Implement support for resumption with a HelloRetryRequest
[openssl.git] / ssl / statem / statem_srvr.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50 #include <stdio.h>
51 #include "../ssl_locl.h"
52 #include "statem_locl.h"
53 #include "internal/constant_time_locl.h"
54 #include <openssl/buffer.h>
55 #include <openssl/rand.h>
56 #include <openssl/objects.h>
57 #include <openssl/evp.h>
58 #include <openssl/hmac.h>
59 #include <openssl/x509.h>
60 #include <openssl/dh.h>
61 #include <openssl/bn.h>
62 #include <openssl/md5.h>
63
64 static int tls_construct_encrypted_extensions(SSL *s, WPACKET *pkt);
65 static int tls_construct_hello_retry_request(SSL *s, WPACKET *pkt);
66 static STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
67                                                       PACKET *cipher_suites,
68                                                       STACK_OF(SSL_CIPHER)
69                                                       **skp, int sslv2format,
70                                                       int *al);
71
72 /*
73  * ossl_statem_server13_read_transition() encapsulates the logic for the allowed
74  * handshake state transitions when a TLSv1.3 server is reading messages from
75  * the client. The message type that the client has sent is provided in |mt|.
76  * The current state is in |s->statem.hand_state|.
77  *
78  * Return values are 1 for success (transition allowed) and  0 on error
79  * (transition not allowed)
80  */
81 static int ossl_statem_server13_read_transition(SSL *s, int mt)
82 {
83     OSSL_STATEM *st = &s->statem;
84
85     /*
86      * Note: There is no case for TLS_ST_BEFORE because at that stage we have
87      * not negotiated TLSv1.3 yet, so that case is handled by
88      * ossl_statem_server_read_transition()
89      */
90     switch (st->hand_state) {
91     default:
92         break;
93
94     case TLS_ST_SW_HELLO_RETRY_REQUEST:
95         if (mt == SSL3_MT_CLIENT_HELLO) {
96             st->hand_state = TLS_ST_SR_CLNT_HELLO;
97             return 1;
98         }
99         break;
100
101     case TLS_ST_SW_FINISHED:
102         if (s->s3->tmp.cert_request) {
103             if (mt == SSL3_MT_CERTIFICATE) {
104                 st->hand_state = TLS_ST_SR_CERT;
105                 return 1;
106             }
107         } else {
108             if (mt == SSL3_MT_FINISHED) {
109                 st->hand_state = TLS_ST_SR_FINISHED;
110                 return 1;
111             }
112         }
113         break;
114
115     case TLS_ST_SR_CERT:
116         if (s->session->peer == NULL) {
117             if (mt == SSL3_MT_FINISHED) {
118                 st->hand_state = TLS_ST_SR_FINISHED;
119                 return 1;
120             }
121         } else {
122             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
123                 st->hand_state = TLS_ST_SR_CERT_VRFY;
124                 return 1;
125             }
126         }
127         break;
128
129     case TLS_ST_SR_CERT_VRFY:
130         if (mt == SSL3_MT_FINISHED) {
131             st->hand_state = TLS_ST_SR_FINISHED;
132             return 1;
133         }
134         break;
135     }
136
137     /* No valid transition found */
138     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
139     SSLerr(SSL_F_OSSL_STATEM_SERVER13_READ_TRANSITION,
140            SSL_R_UNEXPECTED_MESSAGE);
141     return 0;
142 }
143
144 /*
145  * ossl_statem_server_read_transition() encapsulates the logic for the allowed
146  * handshake state transitions when the server is reading messages from the
147  * client. The message type that the client has sent is provided in |mt|. The
148  * current state is in |s->statem.hand_state|.
149  *
150  * Return values are 1 for success (transition allowed) and  0 on error
151  * (transition not allowed)
152  */
153 int ossl_statem_server_read_transition(SSL *s, int mt)
154 {
155     OSSL_STATEM *st = &s->statem;
156
157     if (SSL_IS_TLS13(s)) {
158         if (!ossl_statem_server13_read_transition(s, mt))
159             goto err;
160         return 1;
161     }
162
163     switch (st->hand_state) {
164     default:
165         break;
166
167     case TLS_ST_BEFORE:
168     case TLS_ST_OK:
169     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
170         if (mt == SSL3_MT_CLIENT_HELLO) {
171             st->hand_state = TLS_ST_SR_CLNT_HELLO;
172             return 1;
173         }
174         break;
175
176     case TLS_ST_SW_SRVR_DONE:
177         /*
178          * If we get a CKE message after a ServerDone then either
179          * 1) We didn't request a Certificate
180          * OR
181          * 2) If we did request one then
182          *      a) We allow no Certificate to be returned
183          *      AND
184          *      b) We are running SSL3 (in TLS1.0+ the client must return a 0
185          *         list if we requested a certificate)
186          */
187         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
188             if (s->s3->tmp.cert_request) {
189                 if (s->version == SSL3_VERSION) {
190                     if ((s->verify_mode & SSL_VERIFY_PEER)
191                         && (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
192                         /*
193                          * This isn't an unexpected message as such - we're just
194                          * not going to accept it because we require a client
195                          * cert.
196                          */
197                         ssl3_send_alert(s, SSL3_AL_FATAL,
198                                         SSL3_AD_HANDSHAKE_FAILURE);
199                         SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION,
200                                SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
201                         return 0;
202                     }
203                     st->hand_state = TLS_ST_SR_KEY_EXCH;
204                     return 1;
205                 }
206             } else {
207                 st->hand_state = TLS_ST_SR_KEY_EXCH;
208                 return 1;
209             }
210         } else if (s->s3->tmp.cert_request) {
211             if (mt == SSL3_MT_CERTIFICATE) {
212                 st->hand_state = TLS_ST_SR_CERT;
213                 return 1;
214             }
215         }
216         break;
217
218     case TLS_ST_SR_CERT:
219         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
220             st->hand_state = TLS_ST_SR_KEY_EXCH;
221             return 1;
222         }
223         break;
224
225     case TLS_ST_SR_KEY_EXCH:
226         /*
227          * We should only process a CertificateVerify message if we have
228          * received a Certificate from the client. If so then |s->session->peer|
229          * will be non NULL. In some instances a CertificateVerify message is
230          * not required even if the peer has sent a Certificate (e.g. such as in
231          * the case of static DH). In that case |st->no_cert_verify| should be
232          * set.
233          */
234         if (s->session->peer == NULL || st->no_cert_verify) {
235             if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
236                 /*
237                  * For the ECDH ciphersuites when the client sends its ECDH
238                  * pub key in a certificate, the CertificateVerify message is
239                  * not sent. Also for GOST ciphersuites when the client uses
240                  * its key from the certificate for key exchange.
241                  */
242                 st->hand_state = TLS_ST_SR_CHANGE;
243                 return 1;
244             }
245         } else {
246             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
247                 st->hand_state = TLS_ST_SR_CERT_VRFY;
248                 return 1;
249             }
250         }
251         break;
252
253     case TLS_ST_SR_CERT_VRFY:
254         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
255             st->hand_state = TLS_ST_SR_CHANGE;
256             return 1;
257         }
258         break;
259
260     case TLS_ST_SR_CHANGE:
261 #ifndef OPENSSL_NO_NEXTPROTONEG
262         if (s->s3->npn_seen) {
263             if (mt == SSL3_MT_NEXT_PROTO) {
264                 st->hand_state = TLS_ST_SR_NEXT_PROTO;
265                 return 1;
266             }
267         } else {
268 #endif
269             if (mt == SSL3_MT_FINISHED) {
270                 st->hand_state = TLS_ST_SR_FINISHED;
271                 return 1;
272             }
273 #ifndef OPENSSL_NO_NEXTPROTONEG
274         }
275 #endif
276         break;
277
278 #ifndef OPENSSL_NO_NEXTPROTONEG
279     case TLS_ST_SR_NEXT_PROTO:
280         if (mt == SSL3_MT_FINISHED) {
281             st->hand_state = TLS_ST_SR_FINISHED;
282             return 1;
283         }
284         break;
285 #endif
286
287     case TLS_ST_SW_FINISHED:
288         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
289             st->hand_state = TLS_ST_SR_CHANGE;
290             return 1;
291         }
292         break;
293     }
294
295  err:
296     /* No valid transition found */
297     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
298     SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION, SSL_R_UNEXPECTED_MESSAGE);
299     return 0;
300 }
301
302 /*
303  * Should we send a ServerKeyExchange message?
304  *
305  * Valid return values are:
306  *   1: Yes
307  *   0: No
308  */
309 static int send_server_key_exchange(SSL *s)
310 {
311     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
312
313     /*
314      * only send a ServerKeyExchange if DH or fortezza but we have a
315      * sign only certificate PSK: may send PSK identity hints For
316      * ECC ciphersuites, we send a serverKeyExchange message only if
317      * the cipher suite is either ECDH-anon or ECDHE. In other cases,
318      * the server certificate contains the server's public key for
319      * key exchange.
320      */
321     if (alg_k & (SSL_kDHE | SSL_kECDHE)
322         /*
323          * PSK: send ServerKeyExchange if PSK identity hint if
324          * provided
325          */
326 #ifndef OPENSSL_NO_PSK
327         /* Only send SKE if we have identity hint for plain PSK */
328         || ((alg_k & (SSL_kPSK | SSL_kRSAPSK))
329             && s->cert->psk_identity_hint)
330         /* For other PSK always send SKE */
331         || (alg_k & (SSL_PSK & (SSL_kDHEPSK | SSL_kECDHEPSK)))
332 #endif
333 #ifndef OPENSSL_NO_SRP
334         /* SRP: send ServerKeyExchange */
335         || (alg_k & SSL_kSRP)
336 #endif
337         ) {
338         return 1;
339     }
340
341     return 0;
342 }
343
344 /*
345  * Should we send a CertificateRequest message?
346  *
347  * Valid return values are:
348  *   1: Yes
349  *   0: No
350  */
351 static int send_certificate_request(SSL *s)
352 {
353     if (
354            /* don't request cert unless asked for it: */
355            s->verify_mode & SSL_VERIFY_PEER
356            /*
357             * if SSL_VERIFY_CLIENT_ONCE is set, don't request cert
358             * during re-negotiation:
359             */
360            && (s->s3->tmp.finish_md_len == 0 ||
361                !(s->verify_mode & SSL_VERIFY_CLIENT_ONCE))
362            /*
363             * never request cert in anonymous ciphersuites (see
364             * section "Certificate request" in SSL 3 drafts and in
365             * RFC 2246):
366             */
367            && (!(s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL)
368                /*
369                 * ... except when the application insists on
370                 * verification (against the specs, but statem_clnt.c accepts
371                 * this for SSL 3)
372                 */
373                || (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT))
374            /* don't request certificate for SRP auth */
375            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aSRP)
376            /*
377             * With normal PSK Certificates and Certificate Requests
378             * are omitted
379             */
380            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aPSK)) {
381         return 1;
382     }
383
384     return 0;
385 }
386
387 /*
388  * ossl_statem_server13_write_transition() works out what handshake state to
389  * move to next when a TLSv1.3 server is writing messages to be sent to the
390  * client.
391  */
392 static WRITE_TRAN ossl_statem_server13_write_transition(SSL *s)
393 {
394     OSSL_STATEM *st = &s->statem;
395
396     /*
397      * TODO(TLS1.3): This is still based on the TLSv1.2 state machine. Over time
398      * we will update this to look more like real TLSv1.3
399      */
400
401     /*
402      * No case for TLS_ST_BEFORE, because at that stage we have not negotiated
403      * TLSv1.3 yet, so that is handled by ossl_statem_server_write_transition()
404      */
405
406     switch (st->hand_state) {
407     default:
408         /* Shouldn't happen */
409         return WRITE_TRAN_ERROR;
410
411     case TLS_ST_SR_CLNT_HELLO:
412         if (s->hello_retry_request)
413             st->hand_state = TLS_ST_SW_HELLO_RETRY_REQUEST;
414         else
415             st->hand_state = TLS_ST_SW_SRVR_HELLO;
416         return WRITE_TRAN_CONTINUE;
417
418     case TLS_ST_SW_HELLO_RETRY_REQUEST:
419         return WRITE_TRAN_FINISHED;
420
421     case TLS_ST_SW_SRVR_HELLO:
422         st->hand_state = TLS_ST_SW_ENCRYPTED_EXTENSIONS;
423         return WRITE_TRAN_CONTINUE;
424
425     case TLS_ST_SW_ENCRYPTED_EXTENSIONS:
426         if (s->hit)
427             st->hand_state = TLS_ST_SW_FINISHED;
428         else if (send_certificate_request(s))
429             st->hand_state = TLS_ST_SW_CERT_REQ;
430         else
431             st->hand_state = TLS_ST_SW_CERT;
432
433         return WRITE_TRAN_CONTINUE;
434
435     case TLS_ST_SW_CERT_REQ:
436         st->hand_state = TLS_ST_SW_CERT;
437         return WRITE_TRAN_CONTINUE;
438
439     case TLS_ST_SW_CERT:
440         st->hand_state = TLS_ST_SW_CERT_VRFY;
441         return WRITE_TRAN_CONTINUE;
442
443     case TLS_ST_SW_CERT_VRFY:
444         st->hand_state = TLS_ST_SW_FINISHED;
445         return WRITE_TRAN_CONTINUE;
446
447     case TLS_ST_SW_FINISHED:
448         return WRITE_TRAN_FINISHED;
449
450     case TLS_ST_SR_FINISHED:
451         /*
452          * Technically we have finished the handshake at this point, but we're
453          * going to remain "in_init" for now and write out the session ticket
454          * immediately.
455          * TODO(TLS1.3): Perhaps we need to be able to control this behaviour
456          * and give the application the opportunity to delay sending the
457          * session ticket?
458          */
459         st->hand_state = TLS_ST_SW_SESSION_TICKET;
460         return WRITE_TRAN_CONTINUE;
461
462     case TLS_ST_SW_SESSION_TICKET:
463         st->hand_state = TLS_ST_OK;
464         ossl_statem_set_in_init(s, 0);
465         return WRITE_TRAN_CONTINUE;
466     }
467 }
468
469 /*
470  * ossl_statem_server_write_transition() works out what handshake state to move
471  * to next when the server is writing messages to be sent to the client.
