNEXPECTED_MESSAGE;
1619         SSLerr(SSL_F_TLS_PROCESS_KEY_EXCHANGE, SSL_R_UNEXPECTED_MESSAGE);
1620         goto err;
1621     }
1622
1623     /* if it was signed, check the signature */
1624     if (pkey != NULL) {
1625         PACKET params;
1626         int maxsig;
1627         const EVP_MD *md = NULL;
1628         EVP_MD_CTX *md_ctx;
1629
1630         /*
1631          * |pkt| now points to the beginning of the signature, so the difference
1632          * equals the length of the parameters.
1633          */
1634         if (!PACKET_get_sub_packet(&save_param_start, &params,
1635                                    PACKET_remaining(&save_param_start) -
1636                                    PACKET_remaining(pkt))) {
1637             al = SSL_AD_INTERNAL_ERROR;
1638             SSLerr(SSL_F_TLS_PROCESS_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
1639             goto err;
1640         }
1641
1642         if (SSL_USE_SIGALGS(s)) {
1643             const unsigned char *sigalgs;
1644             int rv;
1645             if (!PACKET_get_bytes(pkt, &sigalgs, 2)) {
1646                 al = SSL_AD_DECODE_ERROR;
1647                 SSLerr(SSL_F_TLS_PROCESS_KEY_EXCHANGE, SSL_R_LENGTH_TOO_SHORT);
1648                 goto err;
1649             }
1650             rv = tls12_check_peer_sigalg(&md, s, sigalgs, pkey);
1651             if (rv == -1) {
1652                 al = SSL_AD_INTERNAL_ERROR;
1653                 goto err;
1654             } else if (rv == 0) {
1655                 al = SSL_AD_DECODE_ERROR;
1656                 goto err;
1657             }
1658 #ifdef SSL_DEBUG
1659             fprintf(stderr, "USING TLSv1.2 HASH %s\n", EVP_MD_name(md));
1660 #endif
1661         } else if (EVP_PKEY_id(pkey) == EVP_PKEY_RSA) {
1662             md = EVP_md5_sha1();
1663         } else {
1664             md = EVP_sha1();
1665         }
1666
1667         if (!PACKET_get_length_prefixed_2(pkt, &signature)
1668             || PACKET_remaining(pkt) != 0) {
1669             al = SSL_AD_DECODE_ERROR;
1670             SSLerr(SSL_F_TLS_PROCESS_KEY_EXCHANGE, SSL_R_LENGTH_MISMATCH);
1671             goto err;
1672         }
1673         maxsig = EVP_PKEY_size(pkey);
1674         if (maxsig < 0) {
1675             al = SSL_AD_INTERNAL_ERROR;
1676             SSLerr(SSL_F_TLS_PROCESS_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
1677             goto err;
1678         }
1679
1680         /*
1681          * Check signature length
1682          */
1683         if (PACKET_remaining(&signature) > (size_t)maxsig) {
1684             /* wrong packet length */
1685             al = SSL_AD_DECODE_ERROR;
1686             SSLerr(SSL_F_TLS_PROCESS_KEY_EXCHANGE,
1687                    SSL_R_WRONG_SIGNATURE_LENGTH);
1688             goto err;
1689         }
1690
1691         md_ctx = EVP_MD_CTX_new();
1692         if (md_ctx == NULL) {
1693             al = SSL_AD_INTERNAL_ERROR;
1694             SSLerr(SSL_F_TLS_PROCESS_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
1695             goto err;
1696         }
1697
1698         if (EVP_VerifyInit_ex(md_ctx, md, NULL) <= 0
1699             || EVP_VerifyUpdate(md_ctx, &(s->s3->client_random[0]),
1700                                 SSL3_RANDOM_SIZE) <= 0
1701             || EVP_VerifyUpdate(md_ctx, &(s->s3->server_random[0]),
1702                                 SSL3_RANDOM_SIZE) <= 0
1703             || EVP_VerifyUpdate(md_ctx, PACKET_data(&params),
1704                                 PACKET_remaining(&params)) <= 0) {
1705             EVP_MD_CTX_free(md_ctx);
1706             al = SSL_AD_INTERNAL_ERROR;
1707             SSLerr(SSL_F_TLS_PROCESS_KEY_EXCHANGE, ERR_R_EVP_LIB);
1708             goto err;
1709         }
1710         if (EVP_VerifyFinal(md_ctx, PACKET_data(&signature),
1711                             PACKET_remaining(&signature), pkey) <= 0) {
1712             /* bad signature */
1713             EVP_MD_CTX_free(md_ctx);
1714             al = SSL_AD_DECRYPT_ERROR;
1715             SSLerr(SSL_F_TLS_PROCESS_KEY_EXCHANGE, SSL_R_BAD_SIGNATURE);
1716             goto err;
1717         }
1718         EVP_MD_CTX_free(md_ctx);
1719     } else {
1720         /* aNULL, aSRP or PSK do not need public keys */
1721         if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aSRP))
1722             && !(alg_k & SSL_PSK)) {
1723             /* Might be wrong key type, check it */
1724             if (ssl3_check_cert_and_algorithm(s)) {
1725                 /* Otherwise this shouldn't happen */
1726                 al = SSL_AD_INTERNAL_ERROR;
1727                 SSLerr(SSL_F_TLS_PROCESS_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
1728             } else {
1729                 al = SSL_AD_DECODE_ERROR;
1730             }
1731             goto err;
1732         }
1733         /* still data left over */
1734         if (PACKET_remaining(pkt) != 0) {
1735             al = SSL_AD_DECODE_ERROR;
1736             SSLerr(SSL_F_TLS_PROCESS_KEY_EXCHANGE, SSL_R_EXTRA_DATA_IN_MESSAGE);
1737             goto err;
1738         }
1739     }
1740
1741     return MSG_PROCESS_CONTINUE_READING;
1742  err:
1743     if (al != -1)
1744         ssl3_send_alert(s, SSL3_AL_FATAL, al);
1745     ossl_statem_set_error(s);
1746     return MSG_PROCESS_ERROR;
1747 }
1748
1749 MSG_PROCESS_RETURN tls_process_certificate_request(SSL *s, PACKET *pkt)
1750 {
1751     int ret = MSG_PROCESS_ERROR;
1752     unsigned int list_len, ctype_num, i, name_len;
1753     X509_NAME *xn = NULL;
1754     const unsigned char *data;
1755     const unsigned char *namestart, *namebytes;
1756     STACK_OF(X509_NAME) *ca_sk = NULL;
1757
1758     if ((ca_sk = sk_X509_NAME_new(ca_dn_cmp)) == NULL) {
1759         SSLerr(SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST, ERR_R_MALLOC_FAILURE);
1760         goto err;
1761     }
1762
1763     /* get the certificate types */
1764     if (!PACKET_get_1(pkt, &ctype_num)
1765         || !PACKET_get_bytes(pkt, &data, ctype_num)) {
1766         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_DECODE_ERROR);
1767         SSLerr(SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST, SSL_R_LENGTH_MISMATCH);
1768         goto err;
1769     }
1770     OPENSSL_free(s->cert->ctypes);
1771     s->cert->ctypes = NULL;
1772     if (ctype_num > SSL3_CT_NUMBER) {
1773         /* If we exceed static buffer copy all to cert structure */
1774         s->cert->ctypes = OPENSSL_malloc(ctype_num);
1775         if (s->cert->ctypes == NULL) {
1776             SSLerr(SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST, ERR_R_MALLOC_FAILURE);
1777             goto err;
1778         }
