Fix misc size_t issues causing Windows warnings in 64 bit
[openssl.git] / ssl / statem / statem_srvr.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50 #include <stdio.h>
51 #include "../ssl_locl.h"
52 #include "statem_locl.h"
53 #include "internal/constant_time_locl.h"
54 #include <openssl/buffer.h>
55 #include <openssl/rand.h>
56 #include <openssl/objects.h>
57 #include <openssl/evp.h>
58 #include <openssl/hmac.h>
59 #include <openssl/x509.h>
60 #include <openssl/dh.h>
61 #include <openssl/bn.h>
62 #include <openssl/md5.h>
63
64 static STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
65                                                       PACKET *cipher_suites,
66                                                       STACK_OF(SSL_CIPHER)
67                                                       **skp, int sslv2format,
68                                                       int *al);
69
70 /*
71  * server_read_transition() encapsulates the logic for the allowed handshake
72  * state transitions when the server is reading messages from the client. The
73  * message type that the client has sent is provided in |mt|. The current state
74  * is in |s->statem.hand_state|.
75  *
76  *  Valid return values are:
77  *  1: Success (transition allowed)
78  *  0: Error (transition not allowed)
79  */
80 int ossl_statem_server_read_transition(SSL *s, int mt)
81 {
82     OSSL_STATEM *st = &s->statem;
83
84     switch (st->hand_state) {
85     default:
86         break;
87
88     case TLS_ST_BEFORE:
89     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
90         if (mt == SSL3_MT_CLIENT_HELLO) {
91             st->hand_state = TLS_ST_SR_CLNT_HELLO;
92             return 1;
93         }
94         break;
95
96     case TLS_ST_SW_SRVR_DONE:
97         /*
98          * If we get a CKE message after a ServerDone then either
99          * 1) We didn't request a Certificate
100          * OR
101          * 2) If we did request one then
102          *      a) We allow no Certificate to be returned
103          *      AND
104          *      b) We are running SSL3 (in TLS1.0+ the client must return a 0
105          *         list if we requested a certificate)
106          */
107         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
108             if (s->s3->tmp.cert_request) {
109                 if (s->version == SSL3_VERSION) {
110                     if ((s->verify_mode & SSL_VERIFY_PEER)
111                         && (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
112                         /*
113                          * This isn't an unexpected message as such - we're just
114                          * not going to accept it because we require a client
115                          * cert.
116                          */
117                         ssl3_send_alert(s, SSL3_AL_FATAL,
118                                         SSL3_AD_HANDSHAKE_FAILURE);
119                         SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION,
120                                SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
121                         return 0;
122                     }
123                     st->hand_state = TLS_ST_SR_KEY_EXCH;
124                     return 1;
125                 }
126             } else {
127                 st->hand_state = TLS_ST_SR_KEY_EXCH;
128                 return 1;
129             }
130         } else if (s->s3->tmp.cert_request) {
131             if (mt == SSL3_MT_CERTIFICATE) {
132                 st->hand_state = TLS_ST_SR_CERT;
133                 return 1;
134             }
135         }
136         break;
137
138     case TLS_ST_SR_CERT:
139         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
140             st->hand_state = TLS_ST_SR_KEY_EXCH;
141             return 1;
142         }
143         break;
144
145     case TLS_ST_SR_KEY_EXCH:
146         /*
147          * We should only process a CertificateVerify message if we have
148          * received a Certificate from the client. If so then |s->session->peer|
149          * will be non NULL. In some instances a CertificateVerify message is
150          * not required even if the peer has sent a Certificate (e.g. such as in
151          * the case of static DH). In that case |st->no_cert_verify| should be
152          * set.
153          */
154         if (s->session->peer == NULL || st->no_cert_verify) {
155             if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
156                 /*
157                  * For the ECDH ciphersuites when the client sends its ECDH
158                  * pub key in a certificate, the CertificateVerify message is
159                  * not sent. Also for GOST ciphersuites when the client uses
160                  * its key from the certificate for key exchange.
161                  */
162                 st->hand_state = TLS_ST_SR_CHANGE;
163                 return 1;
164             }
165         } else {
166             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
167                 st->hand_state = TLS_ST_SR_CERT_VRFY;
168                 return 1;
169             }
170         }
171         break;
172
173     case TLS_ST_SR_CERT_VRFY:
174         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
175             st->hand_state = TLS_ST_SR_CHANGE;
176             return 1;
177         }
178         break;
179
180     case TLS_ST_SR_CHANGE:
181 #ifndef OPENSSL_NO_NEXTPROTONEG
182         if (s->s3->next_proto_neg_seen) {
183             if (mt == SSL3_MT_NEXT_PROTO) {
184                 st->hand_state = TLS_ST_SR_NEXT_PROTO;
185                 return 1;
186             }
187         } else {
188 #endif
189             if (mt == SSL3_MT_FINISHED) {
190                 st->hand_state = TLS_ST_SR_FINISHED;
191                 return 1;
192             }
193 #ifndef OPENSSL_NO_NEXTPROTONEG
194         }
195 #endif
196         break;
197
198 #ifndef OPENSSL_NO_NEXTPROTONEG
199     case TLS_ST_SR_NEXT_PROTO:
200         if (mt == SSL3_MT_FINISHED) {
201             st->hand_state = TLS_ST_SR_FINISHED;
202             return 1;
203         }
204         break;
205 #endif
206
207     case TLS_ST_SW_FINISHED:
208         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
209             st->hand_state = TLS_ST_SR_CHANGE;
210             return 1;
211         }
212         break;
213     }
214
215     /* No valid transition found */
216     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
217     SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION, SSL_R_UNEXPECTED_MESSAGE);
218     return 0;
219 }
220
221 /*
222  * Should we send a ServerKeyExchange message?
223  *
224  * Valid return values are:
225  *   1: Yes
226  *   0: No
227  */
228 static int send_server_key_exchange(SSL *s)
229 {
230     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
231
232     /*
233      * only send a ServerKeyExchange if DH or fortezza but we have a
234      * sign only certificate PSK: may send PSK identity hints For
235      * ECC ciphersuites, we send a serverKeyExchange message only if
236      * the cipher suite is either ECDH-anon or ECDHE. In other cases,
237      * the server certificate contains the server's public key for
238      * key exchange.
239      */
240     if (alg_k & (SSL_kDHE | SSL_kECDHE)
241         /*
242          * PSK: send ServerKeyExchange if PSK identity hint if
243          * provided
244          */
245 #ifndef OPENSSL_NO_PSK
246         /* Only send SKE if we have identity hint for plain PSK */
247         || ((alg_k & (SSL_kPSK | SSL_kRSAPSK))
248             && s->cert->psk_identity_hint)
249         /* For other PSK always send SKE */
250         || (alg_k & (SSL_PSK & (SSL_kDHEPSK | SSL_kECDHEPSK)))
251 #endif
252 #ifndef OPENSSL_NO_SRP
253         /* SRP: send ServerKeyExchange */
254         || (alg_k & SSL_kSRP)
255 #endif
256         ) {
257         return 1;
258     }
259
260     return 0;
261 }
262
263 /*
264  * Should we send a CertificateRequest message?
265  *
266  * Valid return values are:
267  *   1: Yes
268  *   0: No
269  */
270 static int send_certificate_request(SSL *s)
271 {
272     if (
273            /* don't request cert unless asked for it: */
274            s->verify_mode & SSL_VERIFY_PEER
275            /*
276             * if SSL_VERIFY_CLIENT_ONCE is set, don't request cert
277             * during re-negotiation:
278             */
279            && ((s->session->peer == NULL) ||
280                !(s->verify_mode & SSL_VERIFY_CLIENT_ONCE))
281            /*
282             * never request cert in anonymous ciphersuites (see
283             * section "Certificate request" in SSL 3 drafts and in
284             * RFC 2246):
285             */
286            && (!(s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL)
287                /*
288                 * ... except when the application insists on
289                 * verification (against the specs, but statem_clnt.c accepts
290                 * this for SSL 3)
291                 */
292                || (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT))
293            /* don't request certificate for SRP auth */
294            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aSRP)
295            /*
296             * With normal PSK Certificates and Certificate Requests
297             * are omitted
298             */
299            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aPSK)) {
300         return 1;
301     }
302
303     return 0;
304 }
305
306 /*
307  * server_write_transition() works out what handshake state to move to next
308  * when the server is writing messages to be sent to the client.
309  */
310 WRITE_TRAN ossl_statem_server_write_transition(SSL *s)
311 {
312     OSSL_STATEM *st = &s->statem;
313
314     switch (st->hand_state) {
315     default:
316         /* Shouldn't happen */
317         return WRITE_TRAN_ERROR;
318
319     case TLS_ST_BEFORE:
320         /* Just go straight to trying to read from the client */
321         return WRITE_TRAN_FINISHED;
322
323     case TLS_ST_OK:
324         /* We must be trying to renegotiate */
325         st->hand_state = TLS_ST_SW_HELLO_REQ;
326         return WRITE_TRAN_CONTINUE;
327
328     case TLS_ST_SW_HELLO_REQ:
329         st->hand_state = TLS_ST_OK;
330         ossl_statem_set_in_init(s, 0);
331         return WRITE_TRAN_CONTINUE;
332
333     case TLS_ST_SR_CLNT_HELLO:
334         if (SSL_IS_DTLS(s) && !s->d1->cookie_verified
335             && (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE))
336             st->hand_state = DTLS_ST_SW_HELLO_VERIFY_REQUEST;
337         else
338             st->hand_state = TLS_ST_SW_SRVR_HELLO;
339         return WRITE_TRAN_CONTINUE;
340
341     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
342         return WRITE_TRAN_FINISHED;
343
344     case TLS_ST_SW_SRVR_HELLO:
345         if (s->hit) {
346             if (s->tlsext_ticket_expected)
347                 st->hand_state = TLS_ST_SW_SESSION_TICKET;
348             else
349                 st->hand_state = TLS_ST_SW_CHANGE;
350         } else {
351             /* Check if it is anon DH or anon ECDH, */
352             /* normal PSK or SRP */
353             if (!(s->s3->tmp.new_cipher->algorithm_auth &
354                   (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
355                 st->hand_state = TLS_ST_SW_CERT;
356             } else if (send_server_key_exchange(s)) {
357                 st->hand_state = TLS_ST_SW_KEY_EXCH;
358             } else if (send_certificate_request(s)) {
359                 st->hand_state = TLS_ST_SW_CERT_REQ;
360             } else {
361                 st->hand_state = TLS_ST_SW_SRVR_DONE;
362             }
363         }
364         return WRITE_TRAN_CONTINUE;
365
366     case TLS_ST_SW_CERT:
367         if (s->tlsext_status_expected) {
368             st->hand_state = TLS_ST_SW_CERT_STATUS;
369             return WRITE_TRAN_CONTINUE;
370         }
371         /* Fall through */
372
373     case TLS_ST_SW_CERT_STATUS:
374         if (send_server_key_exchange(s)) {
375             st->hand_state = TLS_ST_SW_KEY_EXCH;
376             return WRITE_TRAN_CONTINUE;
377         }
378         /* Fall through */
379
380     case TLS_ST_SW_KEY_EXCH:
381         if (send_certificate_request(s)) {
382             st->hand_state = TLS_ST_SW_CERT_REQ;
383             return WRITE_TRAN_CONTINUE;
384         }
385         /* Fall through */
386
387     case TLS_ST_SW_CERT_REQ:
388         st->hand_state = TLS_ST_SW_SRVR_DONE;
389         return WRITE_TRAN_CONTINUE;
390
391     case TLS_ST_SW_SRVR_DONE:
392         return WRITE_TRAN_FINISHED;
393
394     case TLS_ST_SR_FINISHED:
395         if (s->hit) {
396             st->hand_state = TLS_ST_OK;
397             ossl_statem_set_in_init(s, 0);
398             return WRITE_TRAN_CONTINUE;
399         } else if (s->tlsext_ticket_expected) {
400             st->hand_state = TLS_ST_SW_SESSION_TICKET;
401         } else {
402             st->hand_state = TLS_ST_SW_CHANGE;
403         }
404         return WRITE_TRAN_CONTINUE;
405
406     case TLS_ST_SW_SESSION_TICKET:
407         st->hand_state = TLS_ST_SW_CHANGE;
408         return WRITE_TRAN_CONTINUE;
409
410     case TLS_ST_SW_CHANGE:
411         st->hand_state = TLS_ST_SW_FINISHED;
412         return WRITE_TRAN_CONTINUE;
413
414     case TLS_ST_SW_FINISHED:
415         if (s->hit) {
416             return WRITE_TRAN_FINISHED;
417         }
418         st->hand_state = TLS_ST_OK;
419         ossl_statem_set_in_init(s, 0);
420         return WRITE_TRAN_CONTINUE;
421     }
422 }
423
424 /*
425  * Perform any pre work that needs to be done prior to sending a message from
426  * the server to the client.
427  */
428 WORK_STATE ossl_statem_server_pre_work(SSL *s, WORK_STATE wst)
429 {
430     OSSL_STATEM *st = &s->statem;
431
432     switch (st->hand_state) {
433     default:
434         /* No pre work to be done */
435         break;
436
437     case TLS_ST_SW_HELLO_REQ:
438         s->shutdown = 0;
439         if (SSL_IS_DTLS(s))
440             dtls1_clear_sent_buffer(s);
441         break;
442
443     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
444         s->shutdown = 0;
445         if (SSL_IS_DTLS(s)) {
446             dtls1_clear_sent_buffer(s);
447             /* We don't buffer this message so don't use the timer */
448             st->use_timer = 0;
449         }
450         break;
451
452     case TLS_ST_SW_SRVR_HELLO:
453         if (SSL_IS_DTLS(s)) {
454             /*
455              * Messages we write from now on should be bufferred and
456              * retransmitted if necessary, so we need to use the timer now
457              */
458             st->use_timer = 1;
459         }
460         break;
461
462     case TLS_ST_SW_SRVR_DONE:
463 #ifndef OPENSSL_NO_SCTP
464         if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s)))
465             return dtls_wait_for_dry(s);
466 #endif
467         return WORK_FINISHED_CONTINUE;
468
469     case TLS_ST_SW_SESSION_TICKET:
470         if (SSL_IS_DTLS(s)) {
471             /*
472              * We're into the last flight. We don't retransmit the last flight
473              * unless we need to, so we don't use the timer
474              */
475             st->use_timer = 0;
476         }
477         break;
478
479     case TLS_ST_SW_CHANGE:
480         s->session->cipher = s->s3->tmp.new_cipher;
481         if (!s->method->ssl3_enc->setup_key_block(s)) {
482             ossl_statem_set_error(s);
483             return WORK_ERROR;
484         }
485         if (SSL_IS_DTLS(s)) {
486             /*
487              * We're into the last flight. We don't retransmit the last flight
488              * unless we need to, so we don't use the timer. This might have
489              * already been set to 0 if we sent a NewSessionTicket message,
490              * but we'll set it again here in case we didn't.