472  */
473 WRITE_TRAN ossl_statem_server_write_transition(SSL *s)
474 {
475     OSSL_STATEM *st = &s->statem;
476
477     /*
478      * Note that before the ClientHello we don't know what version we are going
479      * to negotiate yet, so we don't take this branch until later
480      */
481
482     if (SSL_IS_TLS13(s))
483         return ossl_statem_server13_write_transition(s);
484
485     switch (st->hand_state) {
486     default:
487         /* Shouldn't happen */
488         return WRITE_TRAN_ERROR;
489
490     case TLS_ST_OK:
491         if (st->request_state == TLS_ST_SW_HELLO_REQ) {
492             /* We must be trying to renegotiate */
493             st->hand_state = TLS_ST_SW_HELLO_REQ;
494             st->request_state = TLS_ST_BEFORE;
495             return WRITE_TRAN_CONTINUE;
496         }
497         /* Must be an incoming ClientHello */
498         if (!tls_setup_handshake(s)) {
499             ossl_statem_set_error(s);
500             return WRITE_TRAN_ERROR;
501         }
502         /* Fall through */
503
504     case TLS_ST_BEFORE:
505         /* Just go straight to trying to read from the client */
506         return WRITE_TRAN_FINISHED;
507
508     case TLS_ST_SW_HELLO_REQ:
509         st->hand_state = TLS_ST_OK;
510         ossl_statem_set_in_init(s, 0);
511         return WRITE_TRAN_CONTINUE;
512
513     case TLS_ST_SR_CLNT_HELLO:
514         if (SSL_IS_DTLS(s) && !s->d1->cookie_verified
515             && (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE))
516             st->hand_state = DTLS_ST_SW_HELLO_VERIFY_REQUEST;
517         else
518             st->hand_state = TLS_ST_SW_SRVR_HELLO;
519         return WRITE_TRAN_CONTINUE;
520
521     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
522         return WRITE_TRAN_FINISHED;
523
524     case TLS_ST_SW_SRVR_HELLO:
525         if (s->hit) {
526             if (s->ext.ticket_expected)
527                 st->hand_state = TLS_ST_SW_SESSION_TICKET;
528             else
529                 st->hand_state = TLS_ST_SW_CHANGE;
530         } else {
531             /* Check if it is anon DH or anon ECDH, */
532             /* normal PSK or SRP */
533             if (!(s->s3->tmp.new_cipher->algorithm_auth &
534                   (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
535                 st->hand_state = TLS_ST_SW_CERT;
536             } else if (send_server_key_exchange(s)) {
537                 st->hand_state = TLS_ST_SW_KEY_EXCH;
538             } else if (send_certificate_request(s)) {
539                 st->hand_state = TLS_ST_SW_CERT_REQ;
540             } else {
541                 st->hand_state = TLS_ST_SW_SRVR_DONE;
542             }
543         }
544         return WRITE_TRAN_CONTINUE;
545
546     case TLS_ST_SW_CERT:
547         if (s->ext.status_expected) {
548             st->hand_state = TLS_ST_SW_CERT_STATUS;
549             return WRITE_TRAN_CONTINUE;
550         }
551         /* Fall through */
552
553     case TLS_ST_SW_CERT_STATUS:
554         if (send_server_key_exchange(s)) {
555             st->hand_state = TLS_ST_SW_KEY_EXCH;
556             return WRITE_TRAN_CONTINUE;
557         }
558         /* Fall through */
559
560     case TLS_ST_SW_KEY_EXCH:
561         if (send_certificate_request(s)) {
562             st->hand_state = TLS_ST_SW_CERT_REQ;
563             return WRITE_TRAN_CONTINUE;
564         }
565         /* Fall through */
566
567     case TLS_ST_SW_CERT_REQ:
568         st->hand_state = TLS_ST_SW_SRVR_DONE;
569         return WRITE_TRAN_CONTINUE;
570
571     case TLS_ST_SW_SRVR_DONE:
572         return WRITE_TRAN_FINISHED;
573
574     case TLS_ST_SR_FINISHED:
575         if (s->hit) {
576             st->hand_state = TLS_ST_OK;
577             ossl_statem_set_in_init(s, 0);
578             return WRITE_TRAN_CONTINUE;
579         } else if (s->ext.ticket_expected) {
580             st->hand_state = TLS_ST_SW_SESSION_TICKET;
581         } else {
582             st->hand_state = TLS_ST_SW_CHANGE;
583         }
584         return WRITE_TRAN_CONTINUE;
585
586     case TLS_ST_SW_SESSION_TICKET:
587         st->hand_state = TLS_ST_SW_CHANGE;
588         return WRITE_TRAN_CONTINUE;
589
590     case TLS_ST_SW_CHANGE:
591         st->hand_state = TLS_ST_SW_FINISHED;
592         return WRITE_TRAN_CONTINUE;
593
594     case TLS_ST_SW_FINISHED:
595         if (s->hit) {
596             return WRITE_TRAN_FINISHED;
597         }
598         st->hand_state = TLS_ST_OK;
599         ossl_statem_set_in_init(s, 0);
600         return WRITE_TRAN_CONTINUE;
601     }
602 }
603
604 /*
605  * Perform any pre work that needs to be done prior to sending a message from
606  * the server to the client.
607  */
608 WORK_STATE ossl_statem_server_pre_work(SSL *s, WORK_STATE wst)
609 {
610     OSSL_STATEM *st = &s->statem;
611
612     switch (st->hand_state) {
613     default:
614         /* No pre work to be done */
615         break;
616
617     case TLS_ST_SW_HELLO_REQ:
618         s->shutdown = 0;
619         if (SSL_IS_DTLS(s))
620             dtls1_clear_sent_buffer(s);
621         break;
622
623     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
624         s->shutdown = 0;
625         if (SSL_IS_DTLS(s)) {
626             dtls1_clear_sent_buffer(s);
627             /* We don't buffer this message so don't use the timer */
628             st->use_timer = 0;
629         }
630         break;
631
632     case TLS_ST_SW_SRVR_HELLO:
633         if (SSL_IS_DTLS(s)) {
634             /*
635              * Messages we write from now on should be bufferred and
636              * retransmitted if necessary, so we need to use the timer now
637              */
638             st->use_timer = 1;
639         }
640         break;
641
642     case TLS_ST_SW_SRVR_DONE:
643 #ifndef OPENSSL_NO_SCTP
644         if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s)))
645             return dtls_wait_for_dry(s);
646 #endif
647         return WORK_FINISHED_CONTINUE;
648
649     case TLS_ST_SW_SESSION_TICKET:
650         if (SSL_IS_TLS13(s)) {
651             /*
652              * Actually this is the end of the handshake, but we're going
653              * straight into writing the session ticket out. So we finish off
654              * the handshake, but keep the various buffers active.
655              */
656             return tls_finish_handshake(s, wst, 0);
657         } if (SSL_IS_DTLS(s)) {
658             /*
659              * We're into the last flight. We don't retransmit the last flight
660              * unless we need to, so we don't use the timer
661              */
662             st->use_timer = 0;
663         }
664         break;
665
666     case TLS_ST_SW_CHANGE:
667         s->session->cipher = s->s3->tmp.new_cipher;
668         if (!s->method->ssl3_enc->setup_key_block(s)) {
669             ossl_statem_set_error(s);
670             return WORK_ERROR;
671         }
672         if (SSL_IS_DTLS(s)) {
673             /*
674              * We're into the last flight. We don't retransmit the last flight
675              * unless we need to, so we don't use the timer. This might have
676              * already been set to 0 if we sent a NewSessionTicket message,
677              * but we'll set it again here in case we didn't.
678              */
679             st->use_timer = 0;
680         }
681         return WORK_FINISHED_CONTINUE;
682
683     case TLS_ST_OK:
684         return tls_finish_handshake(s, wst, 1);
685     }
686
687     return WORK_FINISHED_CONTINUE;
688 }
689
690 /*
691  * Perform any work that needs to be done after sending a message from the
692  * server to the client.
693  */
694 WORK_STATE ossl_statem_server_post_work(SSL *s, WORK_STATE wst)
695 {
696     OSSL_STATEM *st = &s->statem;
697
698     s->init_num = 0;
699
700     switch (st->hand_state) {
701     default:
702         /* No post work to be done */
703         break;
704
705     case TLS_ST_SW_HELLO_RETRY_REQUEST:
706         if (statem_flush(s) != 1)
707             return WORK_MORE_A;
708         break;
709
710     case TLS_ST_SW_HELLO_REQ:
711         if (statem_flush(s) != 1)
712             return WORK_MORE_A;
713         if (!ssl3_init_finished_mac(s)) {
714             ossl_statem_set_error(s);
715             return WORK_ERROR;
716         }
717         break;
718
719     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
720         if (statem_flush(s) != 1)
721             return WORK_MORE_A;
722         /* HelloVerifyRequest resets Finished MAC */
723         if (s->version != DTLS1_BAD_VER && !ssl3_init_finished_mac(s)) {
724             ossl_statem_set_error(s);
725             return WORK_ERROR;
726         }
727         /*
728          * The next message should be another ClientHello which we need to
729          * treat like it was the first packet
730          */
731         s->first_packet = 1;
732         break;
733
734     case TLS_ST_SW_SRVR_HELLO:
735 #ifndef OPENSSL_NO_SCTP
736         if (SSL_IS_DTLS(s) && s->hit) {
737             unsigned char sctpauthkey[64];
738             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
739
740             /*
741              * Add new shared key for SCTP-Auth, will be ignored if no
742              * SCTP used.
743              */
744             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
745                    sizeof(DTLS1_SCTP_AUTH_LABEL));
746
747             if (SSL_export_keying_material(s, sctpauthkey,
748                                            sizeof(sctpauthkey), labelbuffer,
749                                            sizeof(labelbuffer), NULL, 0,
750                                            0) <= 0) {
751                 ossl_statem_set_error(s);
752                 return WORK_ERROR;
753             }
754
755             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
756                      sizeof(sctpauthkey), sctpauthkey);
757         }
758 #endif
759         /*
760          * TODO(TLS1.3): This actually causes a problem. We don't yet know
761          * whether the next record we are going to receive is an unencrypted
762          * alert, or an encrypted handshake message. We're going to need
763          * something clever in the record layer for this.
764          */
765         if (SSL_IS_TLS13(s)) {
766             if (!s->method->ssl3_enc->setup_key_block(s)
767                 || !s->method->ssl3_enc->change_cipher_state(s,
768                         SSL3_CC_HANDSHAKE | SSL3_CHANGE_CIPHER_SERVER_WRITE)
769                 || !s->method->ssl3_enc->change_cipher_state(s,
770                         SSL3_CC_HANDSHAKE |SSL3_CHANGE_CIPHER_SERVER_READ))
771             return WORK_ERROR;
772         }
773         break;
774
775     case TLS_ST_SW_CHANGE:
776 #ifndef OPENSSL_NO_SCTP
777         if (SSL_IS_DTLS(s) && !s->hit) {
778             /*
779              * Change to new shared key of SCTP-Auth, will be ignored if
780              * no SCTP used.
781              */
782             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
783                      0, NULL);
784         }
785 #endif
786         if (!s->method->ssl3_enc->change_cipher_state(s,
787                                                       SSL3_CHANGE_CIPHER_SERVER_WRITE))
788         {
789             ossl_statem_set_error(s);
790             return WORK_ERROR;
791         }
792
793         if (SSL_IS_DTLS(s))
794             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
795         break;
796
797     case TLS_ST_SW_SRVR_DONE:
798         if (statem_flush(s) != 1)
799             return WORK_MORE_A;
800         break;
801
802     case TLS_ST_SW_FINISHED:
803         if (statem_flush(s) != 1)
804             return WORK_MORE_A;
805 #ifndef OPENSSL_NO_SCTP
806         if (SSL_IS_DTLS(s) && s->hit) {
807             /*
808              * Change to new shared key of SCTP-Auth, will be ignored if
809              * no SCTP used.
810              */
811             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
812                      0, NULL);
813         }
814 #endif
815         if (SSL_IS_TLS13(s)) {
816             if (!s->method->ssl3_enc->generate_master_secret(s,
817                         s->master_secret, s->handshake_secret, 0,
818                         &s->session->master_key_length)
819                 || !s->method->ssl3_enc->change_cipher_state(s,
820                         SSL3_CC_APPLICATION | SSL3_CHANGE_CIPHER_SERVER_WRITE))
821             return WORK_ERROR;
822         }
823         break;
824
825     case TLS_ST_SW_SESSION_TICKET:
826         if (SSL_IS_TLS13(s) && statem_flush(s) != 1)
827             return WORK_MORE_A;
828         break;
829     }
830
831     return WORK_FINISHED_CONTINUE;
832 }
833
834 /*
835  * Get the message construction function and message type for sending from the
836  * server
837  *
838  * Valid return values are:
839  *   1: Success
840  *   0: Error
841  */
842 int ossl_statem_server_construct_message(SSL *s, WPACKET *pkt,
843                                          confunc_f *confunc, int *mt)
844 {
845     OSSL_STATEM *st = &s->statem;
846
847     switch (st->hand_state) {
848     default:
849         /* Shouldn't happen */
850         return 0;
851
852     case TLS_ST_SW_CHANGE:
853         if (SSL_IS_DTLS(s))
854             *confunc = dtls_construct_change_cipher_spec;
855         else
856             *confunc = tls_construct_change_cipher_spec;
857         *mt = SSL3_MT_CHANGE_CIPHER_SPEC;
858         break;
859
860     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
861         *confunc = dtls_construct_hello_verify_request;
862         *mt = DTLS1_MT_HELLO_VERIFY_REQUEST;
863         break;
864
865     case TLS_ST_SW_HELLO_REQ:
866         /* No construction function needed */
867         *confunc = NULL;
868         *mt = SSL3_MT_HELLO_REQUEST;
869         break;
870
871     case TLS_ST_SW_SRVR_HELLO:
872         *confunc = tls_construct_server_hello;
873         *mt = SSL3_MT_SERVER_HELLO;
874         break;
875
876     case TLS_ST_SW_CERT:
877         *confunc = tls_construct_server_certificate;
878         *mt = SSL3_MT_CERTIFICATE;
879         break;
880
881     case TLS_ST_SW_CERT_VRFY:
882         *confunc = tls_construct_cert_verify;
883         *mt = SSL3_MT_CERTIFICATE_VERIFY;
884         break;
885
886
887     case TLS_ST_SW_KEY_EXCH:
888         *confunc = tls_construct_server_key_exchange;
889         *mt = SSL3_MT_SERVER_KEY_EXCHANGE;
890         break;
891
892     case TLS_ST_SW_CERT_REQ:
893         *confunc = tls_construct_certificate_request;
894         *mt = SSL3_MT_CERTIFICATE_REQUEST;
895         break;
896
897     case TLS_ST_SW_SRVR_DONE:
898         *confunc = tls_construct_server_done;
899         *mt = SSL3_MT_SERVER_DONE;
900         break;
901
902     case TLS_ST_SW_SESSION_TICKET:
903         *confunc = tls_construct_new_session_ticket;
904         *mt = SSL3_MT_NEWSESSION_TICKET;
905         break;
906
907     case TLS_ST_SW_CERT_STATUS:
908         *confunc = tls_construct_cert_status;
909         *mt = SSL3_MT_CERTIFICATE_STATUS;
910         break;
911
912     case TLS_ST_SW_FINISHED:
913         *confunc = tls_construct_finished;
914         *mt = SSL3_MT_FINISHED;
915         break;
916
917     case TLS_ST_SW_ENCRYPTED_EXTENSIONS:
918         *confunc = tls_construct_encrypted_extensions;
919         *mt = SSL3_MT_ENCRYPTED_EXTENSIONS;
920         break;
921
922     case TLS_ST_SW_HELLO_RETRY_REQUEST:
923         *confunc = tls_construct_hello_retry_request;
924         *mt = SSL3_MT_HELLO_RETRY_REQUEST;
925         break;
926     }
927
928     return 1;
929 }
930
931 /*
932  * Maximum size (excluding the Handshake header) of a ClientHello message,
933  * calculated as follows:
934  *
935  *  2 + # client_version
936  *  32 + # only valid length for random
937  *  1 + # length of session_id
938  *  32 + # maximum size for session_id
939  *  2 + # length of cipher suites
940  *  2^16-2 + # maximum length of cipher suites array
941  *  1 + # length of compression_methods
942  *  2^8-1 + # maximum length of compression methods
943  *  2 + # length of extensions
944  *  2^16-1 # maximum length of extensions
945  */
946 #define CLIENT_HELLO_MAX_LENGTH         131396
947
948 #define CLIENT_KEY_EXCH_MAX_LENGTH      2048
949 #define NEXT_PROTO_MAX_LENGTH           514
950
951 /*
952  * Returns the maximum allowed length for the current message that we are
953  * reading. Excludes the message header.
954  */
955 size_t ossl_statem_server_max_message_size(SSL *s)
956 {
957     OSSL_STATEM *st = &s->statem;
958
959     switch (st->hand_state) {
960     default:
961         /* Shouldn't happen */
962         return 0;
963
964     case TLS_ST_SR_CLNT_HELLO:
965         return CLIENT_HELLO_MAX_LENGTH;
966
967     case TLS_ST_SR_CERT:
968         return s->max_cert_list;
969
970     case TLS_ST_SR_KEY_EXCH:
971         return CLIENT_KEY_EXCH_MAX_LENGTH;
972
973     case TLS_ST_SR_CERT_VRFY:
974         return SSL3_RT_MAX_PLAIN_LENGTH;
975
976 #ifndef OPENSSL_NO_NEXTPROTONEG
977     case TLS_ST_SR_NEXT_PROTO:
978         return NEXT_PROTO_MAX_LENGTH;
979 #endif
980
981     case TLS_ST_SR_CHANGE:
982         return CCS_MAX_LENGTH;
983
984     case TLS_ST_SR_FINISHED:
985         return FINISHED_MAX_LENGTH;
986     }
987 }
988
989 /*
990  * Process a message that the server has received from the client.