1779         memcpy(s->cert->ctypes, data, ctype_num);
1780         s->cert->ctype_num = (size_t)ctype_num;
1781         ctype_num = SSL3_CT_NUMBER;
1782     }
1783     for (i = 0; i < ctype_num; i++)
1784         s->s3->tmp.ctype[i] = data[i];
1785
1786     if (SSL_USE_SIGALGS(s)) {
1787         if (!PACKET_get_net_2(pkt, &list_len)
1788             || !PACKET_get_bytes(pkt, &data, list_len)) {
1789             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_DECODE_ERROR);
1790             SSLerr(SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
1791                    SSL_R_LENGTH_MISMATCH);
1792             goto err;
1793         }
1794
1795         /* Clear certificate digests and validity flags */
1796         for (i = 0; i < SSL_PKEY_NUM; i++) {
1797             s->s3->tmp.md[i] = NULL;
1798             s->s3->tmp.valid_flags[i] = 0;
1799         }
1800         if ((list_len & 1) || !tls1_save_sigalgs(s, data, list_len)) {
1801             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_DECODE_ERROR);
1802             SSLerr(SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
1803                    SSL_R_SIGNATURE_ALGORITHMS_ERROR);
1804             goto err;
1805         }
1806         if (!tls1_process_sigalgs(s)) {
1807             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1808             SSLerr(SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST, ERR_R_MALLOC_FAILURE);
1809             goto err;
1810         }
1811     } else {
1812         ssl_set_default_md(s);
1813     }
1814
1815     /* get the CA RDNs */
1816     if (!PACKET_get_net_2(pkt, &list_len)
1817         || PACKET_remaining(pkt) != list_len) {
1818         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_DECODE_ERROR);
1819         SSLerr(SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST, SSL_R_LENGTH_MISMATCH);
1820         goto err;
1821     }
1822
1823     while (PACKET_remaining(pkt)) {
1824         if (!PACKET_get_net_2(pkt, &name_len)
1825             || !PACKET_get_bytes(pkt, &namebytes, name_len)) {
1826             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_DECODE_ERROR);
1827             SSLerr(SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
1828                    SSL_R_LENGTH_MISMATCH);
1829             goto err;
1830         }
1831
1832         namestart = namebytes;
1833
1834         if ((xn = d2i_X509_NAME(NULL, (const unsigned char **)&namebytes,
1835                                 name_len)) == NULL) {
1836             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_DECODE_ERROR);
1837             SSLerr(SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST, ERR_R_ASN1_LIB);
1838             goto err;
1839         }
1840
1841         if (namebytes != (namestart + name_len)) {
1842             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_DECODE_ERROR);
1843             SSLerr(SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST,
1844                    SSL_R_CA_DN_LENGTH_MISMATCH);
1845             goto err;
1846         }
1847         if (!sk_X509_NAME_push(ca_sk, xn)) {
1848             SSLerr(SSL_F_TLS_PROCESS_CERTIFICATE_REQUEST, ERR_R_MALLOC_FAILURE);
1849             goto err;
1850         }
1851         xn = NULL;
1852     }
1853
1854     /* we should setup a certificate to return.... */
1855     s->s3->tmp.cert_req = 1;
1856     s->s3->tmp.ctype_num = ctype_num;
1857     sk_X509_NAME_pop_free(s->s3->tmp.ca_names, X509_NAME_free);
1858     s->s3->tmp.ca_names = ca_sk;
1859     ca_sk = NULL;
1860
1861     ret = MSG_PROCESS_CONTINUE_PROCESSING;
1862     goto done;
1863  err:
1864     ossl_statem_set_error(s);
1865  done:
1866     X509_NAME_free(xn);
1867     sk_X509_NAME_pop_free(ca_sk, X509_NAME_free);
1868     return ret;
1869 }
1870
1871 static int ca_dn_cmp(const X509_NAME *const *a, const X509_NAME *const *b)
1872 {
1873     return (X509_NAME_cmp(*a, *b));
1874 }
1875
1876 MSG_PROCESS_RETURN tls_process_new_session_ticket(SSL *s, PACKET *pkt)
1877 {
1878     int al;
1879     unsigned int ticklen;
1880     unsigned long ticket_lifetime_hint;
1881
1882     if (!PACKET_get_net_4(pkt, &ticket_lifetime_hint)
1883         || !PACKET_get_net_2(pkt, &ticklen)
1884         || PACKET_remaining(pkt) != ticklen) {
1885         al = SSL_AD_DECODE_ERROR;
1886         SSLerr(SSL_F_TLS_PROCESS_NEW_SESSION_TICKET, SSL_R_LENGTH_MISMATCH);
1887         goto f_err;
1888     }
1889
1890     /* Server is allowed to change its mind and send an empty ticket. */
1891     if (ticklen == 0)
1892         return MSG_PROCESS_CONTINUE_READING;
1893
1894     if (s->session->session_id_length > 0) {
1895         int i = s->session_ctx->session_cache_mode;
1896         SSL_SESSION *new_sess;
1897         /*
1898          * We reused an existing session, so we need to replace it with a new
1899          * one
1900          */
1901         if (i & SSL_SESS_CACHE_CLIENT) {
1902             /*
1903              * Remove the old session from the cache. We carry on if this fails
1904              */
1905             SSL_CTX_remove_session(s->session_ctx, s->session);
1906         }
1907
1908         if ((new_sess = ssl_session_dup(s->session, 0)) == 0) {
1909             al = SSL_AD_INTERNAL_ERROR;
1910             SSLerr(SSL_F_TLS_PROCESS_NEW_SESSION_TICKET, ERR_R_MALLOC_FAILURE);
1911             goto f_err;
1912         }
1913
1914         SSL_SESSION_free(s->session);
1915         s->session = new_sess;
1916     }
1917
1918     OPENSSL_free(s->session->tlsext_tick);
1919     s->session->tlsext_ticklen = 0;
1920
1921     s->session->tlsext_tick = OPENSSL_malloc(ticklen);
1922     if (s->session->tlsext_tick == NULL) {
1923         SSLerr(SSL_F_TLS_PROCESS_NEW_SESSION_TICKET, ERR_R_MALLOC_FAILURE);
1924         goto err;
1925     }
1926     if (!PACKET_copy_bytes(pkt, s->session->tlsext_tick, ticklen)) {
1927         al = SSL_AD_DECODE_ERROR;
1928         SSLerr(SSL_F_TLS_PROCESS_NEW_SESSION_TICKET, SSL_R_LENGTH_MISMATCH);
1929         goto f_err;
1930     }
1931
1932     s->session->tlsext_tick_lifetime_hint = ticket_lifetime_hint;
1933     s->session->tlsext_ticklen = ticklen;
1934     /*
1935      * There are two ways to detect a resumed ticket session. One is to set
1936      * an appropriate session ID and then the server must return a match in
1937      * ServerHello. This allows the normal client session ID matching to work
1938      * and we know much earlier that the ticket has been accepted. The
1939      * other way is to set zero length session ID when the ticket is
1940      * presented and rely on the handshake to determine session resumption.