491              */
492             st->use_timer = 0;
493         }
494         return WORK_FINISHED_CONTINUE;
495
496     case TLS_ST_OK:
497         return tls_finish_handshake(s, wst);
498     }
499
500     return WORK_FINISHED_CONTINUE;
501 }
502
503 /*
504  * Perform any work that needs to be done after sending a message from the
505  * server to the client.
506  */
507 WORK_STATE ossl_statem_server_post_work(SSL *s, WORK_STATE wst)
508 {
509     OSSL_STATEM *st = &s->statem;
510
511     s->init_num = 0;
512
513     switch (st->hand_state) {
514     default:
515         /* No post work to be done */
516         break;
517
518     case TLS_ST_SW_HELLO_REQ:
519         if (statem_flush(s) != 1)
520             return WORK_MORE_A;
521         if (!ssl3_init_finished_mac(s)) {
522             ossl_statem_set_error(s);
523             return WORK_ERROR;
524         }
525         break;
526
527     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
528         if (statem_flush(s) != 1)
529             return WORK_MORE_A;
530         /* HelloVerifyRequest resets Finished MAC */
531         if (s->version != DTLS1_BAD_VER && !ssl3_init_finished_mac(s)) {
532             ossl_statem_set_error(s);
533             return WORK_ERROR;
534         }
535         /*
536          * The next message should be another ClientHello which we need to
537          * treat like it was the first packet
538          */
539         s->first_packet = 1;
540         break;
541
542     case TLS_ST_SW_SRVR_HELLO:
543 #ifndef OPENSSL_NO_SCTP
544         if (SSL_IS_DTLS(s) && s->hit) {
545             unsigned char sctpauthkey[64];
546             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
547
548             /*
549              * Add new shared key for SCTP-Auth, will be ignored if no
550              * SCTP used.
551              */
552             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
553                    sizeof(DTLS1_SCTP_AUTH_LABEL));
554
555             if (SSL_export_keying_material(s, sctpauthkey,
556                                            sizeof(sctpauthkey), labelbuffer,
557                                            sizeof(labelbuffer), NULL, 0,
558                                            0) <= 0) {
559                 ossl_statem_set_error(s);
560                 return WORK_ERROR;
561             }
562
563             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
564                      sizeof(sctpauthkey), sctpauthkey);
565         }
566 #endif
567         break;
568
569     case TLS_ST_SW_CHANGE:
570 #ifndef OPENSSL_NO_SCTP
571         if (SSL_IS_DTLS(s) && !s->hit) {
572             /*
573              * Change to new shared key of SCTP-Auth, will be ignored if
574              * no SCTP used.
575              */
576             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
577                      0, NULL);
578         }
579 #endif
580         if (!s->method->ssl3_enc->change_cipher_state(s,
581                                                       SSL3_CHANGE_CIPHER_SERVER_WRITE))
582         {
583             ossl_statem_set_error(s);
584             return WORK_ERROR;
585         }
586
587         if (SSL_IS_DTLS(s))
588             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
589         break;
590
591     case TLS_ST_SW_SRVR_DONE:
592         if (statem_flush(s) != 1)
593             return WORK_MORE_A;
594         break;
595
596     case TLS_ST_SW_FINISHED:
597         if (statem_flush(s) != 1)
598             return WORK_MORE_A;
599 #ifndef OPENSSL_NO_SCTP
600         if (SSL_IS_DTLS(s) && s->hit) {
601             /*
602              * Change to new shared key of SCTP-Auth, will be ignored if
603              * no SCTP used.
604              */
605             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
606                      0, NULL);
607         }
608 #endif
609         break;
610     }
611
612     return WORK_FINISHED_CONTINUE;
613 }
614
615 /*
616  * Get the message construction function and message type for sending from the
617  * server
618  *
619  * Valid return values are:
620  *   1: Success
621  *   0: Error
622  */
623 int ossl_statem_server_construct_message(SSL *s, WPACKET *pkt,
624                                          confunc_f *confunc, int *mt)
625 {
626     OSSL_STATEM *st = &s->statem;
627
628     switch (st->hand_state) {
629     default:
630         /* Shouldn't happen */
631         return 0;
632
633     case TLS_ST_SW_CHANGE:
634         if (SSL_IS_DTLS(s))
635             *confunc = dtls_construct_change_cipher_spec;
636         else
637             *confunc = tls_construct_change_cipher_spec;
638         *mt = SSL3_MT_CHANGE_CIPHER_SPEC;
639         break;
640
641     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
642         *confunc = dtls_construct_hello_verify_request;
643         *mt = DTLS1_MT_HELLO_VERIFY_REQUEST;
644         break;
645
646     case TLS_ST_SW_HELLO_REQ:
647         /* No construction function needed */
648         *confunc = NULL;
649         *mt = SSL3_MT_HELLO_REQUEST;
650         break;
651
652     case TLS_ST_SW_SRVR_HELLO:
653         *confunc = tls_construct_server_hello;
654         *mt = SSL3_MT_SERVER_HELLO;
655         break;
656
657     case TLS_ST_SW_CERT:
658         *confunc = tls_construct_server_certificate;
659         *mt = SSL3_MT_CERTIFICATE;
660         break;
661
662     case TLS_ST_SW_KEY_EXCH:
663         *confunc = tls_construct_server_key_exchange;
664         *mt = SSL3_MT_SERVER_KEY_EXCHANGE;
665         break;
666
667     case TLS_ST_SW_CERT_REQ:
668         *confunc = tls_construct_certificate_request;
669         *mt = SSL3_MT_CERTIFICATE_REQUEST;
670         break;
671
672     case TLS_ST_SW_SRVR_DONE:
673         *confunc = tls_construct_server_done;
674         *mt = SSL3_MT_SERVER_DONE;
675         break;
676
677     case TLS_ST_SW_SESSION_TICKET:
678         *confunc = tls_construct_new_session_ticket;
679         *mt = SSL3_MT_NEWSESSION_TICKET;
680         break;
681
682     case TLS_ST_SW_CERT_STATUS:
683         *confunc = tls_construct_cert_status;
684         *mt = SSL3_MT_CERTIFICATE_STATUS;
685         break;
686
687     case TLS_ST_SW_FINISHED:
688         *confunc = tls_construct_finished;
689         *mt = SSL3_MT_FINISHED;
690         break;
691     }
692
693     return 1;
694 }
695
696 /*
697  * Maximum size (excluding the Handshake header) of a ClientHello message,
698  * calculated as follows:
699  *
700  *  2 + # client_version
701  *  32 + # only valid length for random
702  *  1 + # length of session_id
703  *  32 + # maximum size for session_id
704  *  2 + # length of cipher suites
705  *  2^16-2 + # maximum length of cipher suites array
706  *  1 + # length of compression_methods
707  *  2^8-1 + # maximum length of compression methods
708  *  2 + # length of extensions
709  *  2^16-1 # maximum length of extensions
710  */
711 #define CLIENT_HELLO_MAX_LENGTH         131396
712
713 #define CLIENT_KEY_EXCH_MAX_LENGTH      2048
714 #define NEXT_PROTO_MAX_LENGTH           514
715
716 /*
717  * Returns the maximum allowed length for the current message that we are
718  * reading. Excludes the message header.
719  */
720 size_t ossl_statem_server_max_message_size(SSL *s)
721 {
722     OSSL_STATEM *st = &s->statem;
723
724     switch (st->hand_state) {
725     default:
726         /* Shouldn't happen */
727         return 0;
728
729     case TLS_ST_SR_CLNT_HELLO:
730         return CLIENT_HELLO_MAX_LENGTH;
731
732     case TLS_ST_SR_CERT:
733         return s->max_cert_list;
734
735     case TLS_ST_SR_KEY_EXCH:
736         return CLIENT_KEY_EXCH_MAX_LENGTH;
737
738     case TLS_ST_SR_CERT_VRFY:
739         return SSL3_RT_MAX_PLAIN_LENGTH;
740
741 #ifndef OPENSSL_NO_NEXTPROTONEG
742     case TLS_ST_SR_NEXT_PROTO:
743         return NEXT_PROTO_MAX_LENGTH;
744 #endif
745
746     case TLS_ST_SR_CHANGE:
747         return CCS_MAX_LENGTH;
748
749     case TLS_ST_SR_FINISHED:
750         return FINISHED_MAX_LENGTH;
751     }
752 }
753
754 /*
755  * Process a message that the server has received from the client.
756  */
757 MSG_PROCESS_RETURN ossl_statem_server_process_message(SSL *s, PACKET *pkt)
758 {
759     OSSL_STATEM *st = &s->statem;
760
761     switch (st->hand_state) {
762     default:
763         /* Shouldn't happen */
764         return MSG_PROCESS_ERROR;
765
766     case TLS_ST_SR_CLNT_HELLO:
767         return tls_process_client_hello(s, pkt);
768
769     case TLS_ST_SR_CERT:
770         return tls_process_client_certificate(s, pkt);
771
772     case TLS_ST_SR_KEY_EXCH:
773         return tls_process_client_key_exchange(s, pkt);
774
775     case TLS_ST_SR_CERT_VRFY:
776         return tls_process_cert_verify(s, pkt);
777
778 #ifndef OPENSSL_NO_NEXTPROTONEG
779     case TLS_ST_SR_NEXT_PROTO:
780         return tls_process_next_proto(s, pkt);
781 #endif
782
783     case TLS_ST_SR_CHANGE:
784         return tls_process_change_cipher_spec(s, pkt);
785
786     case TLS_ST_SR_FINISHED:
787         return tls_process_finished(s, pkt);
788     }
789 }
790
791 /*
792  * Perform any further processing required following the receipt of a message
793  * from the client
794  */
795 WORK_STATE ossl_statem_server_post_process_message(SSL *s, WORK_STATE wst)
796 {
797     OSSL_STATEM *st = &s->statem;
798
799     switch (st->hand_state) {
800     default:
801         /* Shouldn't happen */
802         return WORK_ERROR;
803
804     case TLS_ST_SR_CLNT_HELLO:
805         return tls_post_process_client_hello(s, wst);
806
807     case TLS_ST_SR_KEY_EXCH:
808         return tls_post_process_client_key_exchange(s, wst);
809
810     case TLS_ST_SR_CERT_VRFY:
811 #ifndef OPENSSL_NO_SCTP
812         if (                    /* Is this SCTP? */
813                BIO_dgram_is_sctp(SSL_get_wbio(s))
814                /* Are we renegotiating? */
815                && s->renegotiate && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
816             s->s3->in_read_app_data = 2;
817             s->rwstate = SSL_READING;
818             BIO_clear_retry_flags(SSL_get_rbio(s));
819             BIO_set_retry_read(SSL_get_rbio(s));
820             ossl_statem_set_sctp_read_sock(s, 1);
821             return WORK_MORE_A;
822         } else {
823             ossl_statem_set_sctp_read_sock(s, 0);
824         }
825 #endif
826         return WORK_FINISHED_CONTINUE;
827     }
828
829 }
830
831 #ifndef OPENSSL_NO_SRP
832 static int ssl_check_srp_ext_ClientHello(SSL *s, int *al)
833 {
834     int ret = SSL_ERROR_NONE;
835
836     *al = SSL_AD_UNRECOGNIZED_NAME;
837
838     if ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) &&
839         (s->srp_ctx.TLS_ext_srp_username_callback != NULL)) {
840         if (s->srp_ctx.login == NULL) {
841             /*
842              * RFC 5054 says SHOULD reject, we do so if There is no srp
843              * login name
844              */
845             ret = SSL3_AL_FATAL;
846             *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
847         } else {
848             ret = SSL_srp_server_param_with_username(s, al);
849         }
850     }
851     return ret;
852 }
853 #endif
854
855 int dtls_raw_hello_verify_request(WPACKET *pkt, unsigned char *cookie,
856                                   size_t cookie_len)
857 {
858     /* Always use DTLS 1.0 version: see RFC 6347 */
859     if (!WPACKET_put_bytes_u16(pkt, DTLS1_VERSION)
860             || !WPACKET_sub_memcpy_u8(pkt, cookie, cookie_len))
861         return 0;
862
863     return 1;
864 }
865
866 int dtls_construct_hello_verify_request(SSL *s, WPACKET *pkt)
867 {
868     unsigned int cookie_leni;
869     if (s->ctx->app_gen_cookie_cb == NULL ||
870         s->ctx->app_gen_cookie_cb(s, s->d1->cookie,
871                                   &cookie_leni) == 0 ||
872         cookie_leni > 255) {
873         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST,
874                SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
875         return 0;
876     }
877     s->d1->cookie_len = cookie_leni;
878
879     if (!dtls_raw_hello_verify_request(pkt, s->d1->cookie,
880                                               s->d1->cookie_len)) {
881         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST, ERR_R_INTERNAL_ERROR);
882         return 0;
883     }
884
885     return 1;
886 }
887
888 MSG_PROCESS_RETURN tls_process_client_hello(SSL *s, PACKET *pkt)
889 {
890     int i, al = SSL_AD_INTERNAL_ERROR;
891     unsigned int j;
892     size_t loop, complen = 0;
893     unsigned long id;
894     const SSL_CIPHER *c;
895 #ifndef OPENSSL_NO_COMP
896     SSL_COMP *comp = NULL;
897 #endif
898     STACK_OF(SSL_CIPHER) *ciphers = NULL;
899     int protverr;
900     /* |cookie| will only be initialized for DTLS. */
901     PACKET session_id, cipher_suites, compression, extensions, cookie;
902     int is_v2_record;
903     static const unsigned char null_compression = 0;
904
905     is_v2_record = RECORD_LAYER_is_sslv2_record(&s->rlayer);
906
907     PACKET_null_init(&cookie);
908     /* First lets get s->client_version set correctly */
909     if (is_v2_record) {
910         unsigned int version;
911         unsigned int mt;
912         /*-
913          * An SSLv3/TLSv1 backwards-compatible CLIENT-HELLO in an SSLv2
914          * header is sent directly on the wire, not wrapped as a TLS
915          * record. Our record layer just processes the message length and passes
916          * the rest right through. Its format is:
917          * Byte  Content
918          * 0-1   msg_length - decoded by the record layer
919          * 2     msg_type - s->init_msg points here
920          * 3-4   version
921          * 5-6   cipher_spec_length
922          * 7-8   session_id_length
923          * 9-10  challenge_length
924          * ...   ...