991  */
992 MSG_PROCESS_RETURN ossl_statem_server_process_message(SSL *s, PACKET *pkt)
993 {
994     OSSL_STATEM *st = &s->statem;
995
996     switch (st->hand_state) {
997     default:
998         /* Shouldn't happen */
999         return MSG_PROCESS_ERROR;
1000
1001     case TLS_ST_SR_CLNT_HELLO:
1002         return tls_process_client_hello(s, pkt);
1003
1004     case TLS_ST_SR_CERT:
1005         return tls_process_client_certificate(s, pkt);
1006
1007     case TLS_ST_SR_KEY_EXCH:
1008         return tls_process_client_key_exchange(s, pkt);
1009
1010     case TLS_ST_SR_CERT_VRFY:
1011         return tls_process_cert_verify(s, pkt);
1012
1013 #ifndef OPENSSL_NO_NEXTPROTONEG
1014     case TLS_ST_SR_NEXT_PROTO:
1015         return tls_process_next_proto(s, pkt);
1016 #endif
1017
1018     case TLS_ST_SR_CHANGE:
1019         return tls_process_change_cipher_spec(s, pkt);
1020
1021     case TLS_ST_SR_FINISHED:
1022         return tls_process_finished(s, pkt);
1023     }
1024 }
1025
1026 /*
1027  * Perform any further processing required following the receipt of a message
1028  * from the client
1029  */
1030 WORK_STATE ossl_statem_server_post_process_message(SSL *s, WORK_STATE wst)
1031 {
1032     OSSL_STATEM *st = &s->statem;
1033
1034     switch (st->hand_state) {
1035     default:
1036         /* Shouldn't happen */
1037         return WORK_ERROR;
1038
1039     case TLS_ST_SR_CLNT_HELLO:
1040         return tls_post_process_client_hello(s, wst);
1041
1042     case TLS_ST_SR_KEY_EXCH:
1043         return tls_post_process_client_key_exchange(s, wst);
1044
1045     case TLS_ST_SR_CERT_VRFY:
1046 #ifndef OPENSSL_NO_SCTP
1047         if (                    /* Is this SCTP? */
1048                BIO_dgram_is_sctp(SSL_get_wbio(s))
1049                /* Are we renegotiating? */
1050                && s->renegotiate && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
1051             s->s3->in_read_app_data = 2;
1052             s->rwstate = SSL_READING;
1053             BIO_clear_retry_flags(SSL_get_rbio(s));
1054             BIO_set_retry_read(SSL_get_rbio(s));
1055             ossl_statem_set_sctp_read_sock(s, 1);
1056             return WORK_MORE_A;
1057         } else {
1058             ossl_statem_set_sctp_read_sock(s, 0);
1059         }
1060 #endif
1061         return WORK_FINISHED_CONTINUE;
1062     }
1063     return WORK_FINISHED_CONTINUE;
1064 }
1065
1066 #ifndef OPENSSL_NO_SRP
1067 static int ssl_check_srp_ext_ClientHello(SSL *s, int *al)
1068 {
1069     int ret = SSL_ERROR_NONE;
1070
1071     *al = SSL_AD_UNRECOGNIZED_NAME;
1072
1073     if ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) &&
1074         (s->srp_ctx.TLS_ext_srp_username_callback != NULL)) {
1075         if (s->srp_ctx.login == NULL) {
1076             /*
1077              * RFC 5054 says SHOULD reject, we do so if There is no srp
1078              * login name
1079              */
1080             ret = SSL3_AL_FATAL;
1081             *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
1082         } else {
1083             ret = SSL_srp_server_param_with_username(s, al);
1084         }
1085     }
1086     return ret;
1087 }
1088 #endif
1089
1090 int dtls_raw_hello_verify_request(WPACKET *pkt, unsigned char *cookie,
1091                                   size_t cookie_len)
1092 {
1093     /* Always use DTLS 1.0 version: see RFC 6347 */
1094     if (!WPACKET_put_bytes_u16(pkt, DTLS1_VERSION)
1095             || !WPACKET_sub_memcpy_u8(pkt, cookie, cookie_len))
1096         return 0;
1097
1098     return 1;
1099 }
1100
1101 int dtls_construct_hello_verify_request(SSL *s, WPACKET *pkt)
1102 {
1103     unsigned int cookie_leni;
1104     if (s->ctx->app_gen_cookie_cb == NULL ||
1105         s->ctx->app_gen_cookie_cb(s, s->d1->cookie,
1106                                   &cookie_leni) == 0 ||
1107         cookie_leni > 255) {
1108         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST,
1109                SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
1110         return 0;
1111     }
1112     s->d1->cookie_len = cookie_leni;
1113
1114     if (!dtls_raw_hello_verify_request(pkt, s->d1->cookie,
1115                                               s->d1->cookie_len)) {
1116         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST, ERR_R_INTERNAL_ERROR);
1117         return 0;
1118     }
1119
1120     return 1;
1121 }
1122
1123 #ifndef OPENSSL_NO_EC
1124 /*-
1125  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1126  * SecureTransport using the TLS extension block in |hello|.
1127  * Safari, since 10.6, sends exactly these extensions, in this order:
1128  *   SNI,
1129  *   elliptic_curves
1130  *   ec_point_formats
1131  *
1132  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1133  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1134  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1135  * 10.8..10.8.3 (which don't work).
1136  */
1137 static void ssl_check_for_safari(SSL *s, const CLIENTHELLO_MSG *hello)
1138 {
1139     static const unsigned char kSafariExtensionsBlock[] = {
1140         0x00, 0x0a,             /* elliptic_curves extension */
1141         0x00, 0x08,             /* 8 bytes */
1142         0x00, 0x06,             /* 6 bytes of curve ids */
1143         0x00, 0x17,             /* P-256 */
1144         0x00, 0x18,             /* P-384 */
1145         0x00, 0x19,             /* P-521 */
1146
1147         0x00, 0x0b,             /* ec_point_formats */
1148         0x00, 0x02,             /* 2 bytes */
1149         0x01,                   /* 1 point format */
1150         0x00,                   /* uncompressed */
1151         /* The following is only present in TLS 1.2 */
1152         0x00, 0x0d,             /* signature_algorithms */
1153         0x00, 0x0c,             /* 12 bytes */
1154         0x00, 0x0a,             /* 10 bytes */
1155         0x05, 0x01,             /* SHA-384/RSA */
1156         0x04, 0x01,             /* SHA-256/RSA */
1157         0x02, 0x01,             /* SHA-1/RSA */
1158         0x04, 0x03,             /* SHA-256/ECDSA */
1159         0x02, 0x03,             /* SHA-1/ECDSA */
1160     };
1161     /* Length of the common prefix (first two extensions). */
1162     static const size_t kSafariCommonExtensionsLength = 18;
1163     unsigned int type;
1164     PACKET sni, tmppkt;
1165     size_t ext_len;
1166
1167     tmppkt = hello->extensions;
1168
1169     if (!PACKET_forward(&tmppkt, 2)
1170         || !PACKET_get_net_2(&tmppkt, &type)
1171         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1172         return;
1173     }
1174
1175     if (type != TLSEXT_TYPE_server_name)
1176         return;
1177
1178     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1179         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1180
1181     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1182                                              ext_len);
1183 }
1184 #endif                          /* !OPENSSL_NO_EC */
1185
1186 MSG_PROCESS_RETURN tls_process_client_hello(SSL *s, PACKET *pkt)
1187 {
1188     int i, al = SSL_AD_INTERNAL_ERROR;
1189     unsigned int j;
1190     size_t loop;
1191     unsigned long id;
1192     const SSL_CIPHER *c;
1193 #ifndef OPENSSL_NO_COMP
1194     SSL_COMP *comp = NULL;
1195 #endif
1196     STACK_OF(SSL_CIPHER) *ciphers = NULL;
1197     int protverr;
1198     /* |cookie| will only be initialized for DTLS. */
1199     PACKET session_id, compression, extensions, cookie;
1200     static const unsigned char null_compression = 0;
1201     CLIENTHELLO_MSG clienthello;
1202
1203     /* Check if this is actually an unexpected renegotiation ClientHello */
1204     if (s->renegotiate == 0 && !SSL_IS_FIRST_HANDSHAKE(s)) {
1205         s->renegotiate = 1;
1206         s->new_session = 1;
1207     }
1208
1209     /* This is a real handshake so make sure we clean it up at the end */
1210     s->statem.cleanuphand = 1;
1211
1212     /*
1213      * First, parse the raw ClientHello data into the CLIENTHELLO_MSG structure.
1214      */
1215     memset(&clienthello, 0, sizeof(clienthello));
1216     clienthello.isv2 = RECORD_LAYER_is_sslv2_record(&s->rlayer);
1217     PACKET_null_init(&cookie);
1218
1219     if (clienthello.isv2) {
1220         unsigned int mt;
1221
1222         if (!SSL_IS_FIRST_HANDSHAKE(s) || s->hello_retry_request) {
1223             al = SSL_AD_HANDSHAKE_FAILURE;
1224             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNEXPECTED_MESSAGE);
1225             goto f_err;
1226         }
1227
1228         /*-
1229          * An SSLv3/TLSv1 backwards-compatible CLIENT-HELLO in an SSLv2
1230          * header is sent directly on the wire, not wrapped as a TLS
1231          * record. Our record layer just processes the message length and passes
1232          * the rest right through. Its format is:
1233          * Byte  Content
1234          * 0-1   msg_length - decoded by the record layer
1235          * 2     msg_type - s->init_msg points here
1236          * 3-4   version
1237          * 5-6   cipher_spec_length
1238          * 7-8   session_id_length
1239          * 9-10  challenge_length
1240          * ...   ...
1241          */
1242
1243         if (!PACKET_get_1(pkt, &mt)
1244             || mt != SSL2_MT_CLIENT_HELLO) {
1245             /*
1246              * Should never happen. We should have tested this in the record
1247              * layer in order to have determined that this is a SSLv2 record
1248              * in the first place
1249              */
1250             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1251             goto err;
1252         }
1253     }
1254
1255     if (!PACKET_get_net_2(pkt, &clienthello.legacy_version)) {
1256         al = SSL_AD_DECODE_ERROR;
1257         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_TOO_SHORT);
1258         goto err;
1259     }
1260
1261     /* Parse the message and load client random. */
1262     if (clienthello.isv2) {
1263         /*
1264          * Handle an SSLv2 backwards compatible ClientHello
1265          * Note, this is only for SSLv3+ using the backward compatible format.
1266          * Real SSLv2 is not supported, and is rejected below.
1267          */
1268         unsigned int ciphersuite_len, session_id_len, challenge_len;
1269         PACKET challenge;
1270
1271         if (!PACKET_get_net_2(pkt, &ciphersuite_len)
1272             || !PACKET_get_net_2(pkt, &session_id_len)
1273             || !PACKET_get_net_2(pkt, &challenge_len)) {
1274             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1275                    SSL_R_RECORD_LENGTH_MISMATCH);
1276             al = SSL_AD_DECODE_ERROR;
1277             goto f_err;
1278         }
1279
1280         if (session_id_len > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1281             al = SSL_AD_DECODE_ERROR;
1282             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1283             goto f_err;
1284         }
1285
1286         if (!PACKET_get_sub_packet(pkt, &clienthello.ciphersuites,
1287                                    ciphersuite_len)
1288             || !PACKET_copy_bytes(pkt, clienthello.session_id, session_id_len)
1289             || !PACKET_get_sub_packet(pkt, &challenge, challenge_len)
1290             /* No extensions. */
1291             || PACKET_remaining(pkt) != 0) {
1292             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1293                    SSL_R_RECORD_LENGTH_MISMATCH);
1294             al = SSL_AD_DECODE_ERROR;
1295             goto f_err;
1296         }
1297         clienthello.session_id_len = session_id_len;
1298
1299         /* Load the client random and compression list. We use SSL3_RANDOM_SIZE
1300          * here rather than sizeof(clienthello.random) because that is the limit
1301          * for SSLv3 and it is fixed. It won't change even if
1302          * sizeof(clienthello.random) does.
1303          */
1304         challenge_len = challenge_len > SSL3_RANDOM_SIZE
1305                         ? SSL3_RANDOM_SIZE : challenge_len;
1306         memset(clienthello.random, 0, SSL3_RANDOM_SIZE);
1307         if (!PACKET_copy_bytes(&challenge,
1308                                clienthello.random + SSL3_RANDOM_SIZE -
1309                                challenge_len, challenge_len)
1310             /* Advertise only null compression. */
1311             || !PACKET_buf_init(&compression, &null_compression, 1)) {
1312             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1313             al = SSL_AD_INTERNAL_ERROR;
1314             goto f_err;
1315         }
1316
1317         PACKET_null_init(&clienthello.extensions);
1318     } else {
1319         /* Regular ClientHello. */
1320         if (!PACKET_copy_bytes(pkt, clienthello.random, SSL3_RANDOM_SIZE)
1321             || !PACKET_get_length_prefixed_1(pkt, &session_id)
1322             || !PACKET_copy_all(&session_id, clienthello.session_id,
1323                     SSL_MAX_SSL_SESSION_ID_LENGTH,
1324                     &clienthello.session_id_len)) {
1325             al = SSL_AD_DECODE_ERROR;
1326             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1327             goto f_err;
1328         }
1329
1330         if (SSL_IS_DTLS(s)) {
1331             if (!PACKET_get_length_prefixed_1(pkt, &cookie)) {
1332                 al = SSL_AD_DECODE_ERROR;
1333                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1334                 goto f_err;
1335             }
1336             if (!PACKET_copy_all(&cookie, clienthello.dtls_cookie,
1337                                  DTLS1_COOKIE_LENGTH,
1338                                  &clienthello.dtls_cookie_len)) {
1339                 al = SSL_AD_DECODE_ERROR;
1340                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1341                 goto f_err;
1342             }
1343             /*
1344              * If we require cookies and this ClientHello doesn't contain one,
1345              * just return since we do not want to allocate any memory yet.
1346              * So check cookie length...
1347              */
1348             if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1349                 if (clienthello.dtls_cookie_len == 0)
1350                     return 1;
1351             }
1352         }
1353
1354         if (!PACKET_get_length_prefixed_2(pkt, &clienthello.ciphersuites)) {
1355             al = SSL_AD_DECODE_ERROR;
1356             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1357             goto f_err;
1358         }
1359
1360         if (!PACKET_get_length_prefixed_1(pkt, &compression)) {
1361             al = SSL_AD_DECODE_ERROR;
1362             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1363             goto f_err;
1364         }
1365
1366         /* Could be empty. */
1367         if (PACKET_remaining(pkt) == 0) {
1368             PACKET_null_init(&clienthello.extensions);
1369         } else {
1370             if (!PACKET_get_length_prefixed_2(pkt, &clienthello.extensions)) {
1371                 al = SSL_AD_DECODE_ERROR;
1372                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1373                 goto f_err;
1374             }
1375         }
1376     }
1377
1378     if (!PACKET_copy_all(&compression, clienthello.compressions,
1379                          MAX_COMPRESSIONS_SIZE,
1380                          &clienthello.compressions_len)) {
1381         al = SSL_AD_DECODE_ERROR;
1382         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1383         goto f_err;
1384     }
1385
1386     /* Preserve the raw extensions PACKET for later use */
1387     extensions = clienthello.extensions;
1388     if (!tls_collect_extensions(s, &extensions, EXT_CLIENT_HELLO,
1389                                 &clienthello.pre_proc_exts, &al)) {
1390         /* SSLerr already been called */
1391         goto f_err;
1392     }
1393
1394     /* Finished parsing the ClientHello, now we can start processing it */
1395
1396     /* Set up the client_random */
1397     memcpy(s->s3->client_random, clienthello.random, SSL3_RANDOM_SIZE);
1398
1399     /* Choose the version */
1400
1401     if (clienthello.isv2) {
1402         if (clienthello.legacy_version == SSL2_VERSION
1403                 || (clienthello.legacy_version & 0xff00)
1404                    != (SSL3_VERSION_MAJOR << 8)) {
1405             /*
1406              * This is real SSLv2 or something complete unknown. We don't
1407              * support it.