1941      * We choose the former approach because this fits in with assumptions
1942      * elsewhere in OpenSSL. The session ID is set to the SHA256 (or SHA1 is
1943      * SHA256 is disabled) hash of the ticket.
1944      */
1945     if (!EVP_Digest(s->session->tlsext_tick, ticklen,
1946                     s->session->session_id, &s->session->session_id_length,
1947                     EVP_sha256(), NULL)) {
1948         SSLerr(SSL_F_TLS_PROCESS_NEW_SESSION_TICKET, ERR_R_EVP_LIB);
1949         goto err;
1950     }
1951     return MSG_PROCESS_CONTINUE_READING;
1952  f_err:
1953     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1954  err:
1955     ossl_statem_set_error(s);
1956     return MSG_PROCESS_ERROR;
1957 }
1958
1959 MSG_PROCESS_RETURN tls_process_cert_status(SSL *s, PACKET *pkt)
1960 {
1961     int al;
1962     unsigned long resplen;
1963     unsigned int type;
1964
1965     if (!PACKET_get_1(pkt, &type)
1966         || type != TLSEXT_STATUSTYPE_ocsp) {
1967         al = SSL_AD_DECODE_ERROR;
1968         SSLerr(SSL_F_TLS_PROCESS_CERT_STATUS, SSL_R_UNSUPPORTED_STATUS_TYPE);
1969         goto f_err;
1970     }
1971     if (!PACKET_get_net_3(pkt, &resplen)
1972         || PACKET_remaining(pkt) != resplen) {
1973         al = SSL_AD_DECODE_ERROR;
1974         SSLerr(SSL_F_TLS_PROCESS_CERT_STATUS, SSL_R_LENGTH_MISMATCH);
1975         goto f_err;
1976     }
1977     s->tlsext_ocsp_resp = OPENSSL_malloc(resplen);
1978     if (s->tlsext_ocsp_resp == NULL) {
1979         al = SSL_AD_INTERNAL_ERROR;
1980         SSLerr(SSL_F_TLS_PROCESS_CERT_STATUS, ERR_R_MALLOC_FAILURE);
1981         goto f_err;
1982     }
1983     if (!PACKET_copy_bytes(pkt, s->tlsext_ocsp_resp, resplen)) {
1984         al = SSL_AD_DECODE_ERROR;
1985         SSLerr(SSL_F_TLS_PROCESS_CERT_STATUS, SSL_R_LENGTH_MISMATCH);
1986         goto f_err;
1987     }
1988     s->tlsext_ocsp_resplen = resplen;
1989     return MSG_PROCESS_CONTINUE_READING;
1990  f_err:
1991     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1992     ossl_statem_set_error(s);
1993     return MSG_PROCESS_ERROR;
1994 }
1995
1996 MSG_PROCESS_RETURN tls_process_server_done(SSL *s, PACKET *pkt)
1997 {
1998     if (PACKET_remaining(pkt) > 0) {
1999         /* should contain no data */
2000         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_DECODE_ERROR);
2001         SSLerr(SSL_F_TLS_PROCESS_SERVER_DONE, SSL_R_LENGTH_MISMATCH);
2002         ossl_statem_set_error(s);
2003         return MSG_PROCESS_ERROR;
2004     }
2005 #ifndef OPENSSL_NO_SRP
2006     if (s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) {
2007         if (SRP_Calc_A_param(s) <= 0) {
2008             SSLerr(SSL_F_TLS_PROCESS_SERVER_DONE, SSL_R_SRP_A_CALC);
2009             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2010             ossl_statem_set_error(s);
2011             return MSG_PROCESS_ERROR;
2012         }
2013     }
2014 #endif
2015
2016     /*
2017      * at this point we check that we have the required stuff from
2018      * the server
2019      */
2020     if (!ssl3_check_cert_and_algorithm(s)) {
2021         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_HANDSHAKE_FAILURE);
2022         ossl_statem_set_error(s);
2023         return MSG_PROCESS_ERROR;
2024     }
2025
2026     /*
2027      * Call the ocsp status callback if needed. The |tlsext_ocsp_resp| and
2028      * |tlsext_ocsp_resplen| values will be set if we actually received a status
2029      * message, or NULL and -1 otherwise
2030      */
2031     if (s->tlsext_status_type != -1 && s->ctx->tlsext_status_cb != NULL) {
2032         int ret;
2033         ret = s->ctx->tlsext_status_cb(s, s->ctx->tlsext_status_arg);
2034         if (ret == 0) {
2035             ssl3_send_alert(s, SSL3_AL_FATAL,
2036                             SSL_AD_BAD_CERTIFICATE_STATUS_RESPONSE);
2037             SSLerr(SSL_F_TLS_PROCESS_SERVER_DONE,
2038                    SSL_R_INVALID_STATUS_RESPONSE);
2039             return MSG_PROCESS_ERROR;
2040         }
2041         if (ret < 0) {
2042             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2043             SSLerr(SSL_F_TLS_PROCESS_SERVER_DONE, ERR_R_MALLOC_FAILURE);
2044             return MSG_PROCESS_ERROR;
2045         }
2046     }
2047 #ifndef OPENSSL_NO_CT
2048     if (s->ct_validation_callback != NULL) {
2049         /* Note we validate the SCTs whether or not we abort on error */
2050         if (!ssl_validate_ct(s) && (s->verify_mode & SSL_VERIFY_PEER)) {
2051             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_HANDSHAKE_FAILURE);
2052             return MSG_PROCESS_ERROR;
2053         }
2054     }
2055 #endif
2056
2057 #ifndef OPENSSL_NO_SCTP
2058     /* Only applies to renegotiation */
2059     if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s))
2060         && s->renegotiate != 0)
2061         return MSG_PROCESS_CONTINUE_PROCESSING;
2062     else
2063 #endif
2064         return MSG_PROCESS_FINISHED_READING;
2065 }
2066
2067 static int tls_construct_cke_psk_preamble(SSL *s, unsigned char **p,
2068                                           size_t *pskhdrlen, int *al)
2069 {
2070 #ifndef OPENSSL_NO_PSK
2071     int ret = 0;
2072     /*
2073      * The callback needs PSK_MAX_IDENTITY_LEN + 1 bytes to return a
2074      * \0-terminated identity. The last byte is for us for simulating
2075      * strnlen.
