Change tls_choose_sigalg so it can set errors and alerts.
[openssl.git] / ssl / statem / statem_srvr.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50 #include <stdio.h>
51 #include "../ssl_locl.h"
52 #include "statem_locl.h"
53 #include "internal/constant_time_locl.h"
54 #include <openssl/buffer.h>
55 #include <openssl/rand.h>
56 #include <openssl/objects.h>
57 #include <openssl/evp.h>
58 #include <openssl/hmac.h>
59 #include <openssl/x509.h>
60 #include <openssl/dh.h>
61 #include <openssl/bn.h>
62 #include <openssl/md5.h>
63
64 static int tls_construct_encrypted_extensions(SSL *s, WPACKET *pkt);
65 static int tls_construct_hello_retry_request(SSL *s, WPACKET *pkt);
66 static STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
67                                                       PACKET *cipher_suites,
68                                                       STACK_OF(SSL_CIPHER)
69                                                       **skp, int sslv2format,
70                                                       int *al);
71
72 /*
73  * ossl_statem_server13_read_transition() encapsulates the logic for the allowed
74  * handshake state transitions when a TLSv1.3 server is reading messages from
75  * the client. The message type that the client has sent is provided in |mt|.
76  * The current state is in |s->statem.hand_state|.
77  *
78  * Return values are 1 for success (transition allowed) and  0 on error
79  * (transition not allowed)
80  */
81 static int ossl_statem_server13_read_transition(SSL *s, int mt)
82 {
83     OSSL_STATEM *st = &s->statem;
84
85     /*
86      * Note: There is no case for TLS_ST_BEFORE because at that stage we have
87      * not negotiated TLSv1.3 yet, so that case is handled by
88      * ossl_statem_server_read_transition()
89      */
90     switch (st->hand_state) {
91     default:
92         break;
93
94     case TLS_ST_SW_HELLO_RETRY_REQUEST:
95         if (mt == SSL3_MT_CLIENT_HELLO) {
96             st->hand_state = TLS_ST_SR_CLNT_HELLO;
97             return 1;
98         }
99         break;
100
101     case TLS_ST_SW_FINISHED:
102         if (s->s3->tmp.cert_request) {
103             if (mt == SSL3_MT_CERTIFICATE) {
104                 st->hand_state = TLS_ST_SR_CERT;
105                 return 1;
106             }
107         } else {
108             if (mt == SSL3_MT_FINISHED) {
109                 st->hand_state = TLS_ST_SR_FINISHED;
110                 return 1;
111             }
112         }
113         break;
114
115     case TLS_ST_SR_CERT:
116         if (s->session->peer == NULL) {
117             if (mt == SSL3_MT_FINISHED) {
118                 st->hand_state = TLS_ST_SR_FINISHED;
119                 return 1;
120             }
121         } else {
122             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
123                 st->hand_state = TLS_ST_SR_CERT_VRFY;
124                 return 1;
125             }
126         }
127         break;
128
129     case TLS_ST_SR_CERT_VRFY:
130         if (mt == SSL3_MT_FINISHED) {
131             st->hand_state = TLS_ST_SR_FINISHED;
132             return 1;
133         }
134         break;
135     }
136
137     /* No valid transition found */
138     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
139     SSLerr(SSL_F_OSSL_STATEM_SERVER13_READ_TRANSITION,
140            SSL_R_UNEXPECTED_MESSAGE);
141     return 0;
142 }
143
144 /*
145  * ossl_statem_server_read_transition() encapsulates the logic for the allowed
146  * handshake state transitions when the server is reading messages from the
147  * client. The message type that the client has sent is provided in |mt|. The
148  * current state is in |s->statem.hand_state|.
149  *
150  * Return values are 1 for success (transition allowed) and  0 on error
151  * (transition not allowed)
152  */
153 int ossl_statem_server_read_transition(SSL *s, int mt)
154 {
155     OSSL_STATEM *st = &s->statem;
156
157     if (SSL_IS_TLS13(s)) {
158         if (!ossl_statem_server13_read_transition(s, mt))
159             goto err;
160         return 1;
161     }
162
163     switch (st->hand_state) {
164     default:
165         break;
166
167     case TLS_ST_BEFORE:
168     case TLS_ST_OK:
169     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
170         if (mt == SSL3_MT_CLIENT_HELLO) {
171             st->hand_state = TLS_ST_SR_CLNT_HELLO;
172             return 1;
173         }
174         break;
175
176     case TLS_ST_SW_SRVR_DONE:
177         /*
178          * If we get a CKE message after a ServerDone then either
179          * 1) We didn't request a Certificate
180          * OR
181          * 2) If we did request one then
182          *      a) We allow no Certificate to be returned
183          *      AND
184          *      b) We are running SSL3 (in TLS1.0+ the client must return a 0
185          *         list if we requested a certificate)
186          */
187         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
188             if (s->s3->tmp.cert_request) {
189                 if (s->version == SSL3_VERSION) {
190                     if ((s->verify_mode & SSL_VERIFY_PEER)
191                         && (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
192                         /*
193                          * This isn't an unexpected message as such - we're just
194                          * not going to accept it because we require a client
195                          * cert.
196                          */
197                         ssl3_send_alert(s, SSL3_AL_FATAL,
198                                         SSL3_AD_HANDSHAKE_FAILURE);
199                         SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION,
200                                SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
201                         return 0;
202                     }
203                     st->hand_state = TLS_ST_SR_KEY_EXCH;
204                     return 1;
205                 }
206             } else {
207                 st->hand_state = TLS_ST_SR_KEY_EXCH;
208                 return 1;
209             }
210         } else if (s->s3->tmp.cert_request) {
211             if (mt == SSL3_MT_CERTIFICATE) {
212                 st->hand_state = TLS_ST_SR_CERT;
213                 return 1;
214             }
215         }
216         break;
217
218     case TLS_ST_SR_CERT:
219         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
220             st->hand_state = TLS_ST_SR_KEY_EXCH;
221             return 1;
222         }
223         break;
224
225     case TLS_ST_SR_KEY_EXCH:
226         /*
227          * We should only process a CertificateVerify message if we have
228          * received a Certificate from the client. If so then |s->session->peer|
229          * will be non NULL. In some instances a CertificateVerify message is
230          * not required even if the peer has sent a Certificate (e.g. such as in
231          * the case of static DH). In that case |st->no_cert_verify| should be
232          * set.
233          */
234         if (s->session->peer == NULL || st->no_cert_verify) {
235             if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
236                 /*
237                  * For the ECDH ciphersuites when the client sends its ECDH
238                  * pub key in a certificate, the CertificateVerify message is
239                  * not sent. Also for GOST ciphersuites when the client uses
240                  * its key from the certificate for key exchange.
241                  */
242                 st->hand_state = TLS_ST_SR_CHANGE;
243                 return 1;
244             }
245         } else {
246             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
247                 st->hand_state = TLS_ST_SR_CERT_VRFY;
248                 return 1;
249             }
250         }
251         break;
252
253     case TLS_ST_SR_CERT_VRFY:
254         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
255             st->hand_state = TLS_ST_SR_CHANGE;
256             return 1;
257         }
258         break;
259
260     case TLS_ST_SR_CHANGE:
261 #ifndef OPENSSL_NO_NEXTPROTONEG
262         if (s->s3->npn_seen) {
263             if (mt == SSL3_MT_NEXT_PROTO) {
264                 st->hand_state = TLS_ST_SR_NEXT_PROTO;
265                 return 1;
266             }
267         } else {
268 #endif
269             if (mt == SSL3_MT_FINISHED) {
270                 st->hand_state = TLS_ST_SR_FINISHED;
271                 return 1;
272             }
273 #ifndef OPENSSL_NO_NEXTPROTONEG
274         }
275 #endif
276         break;
277
278 #ifndef OPENSSL_NO_NEXTPROTONEG
279     case TLS_ST_SR_NEXT_PROTO:
280         if (mt == SSL3_MT_FINISHED) {
281             st->hand_state = TLS_ST_SR_FINISHED;
282             return 1;
283         }
284         break;
285 #endif
286
287     case TLS_ST_SW_FINISHED:
288         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
289             st->hand_state = TLS_ST_SR_CHANGE;
290             return 1;
291         }
292         break;
293     }
294
295  err:
296     /* No valid transition found */
297     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
298     SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION, SSL_R_UNEXPECTED_MESSAGE);
299     return 0;
300 }
301
302 /*
303  * Should we send a ServerKeyExchange message?
304  *
305  * Valid return values are:
306  *   1: Yes
307  *   0: No
308  */
309 static int send_server_key_exchange(SSL *s)
310 {
311     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
312
313     /*
314      * only send a ServerKeyExchange if DH or fortezza but we have a
315      * sign only certificate PSK: may send PSK identity hints For
316      * ECC ciphersuites, we send a serverKeyExchange message only if
317      * the cipher suite is either ECDH-anon or ECDHE. In other cases,
318      * the server certificate contains the server's public key for
319      * key exchange.
320      */
321     if (alg_k & (SSL_kDHE | SSL_kECDHE)
322         /*
323          * PSK: send ServerKeyExchange if PSK identity hint if
324          * provided
325          */
326 #ifndef OPENSSL_NO_PSK
327         /* Only send SKE if we have identity hint for plain PSK */
328         || ((alg_k & (SSL_kPSK | SSL_kRSAPSK))
329             && s->cert->psk_identity_hint)
330         /* For other PSK always send SKE */
331         || (alg_k & (SSL_PSK & (SSL_kDHEPSK | SSL_kECDHEPSK)))
332 #endif
333 #ifndef OPENSSL_NO_SRP
334         /* SRP: send ServerKeyExchange */
335         || (alg_k & SSL_kSRP)
336 #endif
337         ) {
338         return 1;
339     }
340
341     return 0;
342 }
343
344 /*
345  * Should we send a CertificateRequest message?
346  *
347  * Valid return values are:
348  *   1: Yes
349  *   0: No
350  */
351 static int send_certificate_request(SSL *s)
352 {
353     if (
354            /* don't request cert unless asked for it: */
355            s->verify_mode & SSL_VERIFY_PEER
356            /*
357             * if SSL_VERIFY_CLIENT_ONCE is set, don't request cert
358             * during re-negotiation:
359             */
360            && (s->s3->tmp.finish_md_len == 0 ||
361                !(s->verify_mode & SSL_VERIFY_CLIENT_ONCE))
362            /*
363             * never request cert in anonymous ciphersuites (see
364             * section "Certificate request" in SSL 3 drafts and in
365             * RFC 2246):
366             */
367            && (!(s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL)
368                /*
369                 * ... except when the application insists on
370                 * verification (against the specs, but statem_clnt.c accepts
371                 * this for SSL 3)
372                 */
373                || (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT))
374            /* don't request certificate for SRP auth */
375            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aSRP)
376            /*
377             * With normal PSK Certificates and Certificate Requests
378             * are omitted
379             */
380            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aPSK)) {
381         return 1;
382     }
383
384     return 0;
385 }
386
387 /*
388  * ossl_statem_server13_write_transition() works out what handshake state to
389  * move to next when a TLSv1.3 server is writing messages to be sent to the
390  * client.
391  */
392 static WRITE_TRAN ossl_statem_server13_write_transition(SSL *s)
393 {
394     OSSL_STATEM *st = &s->statem;
395
396     /*
397      * TODO(TLS1.3): This is still based on the TLSv1.2 state machine. Over time
398      * we will update this to look more like real TLSv1.3
399      */
400
401     /*
402      * No case for TLS_ST_BEFORE, because at that stage we have not negotiated
403      * TLSv1.3 yet, so that is handled by ossl_statem_server_write_transition()
404      */
405
406     switch (st->hand_state) {
407     default:
408         /* Shouldn't happen */
409         return WRITE_TRAN_ERROR;
410
411     case TLS_ST_SR_CLNT_HELLO:
412         if (s->hello_retry_request)
413             st->hand_state = TLS_ST_SW_HELLO_RETRY_REQUEST;
414         else
415             st->hand_state = TLS_ST_SW_SRVR_HELLO;
416         return WRITE_TRAN_CONTINUE;
417
418     case TLS_ST_SW_HELLO_RETRY_REQUEST:
419         return WRITE_TRAN_FINISHED;
420
421     case TLS_ST_SW_SRVR_HELLO:
422         st->hand_state = TLS_ST_SW_ENCRYPTED_EXTENSIONS;
423         return WRITE_TRAN_CONTINUE;
424
425     case TLS_ST_SW_ENCRYPTED_EXTENSIONS:
426         if (s->hit)
427             st->hand_state = TLS_ST_SW_FINISHED;
428         else if (send_certificate_request(s))
429             st->hand_state = TLS_ST_SW_CERT_REQ;
430         else
431             st->hand_state = TLS_ST_SW_CERT;
432
433         return WRITE_TRAN_CONTINUE;
434
435     case TLS_ST_SW_CERT_REQ:
436         st->hand_state = TLS_ST_SW_CERT;
437         return WRITE_TRAN_CONTINUE;
438
439     case TLS_ST_SW_CERT:
440         st->hand_state = TLS_ST_SW_CERT_VRFY;
441         return WRITE_TRAN_CONTINUE;
442
443     case TLS_ST_SW_CERT_VRFY:
444         st->hand_state = TLS_ST_SW_FINISHED;
445         return WRITE_TRAN_CONTINUE;
446
447     case TLS_ST_SW_FINISHED:
448         return WRITE_TRAN_FINISHED;
449
450     case TLS_ST_SR_FINISHED:
451         /*
452          * Technically we have finished the handshake at this point, but we're
453          * going to remain "in_init" for now and write out the session ticket
454          * immediately.
455          * TODO(TLS1.3): Perhaps we need to be able to control this behaviour
456          * and give the application the opportunity to delay sending the
457          * session ticket?
458          */
459         st->hand_state = TLS_ST_SW_SESSION_TICKET;
460         return WRITE_TRAN_CONTINUE;
461
462     case TLS_ST_SW_SESSION_TICKET:
463         st->hand_state = TLS_ST_OK;
464         ossl_statem_set_in_init(s, 0);
465         return WRITE_TRAN_CONTINUE;
466     }
467 }
468
469 /*
470  * ossl_statem_server_write_transition() works out what handshake state to move
471  * to next when the server is writing messages to be sent to the client.