1408              */
1409             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
1410             goto err;
1411         }
1412         /* SSLv3/TLS */
1413         s->client_version = clienthello.legacy_version;
1414     }
1415     /*
1416      * Do SSL/TLS version negotiation if applicable. For DTLS we just check
1417      * versions are potentially compatible. Version negotiation comes later.
1418      */
1419     if (!SSL_IS_DTLS(s)) {
1420         protverr = ssl_choose_server_version(s, &clienthello);
1421     } else if (s->method->version != DTLS_ANY_VERSION &&
1422                DTLS_VERSION_LT((int)clienthello.legacy_version, s->version)) {
1423         protverr = SSL_R_VERSION_TOO_LOW;
1424     } else {
1425         protverr = 0;
1426     }
1427
1428     if (protverr) {
1429         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1430         if (SSL_IS_FIRST_HANDSHAKE(s)) {
1431             /* like ssl3_get_record, send alert using remote version number */
1432             s->version = s->client_version = clienthello.legacy_version;
1433         }
1434         al = SSL_AD_PROTOCOL_VERSION;
1435         goto f_err;
1436     }
1437
1438     if (SSL_IS_DTLS(s)) {
1439         /* Empty cookie was already handled above by returning early. */
1440         if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1441             if (s->ctx->app_verify_cookie_cb != NULL) {
1442                 if (s->ctx->app_verify_cookie_cb(s, clienthello.dtls_cookie,
1443                         clienthello.dtls_cookie_len) == 0) {
1444                     al = SSL_AD_HANDSHAKE_FAILURE;
1445                     SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1446                            SSL_R_COOKIE_MISMATCH);
1447                     goto f_err;
1448                     /* else cookie verification succeeded */
1449                 }
1450                 /* default verification */
1451             } else if (s->d1->cookie_len != clienthello.dtls_cookie_len
1452                     || memcmp(clienthello.dtls_cookie, s->d1->cookie,
1453                               s->d1->cookie_len) != 0) {
1454                 al = SSL_AD_HANDSHAKE_FAILURE;
1455                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_COOKIE_MISMATCH);
1456                 goto f_err;
1457             }
1458             s->d1->cookie_verified = 1;
1459         }
1460         if (s->method->version == DTLS_ANY_VERSION) {
1461             protverr = ssl_choose_server_version(s, &clienthello);
1462             if (protverr != 0) {
1463                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1464                 s->version = s->client_version;
1465                 al = SSL_AD_PROTOCOL_VERSION;
1466                 goto f_err;
1467             }
1468         }
1469     }
1470
1471     s->hit = 0;
1472
1473     /* We need to do this before getting the session */
1474     if (!tls_parse_extension(s, TLSEXT_IDX_extended_master_secret,
1475                              EXT_CLIENT_HELLO,
1476                              clienthello.pre_proc_exts, NULL, 0, &al)) {
1477         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1478         goto f_err;
1479     }
1480
1481     /*
1482      * We don't allow resumption in a backwards compatible ClientHello.
1483      * TODO(openssl-team): in TLS1.1+, session_id MUST be empty.
1484      *
1485      * Versions before 0.9.7 always allow clients to resume sessions in
1486      * renegotiation. 0.9.7 and later allow this by default, but optionally
1487      * ignore resumption requests with flag
1488      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION (it's a new flag rather
1489      * than a change to default behavior so that applications relying on
1490      * this for security won't even compile against older library versions).
1491      * 1.0.1 and later also have a function SSL_renegotiate_abbreviated() to
1492      * request renegotiation but not a new session (s->new_session remains
1493      * unset): for servers, this essentially just means that the
1494      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION setting will be
1495      * ignored.
1496      */
1497     if (clienthello.isv2 ||
1498         (s->new_session &&
1499          (s->options & SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION))) {
1500         if (!ssl_get_new_session(s, 1))
1501             goto err;
1502     } else {
1503         i = ssl_get_prev_session(s, &clienthello, &al);
1504         if (i == 1) {
1505             /* previous session */
1506             s->hit = 1;
1507         } else if (i == -1) {
1508             goto f_err;
1509         } else {
1510             /* i == 0 */
1511             if (!ssl_get_new_session(s, 1))
1512                 goto err;
1513         }
1514     }
1515
1516     if (ssl_bytes_to_cipher_list(s, &clienthello.ciphersuites, &ciphers,
1517                                  clienthello.isv2, &al) == NULL) {
1518         goto f_err;
1519     }
1520
1521     /* If it is a hit, check that the cipher is in the list */
1522     if (s->hit) {
1523         j = 0;
1524         id = s->session->cipher->id;
1525
1526 #ifdef CIPHER_DEBUG
1527         fprintf(stderr, "client sent %d ciphers\n", sk_SSL_CIPHER_num(ciphers));
1528 #endif
1529         for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
1530             c = sk_SSL_CIPHER_value(ciphers, i);
1531 #ifdef CIPHER_DEBUG
1532             fprintf(stderr, "client [%2d of %2d]:%s\n",
1533                     i, sk_SSL_CIPHER_num(ciphers), SSL_CIPHER_get_name(c));
1534 #endif
1535             if (c->id == id) {
1536                 j = 1;
1537                 break;
1538             }
1539         }
1540         if (j == 0) {
1541             /*
1542              * we need to have the cipher in the cipher list if we are asked
1543              * to reuse it
1544              */
1545             al = SSL_AD_ILLEGAL_PARAMETER;
1546             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1547                    SSL_R_REQUIRED_CIPHER_MISSING);
1548             goto f_err;
1549         }
1550     }
1551
1552     for (loop = 0; loop < clienthello.compressions_len; loop++) {
1553         if (clienthello.compressions[loop] == 0)
1554             break;
1555     }
1556
1557     if (loop >= clienthello.compressions_len) {
1558         /* no compress */
1559         al = SSL_AD_DECODE_ERROR;
1560         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_COMPRESSION_SPECIFIED);
1561         goto f_err;
1562     }
1563
1564 #ifndef OPENSSL_NO_EC
1565     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1566         ssl_check_for_safari(s, &clienthello);
1567 #endif                          /* !OPENSSL_NO_EC */
1568
1569     /* TLS extensions */
1570     if (!tls_parse_all_extensions(s, EXT_CLIENT_HELLO,
1571                                   clienthello.pre_proc_exts, NULL, 0, &al)) {
1572         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_PARSE_TLSEXT);
1573         goto f_err;
1574     }
1575
1576     /*
1577      * Check if we want to use external pre-shared secret for this handshake
1578      * for not reused session only. We need to generate server_random before
1579      * calling tls_session_secret_cb in order to allow SessionTicket
1580      * processing to use it in key derivation.
1581      */
1582     {
1583         unsigned char *pos;
1584         pos = s->s3->server_random;
1585         if (ssl_fill_hello_random(s, 1, pos, SSL3_RANDOM_SIZE) <= 0) {
1586             goto f_err;
1587         }
1588     }
1589
1590     if (!s->hit && s->version >= TLS1_VERSION && s->ext.session_secret_cb) {
1591         const SSL_CIPHER *pref_cipher = NULL;
1592         /*
1593          * s->session->master_key_length is a size_t, but this is an int for
1594          * backwards compat reasons
1595          */
1596         int master_key_length;
1597
1598         master_key_length = sizeof(s->session->master_key);
1599         if (s->ext.session_secret_cb(s, s->session->master_key,
1600                                      &master_key_length, ciphers,
1601                                      &pref_cipher,
1602                                      s->ext.session_secret_cb_arg)
1603                 && master_key_length > 0) {
1604             s->session->master_key_length = master_key_length;
1605             s->hit = 1;
1606             s->session->ciphers = ciphers;
1607             s->session->verify_result = X509_V_OK;
1608
1609             ciphers = NULL;
1610
1611             /* check if some cipher was preferred by call back */
1612             if (pref_cipher == NULL)
1613                 pref_cipher = ssl3_choose_cipher(s, s->session->ciphers,
1614                                                  SSL_get_ciphers(s));
1615             if (pref_cipher == NULL) {
1616                 al = SSL_AD_HANDSHAKE_FAILURE;
1617                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1618                 goto f_err;
1619             }
1620
1621             s->session->cipher = pref_cipher;
1622             sk_SSL_CIPHER_free(s->cipher_list);
1623             s->cipher_list = sk_SSL_CIPHER_dup(s->session->ciphers);
1624             sk_SSL_CIPHER_free(s->cipher_list_by_id);
1625             s->cipher_list_by_id = sk_SSL_CIPHER_dup(s->session->ciphers);
1626         }
1627     }
1628
1629     /*
1630      * Worst case, we will use the NULL compression, but if we have other
1631      * options, we will now look for them.  We have complen-1 compression
1632      * algorithms from the client, starting at q.
1633      */
1634     s->s3->tmp.new_compression = NULL;
1635 #ifndef OPENSSL_NO_COMP
1636     /* This only happens if we have a cache hit */
1637     if (s->session->compress_meth != 0) {
1638         int m, comp_id = s->session->compress_meth;
1639         unsigned int k;
1640         /* Perform sanity checks on resumed compression algorithm */
1641         /* Can't disable compression */
1642         if (!ssl_allow_compression(s)) {
1643             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1644                    SSL_R_INCONSISTENT_COMPRESSION);
1645             goto f_err;
1646         }
1647         /* Look for resumed compression method */
1648         for (m = 0; m < sk_SSL_COMP_num(s->ctx->comp_methods); m++) {
1649             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1650             if (comp_id == comp->id) {
1651                 s->s3->tmp.new_compression = comp;
1652                 break;
1653             }
1654         }
1655         if (s->s3->tmp.new_compression == NULL) {
1656             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1657                    SSL_R_INVALID_COMPRESSION_ALGORITHM);
1658             goto f_err;
1659         }
1660         /* Look for resumed method in compression list */
1661         for (k = 0; k < clienthello.compressions_len; k++) {
1662             if (clienthello.compressions[k] == comp_id)
1663                 break;
1664         }
1665         if (k >= clienthello.compressions_len) {
1666             al = SSL_AD_ILLEGAL_PARAMETER;
1667             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1668                    SSL_R_REQUIRED_COMPRESSION_ALGORITHM_MISSING);
1669             goto f_err;
1670         }
1671     } else if (s->hit)
1672         comp = NULL;
1673     else if (ssl_allow_compression(s) && s->ctx->comp_methods) {
1674         /* See if we have a match */
1675         int m, nn, v, done = 0;
1676         unsigned int o;
1677
1678         nn = sk_SSL_COMP_num(s->ctx->comp_methods);
1679         for (m = 0; m < nn; m++) {
1680             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1681             v = comp->id;
1682             for (o = 0; o < clienthello.compressions_len; o++) {
1683                 if (v == clienthello.compressions[o]) {
1684                     done = 1;
1685                     break;
1686                 }
1687             }
1688             if (done)
1689                 break;
1690         }
1691         if (done)
1692             s->s3->tmp.new_compression = comp;
1693         else
1694             comp = NULL;
1695     }
1696 #else
1697     /*
1698      * If compression is disabled we'd better not try to resume a session
1699      * using compression.
1700      */
1701     if (s->session->compress_meth != 0) {
1702         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1703         goto f_err;
1704     }
1705 #endif
1706
1707     /*
1708      * Given s->session->ciphers and SSL_get_ciphers, we must pick a cipher
1709      */
1710
1711     if (!s->hit) {
1712 #ifdef OPENSSL_NO_COMP
1713         s->session->compress_meth = 0;
1714 #else
1715         s->session->compress_meth = (comp == NULL) ? 0 : comp->id;
1716 #endif
1717         sk_SSL_CIPHER_free(s->session->ciphers);
1718         s->session->ciphers = ciphers;
1719         if (ciphers == NULL) {
1720             al = SSL_AD_INTERNAL_ERROR;
1721             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1722             goto f_err;
1723         }
1724         ciphers = NULL;
1725         if (!tls1_set_server_sigalgs(s)) {
1726             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1727             goto err;
1728         }
1729     }
1730
1731     sk_SSL_CIPHER_free(ciphers);
1732     OPENSSL_free(clienthello.pre_proc_exts);
1733     return MSG_PROCESS_CONTINUE_PROCESSING;
1734  f_err:
1735     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1736  err:
1737     ossl_statem_set_error(s);
1738
1739     sk_SSL_CIPHER_free(ciphers);
1740     OPENSSL_free(clienthello.pre_proc_exts);
1741
1742     return MSG_PROCESS_ERROR;
1743 }
1744
1745 /*
1746  * Call the status request callback if needed. Upon success, returns 1.
1747  * Upon failure, returns 0 and sets |*al| to the appropriate fatal alert.
1748  */
1749 static int tls_handle_status_request(SSL *s, int *al)
1750 {
1751     s->ext.status_expected = 0;
1752
1753     /*
1754      * If status request then ask callback what to do. Note: this must be
1755      * called after servername callbacks in case the certificate has changed,
1756      * and must be called after the cipher has been chosen because this may
1757      * influence which certificate is sent
1758      */
1759     if (s->ext.status_type != TLSEXT_STATUSTYPE_nothing && s->ctx != NULL
1760             && s->ctx->ext.status_cb != NULL) {
1761         int ret;
1762         CERT_PKEY *certpkey = ssl_get_server_send_pkey(s);
1763
1764         /* If no certificate can't return certificate status */
1765         if (certpkey != NULL) {
1766             /*
1767              * Set current certificate to one we will use so SSL_get_certificate
1768              * et al can pick it up.
1769              */
1770             s->cert->key = certpkey;
1771             ret = s->ctx->ext.status_cb(s, s->ctx->ext.status_arg);
1772             switch (ret) {
1773                 /* We don't want to send a status request response */
1774             case SSL_TLSEXT_ERR_NOACK:
1775                 s->ext.status_expected = 0;
1776                 break;
1777                 /* status request response should be sent */
1778             case SSL_TLSEXT_ERR_OK:
1779                 if (s->ext.ocsp.resp)
1780                     s->ext.status_expected = 1;
1781                 break;
1782                 /* something bad happened */
1783             case SSL_TLSEXT_ERR_ALERT_FATAL:
1784             default:
1785                 *al = SSL_AD_INTERNAL_ERROR;
1786                 return 0;
1787             }
1788         }
1789     }
1790
1791     return 1;
1792 }
1793
1794 WORK_STATE tls_post_process_client_hello(SSL *s, WORK_STATE wst)
1795 {
1796     int al = SSL_AD_HANDSHAKE_FAILURE;
1797     const SSL_CIPHER *cipher;
1798
1799     if (wst == WORK_MORE_A) {
1800         if (!s->hit) {
1801             /* Let cert callback update server certificates if required */
1802             if (s->cert->cert_cb) {
1803                 int rv = s->cert->cert_cb(s, s->cert->cert_cb_arg);
1804                 if (rv == 0) {
1805                     al = SSL_AD_INTERNAL_ERROR;
1806                     SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1807                            SSL_R_CERT_CB_ERROR);
1808                     goto f_err;
1809                 }
1810                 if (rv < 0) {
1811                     s->rwstate = SSL_X509_LOOKUP;
1812                     return WORK_MORE_A;
1813                 }
1814                 s->rwstate = SSL_NOTHING;
1815             }
1816             cipher =
1817                 ssl3_choose_cipher(s, s->session->ciphers, SSL_get_ciphers(s));
1818
1819             if (cipher == NULL) {
1820                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1821                        SSL_R_NO_SHARED_CIPHER);
1822                 goto f_err;
1823             }
1824             s->s3->tmp.new_cipher = cipher;
1825             if (!tls_choose_sigalg(s)) {
1826                 al = SSL_AD_HANDSHAKE_FAILURE;
1827                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1828                        SSL_R_NO_SUITABLE_SIGNATURE_ALGORITHM);
1829                 goto f_err;
1830             }
1831             /* check whether we should disable session resumption */
1832             if (s->not_resumable_session_cb != NULL)
1833                 s->session->not_resumable =
1834                     s->not_resumable_session_cb(s, ((cipher->algorithm_mkey
1835                                                     & (SSL_kDHE | SSL_kECDHE))
1836                                                    != 0));
1837             if (s->session->not_resumable)
1838                 /* do not send a session ticket */
1839                 s->ext.ticket_expected = 0;
1840         } else {
1841             /* Session-id reuse */
1842             s->s3->tmp.new_cipher = s->session->cipher;
1843         }
1844
1845         /*-
1846          * we now have the following setup.