2076      */
2077     char identity[PSK_MAX_IDENTITY_LEN + 1];
2078     size_t identitylen = 0;
2079     unsigned char psk[PSK_MAX_PSK_LEN];
2080     unsigned char *tmppsk = NULL;
2081     char *tmpidentity = NULL;
2082     size_t psklen = 0;
2083
2084     if (s->psk_client_callback == NULL) {
2085         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE, SSL_R_PSK_NO_CLIENT_CB);
2086         *al = SSL_AD_INTERNAL_ERROR;
2087         goto err;
2088     }
2089
2090     memset(identity, 0, sizeof(identity));
2091
2092     psklen = s->psk_client_callback(s, s->session->psk_identity_hint,
2093                                     identity, sizeof(identity) - 1,
2094                                     psk, sizeof(psk));
2095
2096     if (psklen > PSK_MAX_PSK_LEN) {
2097         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2098         *al = SSL_AD_HANDSHAKE_FAILURE;
2099         goto err;
2100     } else if (psklen == 0) {
2101         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE,
2102                SSL_R_PSK_IDENTITY_NOT_FOUND);
2103         *al = SSL_AD_HANDSHAKE_FAILURE;
2104         goto err;
2105     }
2106
2107     identitylen = strlen(identity);
2108     if (identitylen > PSK_MAX_IDENTITY_LEN) {
2109         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2110         *al = SSL_AD_HANDSHAKE_FAILURE;
2111         goto err;
2112     }
2113
2114     tmppsk = OPENSSL_memdup(psk, psklen);
2115     tmpidentity = OPENSSL_strdup(identity);
2116     if (tmppsk == NULL || tmpidentity == NULL) {
2117         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE, ERR_R_MALLOC_FAILURE);
2118         *al = SSL_AD_INTERNAL_ERROR;
2119         goto err;
2120     }
2121
2122     OPENSSL_free(s->s3->tmp.psk);
2123     s->s3->tmp.psk = tmppsk;
2124     s->s3->tmp.psklen = psklen;
2125     tmppsk = NULL;
2126     OPENSSL_free(s->session->psk_identity);
2127     s->session->psk_identity = tmpidentity;
2128     tmpidentity = NULL;
2129     s2n(identitylen, *p);
2130     memcpy(*p, identity, identitylen);
2131     *pskhdrlen = 2 + identitylen;
2132     *p += identitylen;
2133
2134     ret = 1;
2135
2136  err:
2137     OPENSSL_cleanse(psk, psklen);
2138     OPENSSL_cleanse(identity, sizeof(identity));
2139     OPENSSL_clear_free(tmppsk, psklen);
2140     OPENSSL_clear_free(tmpidentity, identitylen);
2141
2142     return ret;
2143 #else
2144     SSLerr(SSL_F_TLS_CONSTRUCT_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2145     *al = SSL_AD_INTERNAL_ERROR;
2146     return 0;
2147 #endif
2148 }
2149
2150 static int tls_construct_cke_rsa(SSL *s, unsigned char **p, int *len, int *al)
2151 {
2152 #ifndef OPENSSL_NO_RSA
2153     unsigned char *q;
2154     EVP_PKEY *pkey = NULL;
2155     EVP_PKEY_CTX *pctx = NULL;
2156     size_t enclen;
2157     unsigned char *pms = NULL;
2158     size_t pmslen = 0;
2159
2160     if (s->session->peer == NULL) {
2161         /*
2162          * We should always have a server certificate with SSL_kRSA.
2163          */
2164         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_RSA, ERR_R_INTERNAL_ERROR);
2165         return 0;
2166     }
2167
2168     pkey = X509_get0_pubkey(s->session->peer);
2169     if (EVP_PKEY_get0_RSA(pkey) == NULL) {
2170         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_RSA, ERR_R_INTERNAL_ERROR);
2171         return 0;
2172     }
2173
2174     pmslen = SSL_MAX_MASTER_KEY_LENGTH;
2175     pms = OPENSSL_malloc(pmslen);
2176     if (pms == NULL) {
2177         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_RSA, ERR_R_MALLOC_FAILURE);
2178         *al = SSL_AD_INTERNAL_ERROR;
2179         return 0;
2180     }
2181
2182     pms[0] = s->client_version >> 8;
2183     pms[1] = s->client_version & 0xff;
2184     if (RAND_bytes(pms + 2, pmslen - 2) <= 0) {
2185         goto err;
2186     }
2187
2188     q = *p;
2189     /* Fix buf for TLS and beyond */
2190     if (s->version > SSL3_VERSION)
2191         *p += 2;
2192     pctx = EVP_PKEY_CTX_new(pkey, NULL);
2193     if (pctx == NULL || EVP_PKEY_encrypt_init(pctx) <= 0
2194         || EVP_PKEY_encrypt(pctx, NULL, &enclen, pms, pmslen) <= 0) {
2195         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_RSA, ERR_R_EVP_LIB);
2196         goto err;
2197     }
2198     if (EVP_PKEY_encrypt(pctx, *p, &enclen, pms, pmslen) <= 0) {
2199         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_RSA, SSL_R_BAD_RSA_ENCRYPT);
2200         goto err;
2201     }
2202     *len = enclen;
2203     EVP_PKEY_CTX_free(pctx);
2204     pctx = NULL;
2205 # ifdef PKCS1_CHECK
2206     if (s->options & SSL_OP_PKCS1_CHECK_1)
2207         (*p)[1]++;
2208     if (s->options & SSL_OP_PKCS1_CHECK_2)
2209         tmp_buf[0] = 0x70;
2210 # endif
2211
2212     /* Fix buf for TLS and beyond */
2213     if (s->version > SSL3_VERSION) {
2214         s2n(*len, q);
2215         *len += 2;
2216     }
2217
2218     s->s3->tmp.pms = pms;
2219     s->s3->tmp.pmslen = pmslen;
2220
2221     return 1;
2222  err:
2223     OPENSSL_clear_free(pms, pmslen);
2224     EVP_PKEY_CTX_free(pctx);
2225
2226     return 0;
2227 #else
2228     SSLerr(SSL_F_TLS_CONSTRUCT_CKE_RSA, ERR_R_INTERNAL_ERROR);
2229     *al = SSL_AD_INTERNAL_ERROR;
2230     return 0;
2231 #endif
2232 }
2233
2234 static int tls_construct_cke_dhe(SSL *s, unsigned char **p, int *len, int *al)
2235 {
2236 #ifndef OPENSSL_NO_DH
2237     DH *dh_clnt = NULL;
2238     const BIGNUM *pub_key;
2239     EVP_PKEY *ckey = NULL, *skey = NULL;
2240
2241     skey = s->s3->peer_tmp;
2242     if (skey == NULL) {
2243         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_DHE, ERR_R_INTERNAL_ERROR);
2244         return 0;
2245     }
2246     ckey = ssl_generate_pkey(skey);
2247     dh_clnt = EVP_PKEY_get0_DH(ckey);
2248
2249     if (dh_clnt == NULL || ssl_derive(s, ckey, skey) == 0) {
2250         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_DHE, ERR_R_INTERNAL_ERROR);