472  */
473 WRITE_TRAN ossl_statem_server_write_transition(SSL *s)
474 {
475     OSSL_STATEM *st = &s->statem;
476
477     /*
478      * Note that before the ClientHello we don't know what version we are going
479      * to negotiate yet, so we don't take this branch until later
480      */
481
482     if (SSL_IS_TLS13(s))
483         return ossl_statem_server13_write_transition(s);
484
485     switch (st->hand_state) {
486     default:
487         /* Shouldn't happen */
488         return WRITE_TRAN_ERROR;
489
490     case TLS_ST_OK:
491         if (st->request_state == TLS_ST_SW_HELLO_REQ) {
492             /* We must be trying to renegotiate */
493             st->hand_state = TLS_ST_SW_HELLO_REQ;
494             st->request_state = TLS_ST_BEFORE;
495             return WRITE_TRAN_CONTINUE;
496         }
497         /* Must be an incoming ClientHello */
498         if (!tls_setup_handshake(s)) {
499             ossl_statem_set_error(s);
500             return WRITE_TRAN_ERROR;
501         }
502         /* Fall through */
503
504     case TLS_ST_BEFORE:
505         /* Just go straight to trying to read from the client */
506         return WRITE_TRAN_FINISHED;
507
508     case TLS_ST_SW_HELLO_REQ:
509         st->hand_state = TLS_ST_OK;
510         ossl_statem_set_in_init(s, 0);
511         return WRITE_TRAN_CONTINUE;
512
513     case TLS_ST_SR_CLNT_HELLO:
514         if (SSL_IS_DTLS(s) && !s->d1->cookie_verified
515             && (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE))
516             st->hand_state = DTLS_ST_SW_HELLO_VERIFY_REQUEST;
517         else
518             st->hand_state = TLS_ST_SW_SRVR_HELLO;
519         return WRITE_TRAN_CONTINUE;
520
521     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
522         return WRITE_TRAN_FINISHED;
523
524     case TLS_ST_SW_SRVR_HELLO:
525         if (s->hit) {
526             if (s->ext.ticket_expected)
527                 st->hand_state = TLS_ST_SW_SESSION_TICKET;
528             else
529                 st->hand_state = TLS_ST_SW_CHANGE;
530         } else {
531             /* Check if it is anon DH or anon ECDH, */
532             /* normal PSK or SRP */
533             if (!(s->s3->tmp.new_cipher->algorithm_auth &
534                   (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
535                 st->hand_state = TLS_ST_SW_CERT;
536             } else if (send_server_key_exchange(s)) {
537                 st->hand_state = TLS_ST_SW_KEY_EXCH;
538             } else if (send_certificate_request(s)) {
539                 st->hand_state = TLS_ST_SW_CERT_REQ;
540             } else {
541                 st->hand_state = TLS_ST_SW_SRVR_DONE;
542             }
543         }
544         return WRITE_TRAN_CONTINUE;
545
546     case TLS_ST_SW_CERT:
547         if (s->ext.status_expected) {
548             st->hand_state = TLS_ST_SW_CERT_STATUS;
549             return WRITE_TRAN_CONTINUE;
550         }
551         /* Fall through */
552
553     case TLS_ST_SW_CERT_STATUS:
554         if (send_server_key_exchange(s)) {
555             st->hand_state = TLS_ST_SW_KEY_EXCH;
556             return WRITE_TRAN_CONTINUE;
557         }
558         /* Fall through */
559
560     case TLS_ST_SW_KEY_EXCH:
561         if (send_certificate_request(s)) {
562             st->hand_state = TLS_ST_SW_CERT_REQ;
563             return WRITE_TRAN_CONTINUE;
564         }
565         /* Fall through */
566
567     case TLS_ST_SW_CERT_REQ:
568         st->hand_state = TLS_ST_SW_SRVR_DONE;
569         return WRITE_TRAN_CONTINUE;
570
571     case TLS_ST_SW_SRVR_DONE:
572         return WRITE_TRAN_FINISHED;
573
574     case TLS_ST_SR_FINISHED:
575         if (s->hit) {
576             st->hand_state = TLS_ST_OK;
577             ossl_statem_set_in_init(s, 0);
578             return WRITE_TRAN_CONTINUE;
579         } else if (s->ext.ticket_expected) {
580             st->hand_state = TLS_ST_SW_SESSION_TICKET;
581         } else {
582             st->hand_state = TLS_ST_SW_CHANGE;
583         }
584         return WRITE_TRAN_CONTINUE;
585
586     case TLS_ST_SW_SESSION_TICKET:
587         st->hand_state = TLS_ST_SW_CHANGE;
588         return WRITE_TRAN_CONTINUE;
589
590     case TLS_ST_SW_CHANGE:
591         st->hand_state = TLS_ST_SW_FINISHED;
592         return WRITE_TRAN_CONTINUE;
593
594     case TLS_ST_SW_FINISHED:
595         if (s->hit) {
596             return WRITE_TRAN_FINISHED;
597         }
598         st->hand_state = TLS_ST_OK;
599         ossl_statem_set_in_init(s, 0);
600         return WRITE_TRAN_CONTINUE;
601     }
602 }
603
604 /*
605  * Perform any pre work that needs to be done prior to sending a message from
606  * the server to the client.
607  */
608 WORK_STATE ossl_statem_server_pre_work(SSL *s, WORK_STATE wst)
609 {
610     OSSL_STATEM *st = &s->statem;
611
612     switch (st->hand_state) {
613     default:
614         /* No pre work to be done */
615         break;
616
617     case TLS_ST_SW_HELLO_REQ:
618         s->shutdown = 0;
619         if (SSL_IS_DTLS(s))
620             dtls1_clear_sent_buffer(s);
621         break;
622
623     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
624         s->shutdown = 0;
625         if (SSL_IS_DTLS(s)) {
626             dtls1_clear_sent_buffer(s);
627             /* We don't buffer this message so don't use the timer */
628             st->use_timer = 0;
629         }
630         break;
631
632     case TLS_ST_SW_SRVR_HELLO:
633         if (SSL_IS_DTLS(s)) {
634             /*
635              * Messages we write from now on should be bufferred and
636              * retransmitted if necessary, so we need to use the timer now
637              */
638             st->use_timer = 1;
639         }
640         break;
641
642     case TLS_ST_SW_SRVR_DONE:
643 #ifndef OPENSSL_NO_SCTP
644         if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s)))
645             return dtls_wait_for_dry(s);
646 #endif
647         return WORK_FINISHED_CONTINUE;
648
649     case TLS_ST_SW_SESSION_TICKET:
650         if (SSL_IS_TLS13(s)) {
651             /*
652              * Actually this is the end of the handshake, but we're going
653              * straight into writing the session ticket out. So we finish off
654              * the handshake, but keep the various buffers active.
655              */
656             return tls_finish_handshake(s, wst, 0);
657         } if (SSL_IS_DTLS(s)) {
658             /*
659              * We're into the last flight. We don't retransmit the last flight
660              * unless we need to, so we don't use the timer
661              */
662             st->use_timer = 0;
663         }
664         break;
665
666     case TLS_ST_SW_CHANGE:
667         s->session->cipher = s->s3->tmp.new_cipher;
668         if (!s->method->ssl3_enc->setup_key_block(s)) {
669             ossl_statem_set_error(s);
670             return WORK_ERROR;
671         }
672         if (SSL_IS_DTLS(s)) {
673             /*
674              * We're into the last flight. We don't retransmit the last flight
675              * unless we need to, so we don't use the timer. This might have
676              * already been set to 0 if we sent a NewSessionTicket message,
677              * but we'll set it again here in case we didn't.
678              */
679             st->use_timer = 0;
680         }
681         return WORK_FINISHED_CONTINUE;
682
683     case TLS_ST_OK:
684         return tls_finish_handshake(s, wst, 1);
685     }
686
687     return WORK_FINISHED_CONTINUE;
688 }
689
690 /*
691  * Perform any work that needs to be done after sending a message from the
692  * server to the client.
693  */
694 WORK_STATE ossl_statem_server_post_work(SSL *s, WORK_STATE wst)
695 {
696     OSSL_STATEM *st = &s->statem;
697
698     s->init_num = 0;
699
700     switch (st->hand_state) {
701     default:
702         /* No post work to be done */
703         break;
704
705     case TLS_ST_SW_HELLO_RETRY_REQUEST:
706         if (statem_flush(s) != 1)
707             return WORK_MORE_A;
708         break;
709
710     case TLS_ST_SW_HELLO_REQ:
711         if (statem_flush(s) != 1)
712             return WORK_MORE_A;
713         if (!ssl3_init_finished_mac(s)) {
714             ossl_statem_set_error(s);
715             return WORK_ERROR;
716         }
717         break;
718
719     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
720         if (statem_flush(s) != 1)
721             return WORK_MORE_A;
722         /* HelloVerifyRequest resets Finished MAC */
723         if (s->version != DTLS1_BAD_VER && !ssl3_init_finished_mac(s)) {
724             ossl_statem_set_error(s);
725             return WORK_ERROR;
726         }
727         /*
728          * The next message should be another ClientHello which we need to
729          * treat like it was the first packet
730          */
731         s->first_packet = 1;
732         break;
733
734     case TLS_ST_SW_SRVR_HELLO:
735 #ifndef OPENSSL_NO_SCTP
736         if (SSL_IS_DTLS(s) && s->hit) {
737             unsigned char sctpauthkey[64];
738             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
739
740             /*
741              * Add new shared key for SCTP-Auth, will be ignored if no
742              * SCTP used.
743              */
744             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
745                    sizeof(DTLS1_SCTP_AUTH_LABEL));
746
747             if (SSL_export_keying_material(s, sctpauthkey,
748                                            sizeof(sctpauthkey), labelbuffer,
749                                            sizeof(labelbuffer), NULL, 0,
750                                            0) <= 0) {
751                 ossl_statem_set_error(s);
752                 return WORK_ERROR;
753             }
754
755             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
756                      sizeof(sctpauthkey), sctpauthkey);
757         }
758 #endif
759         /*
760          * TODO(TLS1.3): This actually causes a problem. We don't yet know
761          * whether the next record we are going to receive is an unencrypted
762          * alert, or an encrypted handshake message. We're going to need
763          * something clever in the record layer for this.
764          */
765         if (SSL_IS_TLS13(s)) {
766             if (!s->method->ssl3_enc->setup_key_block(s)
767                 || !s->method->ssl3_enc->change_cipher_state(s,
768                         SSL3_CC_HANDSHAKE | SSL3_CHANGE_CIPHER_SERVER_WRITE)
769                 || !s->method->ssl3_enc->change_cipher_state(s,
770                         SSL3_CC_HANDSHAKE |SSL3_CHANGE_CIPHER_SERVER_READ))
771             return WORK_ERROR;
772         }
773         break;
774
775     case TLS_ST_SW_CHANGE:
776 #ifndef OPENSSL_NO_SCTP
777         if (SSL_IS_DTLS(s) && !s->hit) {
778             /*
779              * Change to new shared key of SCTP-Auth, will be ignored if
780              * no SCTP used.
781              */
782             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
783                      0, NULL);
784         }
785 #endif
786         if (!s->method->ssl3_enc->change_cipher_state(s,
787                                                       SSL3_CHANGE_CIPHER_SERVER_WRITE))
788         {
789             ossl_statem_set_error(s);
790             return WORK_ERROR;
791         }
792
793         if (SSL_IS_DTLS(s))
794             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
795         break;
796
797     case TLS_ST_SW_SRVR_DONE:
798         if (statem_flush(s) != 1)
799             return WORK_MORE_A;
800         break;
801
802     case TLS_ST_SW_FINISHED:
803         if (statem_flush(s) != 1)
804             return WORK_MORE_A;
805 #ifndef OPENSSL_NO_SCTP
806         if (SSL_IS_DTLS(s) && s->hit) {
807             /*
808              * Change to new shared key of SCTP-Auth, will be ignored if
809              * no SCTP used.
810              */
811             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
812                      0, NULL);
813         }
814 #endif
815         if (SSL_IS_TLS13(s)) {
816             if (!s->method->ssl3_enc->generate_master_secret(s,
817                         s->master_secret, s->handshake_secret, 0,
818                         &s->session->master_key_length)
819                 || !s->method->ssl3_enc->change_cipher_state(s,
820                         SSL3_CC_APPLICATION | SSL3_CHANGE_CIPHER_SERVER_WRITE))
821             return WORK_ERROR;
822         }
823         break;
824
825     case TLS_ST_SW_SESSION_TICKET:
826         if (SSL_IS_TLS13(s) && statem_flush(s) != 1)
827             return WORK_MORE_A;
828         break;
829     }
830
831     return WORK_FINISHED_CONTINUE;
832 }
833
834 /*
835  * Get the message construction function and message type for sending from the
836  * server
837  *
838  * Valid return values are:
839  *   1: Success
840  *   0: Error
841  */
842 int ossl_statem_server_construct_message(SSL *s, WPACKET *pkt,
843                                          confunc_f *confunc, int *mt)
844 {
845     OSSL_STATEM *st = &s->statem;
846
847     switch (st->hand_state) {
848     default:
849         /* Shouldn't happen */
850         return 0;
851
852     case TLS_ST_SW_CHANGE:
853         if (SSL_IS_DTLS(s))
854             *confunc = dtls_construct_change_cipher_spec;
855         else
856             *confunc = tls_construct_change_cipher_spec;
857         *mt = SSL3_MT_CHANGE_CIPHER_SPEC;
858         break;
859
860     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
861         *confunc = dtls_construct_hello_verify_request;
862         *mt = DTLS1_MT_HELLO_VERIFY_REQUEST;
863         break;
864
865     case TLS_ST_SW_HELLO_REQ:
866         /* No construction function needed */
867         *confunc = NULL;
868         *mt = SSL3_MT_HELLO_REQUEST;
869         break;
870
871     case TLS_ST_SW_SRVR_HELLO:
872         *confunc = tls_construct_server_hello;
873         *mt = SSL3_MT_SERVER_HELLO;
874         break;
875
876     case TLS_ST_SW_CERT:
877         *confunc = tls_construct_server_certificate;
878         *mt = SSL3_MT_CERTIFICATE;
879         break;
880
881     case TLS_ST_SW_CERT_VRFY:
882         *confunc = tls_construct_cert_verify;
883         *mt = SSL3_MT_CERTIFICATE_VERIFY;
884         break;
885
886
887     case TLS_ST_SW_KEY_EXCH:
888         *confunc = tls_construct_server_key_exchange;
889         *mt = SSL3_MT_SERVER_KEY_EXCHANGE;
890         break;
891
892     case TLS_ST_SW_CERT_REQ:
893         *confunc = tls_construct_certificate_request;
894         *mt = SSL3_MT_CERTIFICATE_REQUEST;
895         break;
896
897     case TLS_ST_SW_SRVR_DONE:
898         *confunc = tls_construct_server_done;
899         *mt = SSL3_MT_SERVER_DONE;
900         break;
901
902     case TLS_ST_SW_SESSION_TICKET:
903         *confunc = tls_construct_new_session_ticket;
904         *mt = SSL3_MT_NEWSESSION_TICKET;
905         break;
906
907     case TLS_ST_SW_CERT_STATUS:
908         *confunc = tls_construct_cert_status;
909         *mt = SSL3_MT_CERTIFICATE_STATUS;
910         break;
911
912     case TLS_ST_SW_FINISHED:
913         *confunc = tls_construct_finished;
914         *mt = SSL3_MT_FINISHED;
915         break;
916
917     case TLS_ST_SW_ENCRYPTED_EXTENSIONS:
918         *confunc = tls_construct_encrypted_extensions;
919         *mt = SSL3_MT_ENCRYPTED_EXTENSIONS;
920         break;
921
922     case TLS_ST_SW_HELLO_RETRY_REQUEST:
923         *confunc = tls_construct_hello_retry_request;
924         *mt = SSL3_MT_HELLO_RETRY_REQUEST;
925         break;
926     }
927
928     return 1;
929 }
930
931 /*
932  * Maximum size (excluding the Handshake header) of a ClientHello message,
933  * calculated as follows:
934  *
935  *  2 + # client_version
936  *  32 + # only valid length for random
937  *  1 + # length of session_id
938  *  32 + # maximum size for session_id
939  *  2 + # length of cipher suites
940  *  2^16-2 + # maximum length of cipher suites array
941  *  1 + # length of compression_methods
942  *  2^8-1 + # maximum length of compression methods
943  *  2 + # length of extensions
944  *  2^16-1 # maximum length of extensions
945  */
946 #define CLIENT_HELLO_MAX_LENGTH         131396
947
948 #define CLIENT_KEY_EXCH_MAX_LENGTH      2048
949 #define NEXT_PROTO_MAX_LENGTH           514
950
951 /*
952  * Returns the maximum allowed length for the current message that we are
953  * reading. Excludes the message header.
954  */
955 size_t ossl_statem_server_max_message_size(SSL *s)
956 {
957     OSSL_STATEM *st = &s->statem;
958
959     switch (st->hand_state) {
960     default:
961         /* Shouldn't happen */
962         return 0;
963
964     case TLS_ST_SR_CLNT_HELLO:
965         return CLIENT_HELLO_MAX_LENGTH;
966
967     case TLS_ST_SR_CERT:
968         return s->max_cert_list;
969
970     case TLS_ST_SR_KEY_EXCH:
971         return CLIENT_KEY_EXCH_MAX_LENGTH;
972
973     case TLS_ST_SR_CERT_VRFY:
974         return SSL3_RT_MAX_PLAIN_LENGTH;
975
976 #ifndef OPENSSL_NO_NEXTPROTONEG
977     case TLS_ST_SR_NEXT_PROTO:
978         return NEXT_PROTO_MAX_LENGTH;
979 #endif
980
981     case TLS_ST_SR_CHANGE:
982         return CCS_MAX_LENGTH;
983
984     case TLS_ST_SR_FINISHED:
985         return FINISHED_MAX_LENGTH;
986     }
987 }
988
989 /*
990  * Process a message that the server has received from the client.