1847          * client_random
1848          * cipher_list          - our preferred list of ciphers
1849          * ciphers              - the clients preferred list of ciphers
1850          * compression          - basically ignored right now
1851          * ssl version is set   - sslv3
1852          * s->session           - The ssl session has been setup.
1853          * s->hit               - session reuse flag
1854          * s->s3->tmp.new_cipher- the new cipher to use.
1855          */
1856
1857         /*
1858          * Call status_request callback if needed. Has to be done after the
1859          * certificate callbacks etc above.
1860          */
1861         if (!tls_handle_status_request(s, &al)) {
1862             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1863                    SSL_R_CLIENTHELLO_TLSEXT);
1864             goto f_err;
1865         }
1866
1867         wst = WORK_MORE_B;
1868     }
1869 #ifndef OPENSSL_NO_SRP
1870     if (wst == WORK_MORE_B) {
1871         int ret;
1872         if ((ret = ssl_check_srp_ext_ClientHello(s, &al)) < 0) {
1873             /*
1874              * callback indicates further work to be done
1875              */
1876             s->rwstate = SSL_X509_LOOKUP;
1877             return WORK_MORE_B;
1878         }
1879         if (ret != SSL_ERROR_NONE) {
1880             /*
1881              * This is not really an error but the only means to for
1882              * a client to detect whether srp is supported.
1883              */
1884             if (al != TLS1_AD_UNKNOWN_PSK_IDENTITY)
1885                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1886                        SSL_R_CLIENTHELLO_TLSEXT);
1887             else
1888                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1889                        SSL_R_PSK_IDENTITY_NOT_FOUND);
1890             goto f_err;
1891         }
1892     }
1893 #endif
1894
1895     return WORK_FINISHED_STOP;
1896  f_err:
1897     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1898     ossl_statem_set_error(s);
1899     return WORK_ERROR;
1900 }
1901
1902 int tls_construct_server_hello(SSL *s, WPACKET *pkt)
1903 {
1904     int compm, al = SSL_AD_INTERNAL_ERROR;
1905     size_t sl, len;
1906     int version;
1907
1908     /* TODO(TLS1.3): Remove the DRAFT conditional before release */
1909     version = SSL_IS_TLS13(s) ? TLS1_3_VERSION_DRAFT : s->version;
1910     if (!WPACKET_put_bytes_u16(pkt, version)
1911                /*
1912                 * Random stuff. Filling of the server_random takes place in
1913                 * tls_process_client_hello()
1914                 */
1915             || !WPACKET_memcpy(pkt, s->s3->server_random, SSL3_RANDOM_SIZE)) {
1916         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1917         goto err;
1918     }
1919
1920     /*-
1921      * There are several cases for the session ID to send
1922      * back in the server hello:
1923      * - For session reuse from the session cache,
1924      *   we send back the old session ID.
1925      * - If stateless session reuse (using a session ticket)
1926      *   is successful, we send back the client's "session ID"
1927      *   (which doesn't actually identify the session).
1928      * - If it is a new session, we send back the new
1929      *   session ID.
1930      * - However, if we want the new session to be single-use,
1931      *   we send back a 0-length session ID.
1932      * s->hit is non-zero in either case of session reuse,
1933      * so the following won't overwrite an ID that we're supposed
1934      * to send back.
1935      */
1936     if (s->session->not_resumable ||
1937         (!(s->ctx->session_cache_mode & SSL_SESS_CACHE_SERVER)
1938          && !s->hit))
1939         s->session->session_id_length = 0;
1940
1941     sl = s->session->session_id_length;
1942     if (sl > sizeof(s->session->session_id)) {
1943         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1944         goto err;
1945     }
1946
1947     /* set up the compression method */
1948 #ifdef OPENSSL_NO_COMP
1949     compm = 0;
1950 #else
1951     if (s->s3->tmp.new_compression == NULL)
1952         compm = 0;
1953     else
1954         compm = s->s3->tmp.new_compression->id;
1955 #endif
1956
1957     if ((!SSL_IS_TLS13(s)
1958                 && !WPACKET_sub_memcpy_u8(pkt, s->session->session_id, sl))
1959             || !s->method->put_cipher_by_char(s->s3->tmp.new_cipher, pkt, &len)
1960             || (!SSL_IS_TLS13(s)
1961                 && !WPACKET_put_bytes_u8(pkt, compm))
1962             || !tls_construct_extensions(s, pkt,
1963                                          SSL_IS_TLS13(s)
1964                                             ? EXT_TLS1_3_SERVER_HELLO
1965                                             : EXT_TLS1_2_SERVER_HELLO,
1966                                          NULL, 0, &al)) {
1967         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1968         goto err;
1969     }
1970
1971     if (!(s->verify_mode & SSL_VERIFY_PEER)
1972             && !ssl3_digest_cached_records(s, 0)) {
1973         al = SSL_AD_INTERNAL_ERROR;
1974         goto err;
1975     }
1976
1977     return 1;
1978  err:
1979     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1980     return 0;
1981 }
1982
1983 int tls_construct_server_done(SSL *s, WPACKET *pkt)
1984 {
1985     if (!s->s3->tmp.cert_request) {
1986         if (!ssl3_digest_cached_records(s, 0)) {
1987             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1988             return 0;
1989         }
1990     }
1991     return 1;
1992 }
1993
1994 int tls_construct_server_key_exchange(SSL *s, WPACKET *pkt)
1995 {
1996 #ifndef OPENSSL_NO_DH
1997     EVP_PKEY *pkdh = NULL;
1998 #endif
1999 #ifndef OPENSSL_NO_EC
2000     unsigned char *encodedPoint = NULL;
2001     size_t encodedlen = 0;
2002     int curve_id = 0;
2003 #endif
2004     EVP_PKEY *pkey;
2005     const EVP_MD *md = NULL;
2006     int al = SSL_AD_INTERNAL_ERROR, i;
2007     unsigned long type;
2008     const BIGNUM *r[4];
2009     EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();
2010     EVP_PKEY_CTX *pctx = NULL;
2011     size_t paramlen, paramoffset;
2012
2013     if (!WPACKET_get_total_written(pkt, &paramoffset)) {
2014         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2015         goto f_err;
2016     }
2017
2018     if (md_ctx == NULL) {
2019         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
2020         goto f_err;
2021     }
2022
2023     type = s->s3->tmp.new_cipher->algorithm_mkey;
2024
2025     r[0] = r[1] = r[2] = r[3] = NULL;
2026 #ifndef OPENSSL_NO_PSK
2027     /* Plain PSK or RSAPSK nothing to do */
2028     if (type & (SSL_kPSK | SSL_kRSAPSK)) {
2029     } else
2030 #endif                          /* !OPENSSL_NO_PSK */
2031 #ifndef OPENSSL_NO_DH
2032     if (type & (SSL_kDHE | SSL_kDHEPSK)) {
2033         CERT *cert = s->cert;
2034
2035         EVP_PKEY *pkdhp = NULL;
2036         DH *dh;
2037
2038         if (s->cert->dh_tmp_auto) {
2039             DH *dhp = ssl_get_auto_dh(s);
2040             pkdh = EVP_PKEY_new();
2041             if (pkdh == NULL || dhp == NULL) {
2042                 DH_free(dhp);
2043                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2044                        ERR_R_INTERNAL_ERROR);
2045                 goto f_err;
2046             }
2047             EVP_PKEY_assign_DH(pkdh, dhp);
2048             pkdhp = pkdh;
2049         } else {
2050             pkdhp = cert->dh_tmp;
2051         }
2052         if ((pkdhp == NULL) && (s->cert->dh_tmp_cb != NULL)) {
2053             DH *dhp = s->cert->dh_tmp_cb(s, 0, 1024);
2054             pkdh = ssl_dh_to_pkey(dhp);
2055             if (pkdh == NULL) {
2056                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2057                        ERR_R_INTERNAL_ERROR);
2058                 goto f_err;
2059             }
2060             pkdhp = pkdh;
2061         }
2062         if (pkdhp == NULL) {
2063             al = SSL_AD_HANDSHAKE_FAILURE;
2064             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2065                    SSL_R_MISSING_TMP_DH_KEY);
2066             goto f_err;
2067         }
2068         if (!ssl_security(s, SSL_SECOP_TMP_DH,
2069                           EVP_PKEY_security_bits(pkdhp), 0, pkdhp)) {
2070             al = SSL_AD_HANDSHAKE_FAILURE;
2071             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2072                    SSL_R_DH_KEY_TOO_SMALL);
2073             goto f_err;
2074         }
2075         if (s->s3->tmp.pkey != NULL) {
2076             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2077                    ERR_R_INTERNAL_ERROR);
2078             goto err;
2079         }
2080
2081         s->s3->tmp.pkey = ssl_generate_pkey(pkdhp);
2082
2083         if (s->s3->tmp.pkey == NULL) {
2084             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
2085             goto err;
2086         }
2087
2088         dh = EVP_PKEY_get0_DH(s->s3->tmp.pkey);
2089
2090         EVP_PKEY_free(pkdh);
2091         pkdh = NULL;
2092
2093         DH_get0_pqg(dh, &r[0], NULL, &r[1]);
2094         DH_get0_key(dh, &r[2], NULL);
2095     } else
2096 #endif
2097 #ifndef OPENSSL_NO_EC
2098     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
2099         int nid;
2100
2101         if (s->s3->tmp.pkey != NULL) {
2102             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2103                    ERR_R_INTERNAL_ERROR);
2104             goto err;
2105         }
2106
2107         /* Get NID of appropriate shared curve */
2108         nid = tls1_shared_group(s, -2);
2109         curve_id = tls1_ec_nid2curve_id(nid);
2110         if (curve_id == 0) {
2111             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2112                    SSL_R_UNSUPPORTED_ELLIPTIC_CURVE);
2113             goto err;
2114         }
2115         s->s3->tmp.pkey = ssl_generate_pkey_curve(curve_id);
2116         /* Generate a new key for this curve */
2117         if (s->s3->tmp.pkey == NULL) {
2118             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
2119             goto f_err;
2120         }
2121
2122         /* Encode the public key. */
2123         encodedlen = EVP_PKEY_get1_tls_encodedpoint(s->s3->tmp.pkey,
2124                                                     &encodedPoint);
2125         if (encodedlen == 0) {
2126             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EC_LIB);
2127             goto err;
2128         }
2129
2130         /*
2131          * We'll generate the serverKeyExchange message explicitly so we
2132          * can set these to NULLs
2133          */
2134         r[0] = NULL;
2135         r[1] = NULL;
2136         r[2] = NULL;
2137         r[3] = NULL;
2138     } else
2139 #endif                          /* !OPENSSL_NO_EC */
2140 #ifndef OPENSSL_NO_SRP
2141     if (type & SSL_kSRP) {
2142         if ((s->srp_ctx.N == NULL) ||
2143             (s->srp_ctx.g == NULL) ||
2144             (s->srp_ctx.s == NULL) || (s->srp_ctx.B == NULL)) {
2145             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2146                    SSL_R_MISSING_SRP_PARAM);
2147             goto err;
2148         }
2149         r[0] = s->srp_ctx.N;
2150         r[1] = s->srp_ctx.g;
2151         r[2] = s->srp_ctx.s;
2152         r[3] = s->srp_ctx.B;
2153     } else
2154 #endif
2155     {
2156         al = SSL_AD_HANDSHAKE_FAILURE;
2157         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2158                SSL_R_UNKNOWN_KEY_EXCHANGE_TYPE);
2159         goto f_err;
2160     }
2161
2162     if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aSRP))
2163         && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)) {
2164         if ((pkey = ssl_get_sign_pkey(s, s->s3->tmp.new_cipher, &md))
2165             == NULL) {
2166             al = SSL_AD_DECODE_ERROR;
2167             goto f_err;
2168         }
2169     } else {
2170         pkey = NULL;
2171     }
2172
2173 #ifndef OPENSSL_NO_PSK
2174     if (type & SSL_PSK) {
2175         size_t len = (s->cert->psk_identity_hint == NULL)
2176                         ? 0 : strlen(s->cert->psk_identity_hint);
2177
2178         /*
2179          * It should not happen that len > PSK_MAX_IDENTITY_LEN - we already
2180          * checked this when we set the identity hint - but just in case
2181          */
2182         if (len > PSK_MAX_IDENTITY_LEN
2183                 || !WPACKET_sub_memcpy_u16(pkt, s->cert->psk_identity_hint,
2184                                            len)) {
2185             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2186                    ERR_R_INTERNAL_ERROR);
2187             goto f_err;
2188         }
2189     }
2190 #endif
2191
2192     for (i = 0; i < 4 && r[i] != NULL; i++) {
2193         unsigned char *binval;
2194         int res;
2195
2196 #ifndef OPENSSL_NO_SRP
2197         if ((i == 2) && (type & SSL_kSRP)) {
2198             res = WPACKET_start_sub_packet_u8(pkt);
2199         } else
2200 #endif
2201             res = WPACKET_start_sub_packet_u16(pkt);
2202
2203         if (!res) {
2204             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2205                    ERR_R_INTERNAL_ERROR);
2206             goto f_err;
2207         }
2208
2209 #ifndef OPENSSL_NO_DH
2210         /*-
2211          * for interoperability with some versions of the Microsoft TLS
2212          * stack, we need to zero pad the DHE pub key to the same length
2213          * as the prime
2214          */
2215         if ((i == 2) && (type & (SSL_kDHE | SSL_kDHEPSK))) {
2216             size_t len = BN_num_bytes(r[0]) - BN_num_bytes(r[2]);
2217
2218             if (len > 0) {
2219                 if (!WPACKET_allocate_bytes(pkt, len, &binval)) {
2220                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2221                            ERR_R_INTERNAL_ERROR);
2222                     goto f_err;
2223                 }
2224                 memset(binval, 0, len);
2225             }
2226         }
2227 #endif
2228         if (!WPACKET_allocate_bytes(pkt, BN_num_bytes(r[i]), &binval)
2229                 || !WPACKET_close(pkt)) {
2230             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2231                    ERR_R_INTERNAL_ERROR);
2232             goto f_err;
2233         }
2234
2235         BN_bn2bin(r[i], binval);
2236     }
2237
2238 #ifndef OPENSSL_NO_EC
2239     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
2240         /*
2241          * We only support named (not generic) curves. In this situation, the
2242          * ServerKeyExchange message has: [1 byte CurveType], [2 byte CurveName]
2243          * [1 byte length of encoded point], followed by the actual encoded
2244          * point itself
2245          */
2246         if (!WPACKET_put_bytes_u8(pkt, NAMED_CURVE_TYPE)
2247                 || !WPACKET_put_bytes_u8(pkt, 0)
2248                 || !WPACKET_put_bytes_u8(pkt, curve_id)
2249                 || !WPACKET_sub_memcpy_u8(pkt, encodedPoint, encodedlen)) {
2250             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2251                    ERR_R_INTERNAL_ERROR);
2252             goto f_err;
2253         }
2254         OPENSSL_free(encodedPoint);
2255         encodedPoint = NULL;
2256     }
2257 #endif
2258
2259     /* not anonymous */
2260     if (pkey != NULL) {
2261         /*
2262          * n is the length of the params, they start at &(d[4]) and p
2263          * points to the space at the end.