925          */
926
927         if (!PACKET_get_1(pkt, &mt)
928             || mt != SSL2_MT_CLIENT_HELLO) {
929             /*
930              * Should never happen. We should have tested this in the record
931              * layer in order to have determined that this is a SSLv2 record
932              * in the first place
933              */
934             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
935             goto err;
936         }
937
938         if (!PACKET_get_net_2(pkt, &version)) {
939             /* No protocol version supplied! */
940             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
941             goto err;
942         }
943         if (version == 0x0002) {
944             /* This is real SSLv2. We don't support it. */
945             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
946             goto err;
947         } else if ((version & 0xff00) == (SSL3_VERSION_MAJOR << 8)) {
948             /* SSLv3/TLS */
949             s->client_version = version;
950         } else {
951             /* No idea what protocol this is */
952             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
953             goto err;
954         }
955     } else {
956         /*
957          * use version from inside client hello, not from record header (may
958          * differ: see RFC 2246, Appendix E, second paragraph)
959          */
960         if (!PACKET_get_net_2(pkt, (unsigned int *)&s->client_version)) {
961             al = SSL_AD_DECODE_ERROR;
962             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_TOO_SHORT);
963             goto f_err;
964         }
965     }
966
967     /*
968      * Do SSL/TLS version negotiation if applicable. For DTLS we just check
969      * versions are potentially compatible. Version negotiation comes later.
970      */
971     if (!SSL_IS_DTLS(s)) {
972         protverr = ssl_choose_server_version(s);
973     } else if (s->method->version != DTLS_ANY_VERSION &&
974                DTLS_VERSION_LT(s->client_version, s->version)) {
975         protverr = SSL_R_VERSION_TOO_LOW;
976     } else {
977         protverr = 0;
978     }
979
980     if (protverr) {
981         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
982         if ((!s->enc_write_ctx && !s->write_hash)) {
983             /*
984              * similar to ssl3_get_record, send alert using remote version
985              * number
986              */
987             s->version = s->client_version;
988         }
989         al = SSL_AD_PROTOCOL_VERSION;
990         goto f_err;
991     }
992
993     /* Parse the message and load client random. */
994     if (is_v2_record) {
995         /*
996          * Handle an SSLv2 backwards compatible ClientHello
997          * Note, this is only for SSLv3+ using the backward compatible format.
998          * Real SSLv2 is not supported, and is rejected above.
999          */
1000         unsigned int cipher_len, session_id_len, challenge_len;
1001         PACKET challenge;
1002
1003         if (!PACKET_get_net_2(pkt, &cipher_len)
1004             || !PACKET_get_net_2(pkt, &session_id_len)
1005             || !PACKET_get_net_2(pkt, &challenge_len)) {
1006             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1007                    SSL_R_RECORD_LENGTH_MISMATCH);
1008             al = SSL_AD_DECODE_ERROR;
1009             goto f_err;
1010         }
1011
1012         if (session_id_len > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1013             al = SSL_AD_DECODE_ERROR;
1014             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1015             goto f_err;
1016         }
1017
1018         if (!PACKET_get_sub_packet(pkt, &cipher_suites, cipher_len)
1019             || !PACKET_get_sub_packet(pkt, &session_id, session_id_len)
1020             || !PACKET_get_sub_packet(pkt, &challenge, challenge_len)
1021             /* No extensions. */
1022             || PACKET_remaining(pkt) != 0) {
1023             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1024                    SSL_R_RECORD_LENGTH_MISMATCH);
1025             al = SSL_AD_DECODE_ERROR;
1026             goto f_err;
1027         }
1028
1029         /* Load the client random and compression list. */
1030         challenge_len = challenge_len > SSL3_RANDOM_SIZE ? SSL3_RANDOM_SIZE :
1031             challenge_len;
1032         memset(s->s3->client_random, 0, SSL3_RANDOM_SIZE);
1033         if (!PACKET_copy_bytes(&challenge,
1034                                s->s3->client_random + SSL3_RANDOM_SIZE -
1035                                challenge_len, challenge_len)
1036             /* Advertise only null compression. */
1037             || !PACKET_buf_init(&compression, &null_compression, 1)) {
1038             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1039             al = SSL_AD_INTERNAL_ERROR;
1040             goto f_err;
1041         }
1042
1043         PACKET_null_init(&extensions);
1044     } else {
1045         /* Regular ClientHello. */
1046         if (!PACKET_copy_bytes(pkt, s->s3->client_random, SSL3_RANDOM_SIZE)
1047             || !PACKET_get_length_prefixed_1(pkt, &session_id)) {
1048             al = SSL_AD_DECODE_ERROR;
1049             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1050             goto f_err;
1051         }
1052
1053         if (PACKET_remaining(&session_id) > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1054             al = SSL_AD_DECODE_ERROR;
1055             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1056             goto f_err;
1057         }
1058
1059         if (SSL_IS_DTLS(s)) {
1060             if (!PACKET_get_length_prefixed_1(pkt, &cookie)) {
1061                 al = SSL_AD_DECODE_ERROR;
1062                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1063                 goto f_err;
1064             }
1065             /*
1066              * If we require cookies and this ClientHello doesn't contain one,
1067              * just return since we do not want to allocate any memory yet.
1068              * So check cookie length...
1069              */
1070             if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1071                 if (PACKET_remaining(&cookie) == 0)
1072                     return 1;
1073             }
1074         }
1075
1076         if (!PACKET_get_length_prefixed_2(pkt, &cipher_suites)
1077             || !PACKET_get_length_prefixed_1(pkt, &compression)) {
1078             al = SSL_AD_DECODE_ERROR;
1079             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1080             goto f_err;
1081         }
1082         /* Could be empty. */
1083         extensions = *pkt;
1084     }
1085
1086     if (SSL_IS_DTLS(s)) {
1087         /* Empty cookie was already handled above by returning early. */
1088         if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1089             if (s->ctx->app_verify_cookie_cb != NULL) {
1090                 if (s->ctx->app_verify_cookie_cb(s, PACKET_data(&cookie),
1091                         (unsigned int)PACKET_remaining(&cookie)) == 0) {
1092                     al = SSL_AD_HANDSHAKE_FAILURE;
1093                     SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1094                            SSL_R_COOKIE_MISMATCH);
1095                     goto f_err;
1096                     /* else cookie verification succeeded */
1097                 }
1098                 /* default verification */
1099             } else if (!PACKET_equal(&cookie, s->d1->cookie, s->d1->cookie_len)) {
1100                 al = SSL_AD_HANDSHAKE_FAILURE;
1101                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_COOKIE_MISMATCH);
1102                 goto f_err;
1103             }
1104             s->d1->cookie_verified = 1;
1105         }
1106         if (s->method->version == DTLS_ANY_VERSION) {
1107             protverr = ssl_choose_server_version(s);
1108             if (protverr != 0) {
1109                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1110                 s->version = s->client_version;
1111                 al = SSL_AD_PROTOCOL_VERSION;
1112                 goto f_err;
1113             }
1114         }
1115     }
1116
1117     s->hit = 0;
1118
1119     /*
1120      * We don't allow resumption in a backwards compatible ClientHello.
1121      * TODO(openssl-team): in TLS1.1+, session_id MUST be empty.
1122      *
1123      * Versions before 0.9.7 always allow clients to resume sessions in
1124      * renegotiation. 0.9.7 and later allow this by default, but optionally
1125      * ignore resumption requests with flag
1126      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION (it's a new flag rather
1127      * than a change to default behavior so that applications relying on
1128      * this for security won't even compile against older library versions).
1129      * 1.0.1 and later also have a function SSL_renegotiate_abbreviated() to
1130      * request renegotiation but not a new session (s->new_session remains
1131      * unset): for servers, this essentially just means that the
1132      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION setting will be
1133      * ignored.
1134      */
1135     if (is_v2_record ||
1136         (s->new_session &&
1137          (s->options & SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION))) {
1138         if (!ssl_get_new_session(s, 1))
1139             goto err;
1140     } else {
1141         i = ssl_get_prev_session(s, &extensions, &session_id);
1142         /*
1143          * Only resume if the session's version matches the negotiated
1144          * version.
1145          * RFC 5246 does not provide much useful advice on resumption
1146          * with a different protocol version. It doesn't forbid it but
1147          * the sanity of such behaviour would be questionable.
1148          * In practice, clients do not accept a version mismatch and
1149          * will abort the handshake with an error.
1150          */
1151         if (i == 1 && s->version == s->session->ssl_version) {
1152             /* previous session */
1153             s->hit = 1;
1154         } else if (i == -1) {
1155             goto err;
1156         } else {
1157             /* i == 0 */
1158             if (!ssl_get_new_session(s, 1))
1159                 goto err;
1160         }
1161     }
1162
1163     if (ssl_bytes_to_cipher_list(s, &cipher_suites, &(ciphers),
1164                                  is_v2_record, &al) == NULL) {
1165         goto f_err;
1166     }
1167
1168     /* If it is a hit, check that the cipher is in the list */
1169     if (s->hit) {
1170         j = 0;
1171         id = s->session->cipher->id;
1172
1173 #ifdef CIPHER_DEBUG
1174         fprintf(stderr, "client sent %d ciphers\n", sk_SSL_CIPHER_num(ciphers));
1175 #endif
1176         for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
1177             c = sk_SSL_CIPHER_value(ciphers, i);
1178 #ifdef CIPHER_DEBUG
1179             fprintf(stderr, "client [%2d of %2d]:%s\n",
1180                     i, sk_SSL_CIPHER_num(ciphers), SSL_CIPHER_get_name(c));
1181 #endif
1182             if (c->id == id) {
1183                 j = 1;
1184                 break;
1185             }
1186         }
1187         if (j == 0) {
1188             /*
1189              * we need to have the cipher in the cipher list if we are asked
1190              * to reuse it
1191              */
1192             al = SSL_AD_ILLEGAL_PARAMETER;
1193             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1194                    SSL_R_REQUIRED_CIPHER_MISSING);
1195             goto f_err;
1196         }
1197     }
1198
1199     complen = PACKET_remaining(&compression);
1200     for (loop = 0; loop < complen; loop++) {
1201         if (PACKET_data(&compression)[loop] == 0)
1202             break;
1203     }
1204
1205     if (loop >= complen) {
1206         /* no compress */
1207         al = SSL_AD_DECODE_ERROR;
1208         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_COMPRESSION_SPECIFIED);
1209         goto f_err;
1210     }
1211
1212     /* TLS extensions */
1213     if (s->version >= SSL3_VERSION) {
1214         if (!ssl_parse_clienthello_tlsext(s, &extensions)) {
1215             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_PARSE_TLSEXT);
1216             goto err;
1217         }
1218     }
1219
1220     /*
1221      * Check if we want to use external pre-shared secret for this handshake
1222      * for not reused session only. We need to generate server_random before
1223      * calling tls_session_secret_cb in order to allow SessionTicket
1224      * processing to use it in key derivation.
1225      */
1226     {
1227         unsigned char *pos;
1228         pos = s->s3->server_random;
1229         if (ssl_fill_hello_random(s, 1, pos, SSL3_RANDOM_SIZE) <= 0) {
1230             goto f_err;
1231         }
1232     }
1233
1234     if (!s->hit && s->version >= TLS1_VERSION && s->tls_session_secret_cb) {
1235         const SSL_CIPHER *pref_cipher = NULL;
1236         /*
1237          * s->session->master_key_length is a size_t, but this is an int for
1238          * backwards compat reasons
1239          */
1240         int master_key_length;
1241
1242         master_key_length = sizeof(s->session->master_key);
1243         if (s->tls_session_secret_cb(s, s->session->master_key,
1244                                      &master_key_length, ciphers,
1245                                      &pref_cipher,
1246                                      s->tls_session_secret_cb_arg)
1247                 && master_key_length > 0) {
1248             s->session->master_key_length = master_key_length;
1249             s->hit = 1;
1250             s->session->ciphers = ciphers;
1251             s->session->verify_result = X509_V_OK;
1252
1253             ciphers = NULL;
1254
1255             /* check if some cipher was preferred by call back */
1256             pref_cipher =
1257                 pref_cipher ? pref_cipher : ssl3_choose_cipher(s,
1258                                                                s->
1259                                                                session->ciphers,
1260                                                                SSL_get_ciphers
1261                                                                (s));
1262             if (pref_cipher == NULL) {
1263                 al = SSL_AD_HANDSHAKE_FAILURE;
1264                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1265                 goto f_err;
1266             }
1267
1268             s->session->cipher = pref_cipher;
1269             sk_SSL_CIPHER_free(s->cipher_list);
1270             s->cipher_list = sk_SSL_CIPHER_dup(s->session->ciphers);
1271             sk_SSL_CIPHER_free(s->cipher_list_by_id);
1272             s->cipher_list_by_id = sk_SSL_CIPHER_dup(s->session->ciphers);
1273         }
1274     }
1275
1276     /*
1277      * Worst case, we will use the NULL compression, but if we have other
1278      * options, we will now look for them.  We have complen-1 compression
1279      * algorithms from the client, starting at q.