2251         EVP_PKEY_free(ckey);
2252         return 0;
2253     }
2254
2255     /* send off the data */
2256     DH_get0_key(dh_clnt, &pub_key, NULL);
2257     *len = BN_num_bytes(pub_key);
2258     s2n(*len, *p);
2259     BN_bn2bin(pub_key, *p);
2260     *len += 2;
2261     EVP_PKEY_free(ckey);
2262
2263     return 1;
2264 #else
2265     SSLerr(SSL_F_TLS_CONSTRUCT_CKE_DHE, ERR_R_INTERNAL_ERROR);
2266     *al = SSL_AD_INTERNAL_ERROR;
2267     return 0;
2268 #endif
2269 }
2270
2271 static int tls_construct_cke_ecdhe(SSL *s, unsigned char **p, int *len, int *al)
2272 {
2273 #ifndef OPENSSL_NO_EC
2274     unsigned char *encodedPoint = NULL;
2275     int encoded_pt_len = 0;
2276     EVP_PKEY *ckey = NULL, *skey = NULL;
2277
2278     skey = s->s3->peer_tmp;
2279     if (skey == NULL) {
2280         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2281         return 0;
2282     }
2283
2284     ckey = ssl_generate_pkey(skey);
2285
2286     if (ssl_derive(s, ckey, skey) == 0) {
2287         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_ECDHE, ERR_R_EVP_LIB);
2288         goto err;
2289     }
2290
2291     /* Generate encoding of client key */
2292     encoded_pt_len = EVP_PKEY_get1_tls_encodedpoint(ckey, &encodedPoint);
2293
2294     if (encoded_pt_len == 0) {
2295         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_ECDHE, ERR_R_EC_LIB);
2296         goto err;
2297     }
2298
2299     EVP_PKEY_free(ckey);
2300     ckey = NULL;
2301
2302     *len = encoded_pt_len;
2303
2304     /* length of encoded point */
2305     **p = *len;
2306     *p += 1;
2307     /* copy the point */
2308     memcpy(*p, encodedPoint, *len);
2309     /* increment len to account for length field */
2310     *len += 1;
2311
2312     OPENSSL_free(encodedPoint);
2313
2314     return 1;
2315  err:
2316     EVP_PKEY_free(ckey);
2317     return 0;
2318 #else
2319     SSLerr(SSL_F_TLS_CONSTRUCT_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2320     *al = SSL_AD_INTERNAL_ERROR;
2321     return 0;
2322 #endif
2323 }
2324
2325 static int tls_construct_cke_gost(SSL *s, unsigned char **p, int *len, int *al)
2326 {
2327 #ifndef OPENSSL_NO_GOST
2328     /* GOST key exchange message creation */
2329     EVP_PKEY_CTX *pkey_ctx = NULL;
2330     X509 *peer_cert;
2331     size_t msglen;
2332     unsigned int md_len;
2333     unsigned char shared_ukm[32], tmp[256];
2334     EVP_MD_CTX *ukm_hash = NULL;
2335     int dgst_nid = NID_id_GostR3411_94;
2336     unsigned char *pms = NULL;
2337     size_t pmslen = 0;
2338
2339     if ((s->s3->tmp.new_cipher->algorithm_auth & SSL_aGOST12) != 0)
2340         dgst_nid = NID_id_GostR3411_2012_256;
2341
2342     /*
2343      * Get server sertificate PKEY and create ctx from it
2344      */
2345     peer_cert = s->session->peer;
2346     if (!peer_cert) {
2347         *al = SSL_AD_HANDSHAKE_FAILURE;
2348         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_GOST,
2349                SSL_R_NO_GOST_CERTIFICATE_SENT_BY_PEER);
2350         return 0;
2351     }
2352
2353     pkey_ctx = EVP_PKEY_CTX_new(X509_get0_pubkey(peer_cert), NULL);
2354     if (pkey_ctx == NULL) {
2355         *al = SSL_AD_INTERNAL_ERROR;
2356         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_GOST, ERR_R_MALLOC_FAILURE);
2357         return 0;
2358     }
2359     /*
2360      * If we have send a certificate, and certificate key
2361      * parameters match those of server certificate, use
2362      * certificate key for key exchange
2363      */
2364
2365     /* Otherwise, generate ephemeral key pair */
2366     pmslen = 32;
2367     pms = OPENSSL_malloc(pmslen);
2368     if (pms == NULL) {
2369         *al = SSL_AD_INTERNAL_ERROR;
2370         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_GOST, ERR_R_MALLOC_FAILURE);
2371         return 0;
2372     }
2373
2374     if (EVP_PKEY_encrypt_init(pkey_ctx) <= 0
2375         /* Generate session key */
2376         || RAND_bytes(pms, pmslen) <= 0) {
2377         *al = SSL_AD_INTERNAL_ERROR;
2378         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_GOST, ERR_R_INTERNAL_ERROR);
2379         goto err;
2380     };
2381     /*
2382      * If we have client certificate, use its secret as peer key
2383      */
2384     if (s->s3->tmp.cert_req && s->cert->key->privatekey) {
2385         if (EVP_PKEY_derive_set_peer(pkey_ctx, s->cert->key->privatekey) <= 0) {
2386             /*
2387              * If there was an error - just ignore it. Ephemeral key
2388              * * would be used
2389              */
2390             ERR_clear_error();
2391         }
2392     }
2393     /*
2394      * Compute shared IV and store it in algorithm-specific context
2395      * data
2396      */
2397     ukm_hash = EVP_MD_CTX_new();
2398     if (ukm_hash == NULL
2399         || EVP_DigestInit(ukm_hash, EVP_get_digestbynid(dgst_nid)) <= 0
2400         || EVP_DigestUpdate(ukm_hash, s->s3->client_random,
2401                             SSL3_RANDOM_SIZE) <= 0
2402         || EVP_DigestUpdate(ukm_hash, s->s3->server_random,
2403                             SSL3_RANDOM_SIZE) <= 0
2404         || EVP_DigestFinal_ex(ukm_hash, shared_ukm, &md_len) <= 0) {
2405         *al = SSL_AD_INTERNAL_ERROR;
2406         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_GOST, ERR_R_INTERNAL_ERROR);
2407         goto err;
2408     }
2409     EVP_MD_CTX_free(ukm_hash);
2410     ukm_hash = NULL;
2411     if (EVP_PKEY_CTX_ctrl(pkey_ctx, -1, EVP_PKEY_OP_ENCRYPT,
2412                           EVP_PKEY_CTRL_SET_IV, 8, shared_ukm) < 0) {
2413         *al = SSL_AD_INTERNAL_ERROR;
2414         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_GOST, SSL_R_LIBRARY_BUG);
2415         goto err;
2416     }
2417     /* Make GOST keytransport blob message */
2418     /*
2419      * Encapsulate it into sequence
2420      */
2421     *((*p)++) = V_ASN1_SEQUENCE | V_ASN1_CONSTRUCTED;