2264          */
2265         if (md) {
2266             unsigned char *sigbytes1, *sigbytes2;
2267             size_t siglen;
2268             int ispss = 0;
2269
2270             /* Get length of the parameters we have written above */
2271             if (!WPACKET_get_length(pkt, &paramlen)) {
2272                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2273                        ERR_R_INTERNAL_ERROR);
2274                 goto f_err;
2275             }
2276             /* send signature algorithm */
2277             if (SSL_USE_SIGALGS(s)) {
2278                 if (!tls12_get_sigandhash(s, pkt, pkey, md, &ispss)) {
2279                     /* Should never happen */
2280                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2281                            ERR_R_INTERNAL_ERROR);
2282                     goto f_err;
2283                 }
2284             }
2285 #ifdef SSL_DEBUG
2286             fprintf(stderr, "Using hash %s\n", EVP_MD_name(md));
2287 #endif
2288             /*
2289              * Create the signature. We don't know the actual length of the sig
2290              * until after we've created it, so we reserve enough bytes for it
2291              * up front, and then properly allocate them in the WPACKET
2292              * afterwards.
2293              */
2294             siglen = EVP_PKEY_size(pkey);
2295             if (!WPACKET_sub_reserve_bytes_u16(pkt, siglen, &sigbytes1)
2296                     || EVP_DigestSignInit(md_ctx, &pctx, md, NULL, pkey) <= 0) {
2297                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2298                        ERR_R_INTERNAL_ERROR);
2299                 goto f_err;
2300             }
2301             if (ispss) {
2302                 if (EVP_PKEY_CTX_set_rsa_padding(pctx,
2303                                                  RSA_PKCS1_PSS_PADDING) <= 0
2304                     || EVP_PKEY_CTX_set_rsa_pss_saltlen(pctx, RSA_PSS_SALTLEN_DIGEST) <= 0) {
2305                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2306                            ERR_R_EVP_LIB);
2307                     goto f_err;
2308                 }
2309             }
2310             if (EVP_DigestSignUpdate(md_ctx, &(s->s3->client_random[0]),
2311                                      SSL3_RANDOM_SIZE) <= 0
2312                     || EVP_DigestSignUpdate(md_ctx, &(s->s3->server_random[0]),
2313                                             SSL3_RANDOM_SIZE) <= 0
2314                     || EVP_DigestSignUpdate(md_ctx,
2315                                             s->init_buf->data + paramoffset,
2316                                             paramlen) <= 0
2317                     || EVP_DigestSignFinal(md_ctx, sigbytes1, &siglen) <= 0
2318                     || !WPACKET_sub_allocate_bytes_u16(pkt, siglen, &sigbytes2)
2319                     || sigbytes1 != sigbytes2) {
2320                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2321                        ERR_R_INTERNAL_ERROR);
2322                 goto f_err;
2323             }
2324         } else {
2325             /* Is this error check actually needed? */
2326             al = SSL_AD_HANDSHAKE_FAILURE;
2327             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2328                    SSL_R_UNKNOWN_PKEY_TYPE);
2329             goto f_err;
2330         }
2331     }
2332
2333     EVP_MD_CTX_free(md_ctx);
2334     return 1;
2335  f_err:
2336     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2337  err:
2338 #ifndef OPENSSL_NO_DH
2339     EVP_PKEY_free(pkdh);
2340 #endif
2341 #ifndef OPENSSL_NO_EC
2342     OPENSSL_free(encodedPoint);
2343 #endif
2344     EVP_MD_CTX_free(md_ctx);
2345     return 0;
2346 }
2347
2348 int tls_construct_certificate_request(SSL *s, WPACKET *pkt)
2349 {
2350     int i;
2351     STACK_OF(X509_NAME) *sk = NULL;
2352
2353     /* get the list of acceptable cert types */
2354     if (!WPACKET_start_sub_packet_u8(pkt)
2355             || !ssl3_get_req_cert_type(s, pkt)
2356             || !WPACKET_close(pkt)) {
2357         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2358         goto err;
2359     }
2360
2361     if (SSL_USE_SIGALGS(s)) {
2362         const uint16_t *psigs;
2363         size_t nl = tls12_get_psigalgs(s, 1, &psigs);
2364
2365         if (!WPACKET_start_sub_packet_u16(pkt)
2366                 || !tls12_copy_sigalgs(s, pkt, psigs, nl)
2367                 || !WPACKET_close(pkt)) {
2368             SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2369                    ERR_R_INTERNAL_ERROR);
2370             goto err;
2371         }
2372     }
2373
2374     /* Start sub-packet for client CA list */
2375     if (!WPACKET_start_sub_packet_u16(pkt)) {
2376         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2377         goto err;
2378     }
2379
2380     sk = SSL_get_client_CA_list(s);
2381     if (sk != NULL) {
2382         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
2383             unsigned char *namebytes;
2384             X509_NAME *name = sk_X509_NAME_value(sk, i);
2385             int namelen;
2386
2387             if (name == NULL
2388                     || (namelen = i2d_X509_NAME(name, NULL)) < 0
2389                     || !WPACKET_sub_allocate_bytes_u16(pkt, namelen,
2390                                                        &namebytes)
2391                     || i2d_X509_NAME(name, &namebytes) != namelen) {
2392                 SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2393                        ERR_R_INTERNAL_ERROR);
2394                 goto err;
2395             }
2396         }
2397     }
2398     /* else no CA names */
2399
2400     if (!WPACKET_close(pkt)) {
2401         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2402         goto err;
2403     }
2404
2405     s->s3->tmp.cert_request = 1;
2406
2407     return 1;
2408  err:
2409     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2410     return 0;
2411 }
2412
2413 static int tls_process_cke_psk_preamble(SSL *s, PACKET *pkt, int *al)
2414 {
2415 #ifndef OPENSSL_NO_PSK
2416     unsigned char psk[PSK_MAX_PSK_LEN];
2417     size_t psklen;
2418     PACKET psk_identity;
2419
2420     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity)) {
2421         *al = SSL_AD_DECODE_ERROR;
2422         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_LENGTH_MISMATCH);
2423         return 0;
2424     }
2425     if (PACKET_remaining(&psk_identity) > PSK_MAX_IDENTITY_LEN) {
2426         *al = SSL_AD_DECODE_ERROR;
2427         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_DATA_LENGTH_TOO_LONG);
2428         return 0;
2429     }
2430     if (s->psk_server_callback == NULL) {
2431         *al = SSL_AD_INTERNAL_ERROR;
2432         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_PSK_NO_SERVER_CB);
2433         return 0;
2434     }
2435
2436     if (!PACKET_strndup(&psk_identity, &s->session->psk_identity)) {
2437         *al = SSL_AD_INTERNAL_ERROR;
2438         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2439         return 0;
2440     }
2441
2442     psklen = s->psk_server_callback(s, s->session->psk_identity,
2443                                     psk, sizeof(psk));
2444
2445     if (psklen > PSK_MAX_PSK_LEN) {
2446         *al = SSL_AD_INTERNAL_ERROR;
2447         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2448         return 0;
2449     } else if (psklen == 0) {
2450         /*
2451          * PSK related to the given identity not found
2452          */
2453         *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
2454         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE,
2455                SSL_R_PSK_IDENTITY_NOT_FOUND);
2456         return 0;
2457     }
2458
2459     OPENSSL_free(s->s3->tmp.psk);
2460     s->s3->tmp.psk = OPENSSL_memdup(psk, psklen);
2461     OPENSSL_cleanse(psk, psklen);
2462
2463     if (s->s3->tmp.psk == NULL) {
2464         *al = SSL_AD_INTERNAL_ERROR;
2465         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_MALLOC_FAILURE);
2466         return 0;
2467     }
2468
2469     s->s3->tmp.psklen = psklen;
2470
2471     return 1;
2472 #else
2473     /* Should never happen */
2474     *al = SSL_AD_INTERNAL_ERROR;
2475     SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2476     return 0;
2477 #endif
2478 }
2479
2480 static int tls_process_cke_rsa(SSL *s, PACKET *pkt, int *al)
2481 {
2482 #ifndef OPENSSL_NO_RSA
2483     unsigned char rand_premaster_secret[SSL_MAX_MASTER_KEY_LENGTH];
2484     int decrypt_len;
2485     unsigned char decrypt_good, version_good;
2486     size_t j, padding_len;
2487     PACKET enc_premaster;
2488     RSA *rsa = NULL;
2489     unsigned char *rsa_decrypt = NULL;
2490     int ret = 0;
2491
2492     rsa = EVP_PKEY_get0_RSA(s->cert->pkeys[SSL_PKEY_RSA].privatekey);
2493     if (rsa == NULL) {
2494         *al = SSL_AD_HANDSHAKE_FAILURE;
2495         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_MISSING_RSA_CERTIFICATE);
2496         return 0;
2497     }
2498
2499     /* SSLv3 and pre-standard DTLS omit the length bytes. */
2500     if (s->version == SSL3_VERSION || s->version == DTLS1_BAD_VER) {
2501         enc_premaster = *pkt;
2502     } else {
2503         if (!PACKET_get_length_prefixed_2(pkt, &enc_premaster)
2504             || PACKET_remaining(pkt) != 0) {
2505             *al = SSL_AD_DECODE_ERROR;
2506             SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_LENGTH_MISMATCH);
2507             return 0;
2508         }
2509     }
2510
2511     /*
2512      * We want to be sure that the plaintext buffer size makes it safe to
2513      * iterate over the entire size of a premaster secret
2514      * (SSL_MAX_MASTER_KEY_LENGTH). Reject overly short RSA keys because
2515      * their ciphertext cannot accommodate a premaster secret anyway.
2516      */
2517     if (RSA_size(rsa) < SSL_MAX_MASTER_KEY_LENGTH) {
2518         *al = SSL_AD_INTERNAL_ERROR;
2519         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, RSA_R_KEY_SIZE_TOO_SMALL);
2520         return 0;
2521     }
2522
2523     rsa_decrypt = OPENSSL_malloc(RSA_size(rsa));
2524     if (rsa_decrypt == NULL) {
2525         *al = SSL_AD_INTERNAL_ERROR;
2526         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_MALLOC_FAILURE);
2527         return 0;
2528     }
2529
2530     /*
2531      * We must not leak whether a decryption failure occurs because of
2532      * Bleichenbacher's attack on PKCS #1 v1.5 RSA padding (see RFC 2246,
2533      * section 7.4.7.1). The code follows that advice of the TLS RFC and
2534      * generates a random premaster secret for the case that the decrypt
2535      * fails. See https://tools.ietf.org/html/rfc5246#section-7.4.7.1
2536      */
2537
2538     if (RAND_bytes(rand_premaster_secret, sizeof(rand_premaster_secret)) <= 0)
2539         goto err;
2540
2541     /*
2542      * Decrypt with no padding. PKCS#1 padding will be removed as part of
2543      * the timing-sensitive code below.
2544      */
2545      /* TODO(size_t): Convert this function */
2546     decrypt_len = (int)RSA_private_decrypt((int)PACKET_remaining(&enc_premaster),
2547                                            PACKET_data(&enc_premaster),
2548                                            rsa_decrypt, rsa, RSA_NO_PADDING);
2549     if (decrypt_len < 0)
2550         goto err;
2551
2552     /* Check the padding. See RFC 3447, section 7.2.2. */
2553
2554     /*
2555      * The smallest padded premaster is 11 bytes of overhead. Small keys
2556      * are publicly invalid, so this may return immediately. This ensures
2557      * PS is at least 8 bytes.
2558      */
2559     if (decrypt_len < 11 + SSL_MAX_MASTER_KEY_LENGTH) {
2560         *al = SSL_AD_DECRYPT_ERROR;
2561         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_DECRYPTION_FAILED);
2562         goto err;
2563     }
2564
2565     padding_len = decrypt_len - SSL_MAX_MASTER_KEY_LENGTH;
2566     decrypt_good = constant_time_eq_int_8(rsa_decrypt[0], 0) &
2567         constant_time_eq_int_8(rsa_decrypt[1], 2);
2568     for (j = 2; j < padding_len - 1; j++) {
2569         decrypt_good &= ~constant_time_is_zero_8(rsa_decrypt[j]);
2570     }
2571     decrypt_good &= constant_time_is_zero_8(rsa_decrypt[padding_len - 1]);
2572
2573     /*
2574      * If the version in the decrypted pre-master secret is correct then
2575      * version_good will be 0xff, otherwise it'll be zero. The
2576      * Klima-Pokorny-Rosa extension of Bleichenbacher's attack
2577      * (http://eprint.iacr.org/2003/052/) exploits the version number
2578      * check as a "bad version oracle". Thus version checks are done in
2579      * constant time and are treated like any other decryption error.
2580      */
2581     version_good =
2582         constant_time_eq_8(rsa_decrypt[padding_len],
2583                            (unsigned)(s->client_version >> 8));
2584     version_good &=
2585         constant_time_eq_8(rsa_decrypt[padding_len + 1],
2586                            (unsigned)(s->client_version & 0xff));
2587
2588     /*
2589      * The premaster secret must contain the same version number as the
2590      * ClientHello to detect version rollback attacks (strangely, the
2591      * protocol does not offer such protection for DH ciphersuites).
2592      * However, buggy clients exist that send the negotiated protocol
2593      * version instead if the server does not support the requested
2594      * protocol version. If SSL_OP_TLS_ROLLBACK_BUG is set, tolerate such
2595      * clients.
2596      */
2597     if (s->options & SSL_OP_TLS_ROLLBACK_BUG) {
2598         unsigned char workaround_good;
2599         workaround_good = constant_time_eq_8(rsa_decrypt[padding_len],
2600                                              (unsigned)(s->version >> 8));
2601         workaround_good &=
2602             constant_time_eq_8(rsa_decrypt[padding_len + 1],
2603                                (unsigned)(s->version & 0xff));
2604         version_good |= workaround_good;
2605     }
2606
2607     /*
2608      * Both decryption and version must be good for decrypt_good to
2609      * remain non-zero (0xff).
2610      */
2611     decrypt_good &= version_good;
2612
2613     /*
2614      * Now copy rand_premaster_secret over from p using
2615      * decrypt_good_mask. If decryption failed, then p does not
2616      * contain valid plaintext, however, a check above guarantees
2617      * it is still sufficiently large to read from.