1280      */
1281     s->s3->tmp.new_compression = NULL;
1282 #ifndef OPENSSL_NO_COMP
1283     /* This only happens if we have a cache hit */
1284     if (s->session->compress_meth != 0) {
1285         int m, comp_id = s->session->compress_meth;
1286         unsigned int k;
1287         /* Perform sanity checks on resumed compression algorithm */
1288         /* Can't disable compression */
1289         if (!ssl_allow_compression(s)) {
1290             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1291                    SSL_R_INCONSISTENT_COMPRESSION);
1292             goto f_err;
1293         }
1294         /* Look for resumed compression method */
1295         for (m = 0; m < sk_SSL_COMP_num(s->ctx->comp_methods); m++) {
1296             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1297             if (comp_id == comp->id) {
1298                 s->s3->tmp.new_compression = comp;
1299                 break;
1300             }
1301         }
1302         if (s->s3->tmp.new_compression == NULL) {
1303             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1304                    SSL_R_INVALID_COMPRESSION_ALGORITHM);
1305             goto f_err;
1306         }
1307         /* Look for resumed method in compression list */
1308         for (k = 0; k < complen; k++) {
1309             if (PACKET_data(&compression)[k] == comp_id)
1310                 break;
1311         }
1312         if (k >= complen) {
1313             al = SSL_AD_ILLEGAL_PARAMETER;
1314             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1315                    SSL_R_REQUIRED_COMPRESSION_ALGORITHM_MISSING);
1316             goto f_err;
1317         }
1318     } else if (s->hit)
1319         comp = NULL;
1320     else if (ssl_allow_compression(s) && s->ctx->comp_methods) {
1321         /* See if we have a match */
1322         int m, nn, v, done = 0;
1323         unsigned int o;
1324
1325         nn = sk_SSL_COMP_num(s->ctx->comp_methods);
1326         for (m = 0; m < nn; m++) {
1327             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1328             v = comp->id;
1329             for (o = 0; o < complen; o++) {
1330                 if (v == PACKET_data(&compression)[o]) {
1331                     done = 1;
1332                     break;
1333                 }
1334             }
1335             if (done)
1336                 break;
1337         }
1338         if (done)
1339             s->s3->tmp.new_compression = comp;
1340         else
1341             comp = NULL;
1342     }
1343 #else
1344     /*
1345      * If compression is disabled we'd better not try to resume a session
1346      * using compression.
1347      */
1348     if (s->session->compress_meth != 0) {
1349         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1350         goto f_err;
1351     }
1352 #endif
1353
1354     /*
1355      * Given s->session->ciphers and SSL_get_ciphers, we must pick a cipher
1356      */
1357
1358     if (!s->hit) {
1359 #ifdef OPENSSL_NO_COMP
1360         s->session->compress_meth = 0;
1361 #else
1362         s->session->compress_meth = (comp == NULL) ? 0 : comp->id;
1363 #endif
1364         sk_SSL_CIPHER_free(s->session->ciphers);
1365         s->session->ciphers = ciphers;
1366         if (ciphers == NULL) {
1367             al = SSL_AD_INTERNAL_ERROR;
1368             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1369             goto f_err;
1370         }
1371         ciphers = NULL;
1372         if (!tls1_set_server_sigalgs(s)) {
1373             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1374             goto err;
1375         }
1376     }
1377
1378     sk_SSL_CIPHER_free(ciphers);
1379     return MSG_PROCESS_CONTINUE_PROCESSING;
1380  f_err:
1381     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1382  err:
1383     ossl_statem_set_error(s);
1384
1385     sk_SSL_CIPHER_free(ciphers);
1386     return MSG_PROCESS_ERROR;
1387
1388 }
1389
1390 WORK_STATE tls_post_process_client_hello(SSL *s, WORK_STATE wst)
1391 {
1392     int al = SSL_AD_HANDSHAKE_FAILURE;
1393     const SSL_CIPHER *cipher;
1394
1395     if (wst == WORK_MORE_A) {
1396         if (!s->hit) {
1397             /* Let cert callback update server certificates if required */
1398             if (s->cert->cert_cb) {
1399                 int rv = s->cert->cert_cb(s, s->cert->cert_cb_arg);
1400                 if (rv == 0) {
1401                     al = SSL_AD_INTERNAL_ERROR;
1402                     SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1403                            SSL_R_CERT_CB_ERROR);
1404                     goto f_err;
1405                 }
1406                 if (rv < 0) {
1407                     s->rwstate = SSL_X509_LOOKUP;
1408                     return WORK_MORE_A;
1409                 }
1410                 s->rwstate = SSL_NOTHING;
1411             }
1412             cipher =
1413                 ssl3_choose_cipher(s, s->session->ciphers, SSL_get_ciphers(s));
1414
1415             if (cipher == NULL) {
1416                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1417                        SSL_R_NO_SHARED_CIPHER);
1418                 goto f_err;
1419             }
1420             s->s3->tmp.new_cipher = cipher;
1421             /* check whether we should disable session resumption */
1422             if (s->not_resumable_session_cb != NULL)
1423                 s->session->not_resumable = s->not_resumable_session_cb(s,
1424                                                                         ((cipher->algorithm_mkey & (SSL_kDHE | SSL_kECDHE)) != 0));
1425             if (s->session->not_resumable)
1426                 /* do not send a session ticket */
1427                 s->tlsext_ticket_expected = 0;
1428         } else {
1429             /* Session-id reuse */
1430             s->s3->tmp.new_cipher = s->session->cipher;
1431         }
1432
1433         if (!(s->verify_mode & SSL_VERIFY_PEER)) {
1434             if (!ssl3_digest_cached_records(s, 0)) {
1435                 al = SSL_AD_INTERNAL_ERROR;
1436                 goto f_err;
1437             }
1438         }
1439
1440         /*-
1441          * we now have the following setup.
1442          * client_random
1443          * cipher_list          - our preferred list of ciphers
1444          * ciphers              - the clients preferred list of ciphers
1445          * compression          - basically ignored right now
1446          * ssl version is set   - sslv3
1447          * s->session           - The ssl session has been setup.
1448          * s->hit               - session reuse flag
1449          * s->s3->tmp.new_cipher- the new cipher to use.
1450          */
1451
1452         /* Handles TLS extensions that we couldn't check earlier */
1453         if (s->version >= SSL3_VERSION) {
1454             if (!ssl_check_clienthello_tlsext_late(s, &al)) {
1455                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1456                        SSL_R_CLIENTHELLO_TLSEXT);
1457                 goto f_err;
1458             }
1459         }
1460
1461         wst = WORK_MORE_B;
1462     }
1463 #ifndef OPENSSL_NO_SRP
1464     if (wst == WORK_MORE_B) {
1465         int ret;
1466         if ((ret = ssl_check_srp_ext_ClientHello(s, &al)) < 0) {
1467             /*
1468              * callback indicates further work to be done
1469              */
1470             s->rwstate = SSL_X509_LOOKUP;
1471             return WORK_MORE_B;
1472         }
1473         if (ret != SSL_ERROR_NONE) {
1474             /*
1475              * This is not really an error but the only means to for
1476              * a client to detect whether srp is supported.
1477              */
1478             if (al != TLS1_AD_UNKNOWN_PSK_IDENTITY)
1479                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1480                        SSL_R_CLIENTHELLO_TLSEXT);
1481             goto f_err;
1482         }
1483     }
1484 #endif
1485     s->renegotiate = 2;
1486
1487     return WORK_FINISHED_STOP;
1488  f_err:
1489     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1490     ossl_statem_set_error(s);
1491     return WORK_ERROR;
1492 }
1493
1494 int tls_construct_server_hello(SSL *s, WPACKET *pkt)
1495 {
1496     int compm, al = SSL_AD_INTERNAL_ERROR;
1497     size_t sl, len;
1498
1499     if (!WPACKET_put_bytes_u16(pkt, s->version)
1500                /*
1501                 * Random stuff. Filling of the server_random takes place in
1502                 * tls_process_client_hello()
1503                 */
1504             || !WPACKET_memcpy(pkt, s->s3->server_random, SSL3_RANDOM_SIZE)) {
1505         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1506         goto err;
1507     }
1508
1509     /*-
1510      * There are several cases for the session ID to send
1511      * back in the server hello:
1512      * - For session reuse from the session cache,
1513      *   we send back the old session ID.
1514      * - If stateless session reuse (using a session ticket)
1515      *   is successful, we send back the client's "session ID"
1516      *   (which doesn't actually identify the session).
1517      * - If it is a new session, we send back the new
1518      *   session ID.
1519      * - However, if we want the new session to be single-use,
1520      *   we send back a 0-length session ID.
1521      * s->hit is non-zero in either case of session reuse,
1522      * so the following won't overwrite an ID that we're supposed
1523      * to send back.
1524      */
1525     if (s->session->not_resumable ||
1526         (!(s->ctx->session_cache_mode & SSL_SESS_CACHE_SERVER)
1527          && !s->hit))
1528         s->session->session_id_length = 0;
1529
1530     sl = s->session->session_id_length;
1531     if (sl > sizeof(s->session->session_id)) {
1532         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1533         goto err;
1534     }
1535
1536     /* set up the compression method */
1537 #ifdef OPENSSL_NO_COMP
1538     compm = 0;
1539 #else
1540     if (s->s3->tmp.new_compression == NULL)
1541         compm = 0;
1542     else
1543         compm = s->s3->tmp.new_compression->id;
1544 #endif
1545
1546     if (!WPACKET_sub_memcpy_u8(pkt, s->session->session_id, sl)
1547             || !s->method->put_cipher_by_char(s->s3->tmp.new_cipher, pkt, &len)
1548             || !WPACKET_put_bytes_u8(pkt, compm)
1549             || !ssl_prepare_serverhello_tlsext(s)
1550             || !ssl_add_serverhello_tlsext(s, pkt, &al)) {
1551         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1552         goto err;
1553     }
1554
1555     return 1;
1556  err:
1557     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1558     return 0;
1559 }
1560
1561 int tls_construct_server_done(SSL *s, WPACKET *pkt)
1562 {
1563     if (!s->s3->tmp.cert_request) {
1564         if (!ssl3_digest_cached_records(s, 0)) {
1565             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1566             return 0;
1567         }
1568     }
1569     return 1;
1570 }
1571
1572 int tls_construct_server_key_exchange(SSL *s, WPACKET *pkt)
1573 {
1574 #ifndef OPENSSL_NO_DH
1575     EVP_PKEY *pkdh = NULL;
1576 #endif
1577 #ifndef OPENSSL_NO_EC
1578     unsigned char *encodedPoint = NULL;
1579     size_t encodedlen = 0;
1580     int curve_id = 0;
1581 #endif
1582     EVP_PKEY *pkey;
1583     const EVP_MD *md = NULL;
1584     int al = SSL_AD_INTERNAL_ERROR, i;
1585     unsigned long type;
1586     const BIGNUM *r[4];
1587     EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();
1588     size_t paramlen, paramoffset;
1589
1590     if (!WPACKET_get_total_written(pkt, &paramoffset)) {
1591         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
1592         goto f_err;
1593     }
1594
1595     if (md_ctx == NULL) {
1596         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
1597         goto f_err;
1598     }
1599
1600     type = s->s3->tmp.new_cipher->algorithm_mkey;
1601
1602     r[0] = r[1] = r[2] = r[3] = NULL;
1603 #ifndef OPENSSL_NO_PSK
1604     /* Plain PSK or RSAPSK nothing to do */
1605     if (type & (SSL_kPSK | SSL_kRSAPSK)) {
1606     } else
1607 #endif                          /* !OPENSSL_NO_PSK */
1608 #ifndef OPENSSL_NO_DH
1609     if (type & (SSL_kDHE | SSL_kDHEPSK)) {
1610         CERT *cert = s->cert;
1611
1612         EVP_PKEY *pkdhp = NULL;
1613         DH *dh;
1614
1615         if (s->cert->dh_tmp_auto) {
1616             DH *dhp = ssl_get_auto_dh(s);
1617             pkdh = EVP_PKEY_new();
1618             if (pkdh == NULL || dhp == NULL) {
1619                 DH_free(dhp);
1620                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1621                        ERR_R_INTERNAL_ERROR);
1622                 goto f_err;
1623             }
1624             EVP_PKEY_assign_DH(pkdh, dhp);
1625             pkdhp = pkdh;
1626         } else {
1627             pkdhp = cert->dh_tmp;
1628         }
1629         if ((pkdhp == NULL) && (s->cert->dh_tmp_cb != NULL)) {
1630             DH *dhp = s->cert->dh_tmp_cb(s, 0, 1024);
1631             pkdh = ssl_dh_to_pkey(dhp);
1632             if (pkdh == NULL) {
1633                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1634                        ERR_R_INTERNAL_ERROR);
1635                 goto f_err;
1636             }
1637             pkdhp = pkdh;
1638         }
1639         if (pkdhp == NULL) {
1640             al = SSL_AD_HANDSHAKE_FAILURE;
1641             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1642                    SSL_R_MISSING_TMP_DH_KEY);
1643             goto f_err;
1644         }
1645         if (!ssl_security(s, SSL_SECOP_TMP_DH,
1646                           EVP_PKEY_security_bits(pkdhp), 0, pkdhp)) {
1647             al = SSL_AD_HANDSHAKE_FAILURE;
1648             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1649                    SSL_R_DH_KEY_TOO_SMALL);
1650             goto f_err;
1651         }
1652         if (s->s3->tmp.pkey != NULL) {
1653             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1654                    ERR_R_INTERNAL_ERROR);
1655             goto err;
1656         }
1657
1658         s->s3->tmp.pkey = ssl_generate_pkey(pkdhp);
1659
1660         if (s->s3->tmp.pkey == NULL) {
1661             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1662             goto err;
1663         }
1664
1665         dh = EVP_PKEY_get0_DH(s->s3->tmp.pkey);
1666
1667         EVP_PKEY_free(pkdh);
1668         pkdh = NULL;
1669
1670         DH_get0_pqg(dh, &r[0], NULL, &r[1]);
1671         DH_get0_key(dh, &r[2], NULL);
1672     } else
1673 #endif
1674 #ifndef OPENSSL_NO_EC
1675     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1676         int nid;
1677
1678         if (s->s3->tmp.pkey != NULL) {
1679             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1680                    ERR_R_INTERNAL_ERROR);
1681             goto err;
1682         }
1683
1684         /* Get NID of appropriate shared curve */
1685         nid = tls1_shared_curve(s, -2);
1686         curve_id = tls1_ec_nid2curve_id(nid);
1687         if (curve_id == 0) {
1688             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1689                    SSL_R_UNSUPPORTED_ELLIPTIC_CURVE);
1690             goto err;
1691         }
1692         s->s3->tmp.pkey = ssl_generate_pkey_curve(curve_id);
1693         /* Generate a new key for this curve */
1694         if (s->s3->tmp.pkey == NULL) {
1695             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1696             goto f_err;
1697         }
1698