991  */
992 MSG_PROCESS_RETURN ossl_statem_server_process_message(SSL *s, PACKET *pkt)
993 {
994     OSSL_STATEM *st = &s->statem;
995
996     switch (st->hand_state) {
997     default:
998         /* Shouldn't happen */
999         return MSG_PROCESS_ERROR;
1000
1001     case TLS_ST_SR_CLNT_HELLO:
1002         return tls_process_client_hello(s, pkt);
1003
1004     case TLS_ST_SR_CERT:
1005         return tls_process_client_certificate(s, pkt);
1006
1007     case TLS_ST_SR_KEY_EXCH:
1008         return tls_process_client_key_exchange(s, pkt);
1009
1010     case TLS_ST_SR_CERT_VRFY:
1011         return tls_process_cert_verify(s, pkt);
1012
1013 #ifndef OPENSSL_NO_NEXTPROTONEG
1014     case TLS_ST_SR_NEXT_PROTO:
1015         return tls_process_next_proto(s, pkt);
1016 #endif
1017
1018     case TLS_ST_SR_CHANGE:
1019         return tls_process_change_cipher_spec(s, pkt);
1020
1021     case TLS_ST_SR_FINISHED:
1022         return tls_process_finished(s, pkt);
1023     }
1024 }
1025
1026 /*
1027  * Perform any further processing required following the receipt of a message
1028  * from the client
1029  */
1030 WORK_STATE ossl_statem_server_post_process_message(SSL *s, WORK_STATE wst)
1031 {
1032     OSSL_STATEM *st = &s->statem;
1033
1034     switch (st->hand_state) {
1035     default:
1036         /* Shouldn't happen */
1037         return WORK_ERROR;
1038
1039     case TLS_ST_SR_CLNT_HELLO:
1040         return tls_post_process_client_hello(s, wst);
1041
1042     case TLS_ST_SR_KEY_EXCH:
1043         return tls_post_process_client_key_exchange(s, wst);
1044
1045     case TLS_ST_SR_CERT_VRFY:
1046 #ifndef OPENSSL_NO_SCTP
1047         if (                    /* Is this SCTP? */
1048                BIO_dgram_is_sctp(SSL_get_wbio(s))
1049                /* Are we renegotiating? */
1050                && s->renegotiate && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
1051             s->s3->in_read_app_data = 2;
1052             s->rwstate = SSL_READING;
1053             BIO_clear_retry_flags(SSL_get_rbio(s));
1054             BIO_set_retry_read(SSL_get_rbio(s));
1055             ossl_statem_set_sctp_read_sock(s, 1);
1056             return WORK_MORE_A;
1057         } else {
1058             ossl_statem_set_sctp_read_sock(s, 0);
1059         }
1060 #endif
1061         return WORK_FINISHED_CONTINUE;
1062     }
1063     return WORK_FINISHED_CONTINUE;
1064 }
1065
1066 #ifndef OPENSSL_NO_SRP
1067 static int ssl_check_srp_ext_ClientHello(SSL *s, int *al)
1068 {
1069     int ret = SSL_ERROR_NONE;
1070
1071     *al = SSL_AD_UNRECOGNIZED_NAME;
1072
1073     if ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) &&
1074         (s->srp_ctx.TLS_ext_srp_username_callback != NULL)) {
1075         if (s->srp_ctx.login == NULL) {
1076             /*
1077              * RFC 5054 says SHOULD reject, we do so if There is no srp
1078              * login name
1079              */
1080             ret = SSL3_AL_FATAL;
1081             *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
1082         } else {
1083             ret = SSL_srp_server_param_with_username(s, al);
1084         }
1085     }
1086     return ret;
1087 }
1088 #endif
1089
1090 int dtls_raw_hello_verify_request(WPACKET *pkt, unsigned char *cookie,
1091                                   size_t cookie_len)
1092 {
1093     /* Always use DTLS 1.0 version: see RFC 6347 */
1094     if (!WPACKET_put_bytes_u16(pkt, DTLS1_VERSION)
1095             || !WPACKET_sub_memcpy_u8(pkt, cookie, cookie_len))
1096         return 0;
1097
1098     return 1;
1099 }
1100
1101 int dtls_construct_hello_verify_request(SSL *s, WPACKET *pkt)
1102 {
1103     unsigned int cookie_leni;
1104     if (s->ctx->app_gen_cookie_cb == NULL ||
1105         s->ctx->app_gen_cookie_cb(s, s->d1->cookie,
1106                                   &cookie_leni) == 0 ||
1107         cookie_leni > 255) {
1108         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST,
1109                SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
1110         return 0;
1111     }
1112     s->d1->cookie_len = cookie_leni;
1113
1114     if (!dtls_raw_hello_verify_request(pkt, s->d1->cookie,
1115                                               s->d1->cookie_len)) {
1116         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST, ERR_R_INTERNAL_ERROR);
1117         return 0;
1118     }
1119
1120     return 1;
1121 }
1122
1123 #ifndef OPENSSL_NO_EC
1124 /*-
1125  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1126  * SecureTransport using the TLS extension block in |hello|.
1127  * Safari, since 10.6, sends exactly these extensions, in this order:
1128  *   SNI,
1129  *   elliptic_curves
1130  *   ec_point_formats
1131  *
1132  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1133  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1134  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1135  * 10.8..10.8.3 (which don't work).
1136  */
1137 static void ssl_check_for_safari(SSL *s, const CLIENTHELLO_MSG *hello)
1138 {
1139     static const unsigned char kSafariExtensionsBlock[] = {
1140         0x00, 0x0a,             /* elliptic_curves extension */
1141         0x00, 0x08,             /* 8 bytes */
1142         0x00, 0x06,             /* 6 bytes of curve ids */
1143         0x00, 0x17,             /* P-256 */
1144         0x00, 0x18,             /* P-384 */
1145         0x00, 0x19,             /* P-521 */
1146
1147         0x00, 0x0b,             /* ec_point_formats */
1148         0x00, 0x02,             /* 2 bytes */
1149         0x01,                   /* 1 point format */
1150         0x00,                   /* uncompressed */
1151         /* The following is only present in TLS 1.2 */
1152         0x00, 0x0d,             /* signature_algorithms */
1153         0x00, 0x0c,             /* 12 bytes */
1154         0x00, 0x0a,             /* 10 bytes */
1155         0x05, 0x01,             /* SHA-384/RSA */
1156         0x04, 0x01,             /* SHA-256/RSA */
1157         0x02, 0x01,             /* SHA-1/RSA */
1158         0x04, 0x03,             /* SHA-256/ECDSA */
1159         0x02, 0x03,             /* SHA-1/ECDSA */
1160     };
1161     /* Length of the common prefix (first two extensions). */
1162     static const size_t kSafariCommonExtensionsLength = 18;
1163     unsigned int type;
1164     PACKET sni, tmppkt;
1165     size_t ext_len;
1166
1167     tmppkt = hello->extensions;
1168
1169     if (!PACKET_forward(&tmppkt, 2)
1170         || !PACKET_get_net_2(&tmppkt, &type)
1171         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1172         return;
1173     }
1174
1175     if (type != TLSEXT_TYPE_server_name)
1176         return;
1177
1178     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1179         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1180
1181     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1182                                              ext_len);
1183 }
1184 #endif                          /* !OPENSSL_NO_EC */
1185
1186 MSG_PROCESS_RETURN tls_process_client_hello(SSL *s, PACKET *pkt)
1187 {
1188     int i, al = SSL_AD_INTERNAL_ERROR;
1189     unsigned int j;
1190     size_t loop;
1191     unsigned long id;
1192     const SSL_CIPHER *c;
1193 #ifndef OPENSSL_NO_COMP
1194     SSL_COMP *comp = NULL;
1195 #endif
1196     STACK_OF(SSL_CIPHER) *ciphers = NULL;
1197     int protverr;
1198     /* |cookie| will only be initialized for DTLS. */
1199     PACKET session_id, compression, extensions, cookie;
1200     static const unsigned char null_compression = 0;
1201     CLIENTHELLO_MSG clienthello;
1202
1203     /* Check if this is actually an unexpected renegotiation ClientHello */
1204     if (s->renegotiate == 0 && !SSL_IS_FIRST_HANDSHAKE(s)) {
1205         s->renegotiate = 1;
1206         s->new_session = 1;
1207     }
1208
1209     /* This is a real handshake so make sure we clean it up at the end */
1210     s->statem.cleanuphand = 1;
1211
1212     /*
1213      * First, parse the raw ClientHello data into the CLIENTHELLO_MSG structure.
1214      */
1215     memset(&clienthello, 0, sizeof(clienthello));
1216     clienthello.isv2 = RECORD_LAYER_is_sslv2_record(&s->rlayer);
1217     PACKET_null_init(&cookie);
1218
1219     if (clienthello.isv2) {
1220         unsigned int mt;
1221
1222         if (!SSL_IS_FIRST_HANDSHAKE(s) || s->hello_retry_request) {
1223             al = SSL_AD_HANDSHAKE_FAILURE;
1224             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNEXPECTED_MESSAGE);
1225             goto f_err;
1226         }
1227
1228         /*-
1229          * An SSLv3/TLSv1 backwards-compatible CLIENT-HELLO in an SSLv2
1230          * header is sent directly on the wire, not wrapped as a TLS
1231          * record. Our record layer just processes the message length and passes
1232          * the rest right through. Its format is:
1233          * Byte  Content
1234          * 0-1   msg_length - decoded by the record layer
1235          * 2     msg_type - s->init_msg points here
1236          * 3-4   version
1237          * 5-6   cipher_spec_length
1238          * 7-8   session_id_length
1239          * 9-10  challenge_length
1240          * ...   ...
1241          */
1242
1243         if (!PACKET_get_1(pkt, &mt)
1244             || mt != SSL2_MT_CLIENT_HELLO) {
1245             /*
1246              * Should never happen. We should have tested this in the record
1247              * layer in order to have determined that this is a SSLv2 record
1248              * in the first place
1249              */
1250             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1251             goto err;
1252         }
1253     }
1254
1255     if (!PACKET_get_net_2(pkt, &clienthello.legacy_version)) {
1256         al = SSL_AD_DECODE_ERROR;
1257         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_TOO_SHORT);
1258         goto err;
1259     }
1260
1261     /* Parse the message and load client random. */
1262     if (clienthello.isv2) {
1263         /*
1264          * Handle an SSLv2 backwards compatible ClientHello
1265          * Note, this is only for SSLv3+ using the backward compatible format.
1266          * Real SSLv2 is not supported, and is rejected below.
1267          */
1268         unsigned int ciphersuite_len, session_id_len, challenge_len;
1269         PACKET challenge;
1270
1271         if (!PACKET_get_net_2(pkt, &ciphersuite_len)
1272             || !PACKET_get_net_2(pkt, &session_id_len)
1273             || !PACKET_get_net_2(pkt, &challenge_len)) {
1274             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1275                    SSL_R_RECORD_LENGTH_MISMATCH);
1276             al = SSL_AD_DECODE_ERROR;
1277             goto f_err;
1278         }
1279
1280         if (session_id_len > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1281             al = SSL_AD_DECODE_ERROR;
1282             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1283             goto f_err;
1284         }
1285
1286         if (!PACKET_get_sub_packet(pkt, &clienthello.ciphersuites,
1287                                    ciphersuite_len)
1288             || !PACKET_copy_bytes(pkt, clienthello.session_id, session_id_len)
1289             || !PACKET_get_sub_packet(pkt, &challenge, challenge_len)
1290             /* No extensions. */
1291             || PACKET_remaining(pkt) != 0) {
1292             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1293                    SSL_R_RECORD_LENGTH_MISMATCH);
1294             al = SSL_AD_DECODE_ERROR;
1295             goto f_err;
1296         }
1297         clienthello.session_id_len = session_id_len;
1298
1299         /* Load the client random and compression list. We use SSL3_RANDOM_SIZE
1300          * here rather than sizeof(clienthello.random) because that is the limit
1301          * for SSLv3 and it is fixed. It won't change even if
1302          * sizeof(clienthello.random) does.
1303          */
1304         challenge_len = challenge_len > SSL3_RANDOM_SIZE
1305                         ? SSL3_RANDOM_SIZE : challenge_len;
1306         memset(clienthello.random, 0, SSL3_RANDOM_SIZE);
1307         if (!PACKET_copy_bytes(&challenge,
1308                                clienthello.random + SSL3_RANDOM_SIZE -
1309                                challenge_len, challenge_len)
1310             /* Advertise only null compression. */
1311             || !PACKET_buf_init(&compression, &null_compression, 1)) {
1312             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1313             al = SSL_AD_INTERNAL_ERROR;
1314             goto f_err;
1315         }
1316
1317         PACKET_null_init(&clienthello.extensions);
1318     } else {
1319         /* Regular ClientHello. */
1320         if (!PACKET_copy_bytes(pkt, clienthello.random, SSL3_RANDOM_SIZE)
1321             || !PACKET_get_length_prefixed_1(pkt, &session_id)
1322             || !PACKET_copy_all(&session_id, clienthello.session_id,
1323                     SSL_MAX_SSL_SESSION_ID_LENGTH,
1324                     &clienthello.session_id_len)) {
1325             al = SSL_AD_DECODE_ERROR;
1326             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1327             goto f_err;
1328         }
1329
1330         if (SSL_IS_DTLS(s)) {
1331             if (!PACKET_get_length_prefixed_1(pkt, &cookie)) {
1332                 al = SSL_AD_DECODE_ERROR;
1333                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1334                 goto f_err;
1335             }
1336             if (!PACKET_copy_all(&cookie, clienthello.dtls_cookie,
1337                                  DTLS1_COOKIE_LENGTH,
1338                                  &clienthello.dtls_cookie_len)) {
1339                 al = SSL_AD_DECODE_ERROR;
1340                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1341                 goto f_err;
1342             }
1343             /*
1344              * If we require cookies and this ClientHello doesn't contain one,
1345              * just return since we do not want to allocate any memory yet.
1346              * So check cookie length...
1347              */
1348             if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1349                 if (clienthello.dtls_cookie_len == 0)
1350                     return 1;
1351             }
1352         }
1353
1354         if (!PACKET_get_length_prefixed_2(pkt, &clienthello.ciphersuites)) {
1355             al = SSL_AD_DECODE_ERROR;
1356             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1357             goto f_err;
1358         }
1359
1360         if (!PACKET_get_length_prefixed_1(pkt, &compression)) {
1361             al = SSL_AD_DECODE_ERROR;
1362             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1363             goto f_err;
1364         }
1365
1366         /* Could be empty. */
1367         if (PACKET_remaining(pkt) == 0) {
1368             PACKET_null_init(&clienthello.extensions);
1369         } else {
1370             if (!PACKET_get_length_prefixed_2(pkt, &clienthello.extensions)) {
1371                 al = SSL_AD_DECODE_ERROR;
1372                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1373                 goto f_err;
1374             }
1375         }
1376     }
1377
1378     if (!PACKET_copy_all(&compression, clienthello.compressions,
1379                          MAX_COMPRESSIONS_SIZE,
1380                          &clienthello.compressions_len)) {
1381         al = SSL_AD_DECODE_ERROR;
1382         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1383         goto f_err;
1384     }
1385
1386     /* Preserve the raw extensions PACKET for later use */
1387     extensions = clienthello.extensions;
1388     if (!tls_collect_extensions(s, &extensions, EXT_CLIENT_HELLO,
1389                                 &clienthello.pre_proc_exts, &al)) {
1390         /* SSLerr already been called */
1391         goto f_err;
1392     }
1393
1394     /* Finished parsing the ClientHello, now we can start processing it */
1395
1396     /* Set up the client_random */
1397     memcpy(s->s3->client_random, clienthello.random, SSL3_RANDOM_SIZE);
1398
1399     /* Choose the version */
1400
1401     if (clienthello.isv2) {
1402         if (clienthello.legacy_version == SSL2_VERSION
1403                 || (clienthello.legacy_version & 0xff00)
1404                    != (SSL3_VERSION_MAJOR << 8)) {
1405             /*
1406              * This is real SSLv2 or something complete unknown. We don't
1407              * support it.