2618      */
2619     for (j = 0; j < sizeof(rand_premaster_secret); j++) {
2620         rsa_decrypt[padding_len + j] =
2621             constant_time_select_8(decrypt_good,
2622                                    rsa_decrypt[padding_len + j],
2623                                    rand_premaster_secret[j]);
2624     }
2625
2626     if (!ssl_generate_master_secret(s, rsa_decrypt + padding_len,
2627                                     sizeof(rand_premaster_secret), 0)) {
2628         *al = SSL_AD_INTERNAL_ERROR;
2629         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2630         goto err;
2631     }
2632
2633     ret = 1;
2634  err:
2635     OPENSSL_free(rsa_decrypt);
2636     return ret;
2637 #else
2638     /* Should never happen */
2639     *al = SSL_AD_INTERNAL_ERROR;
2640     SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2641     return 0;
2642 #endif
2643 }
2644
2645 static int tls_process_cke_dhe(SSL *s, PACKET *pkt, int *al)
2646 {
2647 #ifndef OPENSSL_NO_DH
2648     EVP_PKEY *skey = NULL;
2649     DH *cdh;
2650     unsigned int i;
2651     BIGNUM *pub_key;
2652     const unsigned char *data;
2653     EVP_PKEY *ckey = NULL;
2654     int ret = 0;
2655
2656     if (!PACKET_get_net_2(pkt, &i) || PACKET_remaining(pkt) != i) {
2657         *al = SSL_AD_HANDSHAKE_FAILURE;
2658         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE,
2659                SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2660         goto err;
2661     }
2662     skey = s->s3->tmp.pkey;
2663     if (skey == NULL) {
2664         *al = SSL_AD_HANDSHAKE_FAILURE;
2665         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2666         goto err;
2667     }
2668
2669     if (PACKET_remaining(pkt) == 0L) {
2670         *al = SSL_AD_HANDSHAKE_FAILURE;
2671         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2672         goto err;
2673     }
2674     if (!PACKET_get_bytes(pkt, &data, i)) {
2675         /* We already checked we have enough data */
2676         *al = SSL_AD_INTERNAL_ERROR;
2677         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2678         goto err;
2679     }
2680     ckey = EVP_PKEY_new();
2681     if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) == 0) {
2682         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_BN_LIB);
2683         goto err;
2684     }
2685     cdh = EVP_PKEY_get0_DH(ckey);
2686     pub_key = BN_bin2bn(data, i, NULL);
2687
2688     if (pub_key == NULL || !DH_set0_key(cdh, pub_key, NULL)) {
2689         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2690         if (pub_key != NULL)
2691             BN_free(pub_key);
2692         goto err;
2693     }
2694
2695     if (ssl_derive(s, skey, ckey, 1) == 0) {
2696         *al = SSL_AD_INTERNAL_ERROR;
2697         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2698         goto err;
2699     }
2700
2701     ret = 1;
2702     EVP_PKEY_free(s->s3->tmp.pkey);
2703     s->s3->tmp.pkey = NULL;
2704  err:
2705     EVP_PKEY_free(ckey);
2706     return ret;
2707 #else
2708     /* Should never happen */
2709     *al = SSL_AD_INTERNAL_ERROR;
2710     SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2711     return 0;
2712 #endif
2713 }
2714
2715 static int tls_process_cke_ecdhe(SSL *s, PACKET *pkt, int *al)
2716 {
2717 #ifndef OPENSSL_NO_EC
2718     EVP_PKEY *skey = s->s3->tmp.pkey;
2719     EVP_PKEY *ckey = NULL;
2720     int ret = 0;
2721
2722     if (PACKET_remaining(pkt) == 0L) {
2723         /* We don't support ECDH client auth */
2724         *al = SSL_AD_HANDSHAKE_FAILURE;
2725         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_MISSING_TMP_ECDH_KEY);
2726         goto err;
2727     } else {
2728         unsigned int i;
2729         const unsigned char *data;
2730
2731         /*
2732          * Get client's public key from encoded point in the
2733          * ClientKeyExchange message.
2734          */
2735
2736         /* Get encoded point length */
2737         if (!PACKET_get_1(pkt, &i) || !PACKET_get_bytes(pkt, &data, i)
2738             || PACKET_remaining(pkt) != 0) {
2739             *al = SSL_AD_DECODE_ERROR;
2740             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_LENGTH_MISMATCH);
2741             goto err;
2742         }
2743         ckey = EVP_PKEY_new();
2744         if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) <= 0) {
2745             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EVP_LIB);
2746             goto err;
2747         }
2748         if (EVP_PKEY_set1_tls_encodedpoint(ckey, data, i) == 0) {
2749             *al = SSL_AD_HANDSHAKE_FAILURE;
2750             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EC_LIB);
2751             goto err;
2752         }
2753     }
2754
2755     if (ssl_derive(s, skey, ckey, 1) == 0) {
2756         *al = SSL_AD_INTERNAL_ERROR;
2757         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2758         goto err;
2759     }
2760
2761     ret = 1;
2762     EVP_PKEY_free(s->s3->tmp.pkey);
2763     s->s3->tmp.pkey = NULL;
2764  err:
2765     EVP_PKEY_free(ckey);
2766
2767     return ret;
2768 #else
2769     /* Should never happen */
2770     *al = SSL_AD_INTERNAL_ERROR;
2771     SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2772     return 0;
2773 #endif
2774 }
2775
2776 static int tls_process_cke_srp(SSL *s, PACKET *pkt, int *al)
2777 {
2778 #ifndef OPENSSL_NO_SRP
2779     unsigned int i;
2780     const unsigned char *data;
2781
2782     if (!PACKET_get_net_2(pkt, &i)
2783         || !PACKET_get_bytes(pkt, &data, i)) {
2784         *al = SSL_AD_DECODE_ERROR;
2785         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_A_LENGTH);
2786         return 0;
2787     }
2788     if ((s->srp_ctx.A = BN_bin2bn(data, i, NULL)) == NULL) {
2789         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_BN_LIB);
2790         return 0;
2791     }
2792     if (BN_ucmp(s->srp_ctx.A, s->srp_ctx.N) >= 0 || BN_is_zero(s->srp_ctx.A)) {
2793         *al = SSL_AD_ILLEGAL_PARAMETER;
2794         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_PARAMETERS);
2795         return 0;
2796     }
2797     OPENSSL_free(s->session->srp_username);
2798     s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2799     if (s->session->srp_username == NULL) {
2800         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_MALLOC_FAILURE);
2801         return 0;
2802     }
2803
2804     if (!srp_generate_server_master_secret(s)) {
2805         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2806         return 0;
2807     }
2808
2809     return 1;
2810 #else
2811     /* Should never happen */
2812     *al = SSL_AD_INTERNAL_ERROR;
2813     SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2814     return 0;
2815 #endif
2816 }
2817
2818 static int tls_process_cke_gost(SSL *s, PACKET *pkt, int *al)
2819 {
2820 #ifndef OPENSSL_NO_GOST
2821     EVP_PKEY_CTX *pkey_ctx;
2822     EVP_PKEY *client_pub_pkey = NULL, *pk = NULL;
2823     unsigned char premaster_secret[32];
2824     const unsigned char *start;
2825     size_t outlen = 32, inlen;
2826     unsigned long alg_a;
2827     int Ttag, Tclass;
2828     long Tlen;
2829     size_t sess_key_len;
2830     const unsigned char *data;
2831     int ret = 0;
2832
2833     /* Get our certificate private key */
2834     alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2835     if (alg_a & SSL_aGOST12) {
2836         /*
2837          * New GOST ciphersuites have SSL_aGOST01 bit too
2838          */
2839         pk = s->cert->pkeys[SSL_PKEY_GOST12_512].privatekey;
2840         if (pk == NULL) {
2841             pk = s->cert->pkeys[SSL_PKEY_GOST12_256].privatekey;
2842         }
2843         if (pk == NULL) {
2844             pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2845         }
2846     } else if (alg_a & SSL_aGOST01) {
2847         pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2848     }
2849
2850     pkey_ctx = EVP_PKEY_CTX_new(pk, NULL);
2851     if (pkey_ctx == NULL) {
2852         *al = SSL_AD_INTERNAL_ERROR;
2853         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_MALLOC_FAILURE);
2854         return 0;
2855     }
2856     if (EVP_PKEY_decrypt_init(pkey_ctx) <= 0) {
2857         *al = SSL_AD_INTERNAL_ERROR;
2858         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2859         return 0;
2860     }
2861     /*
2862      * If client certificate is present and is of the same type, maybe
2863      * use it for key exchange.  Don't mind errors from
2864      * EVP_PKEY_derive_set_peer, because it is completely valid to use a
2865      * client certificate for authorization only.
2866      */
2867     client_pub_pkey = X509_get0_pubkey(s->session->peer);
2868     if (client_pub_pkey) {
2869         if (EVP_PKEY_derive_set_peer(pkey_ctx, client_pub_pkey) <= 0)
2870             ERR_clear_error();
2871     }
2872     /* Decrypt session key */
2873     sess_key_len = PACKET_remaining(pkt);
2874     if (!PACKET_get_bytes(pkt, &data, sess_key_len)) {
2875         *al = SSL_AD_INTERNAL_ERROR;
2876         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2877         goto err;
2878     }
2879     /* TODO(size_t): Convert this function */
2880     if (ASN1_get_object((const unsigned char **)&data, &Tlen, &Ttag,
2881                         &Tclass, (long)sess_key_len) != V_ASN1_CONSTRUCTED
2882         || Ttag != V_ASN1_SEQUENCE || Tclass != V_ASN1_UNIVERSAL) {
2883         *al = SSL_AD_DECODE_ERROR;
2884         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2885         goto err;
2886     }
2887     start = data;
2888     inlen = Tlen;
2889     if (EVP_PKEY_decrypt
2890         (pkey_ctx, premaster_secret, &outlen, start, inlen) <= 0) {
2891         *al = SSL_AD_DECODE_ERROR;
2892         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2893         goto err;
2894     }
2895     /* Generate master secret */
2896     if (!ssl_generate_master_secret(s, premaster_secret,
2897                                     sizeof(premaster_secret), 0)) {
2898         *al = SSL_AD_INTERNAL_ERROR;
2899         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2900         goto err;
2901     }
2902     /* Check if pubkey from client certificate was used */
2903     if (EVP_PKEY_CTX_ctrl
2904         (pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2, NULL) > 0)
2905         s->statem.no_cert_verify = 1;
2906
2907     ret = 1;
2908  err:
2909     EVP_PKEY_CTX_free(pkey_ctx);
2910     return ret;
2911 #else
2912     /* Should never happen */
2913     *al = SSL_AD_INTERNAL_ERROR;
2914     SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2915     return 0;
2916 #endif
2917 }
2918
2919 MSG_PROCESS_RETURN tls_process_client_key_exchange(SSL *s, PACKET *pkt)
2920 {
2921     int al = -1;
2922     unsigned long alg_k;
2923
2924     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2925
2926     /* For PSK parse and retrieve identity, obtain PSK key */
2927     if ((alg_k & SSL_PSK) && !tls_process_cke_psk_preamble(s, pkt, &al))
2928         goto err;
2929
2930     if (alg_k & SSL_kPSK) {
2931         /* Identity extracted earlier: should be nothing left */
2932         if (PACKET_remaining(pkt) != 0) {
2933             al = SSL_AD_HANDSHAKE_FAILURE;
2934             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2935                    SSL_R_LENGTH_MISMATCH);
2936             goto err;
2937         }
2938         /* PSK handled by ssl_generate_master_secret */
2939         if (!ssl_generate_master_secret(s, NULL, 0, 0)) {
2940             al = SSL_AD_INTERNAL_ERROR;
2941             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2942             goto err;
2943         }
2944     } else if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2945         if (!tls_process_cke_rsa(s, pkt, &al))
2946             goto err;
2947     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2948         if (!tls_process_cke_dhe(s, pkt, &al))
2949             goto err;
2950     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2951         if (!tls_process_cke_ecdhe(s, pkt, &al))
2952             goto err;
2953     } else if (alg_k & SSL_kSRP) {
2954         if (!tls_process_cke_srp(s, pkt, &al))
2955             goto err;
2956     } else if (alg_k & SSL_kGOST) {
2957         if (!tls_process_cke_gost(s, pkt, &al))
2958             goto err;
2959     } else {
2960         al = SSL_AD_HANDSHAKE_FAILURE;
2961         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2962                SSL_R_UNKNOWN_CIPHER_TYPE);
2963         goto err;
2964     }
2965
2966     return MSG_PROCESS_CONTINUE_PROCESSING;
2967  err:
2968     if (al != -1)
2969         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2970 #ifndef OPENSSL_NO_PSK
2971     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2972     s->s3->tmp.psk = NULL;
2973 #endif
2974     ossl_statem_set_error(s);
2975     return MSG_PROCESS_ERROR;
2976 }
2977
2978 WORK_STATE tls_post_process_client_key_exchange(SSL *s, WORK_STATE wst)
2979 {
2980 #ifndef OPENSSL_NO_SCTP
2981     if (wst == WORK_MORE_A) {
2982         if (SSL_IS_DTLS(s)) {
2983             unsigned char sctpauthkey[64];
2984             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2985             /*
2986              * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2987              * used.