1699         /* Encode the public key. */
1700         encodedlen = EVP_PKEY_get1_tls_encodedpoint(s->s3->tmp.pkey,
1701                                                     &encodedPoint);
1702         if (encodedlen == 0) {
1703             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EC_LIB);
1704             goto err;
1705         }
1706
1707         /*
1708          * We'll generate the serverKeyExchange message explicitly so we
1709          * can set these to NULLs
1710          */
1711         r[0] = NULL;
1712         r[1] = NULL;
1713         r[2] = NULL;
1714         r[3] = NULL;
1715     } else
1716 #endif                          /* !OPENSSL_NO_EC */
1717 #ifndef OPENSSL_NO_SRP
1718     if (type & SSL_kSRP) {
1719         if ((s->srp_ctx.N == NULL) ||
1720             (s->srp_ctx.g == NULL) ||
1721             (s->srp_ctx.s == NULL) || (s->srp_ctx.B == NULL)) {
1722             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1723                    SSL_R_MISSING_SRP_PARAM);
1724             goto err;
1725         }
1726         r[0] = s->srp_ctx.N;
1727         r[1] = s->srp_ctx.g;
1728         r[2] = s->srp_ctx.s;
1729         r[3] = s->srp_ctx.B;
1730     } else
1731 #endif
1732     {
1733         al = SSL_AD_HANDSHAKE_FAILURE;
1734         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1735                SSL_R_UNKNOWN_KEY_EXCHANGE_TYPE);
1736         goto f_err;
1737     }
1738
1739     if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aSRP))
1740         && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)) {
1741         if ((pkey = ssl_get_sign_pkey(s, s->s3->tmp.new_cipher, &md))
1742             == NULL) {
1743             al = SSL_AD_DECODE_ERROR;
1744             goto f_err;
1745         }
1746     } else {
1747         pkey = NULL;
1748     }
1749
1750 #ifndef OPENSSL_NO_PSK
1751     if (type & SSL_PSK) {
1752         size_t len = (s->cert->psk_identity_hint == NULL)
1753                         ? 0 : strlen(s->cert->psk_identity_hint);
1754
1755         /*
1756          * It should not happen that len > PSK_MAX_IDENTITY_LEN - we already
1757          * checked this when we set the identity hint - but just in case
1758          */
1759         if (len > PSK_MAX_IDENTITY_LEN
1760                 || !WPACKET_sub_memcpy_u16(pkt, s->cert->psk_identity_hint,
1761                                            len)) {
1762             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1763                    ERR_R_INTERNAL_ERROR);
1764             goto f_err;
1765         }
1766     }
1767 #endif
1768
1769     for (i = 0; i < 4 && r[i] != NULL; i++) {
1770         unsigned char *binval;
1771         int res;
1772
1773 #ifndef OPENSSL_NO_SRP
1774         if ((i == 2) && (type & SSL_kSRP)) {
1775             res = WPACKET_start_sub_packet_u8(pkt);
1776         } else
1777 #endif
1778             res = WPACKET_start_sub_packet_u16(pkt);
1779
1780         if (!res) {
1781             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1782                    ERR_R_INTERNAL_ERROR);
1783             goto f_err;
1784         }
1785
1786 #ifndef OPENSSL_NO_DH
1787         /*-
1788          * for interoperability with some versions of the Microsoft TLS
1789          * stack, we need to zero pad the DHE pub key to the same length
1790          * as the prime
1791          */
1792         if ((i == 2) && (type & (SSL_kDHE | SSL_kDHEPSK))) {
1793             size_t len = BN_num_bytes(r[0]) - BN_num_bytes(r[2]);
1794
1795             if (len > 0) {
1796                 if (!WPACKET_allocate_bytes(pkt, len, &binval)) {
1797                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1798                            ERR_R_INTERNAL_ERROR);
1799                     goto f_err;
1800                 }
1801                 memset(binval, 0, len);
1802             }
1803         }
1804 #endif
1805         if (!WPACKET_allocate_bytes(pkt, BN_num_bytes(r[i]), &binval)
1806                 || !WPACKET_close(pkt)) {
1807             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1808                    ERR_R_INTERNAL_ERROR);
1809             goto f_err;
1810         }
1811
1812         BN_bn2bin(r[i], binval);
1813     }
1814
1815 #ifndef OPENSSL_NO_EC
1816     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1817         /*
1818          * We only support named (not generic) curves. In this situation, the
1819          * ServerKeyExchange message has: [1 byte CurveType], [2 byte CurveName]
1820          * [1 byte length of encoded point], followed by the actual encoded
1821          * point itself
1822          */
1823         if (!WPACKET_put_bytes_u8(pkt, NAMED_CURVE_TYPE)
1824                 || !WPACKET_put_bytes_u8(pkt, 0)
1825                 || !WPACKET_put_bytes_u8(pkt, curve_id)
1826                 || !WPACKET_sub_memcpy_u8(pkt, encodedPoint, encodedlen)) {
1827             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1828                    ERR_R_INTERNAL_ERROR);
1829             goto f_err;
1830         }
1831         OPENSSL_free(encodedPoint);
1832         encodedPoint = NULL;
1833     }
1834 #endif
1835
1836     /* not anonymous */
1837     if (pkey != NULL) {
1838         /*
1839          * n is the length of the params, they start at &(d[4]) and p
1840          * points to the space at the end.
1841          */
1842         if (md) {
1843             unsigned char *sigbytes1, *sigbytes2;
1844             unsigned int siglen;
1845
1846             /* Get length of the parameters we have written above */
1847             if (!WPACKET_get_length(pkt, &paramlen)) {
1848                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1849                        ERR_R_INTERNAL_ERROR);
1850                 goto f_err;
1851             }
1852             /* send signature algorithm */
1853             if (SSL_USE_SIGALGS(s)) {
1854                 if (!tls12_get_sigandhash(pkt, pkey, md)) {
1855                     /* Should never happen */
1856                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1857                            ERR_R_INTERNAL_ERROR);
1858                     goto f_err;
1859                 }
1860             }
1861 #ifdef SSL_DEBUG
1862             fprintf(stderr, "Using hash %s\n", EVP_MD_name(md));
1863 #endif
1864             /*
1865              * Create the signature. We don't know the actual length of the sig
1866              * until after we've created it, so we reserve enough bytes for it
1867              * up front, and then properly allocate them in the WPACKET
1868              * afterwards.
1869              */
1870             if (!WPACKET_sub_reserve_bytes_u16(pkt, EVP_PKEY_size(pkey),
1871                                                &sigbytes1)
1872                     || EVP_SignInit_ex(md_ctx, md, NULL) <= 0
1873                     || EVP_SignUpdate(md_ctx, &(s->s3->client_random[0]),
1874                                       SSL3_RANDOM_SIZE) <= 0
1875                     || EVP_SignUpdate(md_ctx, &(s->s3->server_random[0]),
1876                                       SSL3_RANDOM_SIZE) <= 0
1877                     || EVP_SignUpdate(md_ctx, s->init_buf->data + paramoffset,
1878                                       paramlen) <= 0
1879                     || EVP_SignFinal(md_ctx, sigbytes1, &siglen, pkey) <= 0
1880                     || !WPACKET_sub_allocate_bytes_u16(pkt, siglen, &sigbytes2)
1881                     || sigbytes1 != sigbytes2) {
1882                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1883                        ERR_R_INTERNAL_ERROR);
1884                 goto f_err;
1885             }
1886         } else {
1887             /* Is this error check actually needed? */
1888             al = SSL_AD_HANDSHAKE_FAILURE;
1889             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1890                    SSL_R_UNKNOWN_PKEY_TYPE);
1891             goto f_err;
1892         }
1893     }
1894
1895     EVP_MD_CTX_free(md_ctx);
1896     return 1;
1897  f_err:
1898     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1899  err:
1900 #ifndef OPENSSL_NO_DH
1901     EVP_PKEY_free(pkdh);
1902 #endif
1903 #ifndef OPENSSL_NO_EC
1904     OPENSSL_free(encodedPoint);
1905 #endif
1906     EVP_MD_CTX_free(md_ctx);
1907     return 0;
1908 }
1909
1910 int tls_construct_certificate_request(SSL *s, WPACKET *pkt)
1911 {
1912     int i;
1913     STACK_OF(X509_NAME) *sk = NULL;
1914
1915     /* get the list of acceptable cert types */
1916     if (!WPACKET_start_sub_packet_u8(pkt)
1917             || !ssl3_get_req_cert_type(s, pkt)
1918             || !WPACKET_close(pkt)) {
1919         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
1920         goto err;
1921     }
1922
1923     if (SSL_USE_SIGALGS(s)) {
1924         const unsigned char *psigs;
1925         size_t nl = tls12_get_psigalgs(s, &psigs);
1926         if (!WPACKET_start_sub_packet_u16(pkt)
1927                 || !tls12_copy_sigalgs(s, pkt, psigs, nl)
1928                 || !WPACKET_close(pkt)) {
1929             SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
1930                    ERR_R_INTERNAL_ERROR);
1931             goto err;
1932         }
1933     }
1934
1935     /* Start sub-packet for client CA list */
1936     if (!WPACKET_start_sub_packet_u16(pkt)) {
1937         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
1938         goto err;
1939     }
1940
1941     sk = SSL_get_client_CA_list(s);
1942     if (sk != NULL) {
1943         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
1944             unsigned char *namebytes;
1945             X509_NAME *name = sk_X509_NAME_value(sk, i);
1946             int namelen;
1947
1948             if (name == NULL
1949                     || (namelen = i2d_X509_NAME(name, NULL)) < 0
1950                     || !WPACKET_sub_allocate_bytes_u16(pkt, namelen,
1951                                                        &namebytes)
1952                     || i2d_X509_NAME(name, &namebytes) != namelen) {
1953                 SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
1954                        ERR_R_INTERNAL_ERROR);
1955                 goto err;
1956             }
1957         }
1958     }
1959     /* else no CA names */
1960
1961     if (!WPACKET_close(pkt)) {
1962         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
1963         goto err;
1964     }
1965
1966     s->s3->tmp.cert_request = 1;
1967
1968     return 1;
1969  err:
1970     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1971     return 0;
1972 }
1973
1974 static int tls_process_cke_psk_preamble(SSL *s, PACKET *pkt, int *al)
1975 {
1976 #ifndef OPENSSL_NO_PSK
1977     unsigned char psk[PSK_MAX_PSK_LEN];
1978     size_t psklen;
1979     PACKET psk_identity;
1980
1981     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity)) {
1982         *al = SSL_AD_DECODE_ERROR;
1983         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_LENGTH_MISMATCH);
1984         return 0;
1985     }
1986     if (PACKET_remaining(&psk_identity) > PSK_MAX_IDENTITY_LEN) {
1987         *al = SSL_AD_DECODE_ERROR;
1988         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_DATA_LENGTH_TOO_LONG);
1989         return 0;
1990     }
1991     if (s->psk_server_callback == NULL) {
1992         *al = SSL_AD_INTERNAL_ERROR;
1993         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_PSK_NO_SERVER_CB);
1994         return 0;
1995     }
1996
1997     if (!PACKET_strndup(&psk_identity, &s->session->psk_identity)) {
1998         *al = SSL_AD_INTERNAL_ERROR;
1999         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2000         return 0;
2001     }
2002
2003     psklen = s->psk_server_callback(s, s->session->psk_identity,
2004                                     psk, sizeof(psk));
2005
2006     if (psklen > PSK_MAX_PSK_LEN) {
2007         *al = SSL_AD_INTERNAL_ERROR;
2008         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2009         return 0;
2010     } else if (psklen == 0) {
2011         /*
2012          * PSK related to the given identity not found
2013          */
2014         *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
2015         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE,
2016                SSL_R_PSK_IDENTITY_NOT_FOUND);
2017         return 0;
2018     }
2019
2020     OPENSSL_free(s->s3->tmp.psk);
2021     s->s3->tmp.psk = OPENSSL_memdup(psk, psklen);
2022     OPENSSL_cleanse(psk, psklen);
2023
2024     if (s->s3->tmp.psk == NULL) {
2025         *al = SSL_AD_INTERNAL_ERROR;
2026         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_MALLOC_FAILURE);
2027         return 0;
2028     }
2029
2030     s->s3->tmp.psklen = psklen;
2031
2032     return 1;
2033 #else
2034     /* Should never happen */
2035     *al = SSL_AD_INTERNAL_ERROR;
2036     SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2037     return 0;
2038 #endif
2039 }
2040
2041 static int tls_process_cke_rsa(SSL *s, PACKET *pkt, int *al)
2042 {
2043 #ifndef OPENSSL_NO_RSA
2044     unsigned char rand_premaster_secret[SSL_MAX_MASTER_KEY_LENGTH];
2045     int decrypt_len;
2046     unsigned char decrypt_good, version_good;
2047     size_t j, padding_len;
2048     PACKET enc_premaster;
2049     RSA *rsa = NULL;
2050     unsigned char *rsa_decrypt = NULL;
2051     int ret = 0;
2052
2053     rsa = EVP_PKEY_get0_RSA(s->cert->pkeys[SSL_PKEY_RSA_ENC].privatekey);
2054     if (rsa == NULL) {
2055         *al = SSL_AD_HANDSHAKE_FAILURE;
2056         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_MISSING_RSA_CERTIFICATE);
2057         return 0;
2058     }
2059
2060     /* SSLv3 and pre-standard DTLS omit the length bytes. */
2061     if (s->version == SSL3_VERSION || s->version == DTLS1_BAD_VER) {
2062         enc_premaster = *pkt;
2063     } else {
2064         if (!PACKET_get_length_prefixed_2(pkt, &enc_premaster)
2065             || PACKET_remaining(pkt) != 0) {
2066             *al = SSL_AD_DECODE_ERROR;
2067             SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_LENGTH_MISMATCH);
2068             return 0;
2069         }
2070     }
2071
2072     /*
2073      * We want to be sure that the plaintext buffer size makes it safe to
2074      * iterate over the entire size of a premaster secret
2075      * (SSL_MAX_MASTER_KEY_LENGTH). Reject overly short RSA keys because
2076      * their ciphertext cannot accommodate a premaster secret anyway.
2077      */
2078     if (RSA_size(rsa) < SSL_MAX_MASTER_KEY_LENGTH) {
2079         *al = SSL_AD_INTERNAL_ERROR;
2080         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, RSA_R_KEY_SIZE_TOO_SMALL);
2081         return 0;
2082     }
2083
2084     rsa_decrypt = OPENSSL_malloc(RSA_size(rsa));
2085     if (rsa_decrypt == NULL) {
2086         *al = SSL_AD_INTERNAL_ERROR;
2087         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_MALLOC_FAILURE);
2088         return 0;
2089     }
2090
2091     /*
2092      * We must not leak whether a decryption failure occurs because of
2093      * Bleichenbacher's attack on PKCS #1 v1.5 RSA padding (see RFC 2246,
2094      * section 7.4.7.1). The code follows that advice of the TLS RFC and
2095      * generates a random premaster secret for the case that the decrypt
2096      * fails. See https://tools.ietf.org/html/rfc5246#section-7.4.7.1
2097      */
2098
2099     if (RAND_bytes(rand_premaster_secret, sizeof(rand_premaster_secret)) <= 0)
2100         goto err;
2101
2102     /*
2103      * Decrypt with no padding. PKCS#1 padding will be removed as part of
2104      * the timing-sensitive code below.