1408              */
1409             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
1410             goto err;
1411         }
1412         /* SSLv3/TLS */
1413         s->client_version = clienthello.legacy_version;
1414     }
1415     /*
1416      * Do SSL/TLS version negotiation if applicable. For DTLS we just check
1417      * versions are potentially compatible. Version negotiation comes later.
1418      */
1419     if (!SSL_IS_DTLS(s)) {
1420         protverr = ssl_choose_server_version(s, &clienthello);
1421     } else if (s->method->version != DTLS_ANY_VERSION &&
1422                DTLS_VERSION_LT((int)clienthello.legacy_version, s->version)) {
1423         protverr = SSL_R_VERSION_TOO_LOW;
1424     } else {
1425         protverr = 0;
1426     }
1427
1428     if (protverr) {
1429         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1430         if (SSL_IS_FIRST_HANDSHAKE(s)) {
1431             /* like ssl3_get_record, send alert using remote version number */
1432             s->version = s->client_version = clienthello.legacy_version;
1433         }
1434         al = SSL_AD_PROTOCOL_VERSION;
1435         goto f_err;
1436     }
1437
1438     if (SSL_IS_DTLS(s)) {
1439         /* Empty cookie was already handled above by returning early. */
1440         if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1441             if (s->ctx->app_verify_cookie_cb != NULL) {
1442                 if (s->ctx->app_verify_cookie_cb(s, clienthello.dtls_cookie,
1443                         clienthello.dtls_cookie_len) == 0) {
1444                     al = SSL_AD_HANDSHAKE_FAILURE;
1445                     SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1446                            SSL_R_COOKIE_MISMATCH);
1447                     goto f_err;
1448                     /* else cookie verification succeeded */
1449                 }
1450                 /* default verification */
1451             } else if (s->d1->cookie_len != clienthello.dtls_cookie_len
1452                     || memcmp(clienthello.dtls_cookie, s->d1->cookie,
1453                               s->d1->cookie_len) != 0) {
1454                 al = SSL_AD_HANDSHAKE_FAILURE;
1455                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_COOKIE_MISMATCH);
1456                 goto f_err;
1457             }
1458             s->d1->cookie_verified = 1;
1459         }
1460         if (s->method->version == DTLS_ANY_VERSION) {
1461             protverr = ssl_choose_server_version(s, &clienthello);
1462             if (protverr != 0) {
1463                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1464                 s->version = s->client_version;
1465                 al = SSL_AD_PROTOCOL_VERSION;
1466                 goto f_err;
1467             }
1468         }
1469     }
1470
1471     s->hit = 0;
1472
1473     /* We need to do this before getting the session */
1474     if (!tls_parse_extension(s, TLSEXT_IDX_extended_master_secret,
1475                              EXT_CLIENT_HELLO,
1476                              clienthello.pre_proc_exts, NULL, 0, &al)) {
1477         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1478         goto f_err;
1479     }
1480
1481     /*
1482      * We don't allow resumption in a backwards compatible ClientHello.
1483      * TODO(openssl-team): in TLS1.1+, session_id MUST be empty.
1484      *
1485      * Versions before 0.9.7 always allow clients to resume sessions in
1486      * renegotiation. 0.9.7 and later allow this by default, but optionally
1487      * ignore resumption requests with flag
1488      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION (it's a new flag rather
1489      * than a change to default behavior so that applications relying on
1490      * this for security won't even compile against older library versions).
1491      * 1.0.1 and later also have a function SSL_renegotiate_abbreviated() to
1492      * request renegotiation but not a new session (s->new_session remains
1493      * unset): for servers, this essentially just means that the
1494      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION setting will be
1495      * ignored.
1496      */
1497     if (clienthello.isv2 ||
1498         (s->new_session &&
1499          (s->options & SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION))) {
1500         if (!ssl_get_new_session(s, 1))
1501             goto err;
1502     } else {
1503         i = ssl_get_prev_session(s, &clienthello, &al);
1504         if (i == 1) {
1505             /* previous session */
1506             s->hit = 1;
1507         } else if (i == -1) {
1508             goto f_err;
1509         } else {
1510             /* i == 0 */
1511             if (!ssl_get_new_session(s, 1))
1512                 goto err;
1513         }
1514     }
1515
1516     if (ssl_bytes_to_cipher_list(s, &clienthello.ciphersuites, &ciphers,
1517                                  clienthello.isv2, &al) == NULL) {
1518         goto f_err;
1519     }
1520
1521     /* If it is a hit, check that the cipher is in the list */
1522     if (s->hit) {
1523         j = 0;
1524         id = s->session->cipher->id;
1525
1526 #ifdef CIPHER_DEBUG
1527         fprintf(stderr, "client sent %d ciphers\n", sk_SSL_CIPHER_num(ciphers));
1528 #endif
1529         for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
1530             c = sk_SSL_CIPHER_value(ciphers, i);
1531 #ifdef CIPHER_DEBUG
1532             fprintf(stderr, "client [%2d of %2d]:%s\n",
1533                     i, sk_SSL_CIPHER_num(ciphers), SSL_CIPHER_get_name(c));
1534 #endif
1535             if (c->id == id) {
1536                 j = 1;
1537                 break;
1538             }
1539         }
1540         if (j == 0) {
1541             /*
1542              * we need to have the cipher in the cipher list if we are asked
1543              * to reuse it
1544              */
1545             al = SSL_AD_ILLEGAL_PARAMETER;
1546             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1547                    SSL_R_REQUIRED_CIPHER_MISSING);
1548             goto f_err;
1549         }
1550     }
1551
1552     for (loop = 0; loop < clienthello.compressions_len; loop++) {
1553         if (clienthello.compressions[loop] == 0)
1554             break;
1555     }
1556
1557     if (loop >= clienthello.compressions_len) {
1558         /* no compress */
1559         al = SSL_AD_DECODE_ERROR;
1560         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_COMPRESSION_SPECIFIED);
1561         goto f_err;
1562     }
1563
1564 #ifndef OPENSSL_NO_EC
1565     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1566         ssl_check_for_safari(s, &clienthello);
1567 #endif                          /* !OPENSSL_NO_EC */
1568
1569     /* TLS extensions */
1570     if (!tls_parse_all_extensions(s, EXT_CLIENT_HELLO,
1571                                   clienthello.pre_proc_exts, NULL, 0, &al)) {
1572         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_PARSE_TLSEXT);
1573         goto f_err;
1574     }
1575
1576     /*
1577      * Check if we want to use external pre-shared secret for this handshake
1578      * for not reused session only. We need to generate server_random before
1579      * calling tls_session_secret_cb in order to allow SessionTicket
1580      * processing to use it in key derivation.
1581      */
1582     {
1583         unsigned char *pos;
1584         pos = s->s3->server_random;
1585         if (ssl_fill_hello_random(s, 1, pos, SSL3_RANDOM_SIZE) <= 0) {
1586             goto f_err;
1587         }
1588     }
1589
1590     if (!s->hit && s->version >= TLS1_VERSION && s->ext.session_secret_cb) {
1591         const SSL_CIPHER *pref_cipher = NULL;
1592         /*
1593          * s->session->master_key_length is a size_t, but this is an int for
1594          * backwards compat reasons
1595          */
1596         int master_key_length;
1597
1598         master_key_length = sizeof(s->session->master_key);
1599         if (s->ext.session_secret_cb(s, s->session->master_key,
1600                                      &master_key_length, ciphers,
1601                                      &pref_cipher,
1602                                      s->ext.session_secret_cb_arg)
1603                 && master_key_length > 0) {
1604             s->session->master_key_length = master_key_length;
1605             s->hit = 1;
1606             s->session->ciphers = ciphers;
1607             s->session->verify_result = X509_V_OK;
1608
1609             ciphers = NULL;
1610
1611             /* check if some cipher was preferred by call back */
1612             if (pref_cipher == NULL)
1613                 pref_cipher = ssl3_choose_cipher(s, s->session->ciphers,
1614                                                  SSL_get_ciphers(s));
1615             if (pref_cipher == NULL) {
1616                 al = SSL_AD_HANDSHAKE_FAILURE;
1617                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1618                 goto f_err;
1619             }
1620
1621             s->session->cipher = pref_cipher;
1622             sk_SSL_CIPHER_free(s->cipher_list);
1623             s->cipher_list = sk_SSL_CIPHER_dup(s->session->ciphers);
1624             sk_SSL_CIPHER_free(s->cipher_list_by_id);
1625             s->cipher_list_by_id = sk_SSL_CIPHER_dup(s->session->ciphers);
1626         }
1627     }
1628
1629     /*
1630      * Worst case, we will use the NULL compression, but if we have other
1631      * options, we will now look for them.  We have complen-1 compression
1632      * algorithms from the client, starting at q.
1633      */
1634     s->s3->tmp.new_compression = NULL;
1635 #ifndef OPENSSL_NO_COMP
1636     /* This only happens if we have a cache hit */
1637     if (s->session->compress_meth != 0) {
1638         int m, comp_id = s->session->compress_meth;
1639         unsigned int k;
1640         /* Perform sanity checks on resumed compression algorithm */
1641         /* Can't disable compression */
1642         if (!ssl_allow_compression(s)) {
1643             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1644                    SSL_R_INCONSISTENT_COMPRESSION);
1645             goto f_err;
1646         }
1647         /* Look for resumed compression method */
1648         for (m = 0; m < sk_SSL_COMP_num(s->ctx->comp_methods); m++) {
1649             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1650             if (comp_id == comp->id) {
1651                 s->s3->tmp.new_compression = comp;
1652                 break;
1653             }
1654         }
1655         if (s->s3->tmp.new_compression == NULL) {
1656             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1657                    SSL_R_INVALID_COMPRESSION_ALGORITHM);
1658             goto f_err;
1659         }
1660         /* Look for resumed method in compression list */
1661         for (k = 0; k < clienthello.compressions_len; k++) {
1662             if (clienthello.compressions[k] == comp_id)
1663                 break;
1664         }
1665         if (k >= clienthello.compressions_len) {
1666             al = SSL_AD_ILLEGAL_PARAMETER;
1667             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1668                    SSL_R_REQUIRED_COMPRESSION_ALGORITHM_MISSING);
1669             goto f_err;
1670         }
1671     } else if (s->hit)
1672         comp = NULL;
1673     else if (ssl_allow_compression(s) && s->ctx->comp_methods) {
1674         /* See if we have a match */
1675         int m, nn, v, done = 0;
1676         unsigned int o;
1677
1678         nn = sk_SSL_COMP_num(s->ctx->comp_methods);
1679         for (m = 0; m < nn; m++) {
1680             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1681             v = comp->id;
1682             for (o = 0; o < clienthello.compressions_len; o++) {
1683                 if (v == clienthello.compressions[o]) {
1684                     done = 1;
1685                     break;
1686                 }
1687             }
1688             if (done)
1689                 break;
1690         }
1691         if (done)
1692             s->s3->tmp.new_compression = comp;
1693         else
1694             comp = NULL;
1695     }
1696 #else
1697     /*
1698      * If compression is disabled we'd better not try to resume a session
1699      * using compression.
1700      */
1701     if (s->session->compress_meth != 0) {
1702         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1703         goto f_err;
1704     }
1705 #endif
1706
1707     /*
1708      * Given s->session->ciphers and SSL_get_ciphers, we must pick a cipher
1709      */
1710
1711     if (!s->hit) {
1712 #ifdef OPENSSL_NO_COMP
1713         s->session->compress_meth = 0;
1714 #else
1715         s->session->compress_meth = (comp == NULL) ? 0 : comp->id;
1716 #endif
1717         sk_SSL_CIPHER_free(s->session->ciphers);
1718         s->session->ciphers = ciphers;
1719         if (ciphers == NULL) {
1720             al = SSL_AD_INTERNAL_ERROR;
1721             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1722             goto f_err;
1723         }
1724         ciphers = NULL;
1725         if (!tls1_set_server_sigalgs(s)) {
1726             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1727             goto err;
1728         }
1729     }
1730
1731     sk_SSL_CIPHER_free(ciphers);
1732     OPENSSL_free(clienthello.pre_proc_exts);
1733     return MSG_PROCESS_CONTINUE_PROCESSING;
1734  f_err:
1735     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1736  err:
1737     ossl_statem_set_error(s);
1738
1739     sk_SSL_CIPHER_free(ciphers);
1740     OPENSSL_free(clienthello.pre_proc_exts);
1741
1742     return MSG_PROCESS_ERROR;
1743 }
1744
1745 /*
1746  * Call the status request callback if needed. Upon success, returns 1.
1747  * Upon failure, returns 0 and sets |*al| to the appropriate fatal alert.
1748  */
1749 static int tls_handle_status_request(SSL *s, int *al)
1750 {
1751     s->ext.status_expected = 0;
1752
1753     /*
1754      * If status request then ask callback what to do. Note: this must be
1755      * called after servername callbacks in case the certificate has changed,
1756      * and must be called after the cipher has been chosen because this may
1757      * influence which certificate is sent
1758      */
1759     if (s->ext.status_type != TLSEXT_STATUSTYPE_nothing && s->ctx != NULL
1760             && s->ctx->ext.status_cb != NULL) {
1761         int ret;
1762         CERT_PKEY *certpkey = ssl_get_server_send_pkey(s);
1763
1764         /* If no certificate can't return certificate status */
1765         if (certpkey != NULL) {
1766             /*
1767              * Set current certificate to one we will use so SSL_get_certificate
1768              * et al can pick it up.
1769              */
1770             s->cert->key = certpkey;
1771             ret = s->ctx->ext.status_cb(s, s->ctx->ext.status_arg);
1772             switch (ret) {
1773                 /* We don't want to send a status request response */
1774             case SSL_TLSEXT_ERR_NOACK:
1775                 s->ext.status_expected = 0;
1776                 break;
1777                 /* status request response should be sent */
1778             case SSL_TLSEXT_ERR_OK:
1779                 if (s->ext.ocsp.resp)
1780                     s->ext.status_expected = 1;
1781                 break;
1782                 /* something bad happened */
1783             case SSL_TLSEXT_ERR_ALERT_FATAL:
1784             default:
1785                 *al = SSL_AD_INTERNAL_ERROR;
1786                 return 0;
1787             }
1788         }
1789     }
1790
1791     return 1;
1792 }
1793
1794 WORK_STATE tls_post_process_client_hello(SSL *s, WORK_STATE wst)
1795 {
1796     int al = SSL_AD_HANDSHAKE_FAILURE;
1797     const SSL_CIPHER *cipher;
1798
1799     if (wst == WORK_MORE_A) {
1800         if (!s->hit) {
1801             /* Let cert callback update server certificates if required */
1802             if (s->cert->cert_cb) {
1803                 int rv = s->cert->cert_cb(s, s->cert->cert_cb_arg);
1804                 if (rv == 0) {
1805                     al = SSL_AD_INTERNAL_ERROR;
1806                     SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1807                            SSL_R_CERT_CB_ERROR);
1808                     goto f_err;
1809                 }
1810                 if (rv < 0) {
1811                     s->rwstate = SSL_X509_LOOKUP;
1812                     return WORK_MORE_A;
1813                 }
1814                 s->rwstate = SSL_NOTHING;
1815             }
1816             cipher =
1817                 ssl3_choose_cipher(s, s->session->ciphers, SSL_get_ciphers(s));
1818
1819             if (cipher == NULL) {
1820                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1821                        SSL_R_NO_SHARED_CIPHER);
1822                 goto f_err;
1823             }
1824             s->s3->tmp.new_cipher = cipher;
1825             if (!tls_choose_sigalg(s, &al))
1826                 goto f_err;
1827             /* check whether we should disable session resumption */
1828             if (s->not_resumable_session_cb != NULL)
1829                 s->session->not_resumable =
1830                     s->not_resumable_session_cb(s, ((cipher->algorithm_mkey
1831                                                     & (SSL_kDHE | SSL_kECDHE))
1832                                                    != 0));
1833             if (s->session->not_resumable)
1834                 /* do not send a session ticket */
1835                 s->ext.ticket_expected = 0;
1836         } else {
1837             /* Session-id reuse */
1838             s->s3->tmp.new_cipher = s->session->cipher;
1839         }
1840
1841         /*-
1842          * we now have the following setup.