2988              */
2989             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2990                    sizeof(DTLS1_SCTP_AUTH_LABEL));
2991
2992             if (SSL_export_keying_material(s, sctpauthkey,
2993                                            sizeof(sctpauthkey), labelbuffer,
2994                                            sizeof(labelbuffer), NULL, 0,
2995                                            0) <= 0) {
2996                 ossl_statem_set_error(s);
2997                 return WORK_ERROR;
2998             }
2999
3000             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
3001                      sizeof(sctpauthkey), sctpauthkey);
3002         }
3003         wst = WORK_MORE_B;
3004     }
3005
3006     if ((wst == WORK_MORE_B)
3007         /* Is this SCTP? */
3008         && BIO_dgram_is_sctp(SSL_get_wbio(s))
3009         /* Are we renegotiating? */
3010         && s->renegotiate
3011         /* Are we going to skip the CertificateVerify? */
3012         && (s->session->peer == NULL || s->statem.no_cert_verify)
3013         && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
3014         s->s3->in_read_app_data = 2;
3015         s->rwstate = SSL_READING;
3016         BIO_clear_retry_flags(SSL_get_rbio(s));
3017         BIO_set_retry_read(SSL_get_rbio(s));
3018         ossl_statem_set_sctp_read_sock(s, 1);
3019         return WORK_MORE_B;
3020     } else {
3021         ossl_statem_set_sctp_read_sock(s, 0);
3022     }
3023 #endif
3024
3025     if (s->statem.no_cert_verify || !s->session->peer) {
3026         /*
3027          * No certificate verify or no peer certificate so we no longer need
3028          * the handshake_buffer
3029          */
3030         if (!ssl3_digest_cached_records(s, 0)) {
3031             ossl_statem_set_error(s);
3032             return WORK_ERROR;
3033         }
3034         return WORK_FINISHED_CONTINUE;
3035     } else {
3036         if (!s->s3->handshake_buffer) {
3037             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_KEY_EXCHANGE,
3038                    ERR_R_INTERNAL_ERROR);
3039             ossl_statem_set_error(s);
3040             return WORK_ERROR;
3041         }
3042         /*
3043          * For sigalgs freeze the handshake buffer. If we support
3044          * extms we've done this already so this is a no-op
3045          */
3046         if (!ssl3_digest_cached_records(s, 1)) {
3047             ossl_statem_set_error(s);
3048             return WORK_ERROR;
3049         }
3050     }
3051
3052     return WORK_FINISHED_CONTINUE;
3053 }
3054
3055 MSG_PROCESS_RETURN tls_process_client_certificate(SSL *s, PACKET *pkt)
3056 {
3057     int i, al = SSL_AD_INTERNAL_ERROR, ret = MSG_PROCESS_ERROR;
3058     X509 *x = NULL;
3059     unsigned long l, llen;
3060     const unsigned char *certstart, *certbytes;
3061     STACK_OF(X509) *sk = NULL;
3062     PACKET spkt, context;
3063     size_t chainidx;
3064
3065     if ((sk = sk_X509_new_null()) == NULL) {
3066         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
3067         goto f_err;
3068     }
3069
3070     /* TODO(TLS1.3): For now we ignore the context. We need to verify this */
3071     if ((SSL_IS_TLS13(s) && !PACKET_get_length_prefixed_1(pkt, &context))
3072             || !PACKET_get_net_3(pkt, &llen)
3073             || !PACKET_get_sub_packet(pkt, &spkt, llen)
3074             || PACKET_remaining(pkt) != 0) {
3075         al = SSL_AD_DECODE_ERROR;
3076         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
3077         goto f_err;
3078     }
3079
3080     for (chainidx = 0; PACKET_remaining(&spkt) > 0; chainidx++) {
3081         if (!PACKET_get_net_3(&spkt, &l)
3082             || !PACKET_get_bytes(&spkt, &certbytes, l)) {
3083             al = SSL_AD_DECODE_ERROR;
3084             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3085                    SSL_R_CERT_LENGTH_MISMATCH);
3086             goto f_err;
3087         }
3088
3089         certstart = certbytes;
3090         x = d2i_X509(NULL, (const unsigned char **)&certbytes, l);
3091         if (x == NULL) {
3092             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_ASN1_LIB);
3093             goto f_err;
3094         }
3095         if (certbytes != (certstart + l)) {
3096             al = SSL_AD_DECODE_ERROR;
3097             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3098                    SSL_R_CERT_LENGTH_MISMATCH);
3099             goto f_err;
3100         }
3101
3102         if (SSL_IS_TLS13(s)) {
3103             RAW_EXTENSION *rawexts = NULL;
3104             PACKET extensions;
3105
3106             if (!PACKET_get_length_prefixed_2(&spkt, &extensions)) {
3107                 al = SSL_AD_DECODE_ERROR;
3108                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_BAD_LENGTH);
3109                 goto f_err;
3110             }
3111             if (!tls_collect_extensions(s, &extensions, EXT_TLS1_3_CERTIFICATE,
3112                                         &rawexts, &al)
3113                     || !tls_parse_all_extensions(s, EXT_TLS1_3_CERTIFICATE,
3114                                                  rawexts, x, chainidx, &al)) {
3115                 OPENSSL_free(rawexts);
3116                 goto f_err;
3117             }
3118             OPENSSL_free(rawexts);
3119         }
3120
3121         if (!sk_X509_push(sk, x)) {
3122             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
3123             goto f_err;
3124         }
3125         x = NULL;
3126     }
3127
3128     if (sk_X509_num(sk) <= 0) {
3129         /* TLS does not mind 0 certs returned */
3130         if (s->version == SSL3_VERSION) {
3131             al = SSL_AD_HANDSHAKE_FAILURE;
3132             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3133                    SSL_R_NO_CERTIFICATES_RETURNED);
3134             goto f_err;
3135         }
3136         /* Fail for TLS only if we required a certificate */
3137         else if ((s->verify_mode & SSL_VERIFY_PEER) &&
3138                  (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
3139             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3140                    SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
3141             al = SSL_AD_HANDSHAKE_FAILURE;
3142             goto f_err;
3143         }
3144         /* No client certificate so digest cached records */
3145         if (s->s3->handshake_buffer && !ssl3_digest_cached_records(s, 0)) {
3146             goto f_err;
3147         }
3148     } else {
3149         EVP_PKEY *pkey;
3150         i = ssl_verify_cert_chain(s, sk);
3151         if (i <= 0) {
3152             al = ssl_verify_alarm_type(s->verify_result);
3153             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3154                    SSL_R_CERTIFICATE_VERIFY_FAILED);
3155             goto f_err;
3156         }
3157         if (i > 1) {
3158             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, i);
3159             al = SSL_AD_HANDSHAKE_FAILURE;
3160             goto f_err;
3161         }
3162         pkey = X509_get0_pubkey(sk_X509_value(sk, 0));
3163         if (pkey == NULL) {
3164             al = SSL3_AD_HANDSHAKE_FAILURE;
3165             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3166                    SSL_R_UNKNOWN_CERTIFICATE_TYPE);
3167             goto f_err;
3168         }
3169     }
3170
3171     X509_free(s->session->peer);
3172     s->session->peer = sk_X509_shift(sk);
3173     s->session->verify_result = s->verify_result;
3174
3175     sk_X509_pop_free(s->session->peer_chain, X509_free);
3176     s->session->peer_chain = sk;
3177
3178     /*
3179      * Freeze the handshake buffer. For <TLS1.3 we do this after the CKE
3180      * message
3181      */
3182     if (SSL_IS_TLS13(s) && !ssl3_digest_cached_records(s, 1)) {
3183         al = SSL_AD_INTERNAL_ERROR;
3184         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3185         goto f_err;
3186     }
3187
3188     /*
3189      * Inconsistency alert: cert_chain does *not* include the peer's own
3190      * certificate, while we do include it in statem_clnt.c
3191      */
3192     sk = NULL;
3193
3194     /* Save the current hash state for when we receive the CertificateVerify */
3195     if (SSL_IS_TLS13(s)
3196             && !ssl_handshake_hash(s, s->cert_verify_hash,
3197                                    sizeof(s->cert_verify_hash),
3198                                    &s->cert_verify_hash_len)) {
3199         al = SSL_AD_INTERNAL_ERROR;
3200         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3201         goto f_err;
3202     }
3203
3204     ret = MSG_PROCESS_CONTINUE_READING;
3205     goto done;
3206
3207  f_err:
3208     ssl3_send_alert(s, SSL3_AL_FATAL, al);
3209     ossl_statem_set_error(s);
3210  done:
3211     X509_free(x);
3212     sk_X509_pop_free(sk, X509_free);
3213     return ret;
3214 }
3215
3216 int tls_construct_server_certificate(SSL *s, WPACKET *pkt)
3217 {
3218     CERT_PKEY *cpk;
3219     int al = SSL_AD_INTERNAL_ERROR;
3220
3221     cpk = ssl_get_server_send_pkey(s);
3222     if (cpk == NULL) {
3223         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3224         return 0;
3225     }
3226
3227     /*
3228      * In TLSv1.3 the certificate chain is always preceded by a 0 length context
3229      * for the server Certificate message
3230      */
3231     if ((SSL_IS_TLS13(s) && !WPACKET_put_bytes_u8(pkt, 0))
3232             || !ssl3_output_cert_chain(s, pkt, cpk, &al)) {
3233         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3234         ssl3_send_alert(s, SSL3_AL_FATAL, al);
3235         return 0;
3236     }
3237
3238     return 1;
3239 }
3240
3241 int tls_construct_new_session_ticket(SSL *s, WPACKET *pkt)
3242 {
3243     unsigned char *senc = NULL;
3244     EVP_CIPHER_CTX *ctx = NULL;
3245     HMAC_CTX *hctx = NULL;
3246     unsigned char *p, *encdata1, *encdata2, *macdata1, *macdata2;
3247     const unsigned char *const_p;
3248     int len, slen_full, slen, lenfinal;
3249     SSL_SESSION *sess;
3250     unsigned int hlen;
3251     SSL_CTX *tctx = s->session_ctx;
3252     unsigned char iv[EVP_MAX_IV_LENGTH];
3253     unsigned char key_name[TLSEXT_KEYNAME_LENGTH];
3254     int iv_len, al = SSL_AD_INTERNAL_ERROR;
3255     size_t macoffset, macendoffset;
3256     union {
3257         unsigned char age_add_c[sizeof(uint32_t)];
3258         uint32_t age_add;
3259     } age_add_u;
3260
3261     if (SSL_IS_TLS13(s)) {
3262         if (RAND_bytes(age_add_u.age_add_c, sizeof(age_add_u)) <= 0)
3263             goto err;
3264         s->session->ext.tick_age_add = age_add_u.age_add;
3265     }
3266
3267     /* get session encoding length */
3268     slen_full = i2d_SSL_SESSION(s->session, NULL);
3269     /*
3270      * Some length values are 16 bits, so forget it if session is too
3271      * long
3272      */
3273     if (slen_full == 0 || slen_full > 0xFF00) {
3274         ossl_statem_set_error(s);
3275         return 0;
3276     }
3277     senc = OPENSSL_malloc(slen_full);
3278     if (senc == NULL) {
3279         ossl_statem_set_error(s);
3280         return 0;
3281     }
3282
3283     ctx = EVP_CIPHER_CTX_new();
3284     hctx = HMAC_CTX_new();
3285     if (ctx == NULL || hctx == NULL) {
3286         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_MALLOC_FAILURE);
3287         goto err;
3288     }
3289
3290     p = senc;
3291     if (!i2d_SSL_SESSION(s->session, &p))
3292         goto err;
3293
3294     /*
3295      * create a fresh copy (not shared with other threads) to clean up
3296      */
3297     const_p = senc;
3298     sess = d2i_SSL_SESSION(NULL, &const_p, slen_full);
3299     if (sess == NULL)
3300         goto err;
3301     sess->session_id_length = 0; /* ID is irrelevant for the ticket */
3302
3303     slen = i2d_SSL_SESSION(sess, NULL);
3304     if (slen == 0 || slen > slen_full) { /* shouldn't ever happen */
3305         SSL_SESSION_free(sess);
3306         goto err;
3307     }
3308     p = senc;
3309     if (!i2d_SSL_SESSION(sess, &p)) {
3310         SSL_SESSION_free(sess);
3311         goto err;
3312     }
3313     SSL_SESSION_free(sess);
3314
3315     /*
3316      * Initialize HMAC and cipher contexts. If callback present it does
3317      * all the work otherwise use generated values from parent ctx.
3318      */
3319     if (tctx->ext.ticket_key_cb) {
3320         /* if 0 is returned, write an empty ticket */
3321         int ret = tctx->ext.ticket_key_cb(s, key_name, iv, ctx,
3322                                              hctx, 1);
3323
3324         if (ret == 0) {
3325
3326             /* Put timeout and length */
3327             if (!WPACKET_put_bytes_u32(pkt, 0)
3328                     || !WPACKET_put_bytes_u16(pkt, 0)) {
3329                 SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET,
3330                        ERR_R_INTERNAL_ERROR);
3331                 goto err;
3332             }
3333             OPENSSL_free(senc);
3334             EVP_CIPHER_CTX_free(ctx);
3335             HMAC_CTX_free(hctx);
3336             return 1;
3337         }
3338         if (ret < 0)
3339             goto err;
3340         iv_len = EVP_CIPHER_CTX_iv_length(ctx);
3341     } else {
3342         const EVP_CIPHER *cipher = EVP_aes_256_cbc();
3343
3344         iv_len = EVP_CIPHER_iv_length(cipher);
3345         if (RAND_bytes(iv, iv_len) <= 0)
3346             goto err;
3347         if (!EVP_EncryptInit_ex(ctx, cipher, NULL,
3348                                 tctx->ext.tick_aes_key, iv))
3349             goto err;
3350         if (!HMAC_Init_ex(hctx, tctx->ext.tick_hmac_key,
3351                           sizeof(tctx->ext.tick_hmac_key),
3352                           EVP_sha256(), NULL))
3353             goto err;
3354         memcpy(key_name, tctx->ext.tick_key_name,
3355                sizeof(tctx->ext.tick_key_name));
3356     }
3357
3358     /*
3359      * Ticket lifetime hint (advisory only): We leave this unspecified
3360      * for resumed session (for simplicity), and guess that tickets for
3361      * new sessions will live as long as their sessions.
3362      */
3363     if (!WPACKET_put_bytes_u32(pkt, s->hit ? 0 : s->session->timeout)
3364             || (SSL_IS_TLS13(s)
3365                 && !WPACKET_put_bytes_u32(pkt, age_add_u.age_add))
3366                /* Now the actual ticket data */
3367             || !WPACKET_start_sub_packet_u16(pkt)
3368             || !WPACKET_get_total_written(pkt, &macoffset)
3369                /* Output key name */
3370             || !WPACKET_memcpy(pkt, key_name, sizeof(key_name))
3371                /* output IV */
3372             || !WPACKET_memcpy(pkt, iv, iv_len)
3373             || !WPACKET_reserve_bytes(pkt, slen + EVP_MAX_BLOCK_LENGTH,
3374                                       &encdata1)
3375                /* Encrypt session data */
3376             || !EVP_EncryptUpdate(ctx, encdata1, &len, senc, slen)
3377             || !WPACKET_allocate_bytes(pkt, len, &encdata2)
3378             || encdata1 != encdata2
3379             || !EVP_EncryptFinal(ctx, encdata1 + len, &lenfinal)
3380             || !WPACKET_allocate_bytes(pkt, lenfinal, &encdata2)
3381             || encdata1 + len != encdata2
3382             || len + lenfinal > slen + EVP_MAX_BLOCK_LENGTH
3383             || !WPACKET_get_total_written(pkt, &macendoffset)
3384             || !HMAC_Update(hctx,
3385                             (unsigned char *)s->init_buf->data + macoffset,
3386                             macendoffset - macoffset)
3387             || !WPACKET_reserve_bytes(pkt, EVP_MAX_MD_SIZE, &macdata1)
3388             || !HMAC_Final(hctx, macdata1, &hlen)
3389             || hlen > EVP_MAX_MD_SIZE
3390             || !WPACKET_allocate_bytes(pkt, hlen, &macdata2)
3391             || macdata1 != macdata2
3392             || !WPACKET_close(pkt)
3393             || (SSL_IS_TLS13(s)
3394                 && !tls_construct_extensions(s, pkt,
3395                                              EXT_TLS1_3_NEW_SESSION_TICKET,
3396                                              NULL, 0, &al))) {
3397         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_INTERNAL_ERROR);
3398         goto err;
3399     }
3400     EVP_CIPHER_CTX_free(ctx);
3401     HMAC_CTX_free(hctx);
3402     OPENSSL_free(senc);
3403
3404     return 1;
3405  err:
3406     OPENSSL_free(senc);
3407     EVP_CIPHER_CTX_free(ctx);
3408     HMAC_CTX_free(hctx);
3409     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3410     return 0;
3411 }
3412
3413 /*
3414  * In TLSv1.3 this is called from the extensions code, otherwise it is used to
3415  * create a separate message. Returns 1 on success or 0 on failure.
3416  */
3417 int tls_construct_cert_status_body(SSL *s, WPACKET *pkt)
3418 {
3419     if (!WPACKET_put_bytes_u8(pkt, s->ext.status_type)
3420             || !WPACKET_sub_memcpy_u24(pkt, s->ext.ocsp.resp,
3421                                        s->ext.ocsp.resp_len)) {
3422         SSLerr(SSL_F_TLS_CONSTRUCT_CERT_STATUS_BODY, ERR_R_INTERNAL_ERROR);
3423         return 0;
3424     }
3425
3426     return 1;
3427 }
3428
3429 int tls_construct_cert_status(SSL *s, WPACKET *pkt)
3430 {
3431     if (!tls_construct_cert_status_body(s, pkt)) {
3432         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3433         return 0;
3434     }
3435
3436     return 1;
3437 }
3438
3439 #ifndef OPENSSL_NO_NEXTPROTONEG
3440 /*
3441  * tls_process_next_proto reads a Next Protocol Negotiation handshake message.
3442  * It sets the next_proto member in s if found
3443  */
3444 MSG_PROCESS_RETURN tls_process_next_proto(SSL *s, PACKET *pkt)
3445 {
3446     PACKET next_proto, padding;
3447     size_t next_proto_len;
3448
3449     /*-
3450      * The payload looks like:
3451      *   uint8 proto_len;
3452      *   uint8 proto[proto_len];
3453      *   uint8 padding_len;
3454      *   uint8 padding[padding_len];
3455      */
3456     if (!PACKET_get_length_prefixed_1(pkt, &next_proto)
3457         || !PACKET_get_length_prefixed_1(pkt, &padding)
3458         || PACKET_remaining(pkt) > 0) {
3459         SSLerr(SSL_F_TLS_PROCESS_NEXT_PROTO, SSL_R_LENGTH_MISMATCH);
3460         goto err;
3461     }
3462
3463     if (!PACKET_memdup(&next_proto, &s->ext.npn, &next_proto_len)) {
3464         s->ext.npn_len = 0;
3465         goto err;
3466     }
3467
3468     s->ext.npn_len = (unsigned char)next_proto_len;
3469
3470     return MSG_PROCESS_CONTINUE_READING;
3471  err:
3472     ossl_statem_set_error(s);
3473     return MSG_PROCESS_ERROR;
3474 }
3475 #endif
3