2105      */
2106      /* TODO(size_t): Convert this function */
2107     decrypt_len = (int)RSA_private_decrypt((int)PACKET_remaining(&enc_premaster),
2108                                            PACKET_data(&enc_premaster),
2109                                            rsa_decrypt, rsa, RSA_NO_PADDING);
2110     if (decrypt_len < 0)
2111         goto err;
2112
2113     /* Check the padding. See RFC 3447, section 7.2.2. */
2114
2115     /*
2116      * The smallest padded premaster is 11 bytes of overhead. Small keys
2117      * are publicly invalid, so this may return immediately. This ensures
2118      * PS is at least 8 bytes.
2119      */
2120     if (decrypt_len < 11 + SSL_MAX_MASTER_KEY_LENGTH) {
2121         *al = SSL_AD_DECRYPT_ERROR;
2122         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_DECRYPTION_FAILED);
2123         goto err;
2124     }
2125
2126     padding_len = decrypt_len - SSL_MAX_MASTER_KEY_LENGTH;
2127     decrypt_good = constant_time_eq_int_8(rsa_decrypt[0], 0) &
2128         constant_time_eq_int_8(rsa_decrypt[1], 2);
2129     for (j = 2; j < padding_len - 1; j++) {
2130         decrypt_good &= ~constant_time_is_zero_8(rsa_decrypt[j]);
2131     }
2132     decrypt_good &= constant_time_is_zero_8(rsa_decrypt[padding_len - 1]);
2133
2134     /*
2135      * If the version in the decrypted pre-master secret is correct then
2136      * version_good will be 0xff, otherwise it'll be zero. The
2137      * Klima-Pokorny-Rosa extension of Bleichenbacher's attack
2138      * (http://eprint.iacr.org/2003/052/) exploits the version number
2139      * check as a "bad version oracle". Thus version checks are done in
2140      * constant time and are treated like any other decryption error.
2141      */
2142     version_good =
2143         constant_time_eq_8(rsa_decrypt[padding_len],
2144                            (unsigned)(s->client_version >> 8));
2145     version_good &=
2146         constant_time_eq_8(rsa_decrypt[padding_len + 1],
2147                            (unsigned)(s->client_version & 0xff));
2148
2149     /*
2150      * The premaster secret must contain the same version number as the
2151      * ClientHello to detect version rollback attacks (strangely, the
2152      * protocol does not offer such protection for DH ciphersuites).
2153      * However, buggy clients exist that send the negotiated protocol
2154      * version instead if the server does not support the requested
2155      * protocol version. If SSL_OP_TLS_ROLLBACK_BUG is set, tolerate such
2156      * clients.
2157      */
2158     if (s->options & SSL_OP_TLS_ROLLBACK_BUG) {
2159         unsigned char workaround_good;
2160         workaround_good = constant_time_eq_8(rsa_decrypt[padding_len],
2161                                              (unsigned)(s->version >> 8));
2162         workaround_good &=
2163             constant_time_eq_8(rsa_decrypt[padding_len + 1],
2164                                (unsigned)(s->version & 0xff));
2165         version_good |= workaround_good;
2166     }
2167
2168     /*
2169      * Both decryption and version must be good for decrypt_good to
2170      * remain non-zero (0xff).
2171      */
2172     decrypt_good &= version_good;
2173
2174     /*
2175      * Now copy rand_premaster_secret over from p using
2176      * decrypt_good_mask. If decryption failed, then p does not
2177      * contain valid plaintext, however, a check above guarantees
2178      * it is still sufficiently large to read from.
2179      */
2180     for (j = 0; j < sizeof(rand_premaster_secret); j++) {
2181         rsa_decrypt[padding_len + j] =
2182             constant_time_select_8(decrypt_good,
2183                                    rsa_decrypt[padding_len + j],
2184                                    rand_premaster_secret[j]);
2185     }
2186
2187     if (!ssl_generate_master_secret(s, rsa_decrypt + padding_len,
2188                                     sizeof(rand_premaster_secret), 0)) {
2189         *al = SSL_AD_INTERNAL_ERROR;
2190         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2191         goto err;
2192     }
2193
2194     ret = 1;
2195  err:
2196     OPENSSL_free(rsa_decrypt);
2197     return ret;
2198 #else
2199     /* Should never happen */
2200     *al = SSL_AD_INTERNAL_ERROR;
2201     SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2202     return 0;
2203 #endif
2204 }
2205
2206 static int tls_process_cke_dhe(SSL *s, PACKET *pkt, int *al)
2207 {
2208 #ifndef OPENSSL_NO_DH
2209     EVP_PKEY *skey = NULL;
2210     DH *cdh;
2211     unsigned int i;
2212     BIGNUM *pub_key;
2213     const unsigned char *data;
2214     EVP_PKEY *ckey = NULL;
2215     int ret = 0;
2216
2217     if (!PACKET_get_net_2(pkt, &i) || PACKET_remaining(pkt) != i) {
2218         *al = SSL_AD_HANDSHAKE_FAILURE;
2219         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE,
2220                SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2221         goto err;
2222     }
2223     skey = s->s3->tmp.pkey;
2224     if (skey == NULL) {
2225         *al = SSL_AD_HANDSHAKE_FAILURE;
2226         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2227         goto err;
2228     }
2229
2230     if (PACKET_remaining(pkt) == 0L) {
2231         *al = SSL_AD_HANDSHAKE_FAILURE;
2232         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2233         goto err;
2234     }
2235     if (!PACKET_get_bytes(pkt, &data, i)) {
2236         /* We already checked we have enough data */
2237         *al = SSL_AD_INTERNAL_ERROR;
2238         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2239         goto err;
2240     }
2241     ckey = EVP_PKEY_new();
2242     if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) == 0) {
2243         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_BN_LIB);
2244         goto err;
2245     }
2246     cdh = EVP_PKEY_get0_DH(ckey);
2247     pub_key = BN_bin2bn(data, i, NULL);
2248
2249     if (pub_key == NULL || !DH_set0_key(cdh, pub_key, NULL)) {
2250         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2251         if (pub_key != NULL)
2252             BN_free(pub_key);
2253         goto err;
2254     }
2255
2256     if (ssl_derive(s, skey, ckey) == 0) {
2257         *al = SSL_AD_INTERNAL_ERROR;
2258         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2259         goto err;
2260     }
2261
2262     ret = 1;
2263     EVP_PKEY_free(s->s3->tmp.pkey);
2264     s->s3->tmp.pkey = NULL;
2265  err:
2266     EVP_PKEY_free(ckey);
2267     return ret;
2268 #else
2269     /* Should never happen */
2270     *al = SSL_AD_INTERNAL_ERROR;
2271     SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2272     return 0;
2273 #endif
2274 }
2275
2276 static int tls_process_cke_ecdhe(SSL *s, PACKET *pkt, int *al)
2277 {
2278 #ifndef OPENSSL_NO_EC
2279     EVP_PKEY *skey = s->s3->tmp.pkey;
2280     EVP_PKEY *ckey = NULL;
2281     int ret = 0;
2282
2283     if (PACKET_remaining(pkt) == 0L) {
2284         /* We don't support ECDH client auth */
2285         *al = SSL_AD_HANDSHAKE_FAILURE;
2286         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_MISSING_TMP_ECDH_KEY);
2287         goto err;
2288     } else {
2289         unsigned int i;
2290         const unsigned char *data;
2291
2292         /*
2293          * Get client's public key from encoded point in the
2294          * ClientKeyExchange message.
2295          */
2296
2297         /* Get encoded point length */
2298         if (!PACKET_get_1(pkt, &i) || !PACKET_get_bytes(pkt, &data, i)
2299             || PACKET_remaining(pkt) != 0) {
2300             *al = SSL_AD_DECODE_ERROR;
2301             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_LENGTH_MISMATCH);
2302             goto err;
2303         }
2304         ckey = EVP_PKEY_new();
2305         if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) <= 0) {
2306             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EVP_LIB);
2307             goto err;
2308         }
2309         if (EVP_PKEY_set1_tls_encodedpoint(ckey, data, i) == 0) {
2310             *al = SSL_AD_HANDSHAKE_FAILURE;
2311             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EC_LIB);
2312             goto err;
2313         }
2314     }
2315
2316     if (ssl_derive(s, skey, ckey) == 0) {
2317         *al = SSL_AD_INTERNAL_ERROR;
2318         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2319         goto err;
2320     }
2321
2322     ret = 1;
2323     EVP_PKEY_free(s->s3->tmp.pkey);
2324     s->s3->tmp.pkey = NULL;
2325  err:
2326     EVP_PKEY_free(ckey);
2327
2328     return ret;
2329 #else
2330     /* Should never happen */
2331     *al = SSL_AD_INTERNAL_ERROR;
2332     SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2333     return 0;
2334 #endif
2335 }
2336
2337 static int tls_process_cke_srp(SSL *s, PACKET *pkt, int *al)
2338 {
2339 #ifndef OPENSSL_NO_SRP
2340     unsigned int i;
2341     const unsigned char *data;
2342
2343     if (!PACKET_get_net_2(pkt, &i)
2344         || !PACKET_get_bytes(pkt, &data, i)) {
2345         *al = SSL_AD_DECODE_ERROR;
2346         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_A_LENGTH);
2347         return 0;
2348     }
2349     if ((s->srp_ctx.A = BN_bin2bn(data, i, NULL)) == NULL) {
2350         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_BN_LIB);
2351         return 0;
2352     }
2353     if (BN_ucmp(s->srp_ctx.A, s->srp_ctx.N) >= 0 || BN_is_zero(s->srp_ctx.A)) {
2354         *al = SSL_AD_ILLEGAL_PARAMETER;
2355         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_PARAMETERS);
2356         return 0;
2357     }
2358     OPENSSL_free(s->session->srp_username);
2359     s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2360     if (s->session->srp_username == NULL) {
2361         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_MALLOC_FAILURE);
2362         return 0;
2363     }
2364
2365     if (!srp_generate_server_master_secret(s)) {
2366         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2367         return 0;
2368     }
2369
2370     return 1;
2371 #else
2372     /* Should never happen */
2373     *al = SSL_AD_INTERNAL_ERROR;
2374     SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2375     return 0;
2376 #endif
2377 }
2378
2379 static int tls_process_cke_gost(SSL *s, PACKET *pkt, int *al)
2380 {
2381 #ifndef OPENSSL_NO_GOST
2382     EVP_PKEY_CTX *pkey_ctx;
2383     EVP_PKEY *client_pub_pkey = NULL, *pk = NULL;
2384     unsigned char premaster_secret[32];
2385     const unsigned char *start;
2386     size_t outlen = 32, inlen;
2387     unsigned long alg_a;
2388     int Ttag, Tclass;
2389     long Tlen;
2390     size_t sess_key_len;
2391     const unsigned char *data;
2392     int ret = 0;
2393
2394     /* Get our certificate private key */
2395     alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2396     if (alg_a & SSL_aGOST12) {
2397         /*
2398          * New GOST ciphersuites have SSL_aGOST01 bit too
2399          */
2400         pk = s->cert->pkeys[SSL_PKEY_GOST12_512].privatekey;
2401         if (pk == NULL) {
2402             pk = s->cert->pkeys[SSL_PKEY_GOST12_256].privatekey;
2403         }
2404         if (pk == NULL) {
2405             pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2406         }
2407     } else if (alg_a & SSL_aGOST01) {
2408         pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2409     }
2410
2411     pkey_ctx = EVP_PKEY_CTX_new(pk, NULL);
2412     if (pkey_ctx == NULL) {
2413         *al = SSL_AD_INTERNAL_ERROR;
2414         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_MALLOC_FAILURE);
2415         return 0;
2416     }
2417     if (EVP_PKEY_decrypt_init(pkey_ctx) <= 0) {
2418         *al = SSL_AD_INTERNAL_ERROR;
2419         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2420         return 0;
2421     }
2422     /*
2423      * If client certificate is present and is of the same type, maybe
2424      * use it for key exchange.  Don't mind errors from
2425      * EVP_PKEY_derive_set_peer, because it is completely valid to use a
2426      * client certificate for authorization only.