1843          * client_random
1844          * cipher_list          - our preferred list of ciphers
1845          * ciphers              - the clients preferred list of ciphers
1846          * compression          - basically ignored right now
1847          * ssl version is set   - sslv3
1848          * s->session           - The ssl session has been setup.
1849          * s->hit               - session reuse flag
1850          * s->s3->tmp.new_cipher- the new cipher to use.
1851          */
1852
1853         /*
1854          * Call status_request callback if needed. Has to be done after the
1855          * certificate callbacks etc above.
1856          */
1857         if (!tls_handle_status_request(s, &al)) {
1858             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1859                    SSL_R_CLIENTHELLO_TLSEXT);
1860             goto f_err;
1861         }
1862
1863         wst = WORK_MORE_B;
1864     }
1865 #ifndef OPENSSL_NO_SRP
1866     if (wst == WORK_MORE_B) {
1867         int ret;
1868         if ((ret = ssl_check_srp_ext_ClientHello(s, &al)) < 0) {
1869             /*
1870              * callback indicates further work to be done
1871              */
1872             s->rwstate = SSL_X509_LOOKUP;
1873             return WORK_MORE_B;
1874         }
1875         if (ret != SSL_ERROR_NONE) {
1876             /*
1877              * This is not really an error but the only means to for
1878              * a client to detect whether srp is supported.
1879              */
1880             if (al != TLS1_AD_UNKNOWN_PSK_IDENTITY)
1881                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1882                        SSL_R_CLIENTHELLO_TLSEXT);
1883             else
1884                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1885                        SSL_R_PSK_IDENTITY_NOT_FOUND);
1886             goto f_err;
1887         }
1888     }
1889 #endif
1890
1891     return WORK_FINISHED_STOP;
1892  f_err:
1893     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1894     ossl_statem_set_error(s);
1895     return WORK_ERROR;
1896 }
1897
1898 int tls_construct_server_hello(SSL *s, WPACKET *pkt)
1899 {
1900     int compm, al = SSL_AD_INTERNAL_ERROR;
1901     size_t sl, len;
1902     int version;
1903
1904     /* TODO(TLS1.3): Remove the DRAFT conditional before release */
1905     version = SSL_IS_TLS13(s) ? TLS1_3_VERSION_DRAFT : s->version;
1906     if (!WPACKET_put_bytes_u16(pkt, version)
1907                /*
1908                 * Random stuff. Filling of the server_random takes place in
1909                 * tls_process_client_hello()
1910                 */
1911             || !WPACKET_memcpy(pkt, s->s3->server_random, SSL3_RANDOM_SIZE)) {
1912         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1913         goto err;
1914     }
1915
1916     /*-
1917      * There are several cases for the session ID to send
1918      * back in the server hello:
1919      * - For session reuse from the session cache,
1920      *   we send back the old session ID.
1921      * - If stateless session reuse (using a session ticket)
1922      *   is successful, we send back the client's "session ID"
1923      *   (which doesn't actually identify the session).
1924      * - If it is a new session, we send back the new
1925      *   session ID.
1926      * - However, if we want the new session to be single-use,
1927      *   we send back a 0-length session ID.
1928      * s->hit is non-zero in either case of session reuse,
1929      * so the following won't overwrite an ID that we're supposed
1930      * to send back.
1931      */
1932     if (s->session->not_resumable ||
1933         (!(s->ctx->session_cache_mode & SSL_SESS_CACHE_SERVER)
1934          && !s->hit))
1935         s->session->session_id_length = 0;
1936
1937     sl = s->session->session_id_length;
1938     if (sl > sizeof(s->session->session_id)) {
1939         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1940         goto err;
1941     }
1942
1943     /* set up the compression method */
1944 #ifdef OPENSSL_NO_COMP
1945     compm = 0;
1946 #else
1947     if (s->s3->tmp.new_compression == NULL)
1948         compm = 0;
1949     else
1950         compm = s->s3->tmp.new_compression->id;
1951 #endif
1952
1953     if ((!SSL_IS_TLS13(s)
1954                 && !WPACKET_sub_memcpy_u8(pkt, s->session->session_id, sl))
1955             || !s->method->put_cipher_by_char(s->s3->tmp.new_cipher, pkt, &len)
1956             || (!SSL_IS_TLS13(s)
1957                 && !WPACKET_put_bytes_u8(pkt, compm))
1958             || !tls_construct_extensions(s, pkt,
1959                                          SSL_IS_TLS13(s)
1960                                             ? EXT_TLS1_3_SERVER_HELLO
1961                                             : EXT_TLS1_2_SERVER_HELLO,
1962                                          NULL, 0, &al)) {
1963         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1964         goto err;
1965     }
1966
1967     if (!(s->verify_mode & SSL_VERIFY_PEER)
1968             && !ssl3_digest_cached_records(s, 0)) {
1969         al = SSL_AD_INTERNAL_ERROR;
1970         goto err;
1971     }
1972
1973     return 1;
1974  err:
1975     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1976     return 0;
1977 }
1978
1979 int tls_construct_server_done(SSL *s, WPACKET *pkt)
1980 {
1981     if (!s->s3->tmp.cert_request) {
1982         if (!ssl3_digest_cached_records(s, 0)) {
1983             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1984             return 0;
1985         }
1986     }
1987     return 1;
1988 }
1989
1990 int tls_construct_server_key_exchange(SSL *s, WPACKET *pkt)
1991 {
1992 #ifndef OPENSSL_NO_DH
1993     EVP_PKEY *pkdh = NULL;
1994 #endif
1995 #ifndef OPENSSL_NO_EC
1996     unsigned char *encodedPoint = NULL;
1997     size_t encodedlen = 0;
1998     int curve_id = 0;
1999 #endif
2000     EVP_PKEY *pkey;
2001     const EVP_MD *md = NULL;
2002     int al = SSL_AD_INTERNAL_ERROR, i;
2003     unsigned long type;
2004     const BIGNUM *r[4];
2005     EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();
2006     EVP_PKEY_CTX *pctx = NULL;
2007     size_t paramlen, paramoffset;
2008
2009     if (!WPACKET_get_total_written(pkt, &paramoffset)) {
2010         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2011         goto f_err;
2012     }
2013
2014     if (md_ctx == NULL) {
2015         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
2016         goto f_err;
2017     }
2018
2019     type = s->s3->tmp.new_cipher->algorithm_mkey;
2020
2021     r[0] = r[1] = r[2] = r[3] = NULL;
2022 #ifndef OPENSSL_NO_PSK
2023     /* Plain PSK or RSAPSK nothing to do */
2024     if (type & (SSL_kPSK | SSL_kRSAPSK)) {
2025     } else
2026 #endif                          /* !OPENSSL_NO_PSK */
2027 #ifndef OPENSSL_NO_DH
2028     if (type & (SSL_kDHE | SSL_kDHEPSK)) {
2029         CERT *cert = s->cert;
2030
2031         EVP_PKEY *pkdhp = NULL;
2032         DH *dh;
2033
2034         if (s->cert->dh_tmp_auto) {
2035             DH *dhp = ssl_get_auto_dh(s);
2036             pkdh = EVP_PKEY_new();
2037             if (pkdh == NULL || dhp == NULL) {
2038                 DH_free(dhp);
2039                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2040                        ERR_R_INTERNAL_ERROR);
2041                 goto f_err;
2042             }
2043             EVP_PKEY_assign_DH(pkdh, dhp);
2044             pkdhp = pkdh;
2045         } else {
2046             pkdhp = cert->dh_tmp;
2047         }
2048         if ((pkdhp == NULL) && (s->cert->dh_tmp_cb != NULL)) {
2049             DH *dhp = s->cert->dh_tmp_cb(s, 0, 1024);
2050             pkdh = ssl_dh_to_pkey(dhp);
2051             if (pkdh == NULL) {
2052                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2053                        ERR_R_INTERNAL_ERROR);
2054                 goto f_err;
2055             }
2056             pkdhp = pkdh;
2057         }
2058         if (pkdhp == NULL) {
2059             al = SSL_AD_HANDSHAKE_FAILURE;
2060             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2061                    SSL_R_MISSING_TMP_DH_KEY);
2062             goto f_err;
2063         }
2064         if (!ssl_security(s, SSL_SECOP_TMP_DH,
2065                           EVP_PKEY_security_bits(pkdhp), 0, pkdhp)) {
2066             al = SSL_AD_HANDSHAKE_FAILURE;
2067             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2068                    SSL_R_DH_KEY_TOO_SMALL);
2069             goto f_err;
2070         }
2071         if (s->s3->tmp.pkey != NULL) {
2072             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2073                    ERR_R_INTERNAL_ERROR);
2074             goto err;
2075         }
2076
2077         s->s3->tmp.pkey = ssl_generate_pkey(pkdhp);
2078
2079         if (s->s3->tmp.pkey == NULL) {
2080             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
2081             goto err;
2082         }
2083
2084         dh = EVP_PKEY_get0_DH(s->s3->tmp.pkey);
2085
2086         EVP_PKEY_free(pkdh);
2087         pkdh = NULL;
2088
2089         DH_get0_pqg(dh, &r[0], NULL, &r[1]);
2090         DH_get0_key(dh, &r[2], NULL);
2091     } else
2092 #endif
2093 #ifndef OPENSSL_NO_EC
2094     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
2095         int nid;
2096
2097         if (s->s3->tmp.pkey != NULL) {
2098             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2099                    ERR_R_INTERNAL_ERROR);
2100             goto err;
2101         }
2102
2103         /* Get NID of appropriate shared curve */
2104         nid = tls1_shared_group(s, -2);
2105         curve_id = tls1_ec_nid2curve_id(nid);
2106         if (curve_id == 0) {
2107             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2108                    SSL_R_UNSUPPORTED_ELLIPTIC_CURVE);
2109             goto err;
2110         }
2111         s->s3->tmp.pkey = ssl_generate_pkey_curve(curve_id);
2112         /* Generate a new key for this curve */
2113         if (s->s3->tmp.pkey == NULL) {
2114             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
2115             goto f_err;
2116         }
2117
2118         /* Encode the public key. */
2119         encodedlen = EVP_PKEY_get1_tls_encodedpoint(s->s3->tmp.pkey,
2120                                                     &encodedPoint);
2121         if (encodedlen == 0) {
2122             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EC_LIB);
2123             goto err;
2124         }
2125
2126         /*
2127          * We'll generate the serverKeyExchange message explicitly so we
2128          * can set these to NULLs
2129          */
2130         r[0] = NULL;
2131         r[1] = NULL;
2132         r[2] = NULL;
2133         r[3] = NULL;
2134     } else
2135 #endif                          /* !OPENSSL_NO_EC */
2136 #ifndef OPENSSL_NO_SRP
2137     if (type & SSL_kSRP) {
2138         if ((s->srp_ctx.N == NULL) ||
2139             (s->srp_ctx.g == NULL) ||
2140             (s->srp_ctx.s == NULL) || (s->srp_ctx.B == NULL)) {
2141             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2142                    SSL_R_MISSING_SRP_PARAM);
2143             goto err;
2144         }
2145         r[0] = s->srp_ctx.N;
2146         r[1] = s->srp_ctx.g;
2147         r[2] = s->srp_ctx.s;
2148         r[3] = s->srp_ctx.B;
2149     } else
2150 #endif
2151     {
2152         al = SSL_AD_HANDSHAKE_FAILURE;
2153         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2154                SSL_R_UNKNOWN_KEY_EXCHANGE_TYPE);
2155         goto f_err;
2156     }
2157
2158     if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aSRP))
2159         && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)) {
2160         if ((pkey = ssl_get_sign_pkey(s, s->s3->tmp.new_cipher, &md))
2161             == NULL) {
2162             al = SSL_AD_DECODE_ERROR;
2163             goto f_err;
2164         }
2165     } else {
2166         pkey = NULL;
2167     }
2168
2169 #ifndef OPENSSL_NO_PSK
2170     if (type & SSL_PSK) {
2171         size_t len = (s->cert->psk_identity_hint == NULL)
2172                         ? 0 : strlen(s->cert->psk_identity_hint);
2173
2174         /*
2175          * It should not happen that len > PSK_MAX_IDENTITY_LEN - we already
2176          * checked this when we set the identity hint - but just in case
2177          */
2178         if (len > PSK_MAX_IDENTITY_LEN
2179                 || !WPACKET_sub_memcpy_u16(pkt, s->cert->psk_identity_hint,
2180                                            len)) {
2181             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2182                    ERR_R_INTERNAL_ERROR);
2183             goto f_err;
2184         }
2185     }
2186 #endif
2187
2188     for (i = 0; i < 4 && r[i] != NULL; i++) {
2189         unsigned char *binval;
2190         int res;
2191
2192 #ifndef OPENSSL_NO_SRP
2193         if ((i == 2) && (type & SSL_kSRP)) {
2194             res = WPACKET_start_sub_packet_u8(pkt);
2195         } else
2196 #endif
2197             res = WPACKET_start_sub_packet_u16(pkt);
2198
2199         if (!res) {
2200             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2201                    ERR_R_INTERNAL_ERROR);
2202             goto f_err;
2203         }
2204
2205 #ifndef OPENSSL_NO_DH
2206         /*-
2207          * for interoperability with some versions of the Microsoft TLS
2208          * stack, we need to zero pad the DHE pub key to the same length
2209          * as the prime
2210          */
2211         if ((i == 2) && (type & (SSL_kDHE | SSL_kDHEPSK))) {
2212             size_t len = BN_num_bytes(r[0]) - BN_num_bytes(r[2]);
2213
2214             if (len > 0) {
2215                 if (!WPACKET_allocate_bytes(pkt, len, &binval)) {
2216                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2217                            ERR_R_INTERNAL_ERROR);
2218                     goto f_err;
2219                 }
2220                 memset(binval, 0, len);
2221             }
2222         }
2223 #endif
2224         if (!WPACKET_allocate_bytes(pkt, BN_num_bytes(r[i]), &binval)
2225                 || !WPACKET_close(pkt)) {
2226             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2227                    ERR_R_INTERNAL_ERROR);
2228             goto f_err;
2229         }
2230
2231         BN_bn2bin(r[i], binval);
2232     }
2233
2234 #ifndef OPENSSL_NO_EC
2235     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
2236         /*
2237          * We only support named (not generic) curves. In this situation, the
2238          * ServerKeyExchange message has: [1 byte CurveType], [2 byte CurveName]
2239          * [1 byte length of encoded point], followed by the actual encoded
2240          * point itself
2241          */
2242         if (!WPACKET_put_bytes_u8(pkt, NAMED_CURVE_TYPE)
2243                 || !WPACKET_put_bytes_u8(pkt, 0)
2244                 || !WPACKET_put_bytes_u8(pkt, curve_id)
2245                 || !WPACKET_sub_memcpy_u8(pkt, encodedPoint, encodedlen)) {
2246             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2247                    ERR_R_INTERNAL_ERROR);
2248             goto f_err;
2249         }
2250         OPENSSL_free(encodedPoint);
2251         encodedPoint = NULL;
2252     }
2253 #endif
2254
2255     /* not anonymous */
2256     if (pkey != NULL) {
2257         /*
2258          * n is the length of the params, they start at &(d[4]) and p
2259          * points to the space at the end.