2422     msglen = 255;
2423     if (EVP_PKEY_encrypt(pkey_ctx, tmp, &msglen, pms, pmslen) <= 0) {
2424         *al = SSL_AD_INTERNAL_ERROR;
2425         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_GOST, SSL_R_LIBRARY_BUG);
2426         goto err;
2427     }
2428     if (msglen >= 0x80) {
2429         *((*p)++) = 0x81;
2430         *((*p)++) = msglen & 0xff;
2431         *len = msglen + 3;
2432     } else {
2433         *((*p)++) = msglen & 0xff;
2434         *len = msglen + 2;
2435     }
2436     memcpy(*p, tmp, msglen);
2437     /* Check if pubkey from client certificate was used */
2438     if (EVP_PKEY_CTX_ctrl(pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2,
2439                           NULL) > 0) {
2440         /* Set flag "skip certificate verify" */
2441         s->s3->flags |= TLS1_FLAGS_SKIP_CERT_VERIFY;
2442     }
2443     EVP_PKEY_CTX_free(pkey_ctx);
2444     s->s3->tmp.pms = pms;
2445     s->s3->tmp.pmslen = pmslen;
2446
2447     return 1;
2448  err:
2449     EVP_PKEY_CTX_free(pkey_ctx);
2450     OPENSSL_clear_free(pms, pmslen);
2451     EVP_MD_CTX_free(ukm_hash);
2452     return 0;
2453 #else
2454     SSLerr(SSL_F_TLS_CONSTRUCT_CKE_GOST, ERR_R_INTERNAL_ERROR);
2455     *al = SSL_AD_INTERNAL_ERROR;
2456     return 0;
2457 #endif
2458 }
2459
2460 static int tls_construct_cke_srp(SSL *s, unsigned char **p, int *len, int *al)
2461 {
2462 #ifndef OPENSSL_NO_SRP
2463     if (s->srp_ctx.A != NULL) {
2464         /* send off the data */
2465         *len = BN_num_bytes(s->srp_ctx.A);
2466         s2n(*len, *p);
2467         BN_bn2bin(s->srp_ctx.A, *p);
2468         *len += 2;
2469     } else {
2470         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_SRP, ERR_R_INTERNAL_ERROR);
2471         return 0;
2472     }
2473     OPENSSL_free(s->session->srp_username);
2474     s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2475     if (s->session->srp_username == NULL) {
2476         SSLerr(SSL_F_TLS_CONSTRUCT_CKE_SRP, ERR_R_MALLOC_FAILURE);
2477         return 0;
2478     }
2479
2480     return 1;
2481 #else
2482     SSLerr(SSL_F_TLS_CONSTRUCT_CKE_SRP, ERR_R_INTERNAL_ERROR);
2483     *al = SSL_AD_INTERNAL_ERROR;
2484     return 0;
2485 #endif
2486 }
2487
2488 int tls_construct_client_key_exchange(SSL *s)
2489 {
2490     unsigned char *p;
2491     int len;
2492     size_t pskhdrlen = 0;
2493     unsigned long alg_k;
2494     int al = -1;
2495
2496     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2497
2498     p = ssl_handshake_start(s);
2499
2500     if ((alg_k & SSL_PSK)
2501         && !tls_construct_cke_psk_preamble(s, &p, &pskhdrlen, &al))
2502         goto err;
2503
2504     if (alg_k & SSL_kPSK) {
2505         len = 0;
2506     } else if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2507         if (!tls_construct_cke_rsa(s, &p, &len, &al))
2508             goto err;
2509     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2510         if (!tls_construct_cke_dhe(s, &p, &len, &al))
2511             goto err;
2512     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2513         if (!tls_construct_cke_ecdhe(s, &p, &len, &al))
2514             goto err;
2515     } else if (alg_k & SSL_kGOST) {
2516         if (!tls_construct_cke_gost(s, &p, &len, &al))
2517             goto err;
2518     } else if (alg_k & SSL_kSRP) {
2519         if (!tls_construct_cke_srp(s, &p, &len, &al))
2520             goto err;
2521     } else {
2522         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_HANDSHAKE_FAILURE);
2523         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2524         goto err;
2525     }
2526
2527     len += pskhdrlen;
2528
2529     if (!ssl_set_handshake_header(s, SSL3_MT_CLIENT_KEY_EXCHANGE, len)) {
2530         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_HANDSHAKE_FAILURE);
2531         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2532         goto err;
2533     }
2534
2535     return 1;
2536  err:
2537     if (al != -1)
2538         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2539     OPENSSL_clear_free(s->s3->tmp.pms, s->s3->tmp.pmslen);
2540     s->s3->tmp.pms = NULL;
2541 #ifndef OPENSSL_NO_PSK
2542     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2543     s->s3->tmp.psk = NULL;
2544 #endif
2545     ossl_statem_set_error(s);
2546     return 0;
2547 }
2548
2549 int tls_client_key_exchange_post_work(SSL *s)
2550 {
2551     unsigned char *pms = NULL;
2552     size_t pmslen = 0;
2553
2554     pms = s->s3->tmp.pms;
2555     pmslen = s->s3->tmp.pmslen;
2556
2557 #ifndef OPENSSL_NO_SRP
2558     /* Check for SRP */
2559     if (s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) {
2560         if (!srp_generate_client_master_secret(s)) {
2561             SSLerr(SSL_F_TLS_CLIENT_KEY_EXCHANGE_POST_WORK,
2562                    ERR_R_INTERNAL_ERROR);
2563             goto err;
2564         }
2565         return 1;
2566     }
2567 #endif
2568
2569     if (pms == NULL && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_kPSK)) {
2570         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2571         SSLerr(SSL_F_TLS_CLIENT_KEY_EXCHANGE_POST_WORK, ERR_R_MALLOC_FAILURE);
2572         goto err;
2573     }
2574     if (!ssl_generate_master_secret(s, pms, pmslen, 1)) {
2575         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2576         SSLerr(SSL_F_TLS_CLIENT_KEY_EXCHANGE_POST_WORK, ERR_R_INTERNAL_ERROR);
2577         /* ssl_generate_master_secret frees the pms even on error */
2578         pms = NULL;
2579         pmslen = 0;
2580         goto err;
2581     }
2582     pms = NULL;
2583     pmslen = 0;
2584
2585 #ifndef OPENSSL_NO_SCTP
2586     if (SSL_IS_DTLS(s)) {
2587         unsigned char sctpauthkey[64];
2588         char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2589
2590         /*
2591          * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2592          * used.