2427      */
2428     client_pub_pkey = X509_get0_pubkey(s->session->peer);
2429     if (client_pub_pkey) {
2430         if (EVP_PKEY_derive_set_peer(pkey_ctx, client_pub_pkey) <= 0)
2431             ERR_clear_error();
2432     }
2433     /* Decrypt session key */
2434     sess_key_len = PACKET_remaining(pkt);
2435     if (!PACKET_get_bytes(pkt, &data, sess_key_len)) {
2436         *al = SSL_AD_INTERNAL_ERROR;
2437         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2438         goto err;
2439     }
2440     /* TODO(size_t): Convert this function */
2441     if (ASN1_get_object((const unsigned char **)&data, &Tlen, &Ttag,
2442                         &Tclass, (long)sess_key_len) != V_ASN1_CONSTRUCTED
2443         || Ttag != V_ASN1_SEQUENCE || Tclass != V_ASN1_UNIVERSAL) {
2444         *al = SSL_AD_DECODE_ERROR;
2445         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2446         goto err;
2447     }
2448     start = data;
2449     inlen = Tlen;
2450     if (EVP_PKEY_decrypt
2451         (pkey_ctx, premaster_secret, &outlen, start, inlen) <= 0) {
2452         *al = SSL_AD_DECODE_ERROR;
2453         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2454         goto err;
2455     }
2456     /* Generate master secret */
2457     if (!ssl_generate_master_secret(s, premaster_secret,
2458                                     sizeof(premaster_secret), 0)) {
2459         *al = SSL_AD_INTERNAL_ERROR;
2460         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2461         goto err;
2462     }
2463     /* Check if pubkey from client certificate was used */
2464     if (EVP_PKEY_CTX_ctrl
2465         (pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2, NULL) > 0)
2466         s->statem.no_cert_verify = 1;
2467
2468     ret = 1;
2469  err:
2470     EVP_PKEY_CTX_free(pkey_ctx);
2471     return ret;
2472 #else
2473     /* Should never happen */
2474     *al = SSL_AD_INTERNAL_ERROR;
2475     SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2476     return 0;
2477 #endif
2478 }
2479
2480 MSG_PROCESS_RETURN tls_process_client_key_exchange(SSL *s, PACKET *pkt)
2481 {
2482     int al = -1;
2483     unsigned long alg_k;
2484
2485     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2486
2487     /* For PSK parse and retrieve identity, obtain PSK key */
2488     if ((alg_k & SSL_PSK) && !tls_process_cke_psk_preamble(s, pkt, &al))
2489         goto err;
2490
2491     if (alg_k & SSL_kPSK) {
2492         /* Identity extracted earlier: should be nothing left */
2493         if (PACKET_remaining(pkt) != 0) {
2494             al = SSL_AD_HANDSHAKE_FAILURE;
2495             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2496                    SSL_R_LENGTH_MISMATCH);
2497             goto err;
2498         }
2499         /* PSK handled by ssl_generate_master_secret */
2500         if (!ssl_generate_master_secret(s, NULL, 0, 0)) {
2501             al = SSL_AD_INTERNAL_ERROR;
2502             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2503             goto err;
2504         }
2505     } else if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2506         if (!tls_process_cke_rsa(s, pkt, &al))
2507             goto err;
2508     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2509         if (!tls_process_cke_dhe(s, pkt, &al))
2510             goto err;
2511     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2512         if (!tls_process_cke_ecdhe(s, pkt, &al))
2513             goto err;
2514     } else if (alg_k & SSL_kSRP) {
2515         if (!tls_process_cke_srp(s, pkt, &al))
2516             goto err;
2517     } else if (alg_k & SSL_kGOST) {
2518         if (!tls_process_cke_gost(s, pkt, &al))
2519             goto err;
2520     } else {
2521         al = SSL_AD_HANDSHAKE_FAILURE;
2522         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2523                SSL_R_UNKNOWN_CIPHER_TYPE);
2524         goto err;
2525     }
2526
2527     return MSG_PROCESS_CONTINUE_PROCESSING;
2528  err:
2529     if (al != -1)
2530         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2531 #ifndef OPENSSL_NO_PSK
2532     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2533     s->s3->tmp.psk = NULL;
2534 #endif
2535     ossl_statem_set_error(s);
2536     return MSG_PROCESS_ERROR;
2537 }
2538
2539 WORK_STATE tls_post_process_client_key_exchange(SSL *s, WORK_STATE wst)
2540 {
2541 #ifndef OPENSSL_NO_SCTP
2542     if (wst == WORK_MORE_A) {
2543         if (SSL_IS_DTLS(s)) {
2544             unsigned char sctpauthkey[64];
2545             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2546             /*
2547              * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2548              * used.
2549              */
2550             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2551                    sizeof(DTLS1_SCTP_AUTH_LABEL));
2552
2553             if (SSL_export_keying_material(s, sctpauthkey,
2554                                            sizeof(sctpauthkey), labelbuffer,
2555                                            sizeof(labelbuffer), NULL, 0,
2556                                            0) <= 0) {
2557                 ossl_statem_set_error(s);
2558                 return WORK_ERROR;;
2559             }
2560
2561             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
2562                      sizeof(sctpauthkey), sctpauthkey);
2563         }
2564         wst = WORK_MORE_B;
2565     }
2566
2567     if ((wst == WORK_MORE_B)
2568         /* Is this SCTP? */
2569         && BIO_dgram_is_sctp(SSL_get_wbio(s))
2570         /* Are we renegotiating? */
2571         && s->renegotiate
2572         /* Are we going to skip the CertificateVerify? */
2573         && (s->session->peer == NULL || s->statem.no_cert_verify)
2574         && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
2575         s->s3->in_read_app_data = 2;
2576         s->rwstate = SSL_READING;
2577         BIO_clear_retry_flags(SSL_get_rbio(s));
2578         BIO_set_retry_read(SSL_get_rbio(s));
2579         ossl_statem_set_sctp_read_sock(s, 1);
2580         return WORK_MORE_B;
2581     } else {
2582         ossl_statem_set_sctp_read_sock(s, 0);
2583     }
2584 #endif
2585
2586     if (s->statem.no_cert_verify || !s->session->peer) {
2587         /*
2588          * No certificate verify or no peer certificate so we no longer need
2589          * the handshake_buffer
2590          */
2591         if (!ssl3_digest_cached_records(s, 0)) {
2592             ossl_statem_set_error(s);
2593             return WORK_ERROR;
2594         }
2595         return WORK_FINISHED_CONTINUE;
2596     } else {
2597         if (!s->s3->handshake_buffer) {
2598             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_KEY_EXCHANGE,
2599                    ERR_R_INTERNAL_ERROR);
2600             ossl_statem_set_error(s);
2601             return WORK_ERROR;
2602         }
2603         /*
2604          * For sigalgs freeze the handshake buffer. If we support
2605          * extms we've done this already so this is a no-op
2606          */
2607         if (!ssl3_digest_cached_records(s, 1)) {
2608             ossl_statem_set_error(s);
2609             return WORK_ERROR;
2610         }
2611     }
2612
2613     return WORK_FINISHED_CONTINUE;
2614 }
2615
2616 MSG_PROCESS_RETURN tls_process_cert_verify(SSL *s, PACKET *pkt)
2617 {
2618     EVP_PKEY *pkey = NULL;
2619     const unsigned char *sig, *data;
2620 #ifndef OPENSSL_NO_GOST
2621     unsigned char *gost_data = NULL;
2622 #endif
2623     int al, ret = MSG_PROCESS_ERROR;
2624     int type = 0, j;
2625     unsigned int len;
2626     X509 *peer;
2627     const EVP_MD *md = NULL;
2628     long hdatalen = 0;
2629     void *hdata;
2630
2631     EVP_MD_CTX *mctx = EVP_MD_CTX_new();
2632
2633     if (mctx == NULL) {
2634         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2635         al = SSL_AD_INTERNAL_ERROR;
2636         goto f_err;
2637     }
2638
2639     peer = s->session->peer;
2640     pkey = X509_get0_pubkey(peer);
2641     type = X509_certificate_type(peer, pkey);
2642
2643     if (!(type & EVP_PKT_SIGN)) {
2644         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY,
2645                SSL_R_SIGNATURE_FOR_NON_SIGNING_CERTIFICATE);
2646         al = SSL_AD_ILLEGAL_PARAMETER;
2647         goto f_err;
2648     }
2649
2650     /* Check for broken implementations of GOST ciphersuites */
2651     /*
2652      * If key is GOST and n is exactly 64, it is bare signature without
2653      * length field (CryptoPro implementations at least till CSP 4.0)
2654      */
2655 #ifndef OPENSSL_NO_GOST
2656     if (PACKET_remaining(pkt) == 64
2657         && EVP_PKEY_id(pkey) == NID_id_GostR3410_2001) {
2658         len = 64;
2659     } else
2660 #endif
2661     {
2662         if (SSL_USE_SIGALGS(s)) {
2663             int rv;
2664
2665             if (!PACKET_get_bytes(pkt, &sig, 2)) {
2666                 al = SSL_AD_DECODE_ERROR;
2667                 goto f_err;
2668             }
2669             rv = tls12_check_peer_sigalg(&md, s, sig, pkey);
2670             if (rv == -1) {
2671                 al = SSL_AD_INTERNAL_ERROR;
2672                 goto f_err;
2673             } else if (rv == 0) {
2674                 al = SSL_AD_DECODE_ERROR;
2675                 goto f_err;
2676             }
2677 #ifdef SSL_DEBUG
2678             fprintf(stderr, "USING TLSv1.2 HASH %s\n", EVP_MD_name(md));
2679 #endif
2680         } else {
2681             /* Use default digest for this key type */
2682             int idx = ssl_cert_type(NULL, pkey);
2683             if (idx >= 0)
2684                 md = s->s3->tmp.md[idx];
2685             if (md == NULL) {
2686                 al = SSL_AD_INTERNAL_ERROR;
2687                 goto f_err;
2688             }
2689         }
2690
2691         if (!PACKET_get_net_2(pkt, &len)) {
2692             SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2693             al = SSL_AD_DECODE_ERROR;
2694             goto f_err;
2695         }
2696     }
2697     j = EVP_PKEY_size(pkey);
2698     if (((int)len > j) || ((int)PACKET_remaining(pkt) > j)
2699         || (PACKET_remaining(pkt) == 0)) {
2700         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_WRONG_SIGNATURE_SIZE);
2701         al = SSL_AD_DECODE_ERROR;
2702         goto f_err;
2703     }
2704     if (!PACKET_get_bytes(pkt, &data, len)) {
2705         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2706         al = SSL_AD_DECODE_ERROR;
2707         goto f_err;
2708     }
2709
2710     hdatalen = BIO_get_mem_data(s->s3->handshake_buffer, &hdata);
2711     if (hdatalen <= 0) {
2712         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_INTERNAL_ERROR);
2713         al = SSL_AD_INTERNAL_ERROR;
2714         goto f_err;
2715     }
2716 #ifdef SSL_DEBUG
2717     fprintf(stderr, "Using client verify alg %s\n", EVP_MD_name(md));
2718 #endif
2719     if (!EVP_VerifyInit_ex(mctx, md, NULL)
2720         || !EVP_VerifyUpdate(mctx, hdata, hdatalen)) {
2721         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2722         al = SSL_AD_INTERNAL_ERROR;
2723         goto f_err;
2724     }
2725 #ifndef OPENSSL_NO_GOST
2726     {
2727         int pktype = EVP_PKEY_id(pkey);
2728         if (pktype == NID_id_GostR3410_2001
2729             || pktype == NID_id_GostR3410_2012_256
2730             || pktype == NID_id_GostR3410_2012_512) {
2731             if ((gost_data = OPENSSL_malloc(len)) == NULL) {
2732                 SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2733                 al = SSL_AD_INTERNAL_ERROR;
2734                 goto f_err;
2735             }
2736             BUF_reverse(gost_data, data, len);
2737             data = gost_data;
2738         }
2739     }
2740 #endif
2741
2742     if (s->version == SSL3_VERSION
2743         && !EVP_MD_CTX_ctrl(mctx, EVP_CTRL_SSL3_MASTER_SECRET,
2744                             (int)s->session->master_key_length,
2745                             s->session->master_key)) {
2746         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2747         al = SSL_AD_INTERNAL_ERROR;
2748         goto f_err;
2749     }
2750
2751     if (EVP_VerifyFinal(mctx, data, len, pkey) <= 0) {
2752         al = SSL_AD_DECRYPT_ERROR;
2753         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_BAD_SIGNATURE);
2754         goto f_err;
2755     }
2756
2757     ret = MSG_PROCESS_CONTINUE_PROCESSING;
2758     if (0) {
2759  f_err:
2760         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2761         ossl_statem_set_error(s);
2762     }
2763     BIO_free(s->s3->handshake_buffer);
2764     s->s3->handshake_buffer = NULL;
2765     EVP_MD_CTX_free(mctx);
2766 #ifndef OPENSSL_NO_GOST
2767     OPENSSL_free(gost_data);
2768 #endif
2769     return ret;
2770 }
2771
2772 MSG_PROCESS_RETURN tls_process_client_certificate(SSL *s, PACKET *pkt)
2773 {
2774     int i, al = SSL_AD_INTERNAL_ERROR, ret = MSG_PROCESS_ERROR;
2775     X509 *x = NULL;
2776     unsigned long l, llen;
2777     const unsigned char *certstart, *certbytes;
2778     STACK_OF(X509) *sk = NULL;
2779     PACKET spkt;
2780
2781     if ((sk = sk_X509_new_null()) == NULL) {
2782         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2783         goto f_err;
2784     }
2785
2786     if (!PACKET_get_net_3(pkt, &llen)
2787         || !PACKET_get_sub_packet(pkt, &spkt, llen)
2788         || PACKET_remaining(pkt) != 0) {
2789         al = SSL_AD_DECODE_ERROR;
2790         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
2791         goto f_err;
2792     }
2793
2794     while (PACKET_remaining(&spkt) > 0) {
2795         if (!PACKET_get_net_3(&spkt, &l)
2796             || !PACKET_get_bytes(&spkt, &certbytes, l)) {
2797             al = SSL_AD_DECODE_ERROR;
2798             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2799                    SSL_R_CERT_LENGTH_MISMATCH);
2800             goto f_err;
2801         }
2802
2803         certstart = certbytes;
2804         x = d2i_X509(NULL, (const unsigned char **)&certbytes, l);
2805         if (x == NULL) {
2806             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_ASN1_LIB);
2807             goto f_err;
2808         }
2809         if (certbytes != (certstart + l)) {
2810             al = SSL_AD_DECODE_ERROR;
2811             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2812                    SSL_R_CERT_LENGTH_MISMATCH);
2813             goto f_err;
2814         }
2815         if (!sk_X509_push(sk, x)) {
2816             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
2817             goto f_err;
2818         }
2819         x = NULL;
2820     }
2821
2822     if (sk_X509_num(sk) <= 0) {
2823         /* TLS does not mind 0 certs returned */
2824         if (s->version == SSL3_VERSION) {
2825             al = SSL_AD_HANDSHAKE_FAILURE;
2826             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2827                    SSL_R_NO_CERTIFICATES_RETURNED);
2828             goto f_err;
2829         }
2830         /* Fail for TLS only if we required a certificate */
2831         else if ((s->verify_mode & SSL_VERIFY_PEER) &&
2832                  (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
2833             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2834                    SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
2835             al = SSL_AD_HANDSHAKE_FAILURE;
2836             goto f_err;
2837         }
2838         /* No client certificate so digest cached records */
2839         if (s->s3->handshake_buffer && !ssl3_digest_cached_records(s, 0)) {
2840             goto f_err;
2841         }
2842     } else {
2843         EVP_PKEY *pkey;
2844         i = ssl_verify_cert_chain(s, sk);
2845         if (i <= 0) {
2846             al = ssl_verify_alarm_type(s->verify_result);
2847             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2848                    SSL_R_CERTIFICATE_VERIFY_FAILED);
2849             goto f_err;
2850         }
2851         if (i > 1) {
2852             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, i);
2853             al = SSL_AD_HANDSHAKE_FAILURE;
2854             goto f_err;
2855         }
2856         pkey = X509_get0_pubkey(sk_X509_value(sk, 0));
2857         if (pkey == NULL) {
2858             al = SSL3_AD_HANDSHAKE_FAILURE;
2859             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
2860                    SSL_R_UNKNOWN_CERTIFICATE_TYPE);
2861             goto f_err;
2862         }
2863     }
2864
2865     X509_free(s->session->peer);
2866     s->session->peer = sk_X509_shift(sk);
2867     s->session->verify_result = s->verify_result;
2868
2869     sk_X509_pop_free(s->session->peer_chain, X509_free);
2870     s->session->peer_chain = sk;
2871     /*
2872      * Inconsistency alert: cert_chain does *not* include the peer's own
2873      * certificate, while we do include it in statem_clnt.c
2874      */
2875     sk = NULL;
2876     ret = MSG_PROCESS_CONTINUE_READING;
2877     goto done;
2878
2879  f_err:
2880     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2881     ossl_statem_set_error(s);
2882  done:
2883     X509_free(x);
2884     sk_X509_pop_free(sk, X509_free);
2885     return ret;
2886 }
2887
2888 int tls_construct_server_certificate(SSL *s, WPACKET *pkt)
2889 {
2890     CERT_PKEY *cpk;
2891
2892     cpk = ssl_get_server_send_pkey(s);
2893     if (cpk == NULL) {
2894         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2895         return 0;
2896     }
2897
2898     if (!ssl3_output_cert_chain(s, pkt, cpk)) {
2899         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
2900         return 0;
2901     }
2902
2903     return 1;
2904 }
2905
2906 int tls_construct_new_session_ticket(SSL *s, WPACKET *pkt)
2907 {
2908     unsigned char *senc = NULL;
2909     EVP_CIPHER_CTX *ctx = NULL;
2910     HMAC_CTX *hctx = NULL;
2911     unsigned char *p, *encdata1, *encdata2, *macdata1, *macdata2;
2912     const unsigned char *const_p;
2913     int len, slen_full, slen, lenfinal;
2914     SSL_SESSION *sess;
2915     unsigned int hlen;
2916     SSL_CTX *tctx = s->initial_ctx;
2917     unsigned char iv[EVP_MAX_IV_LENGTH];
2918     unsigned char key_name[TLSEXT_KEYNAME_LENGTH];
2919     int iv_len;
2920     size_t macoffset, macendoffset;
2921
2922     /* get session encoding length */
2923     slen_full = i2d_SSL_SESSION(s->session, NULL);
2924     /*
2925      * Some length values are 16 bits, so forget it if session is too
2926      * long
2927      */
2928     if (slen_full == 0 || slen_full > 0xFF00) {
2929         ossl_statem_set_error(s);
2930         return 0;
2931     }
2932     senc = OPENSSL_malloc(slen_full);
2933     if (senc == NULL) {
2934         ossl_statem_set_error(s);
2935         return 0;
2936     }
2937
2938     ctx = EVP_CIPHER_CTX_new();
2939     hctx = HMAC_CTX_new();
2940     if (ctx == NULL || hctx == NULL) {
2941         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_MALLOC_FAILURE);
2942         goto err;
2943     }
2944
2945     p = senc;
2946     if (!i2d_SSL_SESSION(s->session, &p))
2947         goto err;
2948
2949     /*
2950      * create a fresh copy (not shared with other threads) to clean up
2951      */
2952     const_p = senc;
2953     sess = d2i_SSL_SESSION(NULL, &const_p, slen_full);
2954     if (sess == NULL)
2955         goto err;
2956     sess->session_id_length = 0; /* ID is irrelevant for the ticket */
2957
2958     slen = i2d_SSL_SESSION(sess, NULL);
2959     if (slen == 0 || slen > slen_full) { /* shouldn't ever happen */
2960         SSL_SESSION_free(sess);
2961         goto err;
2962     }
2963     p = senc;
2964     if (!i2d_SSL_SESSION(sess, &p)) {
2965         SSL_SESSION_free(sess);
2966         goto err;
2967     }
2968     SSL_SESSION_free(sess);
2969
2970     /*
2971      * Initialize HMAC and cipher contexts. If callback present it does
2972      * all the work otherwise use generated values from parent ctx.