2260          */
2261         if (md) {
2262             unsigned char *sigbytes1, *sigbytes2;
2263             size_t siglen;
2264             int ispss = 0;
2265
2266             /* Get length of the parameters we have written above */
2267             if (!WPACKET_get_length(pkt, &paramlen)) {
2268                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2269                        ERR_R_INTERNAL_ERROR);
2270                 goto f_err;
2271             }
2272             /* send signature algorithm */
2273             if (SSL_USE_SIGALGS(s)) {
2274                 if (!tls12_get_sigandhash(s, pkt, pkey, md, &ispss)) {
2275                     /* Should never happen */
2276                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2277                            ERR_R_INTERNAL_ERROR);
2278                     goto f_err;
2279                 }
2280             }
2281 #ifdef SSL_DEBUG
2282             fprintf(stderr, "Using hash %s\n", EVP_MD_name(md));
2283 #endif
2284             /*
2285              * Create the signature. We don't know the actual length of the sig
2286              * until after we've created it, so we reserve enough bytes for it
2287              * up front, and then properly allocate them in the WPACKET
2288              * afterwards.
2289              */
2290             siglen = EVP_PKEY_size(pkey);
2291             if (!WPACKET_sub_reserve_bytes_u16(pkt, siglen, &sigbytes1)
2292                     || EVP_DigestSignInit(md_ctx, &pctx, md, NULL, pkey) <= 0) {
2293                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2294                        ERR_R_INTERNAL_ERROR);
2295                 goto f_err;
2296             }
2297             if (ispss) {
2298                 if (EVP_PKEY_CTX_set_rsa_padding(pctx,
2299                                                  RSA_PKCS1_PSS_PADDING) <= 0
2300                     || EVP_PKEY_CTX_set_rsa_pss_saltlen(pctx, RSA_PSS_SALTLEN_DIGEST) <= 0) {
2301                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2302                            ERR_R_EVP_LIB);
2303                     goto f_err;
2304                 }
2305             }
2306             if (EVP_DigestSignUpdate(md_ctx, &(s->s3->client_random[0]),
2307                                      SSL3_RANDOM_SIZE) <= 0
2308                     || EVP_DigestSignUpdate(md_ctx, &(s->s3->server_random[0]),
2309                                             SSL3_RANDOM_SIZE) <= 0
2310                     || EVP_DigestSignUpdate(md_ctx,
2311                                             s->init_buf->data + paramoffset,
2312                                             paramlen) <= 0
2313                     || EVP_DigestSignFinal(md_ctx, sigbytes1, &siglen) <= 0
2314                     || !WPACKET_sub_allocate_bytes_u16(pkt, siglen, &sigbytes2)
2315                     || sigbytes1 != sigbytes2) {
2316                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2317                        ERR_R_INTERNAL_ERROR);
2318                 goto f_err;
2319             }
2320         } else {
2321             /* Is this error check actually needed? */
2322             al = SSL_AD_HANDSHAKE_FAILURE;
2323             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2324                    SSL_R_UNKNOWN_PKEY_TYPE);
2325             goto f_err;
2326         }
2327     }
2328
2329     EVP_MD_CTX_free(md_ctx);
2330     return 1;
2331  f_err:
2332     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2333  err:
2334 #ifndef OPENSSL_NO_DH
2335     EVP_PKEY_free(pkdh);
2336 #endif
2337 #ifndef OPENSSL_NO_EC
2338     OPENSSL_free(encodedPoint);
2339 #endif
2340     EVP_MD_CTX_free(md_ctx);
2341     return 0;
2342 }
2343
2344 int tls_construct_certificate_request(SSL *s, WPACKET *pkt)
2345 {
2346     int i;
2347     STACK_OF(X509_NAME) *sk = NULL;
2348
2349     /* get the list of acceptable cert types */
2350     if (!WPACKET_start_sub_packet_u8(pkt)
2351             || !ssl3_get_req_cert_type(s, pkt)
2352             || !WPACKET_close(pkt)) {
2353         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2354         goto err;
2355     }
2356
2357     if (SSL_USE_SIGALGS(s)) {
2358         const uint16_t *psigs;
2359         size_t nl = tls12_get_psigalgs(s, 1, &psigs);
2360
2361         if (!WPACKET_start_sub_packet_u16(pkt)
2362                 || !tls12_copy_sigalgs(s, pkt, psigs, nl)
2363                 || !WPACKET_close(pkt)) {
2364             SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2365                    ERR_R_INTERNAL_ERROR);
2366             goto err;
2367         }
2368     }
2369
2370     /* Start sub-packet for client CA list */
2371     if (!WPACKET_start_sub_packet_u16(pkt)) {
2372         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2373         goto err;
2374     }
2375
2376     sk = SSL_get_client_CA_list(s);
2377     if (sk != NULL) {
2378         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
2379             unsigned char *namebytes;
2380             X509_NAME *name = sk_X509_NAME_value(sk, i);
2381             int namelen;
2382
2383             if (name == NULL
2384                     || (namelen = i2d_X509_NAME(name, NULL)) < 0
2385                     || !WPACKET_sub_allocate_bytes_u16(pkt, namelen,
2386                                                        &namebytes)
2387                     || i2d_X509_NAME(name, &namebytes) != namelen) {
2388                 SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2389                        ERR_R_INTERNAL_ERROR);
2390                 goto err;
2391             }
2392         }
2393     }
2394     /* else no CA names */
2395
2396     if (!WPACKET_close(pkt)) {
2397         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2398         goto err;
2399     }
2400
2401     s->s3->tmp.cert_request = 1;
2402
2403     return 1;
2404  err:
2405     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2406     return 0;
2407 }
2408
2409 static int tls_process_cke_psk_preamble(SSL *s, PACKET *pkt, int *al)
2410 {
2411 #ifndef OPENSSL_NO_PSK
2412     unsigned char psk[PSK_MAX_PSK_LEN];
2413     size_t psklen;
2414     PACKET psk_identity;
2415
2416     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity)) {
2417         *al = SSL_AD_DECODE_ERROR;
2418         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_LENGTH_MISMATCH);
2419         return 0;
2420     }
2421     if (PACKET_remaining(&psk_identity) > PSK_MAX_IDENTITY_LEN) {
2422         *al = SSL_AD_DECODE_ERROR;
2423         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_DATA_LENGTH_TOO_LONG);
2424         return 0;
2425     }
2426     if (s->psk_server_callback == NULL) {
2427         *al = SSL_AD_INTERNAL_ERROR;
2428         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_PSK_NO_SERVER_CB);
2429         return 0;
2430     }
2431
2432     if (!PACKET_strndup(&psk_identity, &s->session->psk_identity)) {
2433         *al = SSL_AD_INTERNAL_ERROR;
2434         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2435         return 0;
2436     }
2437
2438     psklen = s->psk_server_callback(s, s->session->psk_identity,
2439                                     psk, sizeof(psk));
2440
2441     if (psklen > PSK_MAX_PSK_LEN) {
2442         *al = SSL_AD_INTERNAL_ERROR;
2443         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2444         return 0;
2445     } else if (psklen == 0) {
2446         /*
2447          * PSK related to the given identity not found
2448          */
2449         *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
2450         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE,
2451                SSL_R_PSK_IDENTITY_NOT_FOUND);
2452         return 0;
2453     }
2454
2455     OPENSSL_free(s->s3->tmp.psk);
2456     s->s3->tmp.psk = OPENSSL_memdup(psk, psklen);
2457     OPENSSL_cleanse(psk, psklen);
2458
2459     if (s->s3->tmp.psk == NULL) {
2460         *al = SSL_AD_INTERNAL_ERROR;
2461         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_MALLOC_FAILURE);
2462         return 0;
2463     }
2464
2465     s->s3->tmp.psklen = psklen;
2466
2467     return 1;
2468 #else
2469     /* Should never happen */
2470     *al = SSL_AD_INTERNAL_ERROR;
2471     SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2472     return 0;
2473 #endif
2474 }
2475
2476 static int tls_process_cke_rsa(SSL *s, PACKET *pkt, int *al)
2477 {
2478 #ifndef OPENSSL_NO_RSA
2479     unsigned char rand_premaster_secret[SSL_MAX_MASTER_KEY_LENGTH];
2480     int decrypt_len;
2481     unsigned char decrypt_good, version_good;
2482     size_t j, padding_len;
2483     PACKET enc_premaster;
2484     RSA *rsa = NULL;
2485     unsigned char *rsa_decrypt = NULL;
2486     int ret = 0;
2487
2488     rsa = EVP_PKEY_get0_RSA(s->cert->pkeys[SSL_PKEY_RSA].privatekey);
2489     if (rsa == NULL) {
2490         *al = SSL_AD_HANDSHAKE_FAILURE;
2491         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_MISSING_RSA_CERTIFICATE);
2492         return 0;
2493     }
2494
2495     /* SSLv3 and pre-standard DTLS omit the length bytes. */
2496     if (s->version == SSL3_VERSION || s->version == DTLS1_BAD_VER) {
2497         enc_premaster = *pkt;
2498     } else {
2499         if (!PACKET_get_length_prefixed_2(pkt, &enc_premaster)
2500             || PACKET_remaining(pkt) != 0) {
2501             *al = SSL_AD_DECODE_ERROR;
2502             SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_LENGTH_MISMATCH);
2503             return 0;
2504         }
2505     }
2506
2507     /*
2508      * We want to be sure that the plaintext buffer size makes it safe to
2509      * iterate over the entire size of a premaster secret
2510      * (SSL_MAX_MASTER_KEY_LENGTH). Reject overly short RSA keys because
2511      * their ciphertext cannot accommodate a premaster secret anyway.
2512      */
2513     if (RSA_size(rsa) < SSL_MAX_MASTER_KEY_LENGTH) {
2514         *al = SSL_AD_INTERNAL_ERROR;
2515         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, RSA_R_KEY_SIZE_TOO_SMALL);
2516         return 0;
2517     }
2518
2519     rsa_decrypt = OPENSSL_malloc(RSA_size(rsa));
2520     if (rsa_decrypt == NULL) {
2521         *al = SSL_AD_INTERNAL_ERROR;
2522         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_MALLOC_FAILURE);
2523         return 0;
2524     }
2525
2526     /*
2527      * We must not leak whether a decryption failure occurs because of
2528      * Bleichenbacher's attack on PKCS #1 v1.5 RSA padding (see RFC 2246,
2529      * section 7.4.7.1). The code follows that advice of the TLS RFC and
2530      * generates a random premaster secret for the case that the decrypt
2531      * fails. See https://tools.ietf.org/html/rfc5246#section-7.4.7.1
2532      */
2533
2534     if (RAND_bytes(rand_premaster_secret, sizeof(rand_premaster_secret)) <= 0)
2535         goto err;
2536
2537     /*
2538      * Decrypt with no padding. PKCS#1 padding will be removed as part of
2539      * the timing-sensitive code below.
2540      */
2541      /* TODO(size_t): Convert this function */
2542     decrypt_len = (int)RSA_private_decrypt((int)PACKET_remaining(&enc_premaster),
2543                                            PACKET_data(&enc_premaster),
2544                                            rsa_decrypt, rsa, RSA_NO_PADDING);
2545     if (decrypt_len < 0)
2546         goto err;
2547
2548     /* Check the padding. See RFC 3447, section 7.2.2. */
2549
2550     /*
2551      * The smallest padded premaster is 11 bytes of overhead. Small keys
2552      * are publicly invalid, so this may return immediately. This ensures
2553      * PS is at least 8 bytes.
2554      */
2555     if (decrypt_len < 11 + SSL_MAX_MASTER_KEY_LENGTH) {
2556         *al = SSL_AD_DECRYPT_ERROR;
2557         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_DECRYPTION_FAILED);
2558         goto err;
2559     }
2560
2561     padding_len = decrypt_len - SSL_MAX_MASTER_KEY_LENGTH;
2562     decrypt_good = constant_time_eq_int_8(rsa_decrypt[0], 0) &
2563         constant_time_eq_int_8(rsa_decrypt[1], 2);
2564     for (j = 2; j < padding_len - 1; j++) {
2565         decrypt_good &= ~constant_time_is_zero_8(rsa_decrypt[j]);
2566     }
2567     decrypt_good &= constant_time_is_zero_8(rsa_decrypt[padding_len - 1]);
2568
2569     /*
2570      * If the version in the decrypted pre-master secret is correct then
2571      * version_good will be 0xff, otherwise it'll be zero. The
2572      * Klima-Pokorny-Rosa extension of Bleichenbacher's attack
2573      * (http://eprint.iacr.org/2003/052/) exploits the version number
2574      * check as a "bad version oracle". Thus version checks are done in
2575      * constant time and are treated like any other decryption error.
2576      */
2577     version_good =
2578         constant_time_eq_8(rsa_decrypt[padding_len],
2579                            (unsigned)(s->client_version >> 8));
2580     version_good &=
2581         constant_time_eq_8(rsa_decrypt[padding_len + 1],
2582                            (unsigned)(s->client_version & 0xff));
2583
2584     /*
2585      * The premaster secret must contain the same version number as the
2586      * ClientHello to detect version rollback attacks (strangely, the
2587      * protocol does not offer such protection for DH ciphersuites).
2588      * However, buggy clients exist that send the negotiated protocol
2589      * version instead if the server does not support the requested
2590      * protocol version. If SSL_OP_TLS_ROLLBACK_BUG is set, tolerate such
2591      * clients.
2592      */
2593     if (s->options & SSL_OP_TLS_ROLLBACK_BUG) {
2594         unsigned char workaround_good;
2595         workaround_good = constant_time_eq_8(rsa_decrypt[padding_len],
2596                                              (unsigned)(s->version >> 8));
2597         workaround_good &=
2598             constant_time_eq_8(rsa_decrypt[padding_len + 1],
2599                                (unsigned)(s->version & 0xff));
2600         version_good |= workaround_good;
2601     }
2602
2603     /*
2604      * Both decryption and version must be good for decrypt_good to
2605      * remain non-zero (0xff).
2606      */
2607     decrypt_good &= version_good;
2608
2609     /*
2610      * Now copy rand_premaster_secret over from p using
2611      * decrypt_good_mask. If decryption failed, then p does not
2612      * contain valid plaintext, however, a check above guarantees
2613      * it is still sufficiently large to read from.