2593          */
2594         memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2595                sizeof(DTLS1_SCTP_AUTH_LABEL));
2596
2597         if (SSL_export_keying_material(s, sctpauthkey,
2598                                        sizeof(sctpauthkey), labelbuffer,
2599                                        sizeof(labelbuffer), NULL, 0, 0) <= 0)
2600             goto err;
2601
2602         BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
2603                  sizeof(sctpauthkey), sctpauthkey);
2604     }
2605 #endif
2606
2607     return 1;
2608  err:
2609     OPENSSL_clear_free(pms, pmslen);
2610     s->s3->tmp.pms = NULL;
2611     return 0;
2612 }
2613
2614 int tls_construct_client_verify(SSL *s)
2615 {
2616     unsigned char *p;
2617     EVP_PKEY *pkey;
2618     const EVP_MD *md = s->s3->tmp.md[s->cert->key - s->cert->pkeys];
2619     EVP_MD_CTX *mctx;
2620     unsigned u = 0;
2621     unsigned long n = 0;
2622     long hdatalen = 0;
2623     void *hdata;
2624
2625     mctx = EVP_MD_CTX_new();
2626     if (mctx == NULL) {
2627         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_VERIFY, ERR_R_MALLOC_FAILURE);
2628         goto err;
2629     }
2630
2631     p = ssl_handshake_start(s);
2632     pkey = s->cert->key->privatekey;
2633
2634     hdatalen = BIO_get_mem_data(s->s3->handshake_buffer, &hdata);
2635     if (hdatalen <= 0) {
2636         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_VERIFY, ERR_R_INTERNAL_ERROR);
2637         goto err;
2638     }
2639     if (SSL_USE_SIGALGS(s)) {
2640         if (!tls12_get_sigandhash(p, pkey, md)) {
2641             SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_VERIFY, ERR_R_INTERNAL_ERROR);
2642             goto err;
2643         }
2644         p += 2;
2645         n = 2;
2646     }
2647 #ifdef SSL_DEBUG
2648     fprintf(stderr, "Using client alg %s\n", EVP_MD_name(md));
2649 #endif
2650     if (!EVP_SignInit_ex(mctx, md, NULL)
2651         || !EVP_SignUpdate(mctx, hdata, hdatalen)
2652         || (s->version == SSL3_VERSION
2653             && !EVP_MD_CTX_ctrl(mctx, EVP_CTRL_SSL3_MASTER_SECRET,
2654                                 s->session->master_key_length,
2655                                 s->session->master_key))
2656         || !EVP_SignFinal(mctx, p + 2, &u, pkey)) {
2657         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_VERIFY, ERR_R_EVP_LIB);
2658         goto err;
2659     }
2660 #ifndef OPENSSL_NO_GOST
2661     {
2662         int pktype = EVP_PKEY_id(pkey);
2663         if (pktype == NID_id_GostR3410_2001
2664             || pktype == NID_id_GostR3410_2012_256
2665             || pktype == NID_id_GostR3410_2012_512)
2666             BUF_reverse(p + 2, NULL, u);
2667     }
2668 #endif
2669
2670     s2n(u, p);
2671     n += u + 2;
2672     /* Digest cached records and discard handshake buffer */
2673     if (!ssl3_digest_cached_records(s, 0))
2674         goto err;
2675     if (!ssl_set_handshake_header(s, SSL3_MT_CERTIFICATE_VERIFY, n)) {
2676         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_VERIFY, ERR_R_INTERNAL_ERROR);
2677         goto err;
2678     }
2679
2680     EVP_MD_CTX_free(mctx);
2681     return 1;
2682  err:
2683     EVP_MD_CTX_free(mctx);
2684     return 0;
2685 }
2686
2687 /*
2688  * Check a certificate can be used for client authentication. Currently check
2689  * cert exists, if we have a suitable digest for TLS 1.2 if static DH client
2690  * certificates can be used and optionally checks suitability for Suite B.
2691  */
2692 static int ssl3_check_client_certificate(SSL *s)
2693 {
2694     if (!s->cert || !s->cert->key->x509 || !s->cert->key->privatekey)
2695         return 0;
2696     /* If no suitable signature algorithm can't use certificate */
2697     if (SSL_USE_SIGALGS(s) && !s->s3->tmp.md[s->cert->key - s->cert->pkeys])
2698         return 0;
2699     /*
2700      * If strict mode check suitability of chain before using it. This also
2701      * adjusts suite B digest if necessary.
2702      */
2703     if (s->cert->cert_flags & SSL_CERT_FLAGS_CHECK_TLS_STRICT &&
2704         !tls1_check_chain(s, NULL, NULL, NULL, -2))
2705         return 0;
2706     return 1;
2707 }
2708
2709 WORK_STATE tls_prepare_client_certificate(SSL *s, WORK_STATE wst)
2710 {
2711     X509 *x509 = NULL;
2712     EVP_PKEY *pkey = NULL;
2713     int i;
2714
2715     if (wst == WORK_MORE_A) {
2716         /* Let cert callback update client certificates if required */
2717         if (s->cert->cert_cb) {
2718             i = s->cert->cert_cb(s, s->cert->cert_cb_arg);
2719             if (i < 0) {
2720                 s->rwstate = SSL_X509_LOOKUP;
2721                 return WORK_MORE_A;
2722             }
2723             if (i == 0) {
2724                 ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2725                 ossl_statem_set_error(s);
2726                 return 0;
2727             }
2728             s->rwstate = SSL_NOTHING;
2729         }
2730         if (ssl3_check_client_certificate(s))
2731             return WORK_FINISHED_CONTINUE;
2732
2733         /* Fall through to WORK_MORE_B */
2734         wst = WORK_MORE_B;
2735     }
2736
2737     /* We need to get a client cert */
2738     if (wst == WORK_MORE_B) {
2739         /*
2740          * If we get an error, we need to ssl->rwstate=SSL_X509_LOOKUP;
2741          * return(-1); We then get retied later
2742          */
2743         i = ssl_do_client_cert_cb(s, &x509, &pkey);
2744         if (i < 0) {
2745             s->rwstate = SSL_X509_LOOKUP;
2746             return WORK_MORE_B;
2747         }
2748         s->rwstate = SSL_NOTHING;
2749         if ((i == 1) && (pkey != NULL) && (x509 != NULL)) {
2750             if (!SSL_use_certificate(s, x509) || !SSL_use_PrivateKey(s, pkey))
2751                 i = 0;
2752         } else if (i == 1) {
2753             i = 0;
2754             SSLerr(SSL_F_TLS_PREPARE_CLIENT_CERTIFICATE,
2755                    SSL_R_BAD_DATA_RETURNED_BY_CALLBACK);
2756         }
2757
2758         X509_free(x509);
2759         EVP_PKEY_free(pkey);
2760         if (i && !ssl3_check_client_certificate(s))
2761             i = 0;
2762         if (i == 0) {
2763             if (s->version == SSL3_VERSION) {
2764                 s->s3->tmp.cert_req = 0;
2765                 ssl3_send_alert(s, SSL3_AL_WARNING, SSL_AD_NO_CERTIFICATE);