2973      */
2974     if (tctx->tlsext_ticket_key_cb) {
2975         /* if 0 is returned, write an empty ticket */
2976         int ret = tctx->tlsext_ticket_key_cb(s, key_name, iv, ctx,
2977                                              hctx, 1);
2978
2979         if (ret == 0) {
2980
2981             /* Put timeout and length */
2982             if (!WPACKET_put_bytes_u32(pkt, 0)
2983                     || !WPACKET_put_bytes_u16(pkt, 0)) {
2984                 SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET,
2985                        ERR_R_INTERNAL_ERROR);
2986                 goto err;
2987             }
2988             OPENSSL_free(senc);
2989             EVP_CIPHER_CTX_free(ctx);
2990             HMAC_CTX_free(hctx);
2991             return 1;
2992         }
2993         if (ret < 0)
2994             goto err;
2995         iv_len = EVP_CIPHER_CTX_iv_length(ctx);
2996     } else {
2997         const EVP_CIPHER *cipher = EVP_aes_256_cbc();
2998
2999         iv_len = EVP_CIPHER_iv_length(cipher);
3000         if (RAND_bytes(iv, iv_len) <= 0)
3001             goto err;
3002         if (!EVP_EncryptInit_ex(ctx, cipher, NULL,
3003                                 tctx->tlsext_tick_aes_key, iv))
3004             goto err;
3005         if (!HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3006                           sizeof(tctx->tlsext_tick_hmac_key),
3007                           EVP_sha256(), NULL))
3008             goto err;
3009         memcpy(key_name, tctx->tlsext_tick_key_name,
3010                sizeof(tctx->tlsext_tick_key_name));
3011     }
3012
3013     /*
3014      * Ticket lifetime hint (advisory only): We leave this unspecified
3015      * for resumed session (for simplicity), and guess that tickets for
3016      * new sessions will live as long as their sessions.
3017      */
3018     if (!WPACKET_put_bytes_u32(pkt, s->hit ? 0 : s->session->timeout)
3019                /* Now the actual ticket data */
3020             || !WPACKET_start_sub_packet_u16(pkt)
3021             || !WPACKET_get_total_written(pkt, &macoffset)
3022                /* Output key name */
3023             || !WPACKET_memcpy(pkt, key_name, sizeof(key_name))
3024                /* output IV */
3025             || !WPACKET_memcpy(pkt, iv, iv_len)
3026             || !WPACKET_reserve_bytes(pkt, slen + EVP_MAX_BLOCK_LENGTH,
3027                                       &encdata1)
3028                /* Encrypt session data */
3029             || !EVP_EncryptUpdate(ctx, encdata1, &len, senc, slen)
3030             || !WPACKET_allocate_bytes(pkt, len, &encdata2)
3031             || encdata1 != encdata2
3032             || !EVP_EncryptFinal(ctx, encdata1 + len, &lenfinal)
3033             || !WPACKET_allocate_bytes(pkt, lenfinal, &encdata2)
3034             || encdata1 + len != encdata2
3035             || len + lenfinal > slen + EVP_MAX_BLOCK_LENGTH
3036             || !WPACKET_get_total_written(pkt, &macendoffset)
3037             || !HMAC_Update(hctx,
3038                             (unsigned char *)s->init_buf->data + macoffset,
3039                             macendoffset - macoffset)
3040             || !WPACKET_reserve_bytes(pkt, EVP_MAX_MD_SIZE, &macdata1)
3041             || !HMAC_Final(hctx, macdata1, &hlen)
3042             || hlen > EVP_MAX_MD_SIZE
3043             || !WPACKET_allocate_bytes(pkt, hlen, &macdata2)
3044             || macdata1 != macdata2
3045             || !WPACKET_close(pkt)) {
3046         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_INTERNAL_ERROR);
3047         goto err;
3048     }
3049     EVP_CIPHER_CTX_free(ctx);
3050     HMAC_CTX_free(hctx);
3051     OPENSSL_free(senc);
3052
3053     return 1;
3054  err:
3055     OPENSSL_free(senc);
3056     EVP_CIPHER_CTX_free(ctx);
3057     HMAC_CTX_free(hctx);
3058     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3059     return 0;
3060 }
3061
3062 int tls_construct_cert_status(SSL *s, WPACKET *pkt)
3063 {
3064     if (!WPACKET_put_bytes_u8(pkt, s->tlsext_status_type)
3065             || !WPACKET_sub_memcpy_u24(pkt, s->tlsext_ocsp_resp,
3066                                        s->tlsext_ocsp_resplen)) {
3067         SSLerr(SSL_F_TLS_CONSTRUCT_CERT_STATUS, ERR_R_INTERNAL_ERROR);
3068         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3069         return 0;
3070     }
3071
3072     return 1;
3073 }
3074
3075 #ifndef OPENSSL_NO_NEXTPROTONEG
3076 /*
3077  * tls_process_next_proto reads a Next Protocol Negotiation handshake message.
3078  * It sets the next_proto member in s if found
3079  */
3080 MSG_PROCESS_RETURN tls_process_next_proto(SSL *s, PACKET *pkt)
3081 {
3082     PACKET next_proto, padding;
3083     size_t next_proto_len;
3084
3085     /*-
3086      * The payload looks like:
3087      *   uint8 proto_len;
3088      *   uint8 proto[proto_len];
3089      *   uint8 padding_len;
3090      *   uint8 padding[padding_len];
3091      */
3092     if (!PACKET_get_length_prefixed_1(pkt, &next_proto)
3093         || !PACKET_get_length_prefixed_1(pkt, &padding)
3094         || PACKET_remaining(pkt) > 0) {
3095         SSLerr(SSL_F_TLS_PROCESS_NEXT_PROTO, SSL_R_LENGTH_MISMATCH);
3096         goto err;
3097     }
3098
3099     if (!PACKET_memdup(&next_proto, &s->next_proto_negotiated, &next_proto_len)) {
3100         s->next_proto_negotiated_len = 0;
3101         goto err;
3102     }
3103
3104     s->next_proto_negotiated_len = (unsigned char)next_proto_len;
3105
3106     return MSG_PROCESS_CONTINUE_READING;
3107  err:
3108     ossl_statem_set_error(s);
3109     return MSG_PROCESS_ERROR;
3110 }
3111 #endif
3112
3113 #define SSLV2_CIPHER_LEN    3
3114
3115 STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
3116                                                PACKET *cipher_suites,
3117                                                STACK_OF(SSL_CIPHER) **skp,
3118                                                int sslv2format, int *al)
3119 {
3120     const SSL_CIPHER *c;
3121     STACK_OF(SSL_CIPHER) *sk;
3122     int n;
3123     /* 3 = SSLV2_CIPHER_LEN > TLS_CIPHER_LEN = 2. */
3124     unsigned char cipher[SSLV2_CIPHER_LEN];
3125
3126     s->s3->send_connection_binding = 0;
3127
3128     n = sslv2format ? SSLV2_CIPHER_LEN : TLS_CIPHER_LEN;
3129
3130     if (PACKET_remaining(cipher_suites) == 0) {
3131         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, SSL_R_NO_CIPHERS_SPECIFIED);
3132         *al = SSL_AD_ILLEGAL_PARAMETER;
3133         return NULL;
3134     }
3135
3136     if (PACKET_remaining(cipher_suites) % n != 0) {
3137         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3138                SSL_R_ERROR_IN_RECEIVED_CIPHER_LIST);
3139         *al = SSL_AD_DECODE_ERROR;
3140         return NULL;
3141     }
3142
3143     if ((skp == NULL) || (*skp == NULL)) {
3144         sk = sk_SSL_CIPHER_new_null(); /* change perhaps later */
3145         if (sk == NULL) {
3146             SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3147             *al = SSL_AD_INTERNAL_ERROR;
3148             return NULL;
3149         }
3150     } else {
3151         sk = *skp;
3152         sk_SSL_CIPHER_zero(sk);
3153     }
3154
3155     if (!PACKET_memdup(cipher_suites, &s->s3->tmp.ciphers_raw,
3156                        &s->s3->tmp.ciphers_rawlen)) {
3157         *al = SSL_AD_INTERNAL_ERROR;
3158         goto err;
3159     }
3160
3161     while (PACKET_copy_bytes(cipher_suites, cipher, n)) {
3162         /*
3163          * SSLv3 ciphers wrapped in an SSLv2-compatible ClientHello have the
3164          * first byte set to zero, while true SSLv2 ciphers have a non-zero
3165          * first byte. We don't support any true SSLv2 ciphers, so skip them.
3166          */
3167         if (sslv2format && cipher[0] != '\0')
3168             continue;
3169
3170         /* Check for TLS_EMPTY_RENEGOTIATION_INFO_SCSV */
3171         if ((cipher[n - 2] == ((SSL3_CK_SCSV >> 8) & 0xff)) &&
3172             (cipher[n - 1] == (SSL3_CK_SCSV & 0xff))) {
3173             /* SCSV fatal if renegotiating */
3174             if (s->renegotiate) {
3175                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3176                        SSL_R_SCSV_RECEIVED_WHEN_RENEGOTIATING);
3177                 *al = SSL_AD_HANDSHAKE_FAILURE;
3178                 goto err;
3179             }
3180             s->s3->send_connection_binding = 1;
3181             continue;
3182         }
3183
3184         /* Check for TLS_FALLBACK_SCSV */
3185         if ((cipher[n - 2] == ((SSL3_CK_FALLBACK_SCSV >> 8) & 0xff)) &&
3186             (cipher[n - 1] == (SSL3_CK_FALLBACK_SCSV & 0xff))) {
3187             /*
3188              * The SCSV indicates that the client previously tried a higher
3189              * version. Fail if the current version is an unexpected
3190              * downgrade.
3191              */
3192             if (!ssl_check_version_downgrade(s)) {
3193                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3194                        SSL_R_INAPPROPRIATE_FALLBACK);
3195                 *al = SSL_AD_INAPPROPRIATE_FALLBACK;
3196                 goto err;
3197             }
3198             continue;
3199         }
3200
3201         /* For SSLv2-compat, ignore leading 0-byte. */
3202         c = ssl_get_cipher_by_char(s, sslv2format ? &cipher[1] : cipher);
3203         if (c != NULL) {
3204             if (!sk_SSL_CIPHER_push(sk, c)) {
3205                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3206                 *al = SSL_AD_INTERNAL_ERROR;
3207                 goto err;
3208             }
3209         }
3210     }
3211     if (PACKET_remaining(cipher_suites) > 0) {
3212         *al = SSL_AD_INTERNAL_ERROR;
3213         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_INTERNAL_ERROR);
3214         goto err;
3215     }
3216
3217     if (skp != NULL)
3218         *skp = sk;
3219     return (sk);
3220  err:
3221     if ((skp == NULL) || (*skp == NULL))
3222         sk_SSL_CIPHER_free(sk);
3223     return NULL;
3224 }