2614      */
2615     for (j = 0; j < sizeof(rand_premaster_secret); j++) {
2616         rsa_decrypt[padding_len + j] =
2617             constant_time_select_8(decrypt_good,
2618                                    rsa_decrypt[padding_len + j],
2619                                    rand_premaster_secret[j]);
2620     }
2621
2622     if (!ssl_generate_master_secret(s, rsa_decrypt + padding_len,
2623                                     sizeof(rand_premaster_secret), 0)) {
2624         *al = SSL_AD_INTERNAL_ERROR;
2625         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2626         goto err;
2627     }
2628
2629     ret = 1;
2630  err:
2631     OPENSSL_free(rsa_decrypt);
2632     return ret;
2633 #else
2634     /* Should never happen */
2635     *al = SSL_AD_INTERNAL_ERROR;
2636     SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2637     return 0;
2638 #endif
2639 }
2640
2641 static int tls_process_cke_dhe(SSL *s, PACKET *pkt, int *al)
2642 {
2643 #ifndef OPENSSL_NO_DH
2644     EVP_PKEY *skey = NULL;
2645     DH *cdh;
2646     unsigned int i;
2647     BIGNUM *pub_key;
2648     const unsigned char *data;
2649     EVP_PKEY *ckey = NULL;
2650     int ret = 0;
2651
2652     if (!PACKET_get_net_2(pkt, &i) || PACKET_remaining(pkt) != i) {
2653         *al = SSL_AD_HANDSHAKE_FAILURE;
2654         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE,
2655                SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2656         goto err;
2657     }
2658     skey = s->s3->tmp.pkey;
2659     if (skey == NULL) {
2660         *al = SSL_AD_HANDSHAKE_FAILURE;
2661         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2662         goto err;
2663     }
2664
2665     if (PACKET_remaining(pkt) == 0L) {
2666         *al = SSL_AD_HANDSHAKE_FAILURE;
2667         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2668         goto err;
2669     }
2670     if (!PACKET_get_bytes(pkt, &data, i)) {
2671         /* We already checked we have enough data */
2672         *al = SSL_AD_INTERNAL_ERROR;
2673         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2674         goto err;
2675     }
2676     ckey = EVP_PKEY_new();
2677     if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) == 0) {
2678         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_BN_LIB);
2679         goto err;
2680     }
2681     cdh = EVP_PKEY_get0_DH(ckey);
2682     pub_key = BN_bin2bn(data, i, NULL);
2683
2684     if (pub_key == NULL || !DH_set0_key(cdh, pub_key, NULL)) {
2685         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2686         if (pub_key != NULL)
2687             BN_free(pub_key);
2688         goto err;
2689     }
2690
2691     if (ssl_derive(s, skey, ckey, 1) == 0) {
2692         *al = SSL_AD_INTERNAL_ERROR;
2693         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2694         goto err;
2695     }
2696
2697     ret = 1;
2698     EVP_PKEY_free(s->s3->tmp.pkey);
2699     s->s3->tmp.pkey = NULL;
2700  err:
2701     EVP_PKEY_free(ckey);
2702     return ret;
2703 #else
2704     /* Should never happen */
2705     *al = SSL_AD_INTERNAL_ERROR;
2706     SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2707     return 0;
2708 #endif
2709 }
2710
2711 static int tls_process_cke_ecdhe(SSL *s, PACKET *pkt, int *al)
2712 {
2713 #ifndef OPENSSL_NO_EC
2714     EVP_PKEY *skey = s->s3->tmp.pkey;
2715     EVP_PKEY *ckey = NULL;
2716     int ret = 0;
2717
2718     if (PACKET_remaining(pkt) == 0L) {
2719         /* We don't support ECDH client auth */
2720         *al = SSL_AD_HANDSHAKE_FAILURE;
2721         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_MISSING_TMP_ECDH_KEY);
2722         goto err;
2723     } else {
2724         unsigned int i;
2725         const unsigned char *data;
2726
2727         /*
2728          * Get client's public key from encoded point in the
2729          * ClientKeyExchange message.
2730          */
2731
2732         /* Get encoded point length */
2733         if (!PACKET_get_1(pkt, &i) || !PACKET_get_bytes(pkt, &data, i)
2734             || PACKET_remaining(pkt) != 0) {
2735             *al = SSL_AD_DECODE_ERROR;
2736             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_LENGTH_MISMATCH);
2737             goto err;
2738         }
2739         ckey = EVP_PKEY_new();
2740         if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) <= 0) {
2741             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EVP_LIB);
2742             goto err;
2743         }
2744         if (EVP_PKEY_set1_tls_encodedpoint(ckey, data, i) == 0) {
2745             *al = SSL_AD_HANDSHAKE_FAILURE;
2746             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EC_LIB);
2747             goto err;
2748         }
2749     }
2750
2751     if (ssl_derive(s, skey, ckey, 1) == 0) {
2752         *al = SSL_AD_INTERNAL_ERROR;
2753         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2754         goto err;
2755     }
2756
2757     ret = 1;
2758     EVP_PKEY_free(s->s3->tmp.pkey);
2759     s->s3->tmp.pkey = NULL;
2760  err:
2761     EVP_PKEY_free(ckey);
2762
2763     return ret;
2764 #else
2765     /* Should never happen */
2766     *al = SSL_AD_INTERNAL_ERROR;
2767     SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2768     return 0;
2769 #endif
2770 }
2771
2772 static int tls_process_cke_srp(SSL *s, PACKET *pkt, int *al)
2773 {
2774 #ifndef OPENSSL_NO_SRP
2775     unsigned int i;
2776     const unsigned char *data;
2777
2778     if (!PACKET_get_net_2(pkt, &i)
2779         || !PACKET_get_bytes(pkt, &data, i)) {
2780         *al = SSL_AD_DECODE_ERROR;
2781         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_A_LENGTH);
2782         return 0;
2783     }
2784     if ((s->srp_ctx.A = BN_bin2bn(data, i, NULL)) == NULL) {
2785         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_BN_LIB);
2786         return 0;
2787     }
2788     if (BN_ucmp(s->srp_ctx.A, s->srp_ctx.N) >= 0 || BN_is_zero(s->srp_ctx.A)) {
2789         *al = SSL_AD_ILLEGAL_PARAMETER;
2790         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_PARAMETERS);
2791         return 0;
2792     }
2793     OPENSSL_free(s->session->srp_username);
2794     s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2795     if (s->session->srp_username == NULL) {
2796         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_MALLOC_FAILURE);
2797         return 0;
2798     }
2799
2800     if (!srp_generate_server_master_secret(s)) {
2801         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2802         return 0;
2803     }
2804
2805     return 1;
2806 #else
2807     /* Should never happen */
2808     *al = SSL_AD_INTERNAL_ERROR;
2809     SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2810     return 0;
2811 #endif
2812 }
2813
2814 static int tls_process_cke_gost(SSL *s, PACKET *pkt, int *al)
2815 {
2816 #ifndef OPENSSL_NO_GOST
2817     EVP_PKEY_CTX *pkey_ctx;
2818     EVP_PKEY *client_pub_pkey = NULL, *pk = NULL;
2819     unsigned char premaster_secret[32];
2820     const unsigned char *start;
2821     size_t outlen = 32, inlen;
2822     unsigned long alg_a;
2823     int Ttag, Tclass;
2824     long Tlen;
2825     size_t sess_key_len;
2826     const unsigned char *data;
2827     int ret = 0;
2828
2829     /* Get our certificate private key */
2830     alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2831     if (alg_a & SSL_aGOST12) {
2832         /*
2833          * New GOST ciphersuites have SSL_aGOST01 bit too
2834          */
2835         pk = s->cert->pkeys[SSL_PKEY_GOST12_512].privatekey;
2836         if (pk == NULL) {
2837             pk = s->cert->pkeys[SSL_PKEY_GOST12_256].privatekey;
2838         }
2839         if (pk == NULL) {
2840             pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2841         }
2842     } else if (alg_a & SSL_aGOST01) {
2843         pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2844     }
2845
2846     pkey_ctx = EVP_PKEY_CTX_new(pk, NULL);
2847     if (pkey_ctx == NULL) {
2848         *al = SSL_AD_INTERNAL_ERROR;
2849         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_MALLOC_FAILURE);
2850         return 0;
2851     }
2852     if (EVP_PKEY_decrypt_init(pkey_ctx) <= 0) {
2853         *al = SSL_AD_INTERNAL_ERROR;
2854         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2855         return 0;
2856     }
2857     /*
2858      * If client certificate is present and is of the same type, maybe
2859      * use it for key exchange.  Don't mind errors from
2860      * EVP_PKEY_derive_set_peer, because it is completely valid to use a
2861      * client certificate for authorization only.
2862      */
2863     client_pub_pkey = X509_get0_pubkey(s->session->peer);
2864     if (client_pub_pkey) {
2865         if (EVP_PKEY_derive_set_peer(pkey_ctx, client_pub_pkey) <= 0)
2866             ERR_clear_error();
2867     }
2868     /* Decrypt session key */
2869     sess_key_len = PACKET_remaining(pkt);
2870     if (!PACKET_get_bytes(pkt, &data, sess_key_len)) {
2871         *al = SSL_AD_INTERNAL_ERROR;
2872         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2873         goto err;
2874     }
2875     /* TODO(size_t): Convert this function */
2876     if (ASN1_get_object((const unsigned char **)&data, &Tlen, &Ttag,
2877                         &Tclass, (long)sess_key_len) != V_ASN1_CONSTRUCTED
2878         || Ttag != V_ASN1_SEQUENCE || Tclass != V_ASN1_UNIVERSAL) {
2879         *al = SSL_AD_DECODE_ERROR;
2880         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2881         goto err;
2882     }
2883     start = data;
2884     inlen = Tlen;
2885     if (EVP_PKEY_decrypt
2886         (pkey_ctx, premaster_secret, &outlen, start, inlen) <= 0) {
2887         *al = SSL_AD_DECODE_ERROR;
2888         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2889         goto err;
2890     }
2891     /* Generate master secret */
2892     if (!ssl_generate_master_secret(s, premaster_secret,
2893                                     sizeof(premaster_secret), 0)) {
2894         *al = SSL_AD_INTERNAL_ERROR;
2895         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2896         goto err;
2897     }
2898     /* Check if pubkey from client certificate was used */
2899     if (EVP_PKEY_CTX_ctrl
2900         (pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2, NULL) > 0)
2901         s->statem.no_cert_verify = 1;
2902
2903     ret = 1;
2904  err:
2905     EVP_PKEY_CTX_free(pkey_ctx);
2906     return ret;
2907 #else
2908     /* Should never happen */
2909     *al = SSL_AD_INTERNAL_ERROR;
2910     SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2911     return 0;
2912 #endif
2913 }
2914
2915 MSG_PROCESS_RETURN tls_process_client_key_exchange(SSL *s, PACKET *pkt)
2916 {
2917     int al = -1;
2918     unsigned long alg_k;
2919
2920     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2921
2922     /* For PSK parse and retrieve identity, obtain PSK key */
2923     if ((alg_k & SSL_PSK) && !tls_process_cke_psk_preamble(s, pkt, &al))
2924         goto err;
2925
2926     if (alg_k & SSL_kPSK) {
2927         /* Identity extracted earlier: should be nothing left */
2928         if (PACKET_remaining(pkt) != 0) {
2929             al = SSL_AD_HANDSHAKE_FAILURE;
2930             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2931                    SSL_R_LENGTH_MISMATCH);
2932             goto err;
2933         }
2934         /* PSK handled by ssl_generate_master_secret */
2935         if (!ssl_generate_master_secret(s, NULL, 0, 0)) {
2936             al = SSL_AD_INTERNAL_ERROR;
2937             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2938             goto err;
2939         }
2940     } else if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2941         if (!tls_process_cke_rsa(s, pkt, &al))
2942             goto err;
2943     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2944         if (!tls_process_cke_dhe(s, pkt, &al))
2945             goto err;
2946     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2947         if (!tls_process_cke_ecdhe(s, pkt, &al))
2948             goto err;
2949     } else if (alg_k & SSL_kSRP) {
2950         if (!tls_process_cke_srp(s, pkt, &al))
2951             goto err;
2952     } else if (alg_k & SSL_kGOST) {
2953         if (!tls_process_cke_gost(s, pkt, &al))
2954             goto err;
2955     } else {
2956         al = SSL_AD_HANDSHAKE_FAILURE;
2957         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2958                SSL_R_UNKNOWN_CIPHER_TYPE);
2959         goto err;
2960     }
2961
2962     return MSG_PROCESS_CONTINUE_PROCESSING;
2963  err:
2964     if (al != -1)
2965         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2966 #ifndef OPENSSL_NO_PSK
2967     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2968     s->s3->tmp.psk = NULL;
2969 #endif
2970     ossl_statem_set_error(s);
2971     return MSG_PROCESS_ERROR;
2972 }
2973
2974 WORK_STATE tls_post_process_client_key_exchange(SSL *s, WORK_STATE wst)
2975 {
2976 #ifndef OPENSSL_NO_SCTP
2977     if (wst == WORK_MORE_A) {
2978         if (SSL_IS_DTLS(s)) {
2979             unsigned char sctpauthkey[64];
2980             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2981             /*
2982              * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2983              * used.