2766                 return WORK_FINISHED_CONTINUE;
2767             } else {
2768                 s->s3->tmp.cert_req = 2;
2769                 if (!ssl3_digest_cached_records(s, 0)) {
2770                     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2771                     ossl_statem_set_error(s);
2772                     return 0;
2773                 }
2774             }
2775         }
2776
2777         return WORK_FINISHED_CONTINUE;
2778     }
2779
2780     /* Shouldn't ever get here */
2781     return WORK_ERROR;
2782 }
2783
2784 int tls_construct_client_certificate(SSL *s)
2785 {
2786     if (!ssl3_output_cert_chain(s,
2787                                 (s->s3->tmp.cert_req ==
2788                                  2) ? NULL : s->cert->key)) {
2789         SSLerr(SSL_F_TLS_CONSTRUCT_CLIENT_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2790         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2791         ossl_statem_set_error(s);
2792         return 0;
2793     }
2794
2795     return 1;
2796 }
2797
2798 #define has_bits(i,m)   (((i)&(m)) == (m))
2799
2800 int ssl3_check_cert_and_algorithm(SSL *s)
2801 {
2802     int i;
2803 #ifndef OPENSSL_NO_EC
2804     int idx;
2805 #endif
2806     long alg_k, alg_a;
2807     EVP_PKEY *pkey = NULL;
2808     int al = SSL_AD_HANDSHAKE_FAILURE;
2809
2810     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2811     alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2812
2813     /* we don't have a certificate */
2814     if ((alg_a & SSL_aNULL) || (alg_k & SSL_kPSK))
2815         return (1);
2816
2817     /* This is the passed certificate */
2818
2819 #ifndef OPENSSL_NO_EC
2820     idx = s->session->peer_type;
2821     if (idx == SSL_PKEY_ECC) {
2822         if (ssl_check_srvr_ecc_cert_and_alg(s->session->peer, s) == 0) {
2823             /* check failed */
2824             SSLerr(SSL_F_SSL3_CHECK_CERT_AND_ALGORITHM, SSL_R_BAD_ECC_CERT);
2825             goto f_err;
2826         } else {
2827             return 1;
2828         }
2829     } else if (alg_a & SSL_aECDSA) {
2830         SSLerr(SSL_F_SSL3_CHECK_CERT_AND_ALGORITHM,
2831                SSL_R_MISSING_ECDSA_SIGNING_CERT);
2832         goto f_err;
2833     }
2834 #endif
2835     pkey = X509_get0_pubkey(s->session->peer);
2836     i = X509_certificate_type(s->session->peer, pkey);
2837
2838     /* Check that we have a certificate if we require one */
2839     if ((alg_a & SSL_aRSA) && !has_bits(i, EVP_PK_RSA | EVP_PKT_SIGN)) {
2840         SSLerr(SSL_F_SSL3_CHECK_CERT_AND_ALGORITHM,
2841                SSL_R_MISSING_RSA_SIGNING_CERT);
2842         goto f_err;
2843     }
2844 #ifndef OPENSSL_NO_DSA
2845     else if ((alg_a & SSL_aDSS) && !has_bits(i, EVP_PK_DSA | EVP_PKT_SIGN)) {
2846         SSLerr(SSL_F_SSL3_CHECK_CERT_AND_ALGORITHM,
2847                SSL_R_MISSING_DSA_SIGNING_CERT);
2848         goto f_err;
2849     }
2850 #endif
2851 #ifndef OPENSSL_NO_RSA
2852     if (alg_k & (SSL_kRSA | SSL_kRSAPSK) &&
2853         !has_bits(i, EVP_PK_RSA | EVP_PKT_ENC)) {
2854         SSLerr(SSL_F_SSL3_CHECK_CERT_AND_ALGORITHM,
2855                SSL_R_MISSING_RSA_ENCRYPTING_CERT);
2856         goto f_err;
2857     }
2858 #endif
2859 #ifndef OPENSSL_NO_DH
2860     if ((alg_k & SSL_kDHE) && (s->s3->peer_tmp == NULL)) {
2861         al = SSL_AD_INTERNAL_ERROR;
2862         SSLerr(SSL_F_SSL3_CHECK_CERT_AND_ALGORITHM, ERR_R_INTERNAL_ERROR);
2863         goto f_err;
2864     }
2865 #endif
2866
2867     return (1);
2868  f_err:
2869     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2870     return (0);
2871 }
2872
2873 #ifndef OPENSSL_NO_NEXTPROTONEG
2874 int tls_construct_next_proto(SSL *s)
2875 {
2876     unsigned int len, padding_len;
2877     unsigned char *d;
2878
2879     len = s->next_proto_negotiated_len;
2880     padding_len = 32 - ((len + 2) % 32);
2881     d = (unsigned char *)s->init_buf->data;
2882     d[4] = len;
2883     memcpy(d + 5, s->next_proto_negotiated, len);
2884     d[5 + len] = padding_len;
2885     memset(d + 6 + len, 0, padding_len);
2886     *(d++) = SSL3_MT_NEXT_PROTO;
2887     l2n3(2 + len + padding_len, d);
2888     s->init_num = 4 + 2 + len + padding_len;
2889     s->init_off = 0;
2890
2891     return 1;
2892 }
2893 #endif
2894
2895 int ssl_do_client_cert_cb(SSL *s, X509 **px509, EVP_PKEY **ppkey)
2896 {
2897     int i = 0;
2898 #ifndef OPENSSL_NO_ENGINE
2899     if (s->ctx->client_cert_engine) {
2900         i = ENGINE_load_ssl_client_cert(s->ctx->client_cert_engine, s,
2901                                         SSL_get_client_CA_list(s),
2902                                         px509, ppkey, NULL, NULL, NULL);
2903         if (i != 0)
2904             return i;
2905     }
2906 #endif
2907     if (s->ctx->client_cert_cb)
2908         i = s->ctx->client_cert_cb(s, px509, ppkey);
2909     return i;
2910 }
2911
2912 int ssl_cipher_list_to_bytes(SSL *s, STACK_OF(SSL_CIPHER) *sk, unsigned char *p)
2913 {
2914     int i, j = 0;
2915     const SSL_CIPHER *c;
2916     unsigned char *q;
2917     int empty_reneg_info_scsv = !s->renegotiate;
2918     /* Set disabled masks for this session */
2919     ssl_set_client_disabled(s);
2920
2921     if (sk == NULL)
2922         return (0);
2923     q = p;
2924
2925     for (i = 0; i < sk_SSL_CIPHER_num(sk); i++) {
2926         c = sk_SSL_CIPHER_value(sk, i);
2927         /* Skip disabled ciphers */
2928         if (ssl_cipher_disabled(s, c, SSL_SECOP_CIPHER_SUPPORTED))
2929             continue;
2930         j = s->method->put_cipher_by_char(c, p);
2931         p += j;
2932     }
2933     /*
2934      * If p == q, no ciphers; caller indicates an error. Otherwise, add
2935      * applicable SCSVs.
2936      */
2937     if (p != q) {
2938         if (empty_reneg_info_scsv) {
2939             static SSL_CIPHER scsv = {
2940                 0, NULL, SSL3_CK_SCSV, 0, 0, 0, 0, 0, 0, 0, 0, 0
2941             };
2942             j = s->method->put_cipher_by_char(&scsv, p);
2943             p += j;
2944         }
2945         if (s->mode & SSL_MODE_SEND_FALLBACK_SCSV) {
2946             static SSL_CIPHER scsv = {
2947                 0, NULL, SSL3_CK_FALLBACK_SCSV, 0, 0, 0, 0, 0, 0, 0, 0, 0
2948             };
2949             j = s->method->put_cipher_by_char(&scsv, p);
2950             p += j;
2951         }
2952     }
2953
2954     return (p - q);
2955 }