2984              */
2985             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2986                    sizeof(DTLS1_SCTP_AUTH_LABEL));
2987
2988             if (SSL_export_keying_material(s, sctpauthkey,
2989                                            sizeof(sctpauthkey), labelbuffer,
2990                                            sizeof(labelbuffer), NULL, 0,
2991                                            0) <= 0) {
2992                 ossl_statem_set_error(s);
2993                 return WORK_ERROR;
2994             }
2995
2996             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
2997                      sizeof(sctpauthkey), sctpauthkey);
2998         }
2999         wst = WORK_MORE_B;
3000     }
3001
3002     if ((wst == WORK_MORE_B)
3003         /* Is this SCTP? */
3004         && BIO_dgram_is_sctp(SSL_get_wbio(s))
3005         /* Are we renegotiating? */
3006         && s->renegotiate
3007         /* Are we going to skip the CertificateVerify? */
3008         && (s->session->peer == NULL || s->statem.no_cert_verify)
3009         && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
3010         s->s3->in_read_app_data = 2;
3011         s->rwstate = SSL_READING;
3012         BIO_clear_retry_flags(SSL_get_rbio(s));
3013         BIO_set_retry_read(SSL_get_rbio(s));
3014         ossl_statem_set_sctp_read_sock(s, 1);
3015         return WORK_MORE_B;
3016     } else {
3017         ossl_statem_set_sctp_read_sock(s, 0);
3018     }
3019 #endif
3020
3021     if (s->statem.no_cert_verify || !s->session->peer) {
3022         /*
3023          * No certificate verify or no peer certificate so we no longer need
3024          * the handshake_buffer
3025          */
3026         if (!ssl3_digest_cached_records(s, 0)) {
3027             ossl_statem_set_error(s);
3028             return WORK_ERROR;
3029         }
3030         return WORK_FINISHED_CONTINUE;
3031     } else {
3032         if (!s->s3->handshake_buffer) {
3033             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_KEY_EXCHANGE,
3034                    ERR_R_INTERNAL_ERROR);
3035             ossl_statem_set_error(s);
3036             return WORK_ERROR;
3037         }
3038         /*
3039          * For sigalgs freeze the handshake buffer. If we support
3040          * extms we've done this already so this is a no-op
3041          */
3042         if (!ssl3_digest_cached_records(s, 1)) {
3043             ossl_statem_set_error(s);
3044             return WORK_ERROR;
3045         }
3046     }
3047
3048     return WORK_FINISHED_CONTINUE;
3049 }
3050
3051 MSG_PROCESS_RETURN tls_process_client_certificate(SSL *s, PACKET *pkt)
3052 {
3053     int i, al = SSL_AD_INTERNAL_ERROR, ret = MSG_PROCESS_ERROR;
3054     X509 *x = NULL;
3055     unsigned long l, llen;
3056     const unsigned char *certstart, *certbytes;
3057     STACK_OF(X509) *sk = NULL;
3058     PACKET spkt, context;
3059     size_t chainidx;
3060
3061     if ((sk = sk_X509_new_null()) == NULL) {
3062         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
3063         goto f_err;
3064     }
3065
3066     /* TODO(TLS1.3): For now we ignore the context. We need to verify this */
3067     if ((SSL_IS_TLS13(s) && !PACKET_get_length_prefixed_1(pkt, &context))
3068             || !PACKET_get_net_3(pkt, &llen)
3069             || !PACKET_get_sub_packet(pkt, &spkt, llen)
3070             || PACKET_remaining(pkt) != 0) {
3071         al = SSL_AD_DECODE_ERROR;
3072         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
3073         goto f_err;
3074     }
3075
3076     for (chainidx = 0; PACKET_remaining(&spkt) > 0; chainidx++) {
3077         if (!PACKET_get_net_3(&spkt, &l)
3078             || !PACKET_get_bytes(&spkt, &certbytes, l)) {
3079             al = SSL_AD_DECODE_ERROR;
3080             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3081                    SSL_R_CERT_LENGTH_MISMATCH);
3082             goto f_err;
3083         }
3084
3085         certstart = certbytes;
3086         x = d2i_X509(NULL, (const unsigned char **)&certbytes, l);
3087         if (x == NULL) {
3088             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_ASN1_LIB);
3089             goto f_err;
3090         }
3091         if (certbytes != (certstart + l)) {
3092             al = SSL_AD_DECODE_ERROR;
3093             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3094                    SSL_R_CERT_LENGTH_MISMATCH);
3095             goto f_err;
3096         }
3097
3098         if (SSL_IS_TLS13(s)) {
3099             RAW_EXTENSION *rawexts = NULL;
3100             PACKET extensions;
3101
3102             if (!PACKET_get_length_prefixed_2(&spkt, &extensions)) {
3103                 al = SSL_AD_DECODE_ERROR;
3104                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_BAD_LENGTH);
3105                 goto f_err;
3106             }
3107             if (!tls_collect_extensions(s, &extensions, EXT_TLS1_3_CERTIFICATE,
3108                                         &rawexts, &al)
3109                     || !tls_parse_all_extensions(s, EXT_TLS1_3_CERTIFICATE,
3110                                                  rawexts, x, chainidx, &al)) {
3111                 OPENSSL_free(rawexts);
3112                 goto f_err;
3113             }
3114             OPENSSL_free(rawexts);
3115         }
3116
3117         if (!sk_X509_push(sk, x)) {
3118             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
3119             goto f_err;
3120         }
3121         x = NULL;
3122     }
3123
3124     if (sk_X509_num(sk) <= 0) {
3125         /* TLS does not mind 0 certs returned */
3126         if (s->version == SSL3_VERSION) {
3127             al = SSL_AD_HANDSHAKE_FAILURE;
3128             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3129                    SSL_R_NO_CERTIFICATES_RETURNED);
3130             goto f_err;
3131         }
3132         /* Fail for TLS only if we required a certificate */
3133         else if ((s->verify_mode & SSL_VERIFY_PEER) &&
3134                  (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
3135             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3136                    SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
3137             al = SSL_AD_HANDSHAKE_FAILURE;
3138             goto f_err;
3139         }
3140         /* No client certificate so digest cached records */
3141         if (s->s3->handshake_buffer && !ssl3_digest_cached_records(s, 0)) {
3142             goto f_err;
3143         }
3144     } else {
3145         EVP_PKEY *pkey;
3146         i = ssl_verify_cert_chain(s, sk);
3147         if (i <= 0) {
3148             al = ssl_verify_alarm_type(s->verify_result);
3149             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3150                    SSL_R_CERTIFICATE_VERIFY_FAILED);
3151             goto f_err;
3152         }
3153         if (i > 1) {
3154             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, i);
3155             al = SSL_AD_HANDSHAKE_FAILURE;
3156             goto f_err;
3157         }
3158         pkey = X509_get0_pubkey(sk_X509_value(sk, 0));
3159         if (pkey == NULL) {
3160             al = SSL3_AD_HANDSHAKE_FAILURE;
3161             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3162                    SSL_R_UNKNOWN_CERTIFICATE_TYPE);
3163             goto f_err;
3164         }
3165     }
3166
3167     X509_free(s->session->peer);
3168     s->session->peer = sk_X509_shift(sk);
3169     s->session->verify_result = s->verify_result;
3170
3171     sk_X509_pop_free(s->session->peer_chain, X509_free);
3172     s->session->peer_chain = sk;
3173
3174     /*
3175      * Freeze the handshake buffer. For <TLS1.3 we do this after the CKE
3176      * message
3177      */
3178     if (SSL_IS_TLS13(s) && !ssl3_digest_cached_records(s, 1)) {
3179         al = SSL_AD_INTERNAL_ERROR;
3180         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3181         goto f_err;
3182     }
3183
3184     /*
3185      * Inconsistency alert: cert_chain does *not* include the peer's own
3186      * certificate, while we do include it in statem_clnt.c
3187      */
3188     sk = NULL;
3189
3190     /* Save the current hash state for when we receive the CertificateVerify */
3191     if (SSL_IS_TLS13(s)
3192             && !ssl_handshake_hash(s, s->cert_verify_hash,
3193                                    sizeof(s->cert_verify_hash),
3194                                    &s->cert_verify_hash_len)) {
3195         al = SSL_AD_INTERNAL_ERROR;
3196         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3197         goto f_err;
3198     }
3199
3200     ret = MSG_PROCESS_CONTINUE_READING;
3201     goto done;
3202
3203  f_err:
3204     ssl3_send_alert(s, SSL3_AL_FATAL, al);
3205     ossl_statem_set_error(s);
3206  done:
3207     X509_free(x);
3208     sk_X509_pop_free(sk, X509_free);
3209     return ret;
3210 }
3211
3212 int tls_construct_server_certificate(SSL *s, WPACKET *pkt)
3213 {
3214     CERT_PKEY *cpk;
3215     int al = SSL_AD_INTERNAL_ERROR;
3216
3217     cpk = ssl_get_server_send_pkey(s);
3218     if (cpk == NULL) {
3219         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3220         return 0;
3221     }
3222
3223     /*
3224      * In TLSv1.3 the certificate chain is always preceded by a 0 length context
3225      * for the server Certificate message
3226      */
3227     if ((SSL_IS_TLS13(s) && !WPACKET_put_bytes_u8(pkt, 0))
3228             || !ssl3_output_cert_chain(s, pkt, cpk, &al)) {
3229         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3230         ssl3_send_alert(s, SSL3_AL_FATAL, al);
3231         return 0;
3232     }
3233
3234     return 1;
3235 }
3236
3237 int tls_construct_new_session_ticket(SSL *s, WPACKET *pkt)
3238 {
3239     unsigned char *senc = NULL;
3240     EVP_CIPHER_CTX *ctx = NULL;
3241     HMAC_CTX *hctx = NULL;
3242     unsigned char *p, *encdata1, *encdata2, *macdata1, *macdata2;
3243     const unsigned char *const_p;
3244     int len, slen_full, slen, lenfinal;
3245     SSL_SESSION *sess;
3246     unsigned int hlen;
3247     SSL_CTX *tctx = s->session_ctx;
3248     unsigned char iv[EVP_MAX_IV_LENGTH];
3249     unsigned char key_name[TLSEXT_KEYNAME_LENGTH];
3250     int iv_len, al = SSL_AD_INTERNAL_ERROR;
3251     size_t macoffset, macendoffset;
3252     union {
3253         unsigned char age_add_c[sizeof(uint32_t)];
3254         uint32_t age_add;
3255     } age_add_u;
3256
3257     if (SSL_IS_TLS13(s)) {
3258         if (RAND_bytes(age_add_u.age_add_c, sizeof(age_add_u)) <= 0)
3259             goto err;
3260         s->session->ext.tick_age_add = age_add_u.age_add;
3261     }
3262
3263     /* get session encoding length */
3264     slen_full = i2d_SSL_SESSION(s->session, NULL);
3265     /*
3266      * Some length values are 16 bits, so forget it if session is too
3267      * long
3268      */
3269     if (slen_full == 0 || slen_full > 0xFF00) {
3270         ossl_statem_set_error(s);
3271         return 0;
3272     }
3273     senc = OPENSSL_malloc(slen_full);
3274     if (senc == NULL) {
3275         ossl_statem_set_error(s);
3276         return 0;
3277     }
3278
3279     ctx = EVP_CIPHER_CTX_new();
3280     hctx = HMAC_CTX_new();
3281     if (ctx == NULL || hctx == NULL) {
3282         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_MALLOC_FAILURE);
3283         goto err;
3284     }
3285
3286     p = senc;
3287     if (!i2d_SSL_SESSION(s->session, &p))
3288         goto err;
3289
3290     /*
3291      * create a fresh copy (not shared with other threads) to clean up
3292      */
3293     const_p = senc;
3294     sess = d2i_SSL_SESSION(NULL, &const_p, slen_full);
3295     if (sess == NULL)
3296         goto err;
3297     sess->session_id_length = 0; /* ID is irrelevant for the ticket */
3298
3299     slen = i2d_SSL_SESSION(sess, NULL);
3300     if (slen == 0 || slen > slen_full) { /* shouldn't ever happen */
3301         SSL_SESSION_free(sess);
3302         goto err;
3303     }
3304     p = senc;
3305     if (!i2d_SSL_SESSION(sess, &p)) {
3306         SSL_SESSION_free(sess);
3307         goto err;
3308     }
3309     SSL_SESSION_free(sess);
3310
3311     /*
3312      * Initialize HMAC and cipher contexts. If callback present it does
3313      * all the work otherwise use generated values from parent ctx.
3314      */
3315     if (tctx->ext.ticket_key_cb) {
3316         /* if 0 is returned, write an empty ticket */
3317         int ret = tctx->ext.ticket_key_cb(s, key_name, iv, ctx,
3318                                              hctx, 1);
3319
3320         if (ret == 0) {
3321
3322             /* Put timeout and length */
3323             if (!WPACKET_put_bytes_u32(pkt, 0)
3324                     || !WPACKET_put_bytes_u16(pkt, 0)) {
3325                 SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET,
3326                        ERR_R_INTERNAL_ERROR);
3327                 goto err;
3328             }
3329             OPENSSL_free(senc);
3330             EVP_CIPHER_CTX_free(ctx);
3331             HMAC_CTX_free(hctx);
3332             return 1;
3333         }
3334         if (ret < 0)
3335             goto err;
3336         iv_len = EVP_CIPHER_CTX_iv_length(ctx);
3337     } else {
3338         const EVP_CIPHER *cipher = EVP_aes_256_cbc();
3339
3340         iv_len = EVP_CIPHER_iv_length(cipher);
3341         if (RAND_bytes(iv, iv_len) <= 0)
3342             goto err;
3343         if (!EVP_EncryptInit_ex(ctx, cipher, NULL,
3344                                 tctx->ext.tick_aes_key, iv))
3345             goto err;
3346         if (!HMAC_Init_ex(hctx, tctx->ext.tick_hmac_key,
3347                           sizeof(tctx->ext.tick_hmac_key),
3348                           EVP_sha256(), NULL))
3349             goto err;
3350         memcpy(key_name, tctx->ext.tick_key_name,
3351                sizeof(tctx->ext.tick_key_name));
3352     }
3353
3354     /*
3355      * Ticket lifetime hint (advisory only): We leave this unspecified
3356      * for resumed session (for simplicity), and guess that tickets for
3357      * new sessions will live as long as their sessions.
3358      */
3359     if (!WPACKET_put_bytes_u32(pkt, s->hit ? 0 : s->session->timeout)
3360             || (SSL_IS_TLS13(s)
3361                 && !WPACKET_put_bytes_u32(pkt, age_add_u.age_add))
3362                /* Now the actual ticket data */
3363             || !WPACKET_start_sub_packet_u16(pkt)
3364             || !WPACKET_get_total_written(pkt, &macoffset)
3365                /* Output key name */
3366             || !WPACKET_memcpy(pkt, key_name, sizeof(key_name))
3367                /* output IV */
3368             || !WPACKET_memcpy(pkt, iv, iv_len)
3369             || !WPACKET_reserve_bytes(pkt, slen + EVP_MAX_BLOCK_LENGTH,
3370                                       &encdata1)
3371                /* Encrypt session data */
3372             || !EVP_EncryptUpdate(ctx, encdata1, &len, senc, slen)
3373             || !WPACKET_allocate_bytes(pkt, len, &encdata2)
3374             || encdata1 != encdata2
3375             || !EVP_EncryptFinal(ctx, encdata1 + len, &lenfinal)
3376             || !WPACKET_allocate_bytes(pkt, lenfinal, &encdata2)
3377             || encdata1 + len != encdata2
3378             || len + lenfinal > slen + EVP_MAX_BLOCK_LENGTH
3379             || !WPACKET_get_total_written(pkt, &macendoffset)
3380             || !HMAC_Update(hctx,
3381                             (unsigned char *)s->init_buf->data + macoffset,
3382                             macendoffset - macoffset)
3383             || !WPACKET_reserve_bytes(pkt, EVP_MAX_MD_SIZE, &macdata1)
3384             || !HMAC_Final(hctx, macdata1, &hlen)
3385             || hlen > EVP_MAX_MD_SIZE
3386             || !WPACKET_allocate_bytes(pkt, hlen, &macdata2)
3387             || macdata1 != macdata2
3388             || !WPACKET_close(pkt)
3389             || (SSL_IS_TLS13(s)
3390                 && !tls_construct_extensions(s, pkt,
3391                                              EXT_TLS1_3_NEW_SESSION_TICKET,
3392                                              NULL, 0, &al))) {
3393         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_INTERNAL_ERROR);
3394         goto err;
3395     }
3396     EVP_CIPHER_CTX_free(ctx);
3397     HMAC_CTX_free(hctx);
3398     OPENSSL_free(senc);
3399
3400     return 1;
3401  err:
3402     OPENSSL_free(senc);
3403     EVP_CIPHER_CTX_free(ctx);
3404     HMAC_CTX_free(hctx);
3405     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3406     return 0;
3407 }
3408
3409 /*
3410  * In TLSv1.3 this is called from the extensions code, otherwise it is used to
3411  * create a separate message. Returns 1 on success or 0 on failure.
3412  */
3413 int tls_construct_cert_status_body(SSL *s, WPACKET *pkt)
3414 {
3415     if (!WPACKET_put_bytes_u8(pkt, s->ext.status_type)
3416             || !WPACKET_sub_memcpy_u24(pkt, s->ext.ocsp.resp,
3417                                        s->ext.ocsp.resp_len)) {
3418         SSLerr(SSL_F_TLS_CONSTRUCT_CERT_STATUS_BODY, ERR_R_INTERNAL_ERROR);
3419         return 0;
3420     }
3421
3422     return 1;
3423 }
3424
3425 int tls_construct_cert_status(SSL *s, WPACKET *pkt)
3426 {
3427     if (!tls_construct_cert_status_body(s, pkt)) {
3428         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3429         return 0;
3430     }
3431
3432     return 1;
3433 }
3434
3435 #ifndef OPENSSL_NO_NEXTPROTONEG
3436 /*
3437  * tls_process_next_proto reads a Next Protocol Negotiation handshake message.
3438  * It sets the next_proto member in s if found
3439  */
3440 MSG_PROCESS_RETURN tls_process_next_proto(SSL *s, PACKET *pkt)
3441 {
3442     PACKET next_proto, padding;
3443     size_t next_proto_len;
3444
3445     /*-
3446      * The payload looks like:
3447      *   uint8 proto_len;
3448      *   uint8 proto[proto_len];
3449      *   uint8 padding_len;
3450      *   uint8 padding[padding_len];
3451      */
3452     if (!PACKET_get_length_prefixed_1(pkt, &next_proto)
3453         || !PACKET_get_length_prefixed_1(pkt, &padding)
3454         || PACKET_remaining(pkt) > 0) {
3455         SSLerr(SSL_F_TLS_PROCESS_NEXT_PROTO, SSL_R_LENGTH_MISMATCH);
3456         goto err;
3457     }
3458
3459     if (!PACKET_memdup(&next_proto, &s->ext.npn, &next_proto_len)) {
3460         s->ext.npn_len = 0;
3461         goto err;
3462     }
3463
3464     s->ext.npn_len = (unsigned char)next_proto_len;
3465
3466     return MSG_PROCESS_CONTINUE_READING;
3467  err:
3468     ossl_statem_set_error(s);
3469     return MSG_PROCESS_ERROR;
3470 }
3471 #endif
3472
3473 static int tls_construct_encrypted_extensions(SSL *s, WPACKET *pkt)
3474 {
3475     int al;
3476
3477     if (!tls_construct_extensions(s, pkt, EXT_TLS1_3_ENCRYPTED_EXTENSIONS,